DE{CODE}: การรักษาไซต์ WordPress ของคุณให้ปลอดภัยท่ามกลางการโจมตีทางไซเบอร์ที่เพิ่มขึ้นทั่วโลก

เข้าร่วมผู้เชี่ยวชาญจาก WP Engine และ Cloudflare สำหรับเซสชันเฉพาะด้านความปลอดภัยเกี่ยวกับวิธีล็อคเว็บไซต์ของคุณ การอภิปรายเน้นถึงแนวโน้มการโจมตีทางไซเบอร์ล่าสุดพร้อมกับตัวอย่างเฉพาะของวิธีที่ WP Engine ปกป้องไซต์ของคุณ นักพัฒนาซอฟต์แวร์จะทิ้งรายการตรวจสอบที่ชัดเจนเกี่ยวกับขั้นตอนในการรักษาความปลอดภัยไซต์ของตน

สไลด์เซสชัน

การถอดเสียงแบบเต็ม

ERIC JONES : ยินดีต้อนรับสู่ DE{CODE} และขอขอบคุณสำหรับการเข้าร่วมเซสชั่นการฝ่าวงล้อมที่น่าทึ่ง ฉันชื่อ Eric Jones และฉันเป็นรองประธานฝ่ายการตลาดองค์กรที่ WP Engine ฉันรู้สึกตื่นเต้นมากที่จะกลั่นกรองการสนทนานี้ในวันนี้ระหว่าง Joe Sullivan หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของ Cloudflare และ Brent Stackhouse รองประธานฝ่ายความปลอดภัยสำหรับ WP Engine ซึ่งระหว่างพวกเขามีประสบการณ์ด้านการรักษาความปลอดภัยหลายทศวรรษ

การสนทนาของเรา การรักษาไซต์ WordPress ของคุณให้ปลอดภัยท่ามกลางการเพิ่มขึ้นของการโจมตีด้านความปลอดภัยทางไซเบอร์ทั่วโลก ไม่น่าจะทันท่วงทีไปกว่านี้อีกแล้ว เนื่องจากการโจมตีทางไซเบอร์ไม่เพียงเพิ่มขึ้นเท่านั้น แต่ยังมีอัตราสูงสุดที่ทำลายสถิติตลอดเวลาอีกด้วย โจทำไมเราไม่เริ่มต้นกับคุณ? ฉันชอบที่จะได้ยินจากมุมมองกว้างๆ กว้างๆ ว่าคุณกำลังเห็นแนวโน้มใดในภาพรวมของความปลอดภัยในโลกไซเบอร์

โจ ซัลลิแวน : แน่นอน ฉันยินดีที่จะเข้าร่วม ขอบคุณที่เชิญฉันเข้าร่วมการสนทนานี้ ฉันก็ตั้งหน้าตั้งตารอมันเช่นกัน ฉันคิดว่ามีอยู่ 2 แนวโน้มใหญ่ในโลกแห่งความปลอดภัยในขณะนี้ อันดับหนึ่งคือมันสำคัญกว่ามากในสายตาชาวโลก

ก่อนที่เราจะพูดถึงด้านเทคนิคของมันและความท้าทายที่แท้จริงที่เราเผชิญในแต่ละวัน คุณควรใช้เวลาสักครู่เพื่อดูว่าโลกแห่งความปลอดภัยได้พัฒนาไปมากเพียงใดตั้งแต่ Brent และฉันเริ่มต้นในสายอาชีพนี้ เช่น คุณบอกว่าเมื่อหลายสิบปีที่แล้ว

การรักษาความปลอดภัยไม่ใช่การทำงานเป็นทีมหรือแนวคิดที่ซ่อนอยู่ในมุมขององค์กรอีกต่อไป เป็นศูนย์กลางของทุกสิ่งที่เราทำ ซีอีโอต้องรับผิดชอบ บอร์ดกำลังถามคำถามยากๆ ผู้ร่วมทุนจะไม่มีส่วนร่วมเว้นแต่จะเห็นระดับการลงทุนที่เหมาะสม

และที่สำคัญกว่านั้น ลูกค้า ผู้บริโภค และผู้ซื้อทางธุรกิจสำหรับผลิตภัณฑ์ของเราต่างเรียกร้องจากเรามากขึ้น และสำหรับฉันแล้ว แนวโน้มที่สำคัญที่สุดและทำไมเราถึงมีการสนทนานี้ มันมีความสำคัญต่อนักพัฒนาทุกคนในทุกแง่มุมของงานของพวกเขา

ดังนั้นการหันไปดูสิ่งที่เกิดขึ้นจริงในโลกแห่งความปลอดภัย มันไม่ง่ายเลย และความท้าทายก็เข้ามาหาเราเรื่อยๆ หากคุณให้ความสนใจกับพาดหัวข่าว คุณคงได้เห็นการเกิดขึ้นของแรนซั่มแวร์ในช่วงที่ผ่านมาเพียงเล็กน้อยเท่านั้น มันน่ากลัวจริงๆ

แรนซัมแวร์เปลี่ยนเกมในแง่ของความปลอดภัย เพราะมันเปลี่ยนจากการขโมยข้อมูลบางอย่างหรือเปิดเผยบางสิ่งต่อโลก ไปจนถึงการปิดธุรกิจของคุณ ดังนั้นแนวคิดทั้งหมดเกี่ยวกับความสำคัญของการรักษาความปลอดภัยจึงขยายใหญ่ขึ้นจากความเสี่ยงนั้น แนวคิดที่ว่าเราอาจตื่นขึ้นในตอนเช้าและไม่สามารถเปิดแล็ปท็อปของเรา ทำให้เว็บไซต์ของเราทำงานไม่ได้ มันน่ากลัวจริงๆ

สิ่งต่าง ๆ ทางการเมืองก็เริ่มส่งผลกระทบต่อพวกเราทุกคนเช่นกัน สถานการณ์ในยูเครนไม่ได้มีอยู่ในโลกทางกายภาพ กำลังเป็นกระแสในโลกไซเบอร์อย่างหนักในขณะนี้ และมันกำลังทะลักเข้ามากระทบพวกเราที่เหลือ ดังนั้นเหตุการณ์ทางภูมิรัฐศาสตร์ที่เกิดขึ้นในโลกทางกายภาพจึงมีนัยทางเทคนิคสำหรับพวกเราที่พยายามดำเนินธุรกิจบนอินเทอร์เน็ต

