แจ้งเตือน Magento 1 End of Life

adminMagento 1, บทความ Magento

Magento 1 นั้นเป็น Script สำหรับทำเว็บไซต์ e-Commerce โดยออกมาใช้งานครั้งแรก ตั้งแต่เดือนสิงหาคม ปี 2007 ปัจจุบันมีอายุการใช้งานมากกว่า 14 ปีแล้ว เมื่อเดือนมิถุนายน 2020 ทาง Adobe ซึ่งเป็นเจ้าของตัว Script Magento ได้ออกประกาศว่า Magento 1 นั้น​ End of Life หรือสิ้นสุดระยะ Support แล้ว (ข่าวอ้างอิง) เมื่อตัวสคริป End of Life จะส่งผลให้เว็บที่ทำจาก Magento 1 ไม่มีไฟล์อัพเดท หรือ Patch เกี่ยวกับความปลอดภัยออกมาอีกต่อไป ซึ่งถือเป็นสิ่งที่ร้ายแรงมาก เพราะจะได้รับผลกระทบด้านความปลอดภัย ดังนี้ครับ

  1. เว็บจะโดน Spam ไม่ว่าจะเป็น Spam สมัครสมาชิก, Spam ช่อง Newsletter, หรือช่องกรอกฟอร์มต่างๆ ในเว็บ
  2. เว็บจะโดน Hack และยึด User admin และไปเปลี่ยน Password ทุก user ทำให้เจ้าของร้านเข้าหลังร้านไม่ได้
  3. โดนใส่ช่องรับบัตรเครดิต หรือ Paypal ในหน้า Checkout ทำให้ลูกค้า เมื่อสั่งซื้อสินค้าผ่านเว็บ จะจ่ายเงินไปที่บัญชีของ Hacker
  4. โดนใส่ Script Malware ทำให้เว็บขึ้นโฆษณา หรือ ReDirect ไปยังเว็บอื่น

ซึ่งเวลาโดน Malware ดังกล่าว มักจะโดนหลายข้อพร้อมกัน นอกจากจะเจอปัญหาเรื่องความปลอดภัยหลักๆ ตามข้อต่างๆ ด้านบนแล้ว ยังเจอปัญหาตามมาอีก 3 อย่าง ที่ทำให้แม้จะใช้งานเว็บไซต์ได้ แต่จะไม่สะดวกคือ

  1. Payment Gateways ทุกเจ้า จะแบนไม่ให้รับเงินผ่านเว็บไซต์ที่ทำจาก Magento 1 เพราะกลัวว่าจะมีปัญหาด้านความปลอดภัย
  2. Flash Player ใช้งานไม่ได้ ทำให้อัพโหลดรูปสินค้า หรือรูปต่างๆ ผ่านระบบหลังร้านไม่ได้
  3. Facebook Messenger ใช้งานในเว็บไม่ได้

Magneto 1 End of Life

แนวทางแก้ไข

  • จริงๆ การแก้ไขปัญหาที่ถูกต้องและดีที่สุด คือแนะนำให้ทำเว็บใหม่ครับ เป็นการแก้ปัญหาที่จบปัญหาทุกอย่าง และดีที่สุด หากต้องการย้ายข้อมูลเดิมมาทั้งหมด แนะนำให้ทำเว็บจาก Magento 2 แต่หากต้องการทำเว็บใหม่ ที่ต้องการประหยัดค่าใช้จ่ายลง ไม่ต้องเสียค่า Host แบบ VPS แนะนำให้ทำเว็บใหม่จาก WordPress WooCommerce ครับ เทียบข้อแตกต่างระหว่าง Magento 2 และ WooCommerce ได้ที่นี่นะครับ

หากไม่ต้องการทำเว็บใหม่ จะใช้เว็บเดิมต่อไป จะต้องทำอย่างไรบ้าง

  1. ปิดค่าขนส่งและวิธีการชำระเงินทุกประเภท เพื่อไม่ให้สั่งซื้อผ่านเว็บได้ เพราะหากเปิดให้สั่งซื้อผ่านเว็บได้อยู่ อาจโดนฝัง Malware เพื่อรับบัตรเครดิต หรือ Paypal ไปยังบัญชีลูกค้า อาจจะใส่ปุ่ม Line หรือ Messenger เพื่อให้ลูกค้าสั่งซื้อสินค้าผ่านช่องทางอื่นแทนครับ
  2. ปิดช่องทางสมัครสมาชิก และช่อง Newsletter รวมถึงฟอร์มต่างๆ เพื่อป้องกัน Spam
  3. หากโดนยึด user admin หรือโดนเปลี่ยน Password ทำให้เข้าระบบหลังร้านไม่ได้ ให้เปลี่ยน Password กลับคืน โดยเปลี่ยนผ่าน phpMyadmin

แต่ถึงแม้จะแก้ตามวิธีการข้างต้นแล้ว ก็อาจจะยังมี Script Malware ฝังในเว็บไซต์อยู่ หากยังหาไม่เจอ หรือยังไม่เอาออก มีความเป็นไปได้สูงมาก ที่เว็บจะขึ้นแถบแจ้งเตือนว่าไม่ปลอดภัย มี Malware และเว็บอาจโดนปิดไม่ให้ใช้งานจากทาง Google ได้ครับ

สามารถ Scan หา Malware ในเว็บไซต์ได้ โดยใช้เว็บนี้นะครับ https://sitecheck.sucuri.net