และฉันคิดว่าสิ่งที่สามที่ฉันจะพูดถึงจากมุมมองทางเทคนิคคือเราไม่ได้อยู่ในโลกของรหัสของเราเอง เราอยู่ในโลกที่ผสมผสานซอฟต์แวร์และโค้ดเข้าด้วยกันเพื่อเป็นตัวแทนขององค์กร

ดังนั้น เพื่อความปลอดภัย เราใช้คำว่า ห่วงโซ่อุปทาน เพื่อพูดถึงรหัสอื่นๆ และแอปพลิเคชันอื่นๆ ทั้งหมด และทุกสิ่งที่กลายเป็นส่วนหนึ่งของตัวตนของเราในฐานะบริษัท ตัวอย่างเช่น เมื่อเร็วๆ นี้มีเรื่องราวเกี่ยวกับ Okta ถูกบุกรุก นั่นไม่ใช่แค่คำถามว่า Okta ถูกบุกรุกหรือไม่ เป็นคำถามที่ว่าบริษัทของฉันและบริษัทอื่นๆ ทั้งหมดที่ใช้ Okta ถูกบุกรุกหรือไม่

และลูกค้าของฉันไม่สนใจ Okta พวกเขาสนใจเกี่ยวกับการใช้งานของเรา และเรามีการควบคุมอะไรบ้างเพื่อลดความเสี่ยงที่ Okta จะถูกโจมตี มีอะไรเกิดขึ้นมากมายในตอนนี้ และเป็นเวลาที่ดีที่จะมีการสนทนานี้

ERIC JONES: Joe เช่นเดียวกับคำถามติดตามผล คุณคิดอย่างไรเกี่ยวกับการจัดลำดับความสำคัญของความท้าทายเฉพาะทั้งหมดที่คุณมีและองค์กรด้านความปลอดภัยทุกแห่งมี

โจ ซัลลิแวน: แน่นอน ฉันคิดว่านั่นเป็นคำถามสุดท้าย ถ้าเรามีงบประมาณไม่จำกัดและมีคนทำงานไม่จำกัด เราก็สามารถทำได้ทั้งหมด แต่นั่นไม่ใช่ความจริงในองค์กรใด ๆ ในทุกขั้นตอนของการพัฒนา

ดังนั้นเราจึงอยู่ในขั้นตอนของการจัดลำดับความสำคัญเสมอ และสิ่งที่ฉันจะบอกก็คือ คุณต้องให้ความสำคัญกับพื้นฐานก่อน เป็นเรื่องน่าตกใจที่ส่วนใหญ่ของการประนีประนอมมาจากความล้มเหลวในพื้นฐาน

ในฐานะผู้เชี่ยวชาญด้านความปลอดภัย เราชอบที่จะเจาะลึกถึงการโจมตีแบบ Zero-day หรือการโจมตีแบบ O-day และดูสิ่งที่ซับซ้อนจริงๆ แต่ 90% ของเวลาทั้งหมด การประนีประนอมมาจากอีเมลฟิชชิ่งหรือบางคนที่เลือกใช้รหัสผ่านเดียวกับที่ใช้บนเว็บไซต์ส่วนบุคคลที่ถูกบุกรุกและไม่เปิดการยืนยันตัวตนแบบหลายปัจจัย

หลายครั้งที่เรามีเครื่องมือในการทำพื้นฐานให้ดี แต่เราไม่ใช้เวลาในการนำไปใช้

ERIC JONES: ใช่ ฉันคิดว่าคุณกำลังเข้าสู่จุดสำคัญในการรักษาความปลอดภัยใช่ไหม นั่นเป็นสิ่งที่เราทุกคนรับผิดชอบ เป็นความรับผิดชอบร่วมกันทั่วทั้งองค์กร มันไม่ได้อยู่แค่ในทีมรักษาความปลอดภัย มันอาศัยอยู่กับพนักงานทุกคนในบริษัทใดบริษัทหนึ่ง

Brent พูดถึงคุณจากมุมมองของ WordPress อะไรเหมือนกัน อะไรแตกต่างใน WordPress และอะไรคือจุดเปราะบางที่ใหญ่ที่สุดที่คุณเห็นในภาพรวม

BRENT STACKHOUSE : ขอบคุณ เอริค และขอบคุณสำหรับการเชิญฉัน ขอบคุณเวลาที่ใช้ร่วมกันกับโจ เขารู้อะไรมากมาย เราเคยไปรอบ ๆ บล็อกสองสามครั้ง นี่จึงเป็นสิ่งที่น่าสนใจ

WordPress ในหลาย ๆ ด้าน – ข่าวดีโดยทั่วไปในแง่ที่ว่า WordPress Core นั้นแตกต่างจากปลั๊กอินและธีมทั้งหมด และสิ่งอื่น ๆ ในระบบนิเวศของ WordPress WordPress Core ยังคงแข็งแกร่งและยืดหยุ่นต่อการโจมตีทั่วไป

ดังนั้น WordPress เองจึงเป็นแพลตฟอร์มที่ดี เสถียร และแข็งแกร่ง ซึ่งโดยทั่วไปแล้วลูกค้าควรรู้สึกสบายใจที่จะใช้ในทุกบริบท ความท้าทายส่วนใหญ่อยู่ที่ด้านปลั๊กอิน ซึ่ง wordpress.org หรือนักพัฒนาหลักเหล่านั้นไม่ได้มีส่วนเกี่ยวข้องกับปลั๊กอินและธีมส่วนใหญ่

และความแปรปรวนของคุณภาพโค้ด คล้ายกับแอปที่คุณจะได้รับจาก Play Store ของ Google หรืออะไรทำนองนั้น สิ่งเหล่านี้ไม่ได้เขียนโดย Google อย่างที่ฉันเพิ่งพูดไป พวกเขาไม่ได้เขียนโดย WordPress ปลั๊กอินและธีมเหล่านี้ และอาจเป็นอะไรก็ได้ตั้งแต่นักพัฒนาคนเดียวไปจนถึงทีม ขนาดของปลั๊กอินหรือธีมเหล่านั้นอาจมีขนาดเล็กมากไปจนถึงขนาดใหญ่มาก พวกเขาอาจมีประวัติที่ดีในการซ่อมสิ่งต่าง ๆ อย่างรวดเร็วหรือไม่

และขึ้นอยู่กับว่า ดังนั้น เมื่อ WordPress ได้รับความนิยมมากขึ้น และระบบนิเวศก็ได้รับความนิยมมากขึ้น คุณสามารถสันนิษฐานได้ว่าผู้โจมตีจะยังคงเพิ่มความพยายามอย่างต่อเนื่อง เนื่องจากผู้โจมตีไปที่ที่เงินอยู่ ซึ่งคล้ายกับสาเหตุที่ Windows มีมัลแวร์มากกว่า Mac ทั่วไป นั่นเป็นเพราะรอยเท้าอยู่ที่นั้น และนั่นคือที่ที่เงินอยู่

ดังนั้น WordPress ก็ไม่ต่างกัน และเมื่อความนิยมเพิ่มขึ้น คุณสามารถคาดหวังได้ว่าผู้โจมตีจะยังคงทำในสิ่งที่กำลังทำอยู่ ข่าวดีก็คือ เมื่อเทียบกับตอนที่ฉันเริ่ม WP Engine เมื่อสี่ปีที่แล้ว ระบบนิเวศน์มีความสมบูรณ์มากขึ้น

นักพัฒนาปลั๊กอิน นักพัฒนาธีมตระหนักดีว่าพวกเขากำลังจะได้รับข้อมูลจากนักวิจัยด้านความปลอดภัยหรือบุคคลอื่นที่สังเกตเห็นช่องโหว่ และส่วนใหญ่สร้างกล้ามเนื้อนั้นด้วยความรับผิดชอบ ดังนั้นพวกเขาจึงสามารถพลิกแพตช์ได้อย่างรวดเร็วมาก

ดังนั้นสิ่งต่าง ๆ จึงดีขึ้นกว่าที่เคยเป็นมา เมื่อสี่ปีที่แล้ว นักพัฒนาซอฟต์แวร์จำนวนมากรู้สึกประหลาดใจเมื่อเกิดช่องโหว่ขึ้น และพวกเขาไม่ได้รวดเร็วหรือสามารถตอบสนองความต้องการของลูกค้าในแง่ของการแพตช์ได้อย่างสม่ำเสมอ

พวกเราทุกคนในฐานะผู้บริโภคเทคโนโลยีคุ้นเคยกับการอ้างคำพูดที่ไม่อ้างอิง “Patch Tuesday” หรือการอัปเดตตามปกติจาก Apple และอื่นๆ ดังนั้นเราจึงไม่แปลกใจเกี่ยวกับช่องโหว่ อย่างไรก็ตาม เราจะต้องประหลาดใจมากหากผู้ให้บริการรายนั้นไม่แก้ไขบางอย่างอย่างมีความรับผิดชอบและรวดเร็ว

ดังนั้นระบบนิเวศของ WordPress จึงมีความสมบูรณ์มากกว่าที่ฉันคิดเมื่อสี่ปีที่แล้ว อีกครั้ง WordPress Core นั้นยอดเยี่ยม แต่ฉันคิดว่าปลั๊กอินและธีมโดยทั่วไปยังคงตามทัน มันค่อนข้างเป็นบวก

ERIC JONES: แค่คลิกสองครั้งบนบางสิ่งที่คุณพูดเกี่ยวกับ WordPress Core มันเกี่ยวกับธรรมชาติของซอฟต์แวร์โอเพ่นซอร์สที่อาจช่วยให้ปัญหานั้นปลอดภัยได้อย่างไร เพราะฉันคิดว่านั่นเป็นหนึ่งในความเข้าใจผิดและความเชื่อผิดๆ ที่มีอยู่ทั่วไปว่าซอฟต์แวร์โอเพ่นซอร์สไม่ปลอดภัยโดยพื้นฐาน

BRENT STACKHOUSE: นั่นเป็นคำถามที่ดี และฉันจะสนใจในความคิดของโจเกี่ยวกับเรื่องนี้ และอย่ามาเหวี่ยงใส่คุณ เอริค แต่ฉันโตพอแล้ว ฉันได้เห็นความหมายของโอเพ่นซอร์สที่เปลี่ยนแปลงไปบ้างเมื่อเวลาผ่านไป

โอเพ่นซอร์สในสมัยก่อนเคยเป็นโปรเจ็กต์ที่เป็นที่รู้จักมาก เช่น Apache หรือ OpenSSH หรือลินุกซ์ และอะไรทำนองนั้น ดังนั้นเมื่อเราพูดถึงโอเพ่นซอร์สในตอนนั้น นั่นคือสิ่งที่เรามักจะเป็น อ้างถึง.

และใช่ มีโครงการระดับทุติยภูมิและระดับอุดมศึกษามากมาย ไม่ว่าจะเป็นโครงการขนาดเล็กใดก็ตามที่ไม่ได้รับการดูแลเป็นอย่างดี ฯลฯ ตอนนี้สิ่งที่ฉันคิดว่าเราหมายถึงโดยโอเพ่นซอร์สนั้นแทบจะเป็นอะไรก็ได้ที่อยู่ใน GitHub ใครก็ตามที่โพสต์อะไรก็ตามที่ใครก็ตาม อย่างอื่นสามารถคว้า

คุณกำลังพูดถึงไลบรารี่ โค้ดเล็กๆ ที่ใครก็พูดได้ โอ้ มันดูดีมากเมื่อพิจารณาจากคุณสมบัติของมัน ซึ่งเราจะรวมมันเข้าด้วยกัน และฉันจะพูดถึงอีกเล็กน้อยในภายหลังเมื่อโจพาดพิงถึงปัญหาห่วงโซ่อุปทาน ฉันจะพูดถึงความท้าทายเฉพาะของนักพัฒนาในแง่ของการลดความเสี่ยงของห่วงโซ่อุปทานในภายหลัง

เนื่องจากโอเพ่นซอร์ส – ฉันนึกย้อนกลับไปถึงคำถามของคุณ Eric เกี่ยวกับ WordPress เป็นเรื่องดีที่มีแหล่งที่มาอยู่ที่นั่น ผู้คนจำนวนมากกำลังมองดูมัน ฉันคิดว่านั่นเป็นเรื่องจริงในสมัยก่อนด้วย Apache และอะไรทำนองนั้น สิ่งใดก็ตามที่ใช้อย่างแพร่หลายจะได้รับการตรวจสอบอย่างมากทั้งจากคนดีและคนไม่ดี และฉันคิดว่านั่นเป็นสิ่งที่ดี การรักษาความปลอดภัยผ่านความสับสนไม่เคยมีแนวทางปฏิบัติที่ดี ดังนั้นการมีรหัสออกมานั้นยอดเยี่ยมมาก

แต่โอเพ่นซอร์สที่มีความปลอดภัยดีกว่าระบบปิดหรือในทางกลับกันนั้นเป็นคำถามที่ตอบยาก เพราะแท้จริงแล้วพวกมันคือแอปเปิ้ลและส้ม ฉันคิดว่า WordPress ในฐานะทีมทำงานได้ดีมากโดยใช้อินพุตอื่นนอกเหนือจากความฉลาดของตนเอง เช่น การใช้โปรแกรมจับรางวัลบั๊ก WordPress Core ทำมาหลายปีแล้ว ฉันคิดว่ามันฉลาด

ไม่ต้องสงสัยเลยว่ามีนักวิจัยที่ไม่เกี่ยวข้องคอยส่งสิ่งที่ค้นพบเป็นประจำ และทีมที่ชาญฉลาดจะรับข้อมูลเหล่านั้นและทำในสิ่งที่ถูกต้อง ฉันแน่ใจว่าพวกเขากำลังทดสอบปากกาด้วยตัวเอง ฯลฯ ดังนั้นเราจึงทำสิ่งที่คล้ายกันที่ WP Engine แต่นั่นก็เป็นเรื่องปกติสำหรับหลักสูตรนี้

โจมีความคิดเกี่ยวกับเรื่องนี้ไหม? ขอโทษที่รับช่วงต่อ เอริค แต่–

ERIC JONES: ไม่ นั่นสมบูรณ์แบบ

JOE SULLIVAN: ฉันคิดว่าคุณทำคะแนนได้สูงมากๆ เมื่อฉันนึกถึงซอฟต์แวร์โอเพ่นซอร์สแบบซอฟต์ เมื่อฉันนึกถึงซอฟต์แวร์จากแหล่งใดก็ตาม ฉันคิดว่าเราต้องประเมินซอฟต์แวร์ก่อนที่จะใส่ลงในสภาพแวดล้อมของเรา และบางครั้งซอฟต์แวร์โอเพ่นซอร์สก็เป็นทางเลือกที่ดีกว่าซอฟต์แวร์ที่เป็นกรรมสิทธิ์ เพราะอะไรรู้ไหม? แสงแดดฆ่าเชื้อโรค

และสิ่งที่เรามีซอฟต์แวร์โอเพ่นซอร์สจำนวนมากก็คือ คนอื่นๆ จำนวนมากก็กำลังดูซอฟต์แวร์นี้เช่นกัน ฉันคิดว่านั่นเป็นสิ่งที่ในโลกของการรักษาความปลอดภัยโดยทั่วไปที่เราทำได้ไม่ดีพอ เราทุกคนนั่งอยู่ในทีมเล็ก ๆ และมุมเล็ก ๆ ของเรา และเราพยายามแก้ไขทุกอย่างด้วยตัวเอง

การมีส่วนร่วมของชุมชนเป็นสิ่งที่ดี ความโปร่งใสและการหารือเกี่ยวกับความเสี่ยงของซอฟต์แวร์บางชิ้นเป็นสิ่งที่ดี และเรากำลังเริ่มดีขึ้น ตัวอย่างของโปรแกรมรางวัลบั๊กเป็นอีกวิธีหนึ่งในการทำให้เกิดความโปร่งใสและเชิญชวนให้บุคคลที่สามเข้ามาอุดช่องโหว่

ซอฟต์แวร์โอเพ่นซอร์สมีผู้คนจำนวนมากมองดูเมื่อเราพูดถึงซอฟต์แวร์โอเพ่นซอร์สที่มีการใช้งานมากที่สุดและสำคัญที่สุด แต่ในทางเดียวกัน ฉันจะไม่เพียงแค่คว้าโค้ดบางส่วนจาก GitHub แล้ววางลงในผลิตภัณฑ์ของฉันโดยไม่ได้ตรวจสอบอย่างละเอียดถี่ถ้วน

ฉันยังบอกด้วยว่าคุณต้องใช้ความระมัดระวังเช่นเดียวกันเมื่อคุณซื้อใบอนุญาตสำหรับซอฟต์แวร์ที่เป็นกรรมสิทธิ์ คุณยังคงต้องดูว่าใครเป็นคนทำ พวกเขามีแนวปฏิบัติอย่างไร และแข็งแกร่งแค่ไหน

BRENT STACKHOUSE: ใช่ ส่วนมากเกี่ยวกับ – และนี่เป็นคำศัพท์เนิร์ดเสี่ยง – แต่เกี่ยวกับการรับประกัน เราสามารถได้รับหลักประกันใดสำหรับสิ่งที่เรากำลังทำอยู่ ในแง่ทางเทคนิคว่าปลอดภัยเพียงใดเมื่อเราทำ A, B, C และการรับประกันมากมาย ซึ่งขึ้นอยู่กับสถานการณ์กับแหล่งที่มาแบบปิด ซึ่งยากกว่าที่จะได้รับ

ในโอเพ่นซอร์ส คุณจะรู้สึกดีขึ้นได้ง่ายขึ้นว่าใครทำอะไรเพื่อตรวจสอบโค้ด มันยุ่งยากกว่าเล็กน้อยกับแหล่งปิด คุณต้องใช้อินพุตทางอ้อมที่แสดงว่าบริษัทนี้มีแนวทางปฏิบัติด้านความปลอดภัยที่ดีเมื่อเวลาผ่านไป เป็นต้น

แต่ ใช่ การได้รับหลักประกันในตอนท้ายของวันคือสิ่งที่คุณพยายามทำเมื่อคุณปรับใช้ โดยใช้เทคโนโลยีทั่วไป ขอบคุณ.

ERIC JONES: ดังนั้น สำหรับนักพัฒนาที่มีอยู่ การรับประกันเฉพาะเจาะจงที่คุณทั้งคู่มองหาในบริษัทคืออะไร หากโครงการหรือชิ้นส่วนของซอฟต์แวร์เหล่านี้มีสิ่งเหล่านี้ คุณก็พิจารณาว่าเป็นสิ่งที่ดี มีความปลอดภัยมากกว่าที่เป็นอยู่เล็กน้อย

BRENT STACKHOUSE: คุณต้องการคำตอบจาก WordPress หรือไม่? ฉันจะปล่อยโจไปถ้าคุณต้องการเริ่มต้นโดยทั่วไป

ERIC JONES: ใช่ Joe ถ้าคุณสามารถให้มุมมองกว้างๆ ได้ จากนั้น Brent คุณสามารถให้มุมมอง WordPress ที่เฉพาะเจาะจงมากขึ้นได้

JOE SULLIVAN: ใช่ จากที่ผมนั่ง ผมคิดถึงคำถามนั้นในฐานะผู้ซื้อและผู้ขาย เพราะผมทำงานที่ Cloudflare ซึ่งผู้คนกำลังใช้งานผลิตภัณฑ์ของเรา และคำถามอันดับหนึ่งที่ลูกค้าของ Cloudflare มีก่อนที่พวกเขาจะใช้ Cloudflare ก็คือ ฉันควรเชื่อ Cloudflare หรือไม่ เพราะเรานั่งอยู่ข้างหน้าธุรกิจทั้งหมดของพวกเขา และนั่นเป็นจุดที่เสี่ยงมากที่จะวางตัวใครสักคน เว้นแต่คุณจะไว้ใจเขา

แต่ฉันก็เช่นกัน เนื่องจากเรากำลังเติบโตและจำเป็นต้องสร้างผลิตภัณฑ์ของเรา เราจึงพึ่งพาบุคคลที่สามเช่นกัน ดังนั้นฉันจึงเป็นฝ่ายรับคำถามยากๆ และฉันก็เป็นฝ่ายรับคำถามยากๆ

และดูสิ พวกเราไม่มีใครมีเวลาที่จะไปหรือทรัพยากรที่จะเข้าไปตรวจสอบทุกครั้งที่เราจะทำงานร่วมกับบุคคลที่สาม เรามีทีมไม่ใหญ่พอ เราไม่มีความสามารถพอ ดังนั้นเราจึงเริ่มต้นด้วยการรับรองความปลอดภัยเป็นแนวคิดที่สำคัญที่นี่

เมื่อฉันพูดว่าใบรับรอง ฉันหมายถึงสิ่งต่างๆ เช่น SOC 2, SOC 2 Type II เช่น WP Engine หรือ ISO 27001 หรือ PCI เมื่อคุณได้ยินคำพูดและการรับรองเหล่านั้น สิ่งที่คุณควรคิดคือบุคคลที่สามใช้ชุดมาตรฐานที่เป็นที่ยอมรับเพื่อเข้าไปตรวจสอบบริษัทนั้น และประเมินว่าพวกเขาปฏิบัติตามการควบคุมทั้งหมดสำหรับพื้นที่นั้นหรือไม่

และเราแต่ละคน – Cloudflare มีรายงาน SOC 2 Type II ที่เราสามารถแบ่งปันได้ WP Engine มีรายงาน SOC 2 Type II ที่เราสามารถแชร์ได้ และสิ่งที่ดีเกี่ยวกับเมื่อฉันพูดว่า Type II หมายความว่ามันไม่ได้เป็นเพียงการตรวจสอบตามเวลาเท่านั้น มันเป็นช่วงเวลาที่ยาวนาน

ตัวอย่างเช่น ด้วย SOC 2 Type II ของเรา หมายความว่าตลอดปีที่ผ่านมา ณ จุดใดก็ตามในช่วงเวลานั้นที่มีการรับรองนั้น เราได้ปฏิบัติตามการควบคุมความปลอดภัยขั้นต่ำเหล่านั้น บ่อยครั้งก็เพียงพอแล้วสำหรับลูกค้า เช่น บริษัทนั้นมี SOC 2 Type II โอเค ฉันจะเชื่อใจพวกเขา

แต่คุณอาจต้องการเจาะลึกลงไปอีกเล็กน้อยตามการใช้งานเฉพาะของคุณ ดังนั้นเมื่อฉันคิดที่จะซื้อผลิตภัณฑ์ ฉันไม่ได้คิดถึงแค่คุณภาพของโค้ดเท่านั้น แต่ยังคำนึงถึงวิธีการรวมเข้ากับสภาพแวดล้อมของฉันด้วย

และสิ่งที่สำคัญสำหรับฉันมากก็คือการรับรองความถูกต้อง ฉันสามารถผสานรวมเข้ากับการลงชื่อเข้าใช้ครั้งเดียวของฉัน เพื่อให้ฉันสามารถจัดการว่าใครในองค์กรของฉันและภายนอกองค์กรของฉันมีสิทธิ์เข้าถึงได้บ้าง เนื่องจากนั่นคือจุดที่ปัญหาด้านความปลอดภัยส่วนใหญ่มาจากที่ฉันพูดไว้ก่อนหน้านี้

ดังนั้นคุณจึงต้องการเลือกผลิตภัณฑ์อย่าง WP Engine ซึ่งคุณสามารถรวมเข้ากับ SSO ของคุณและปล่อยให้การรักษาความปลอดภัยทำงานผ่านเครื่องมือโดยที่คุณไม่ต้องทำงานจริงมากมาย สำหรับฉันแล้ว มันคือการรับรองบวกกับการผสมผสานสิ่งอื่นๆ ที่คุณต้องการสำหรับสภาพแวดล้อมเฉพาะของคุณ

ERIC JONES: และ Brent ส่งคำถามกลับมาให้คุณ คุณคิดอย่างไรเกี่ยวกับสิ่งนั้นในบริบทของ WordPress

BRENT STACKHOUSE: ใช่ ฉันคิดว่ามันเยี่ยมมาก เมื่อผู้คนกำลังมองหาการขยายระบบนิเวศของ WordPress โดยการใช้ปลั๊กอินและธีม สองสามสิ่งที่ควรมองหาแม้กระทั่งจากบริบททางธุรกิจหรือชั้นธุรกิจก็คือ โค้ด ปลั๊กอิน หรือชิ้นส่วนที่ได้รับนี้ได้รับความนิยมมากน้อยเพียงใด ธีม? และฉันเห็นในบันทึกการเปลี่ยนแปลงของพวกเขาหรือไม่ว่าพวกเขากำลังอัปเดตเป็นประจำ รวมถึงการอัปเดตด้านความปลอดภัยด้วย

สิ่งเหล่านี้เป็นมาตรการหรือปัจจัยนำเข้าเชิงคุณภาพ แต่ก็ยังมีความเกี่ยวข้อง โดยทั่วไปแล้ว นักพัฒนาปลั๊กอินหรือนักพัฒนาธีมที่มีผลงานขนาดใหญ่—มีลูกค้าจำนวนมาก—พวกเขามีบางอย่างที่ต้องสูญเสียและได้กำไร กล่าวคือ รักษาโค้ดให้ดีหรือไม่ดี ขึ้นอยู่กับว่าคุณใช้วิธีใด ต้องการพลิกที่ ดังนั้นการไปหาสิ่งที่ได้รับความนิยมสูงสุดโดยทั่วไปสำหรับสิ่งที่คุณต้องการจึงเป็นแนวทางปฏิบัติที่ดี

ในระดับนักพัฒนา คุณสามารถใช้การควบคุมได้มากขึ้น คุณสามารถใช้เครื่องมือรักษาความปลอดภัยของแอปพลิเคชันแบบสแตติกสำหรับปลั๊กอินที่กำหนดได้ คุณมีแนวโน้มที่จะพบสิ่งที่นักวิจัยด้านความปลอดภัยคนอื่นไม่พบหรือไม่ อาจจะไม่ แต่ก็ยังเป็นความคิดที่ดีที่จะเรียกใช้สิ่งเหล่านั้นผ่านเครื่องมือของคุณ และมีเครื่องมือฟรีแบบโอเพ่นซอร์สมากมายอยู่ที่นั่น หรือแม้กระทั่งเครื่องมือเชิงพาณิชย์ที่มีต้นทุนต่ำมากหรือใบอนุญาตแบบฟรี ที่สามารถช่วยให้คุณได้รับการรับประกันที่ดีขึ้นสำหรับโค้ดใดก็ตามที่คุณใช้ในสภาพแวดล้อมของคุณ

สิ่งหนึ่งที่ Joe พูดถึงและฉันจะบอกคุณเล็กน้อยเช่นกันคือ WP Engine เป็นทั้งผู้ใช้โค้ดและผู้ผลิต ดังนั้นเราจึงเป็นผู้ให้บริการและกังวลอย่างมากเกี่ยวกับความสมบูรณ์ของเรา ความพยายามในการพัฒนาตั้งแต่ต้นจนจบ และเป็นความท้าทายอย่างต่อเนื่อง

ดังนั้น สิ่งหนึ่งที่นักพัฒนาซอฟต์แวร์ของเราใช้งานเว็บไซต์ WordPress คือพวกเขาควรตระหนักถึงบริบทขององค์กรเกี่ยวกับความเสี่ยง ตัวอย่างเช่นพวกเขาอยู่ในประเภทใด องค์กรมีความอดทนแค่ไหนกับเรื่องแย่ๆ ที่เกิดขึ้น? ภาคส่วนหรือบางองค์กรมีความอ่อนไหวต่อสิ่งต่าง ๆ เช่นการโจมตี DDoS เป็นต้น

ดังนั้นเมื่อคิดถึงเรื่องนั้นและอาจเขียนโค้ดสำหรับสิ่งเหล่านั้น คุณไม่สามารถเขียนโค้ดสำหรับ DDoS ได้ แต่คุณสามารถรับรู้และเปิดเผยสิ่งนั้นได้อย่างแน่นอน ฉันคิดว่าเป็นสิ่งสำคัญมากสำหรับนักพัฒนาที่ทำสิ่งที่ถูกต้อง

ERIC JONES: เปลี่ยนเกียร์เล็กน้อย และมีเป้าหมายที่จะพยายามให้คำแนะนำที่เฉพาะเจาะจงมาก Joe จากมุมมองด้านความปลอดภัยระดับสูง คุณจะแนะนำให้เจ้าของเว็บไซต์ทำอะไรเพื่อช่วยเสริมความปลอดภัยของพวกเขา

โจ ซัลลิแวน: ครับ ตามที่ผมคิด การป้องกันเพียงหนึ่งออนซ์ก็คุ้มค่ากับการรักษาหนึ่งปอนด์ และในบริบทด้านความปลอดภัย นั่นหมายถึงการเลือกเครื่องมือและแพลตฟอร์มที่เหมาะสมที่คุณจะใช้ก่อนที่จะเริ่ม แทนที่จะพยายามสร้างบางอย่าง และตอนนี้ มาดูกันว่าเราจะบูทสแตรปความปลอดภัยได้อย่างไร

ดังนั้น เมื่อคุณเลือกแพลตฟอร์ม เมื่อคุณเลือกเครื่องมือ เมื่อคุณเลือกรหัส คุณต้องคิดถึงเรื่องนี้โดยคำนึงถึงความปลอดภัยตั้งแต่เริ่มต้น และอย่างที่ฉันพูดไป ถ้าคุณสามารถทำให้การรักษาความปลอดภัยเกิดขึ้นโดยอัตโนมัติผ่านเครื่องมือที่คุณเลือกได้ คุณจะอยู่ในที่ที่ดีกว่าการจ้างคนมาเสริมและทำ การตรวจสอบมากมาย จากนั้นลองแก้ไขทุกอย่างในขณะที่เรือแล่นผ่านมหาสมุทร

คุณไม่สามารถแก้ไขด้วยวิธีนี้ได้ ดังนั้นสำหรับฉัน ฉันมักจะมองหาว่าฉันจะได้อะไรนอกกรอบจากมุมมองด้านความปลอดภัย มีการตั้งค่าอะไรบ้างสำหรับฉัน และถ้าผมใช้พื้นฐานของการรักษาความปลอดภัย ผมคิดว่ามีเพียงไม่กี่ด้านเท่านั้น

อันดับหนึ่งสำหรับฉันคือการจัดการข้อมูลประจำตัวและการเข้าถึงเสมอ นั่นเป็นเหตุผลที่ฉันพูดถึงความสามารถในการรวมการลงชื่อเข้าใช้ครั้งเดียวตั้งแต่เริ่มต้น ถ้าฉันกำลังเริ่มต้นบริษัท ฉันจะทำ สิ่งแรกที่ฉันจะเลือกคือการตั้งค่าการลงชื่อเพียงครั้งเดียวที่เหมาะสมซึ่งจะปรับขนาดตามองค์กรของฉัน และฉันมักจะพยายามและเลือกผลิตภัณฑ์ที่จะรวมเข้าด้วยกัน

สิ่งที่สองที่ฉันคิดคือ โอเค ฉันกำลังจะมีรหัสหลายชุดที่หันไปทางอินเทอร์เน็ต ฉันจะต้านทานการโจมตีจากอินเทอร์เน็ตได้อย่างไร ฉันจะต้องไปตามฉันไหม- เบรนต์กล่าวถึงการปฏิเสธการโจมตีบริการ

ฉันต้องหาวิธีสร้างโหลดบาลานเซอร์และจัดการทั้งหมดนั้นและซื้อผลิตภัณฑ์เช่น Cloudflare เป็นการส่วนตัวหรือไม่ หรือมาพร้อมกับแพลตฟอร์มที่ฉันซื้อเพื่อที่ฉันจะได้ไม่ต้องคิดถึงเรื่องความปลอดภัย ฉันรู้ว่ามันมีอยู่แล้วในตัวและอื่น ๆ ดังนั้นฉันจะตรวจสอบพนักงานและการจัดการข้อมูลประจำตัวและการเข้าถึงรหัสที่เชื่อมต่ออินเทอร์เน็ตอย่างเป็นระบบ

และเช่นเดียวกับเสาหลักที่สาม – ที่เราไม่ได้พูดถึงจริง ๆ – คือฉันจะตั้งค่าแล็ปท็อปและอะไรทำนองนั้นได้อย่างไร

ERIC JONES: และ Brent บางทีอาจจะไปหาคุณ อะไรคือสิ่งเฉพาะเจาะจงบางอย่างที่นักพัฒนา WordPress ควรคิดเกี่ยวกับการสร้างเว็บไซต์ที่ปลอดภัยที่สุดเท่าที่จะทำได้

BRENT STACKHOUSE: ใช่ คำตอบแรกของฉันคือมันน่าสนใจ หลายสิ่งที่เรากำลังพูดถึงคือการตัดสินใจว่าเมื่อใดควรสร้างและซื้อ คุณกำลังจะสร้างปลั๊กอินของคุณเองและทุกสิ่งที่คุณต้องการทำเพื่อขยายระบบนิเวศ WordPress ของคุณหรือไม่? หรือคุณจะซื้อเพื่อที่จะพูดแม้ว่าจะฟรี?

แต่สิ่งนี้ใช้ได้กับ ฉันคิดว่า Joe และฉันก็เหมือนกัน ในแง่ที่ว่าเราใช้โค้ดของคนอื่นผ่าน GitHub หรือกลไกอะไรก็ตาม และเราอาจจ้างนักพัฒนาและทำทั้งหมดนั้นตั้งแต่เริ่มต้น หรือเราสามารถใช้สิ่งที่คนอื่นทำไว้แล้ว

และทำไมต้องสร้างวงล้อขึ้นมาใหม่ทั้งๆ ที่คุณไม่ต้องการ? แต่คุณจะมั่นใจได้อย่างไรว่ารหัสที่คุณใช้นั้นอยู่ในสภาพดี ดังนั้นกลับไปที่ WordPress โดยเฉพาะ ฉันคิดว่ามีสองสิ่ง – นี่อาจเป็นเรื่องธรรมดาสำหรับผู้ชมที่เป็นนักพัฒนา แต่เราจะพูดถึงมันต่อไป เมื่อคุณเขียนโค้ด ให้เขียนโค้ดอย่างปลอดภัย หมายความว่ารู้ว่าคุณกำลังพยายามทำอะไร พยายามผูกมัดสิ่งที่คุณกำลังพยายามทำในแง่ของหน้าที่ของคุณ สิ่งต่างๆ เหล่านั้น

แต่ให้คำนึงถึง OWASP 10 อันดับแรก OWASP Top 10 น่าจะเป็นที่รู้จักกันดีในหมู่ผู้ชมของเรา แต่อีกครั้ง พื้นฐานมีความสำคัญตามที่ Joe กล่าวถึงก่อนหน้านี้ ดังนั้นพื้นฐานสำหรับนักพัฒนาจึงรวมถึง OWASP Top 10 อย่างแน่นอน

จากนั้นใช้เครื่องมือการรักษาความปลอดภัยของแอปพลิเคชันแบบสแตติกตัวใดตัวหนึ่งที่ฉันพูดถึงว่าใช้งานได้ดีมากหรือในขณะที่คุณกำลังปรับใช้ คุณสามารถทำมันได้โดยอัตโนมัติ และตรวจสอบให้แน่ใจว่าโค้ดที่คุณส่งออกไปนั้นอยู่ในสภาพที่ค่อนข้างดี และไม่มีช่องโหว่ที่ทราบแน่ชัดในโค้ดของคุณเอง หากคุณกำลังพัฒนาโค้ดแบบกำหนดเอง

สิ่งที่สามเชื่อมโยงกับปัญหาห่วงโซ่อุปทานที่เราพูดถึง และ GitHub มีฟังก์ชันฟรีบางอย่างที่สามารถบอกคุณได้เมื่อการพึ่งพาอัปสตรีมของคุณรู้จักช่องโหว่ ดังนั้น Dependabot ซึ่งเป็นบอทพึ่งพาจึงเป็นสิ่งที่ยอดเยี่ยมที่ GitHub มอบให้ และคุณควรเปิดใช้งานสิ่งนั้นบน repos ของคุณอย่างแน่นอน และสามารถสร้าง PR ได้โดยอัตโนมัติ จากนั้นคุณจะมีตัวเลือกในการรวมเข้าด้วยกันหากคุณคิดว่าจำเป็นต้องทำ เพื่อให้อย่างน้อยการพึ่งพาอัปสตรีมของคุณไม่มีช่องโหว่ที่รู้จัก

เป็นไปได้ว่าโค้ดทั้งหมดมีบั๊กแม้ว่าคุณจะจัดส่ง และมันก็มีส่วนย่อยที่น่าจะเป็นบั๊กด้านความปลอดภัย แต่อย่างน้อยเราต้องหลีกเลี่ยงความท้าทายที่ชัดเจนที่โจพูดถึงก่อนหน้านี้ เราไม่ต้องการได้รับในเอกสารเพราะเราพลาดที่ชัดเจน เช่น เฮ้ คุณควรแก้ไขสิ่งต่างๆ ใช่แล้ว นั่นคือสามสิ่งที่ฉันคิดว่านักพัฒนาควรจำไว้เพื่อป้องกันตัวเองจากไฟ

ERIC JONES: ฉันเดาว่าคำถามสำหรับคุณทั้งคู่คือ อะไรคือสิ่งที่คุณเห็นว่าพุ่งลงมาจากหอกซึ่งไม่ค่อยอยู่ในเรดาร์ในตอนนี้ และอะไรคือสิ่งที่คน นักพัฒนา เจ้าของเว็บไซต์ควรคิดเกี่ยวกับสิ่งที่พวกเขาไม่ได้ตอนนี้? และนั่นเป็นคำถามที่เปิดกว้างสำหรับคุณคนใดคนหนึ่ง

BRENT STACKHOUSE: ใช่ ฉันต้องการเข้าร่วมเพราะ Joe ตอบ Okta ก่อนหน้านี้ ดังนั้นกลุ่มนั้นจึงน่าสนใจ เราได้เห็นมันแล้ว ดังนั้นฉันจึงไม่สามารถพูดได้ว่านี่เกือบจะล้มลงแล้ว

แต่กลุ่มที่ระเบิด Okta และชื่อใหญ่อื่น ๆ ที่เราไม่จำเป็นต้องพูดถึงในพอดคาสต์นี้หรือบทสัมภาษณ์นี้ พวกเขาใช้เทคนิควิศวกรรมทางสังคมที่น่าสนใจมาก ๆ เป็นหลัก ไม่ใช่การโจมตีทางเทคนิคเลย

ดังนั้นนักพัฒนาอาจไม่ไวต่อการโจมตีประเภทนี้ ขึ้นอยู่กับองค์กรและที่ที่นักพัฒนาซอฟต์แวร์รายนั้นเหมาะสม แต่แน่นอนว่าใครก็ตามที่ทำหน้าที่เป็นเจ้าหน้าที่ไอทีหรือบุคคลที่สามารถเข้าถึงสินทรัพย์ได้ สำหรับองค์กรที่กำหนดอาจตกเป็นเป้าหมายของการโจมตีทางวิศวกรรมสังคมได้เป็นอย่างดี

นั่นคือสิ่งที่เราไม่ชอบพูดถึงเพราะเราไม่สามารถแก้ไขได้ในทางเทคนิค แต่มนุษย์ยังคงเป็นจุดอ่อนต่อไป การเข้าไปทางประตูหน้าตามที่เราเรียก ซึ่งหมายถึงการโจมตีจากภายนอก ซึ่งมักจะยากขึ้นในทางเทคนิคและผู้โจมตีจะทำงานมากขึ้น และบางครั้งหรือบ่อยครั้ง พวกเขาจะผ่านการโจมตีทางวิศวกรรมสังคม ฟิชชิงยังคงมีประสิทธิภาพมากผ่านสื่อใดก็ตาม

ดังนั้นฉันคิดว่านั่นเป็นสิ่งที่พิสูจน์ได้ว่ายังคงเป็นความท้าทาย และองค์กรต่างๆ อาจไม่ได้ทุ่มเทเวลาให้กับสิ่งนั้นมากเท่าที่ควร

JOE SULLIVAN: ใช่ ฉันคิดว่าอีกวิธีหนึ่งในการพูดสิ่งที่ Brent พูดด้วยเสียงที่ต่างออกไปเล็กน้อยคือ ฉันไม่ต้องการให้นักพัฒนาใช้เวลากับลูกบอลคริสตัลมาก และพยายามคาดการณ์ปัญหาด้านความปลอดภัยครั้งต่อไป การทำพื้นฐานให้ถูกต้องนั้นสำคัญกว่า

และพื้นฐานเหล่านั้นจะดูแลสิ่งที่ยิ่งใหญ่ต่อไปเกือบทั้งหมด ไม่ว่าจะเป็นอะไรก็ตาม และตามตัวอย่าง ฉันได้กล่าวถึงการเปลี่ยนแปลงพื้นฐานในแง่ของการเกิดขึ้นของแรนซัมแวร์ มันทำให้บริษัทต่าง ๆ หยุดนิ่งในแบบที่อาชญากรรมไซเบอร์ไม่เคยเกิดขึ้นมาก่อน

แต่ไม่ใช่ว่าคุณออกไปซื้อผลิตภัณฑ์เพื่อป้องกันแรนซัมแวร์ คุณกลับไปทำสิ่งเดิมที่คุณควรทำเพื่อจัดการกับภัยคุกคามก่อนหน้านี้ แรนซัมแวร์คืออะไร? เป็นซอฟต์แวร์ที่เป็นอันตรายซึ่งอยู่ในสภาพแวดล้อมของคุณ

เมื่อใดก็ตามที่ผู้บุกรุกเข้ามาในสภาพแวดล้อมของคุณ มันไม่ดีเลย ดังนั้นเราจึงมีสิทธิ์ หากเราเอาแต่มุ่งความสนใจไปที่ขอบเขตและไม่ปล่อยให้พนักงานของเราถูกบุกรุกหรือรหัสของเราถูกบุกรุก เราก็ไม่ต้องจัดการกับแรนซัมแวร์

ดังนั้น แทนที่จะมานั่งกังวลว่าแรนซั่มแวร์ตัวต่อไปจะเป็นอย่างไร ให้โฟกัสไปที่พื้นฐาน และปล่อยให้พวกเราที่เหลือในโลกแห่งความปลอดภัยคาดเดาเกี่ยวกับอนาคต

ERIC JONES: Joe และ Brent ขอบคุณมากสำหรับมุมมอง เวลา และคำแนะนำของคุณในวันนี้ มีหลายสิ่งที่ต้องคิดตั้งแต่พื้นฐานที่ถูกต้อง ความสำคัญของความโปร่งใส สิ่งที่ต้องพิจารณาจากมุมมองของการประกันภัย

และบางทีสิ่งที่สำคัญที่สุดคือความปลอดภัยไม่ควรนำมาคิดภายหลัง คุณต้องสร้างมันขึ้นมาตั้งแต่เริ่มต้น ฉันขอแนะนำให้ทุกคน หากคุณสนใจที่จะเรียนรู้เพิ่มเติมเกี่ยวกับข้อเสนอด้านความปลอดภัยของ WP Engine หรือ Cloudflare โปรดดูที่เว็บไซต์ของเรา และแน่นอนว่าที่ WP Engine เรามีข้อมูลความปลอดภัยมากมายสำหรับทุกคนใน Resource Center ของเรา หากคุณสนใจในมุมมอง WordPress ที่เฉพาะเจาะจง ดังนั้น อีกครั้ง สำหรับทุกคนที่ติดตามในวันนี้ ขอขอบคุณที่สละเวลาของคุณและมาร่วมงานกับเราในวันนี้