สวัสดีครับทุกคน ทีมงานของเราตื่นเต้นไม่น้อยกับการอัพเดต Bricks 1.9.7 ในครั้งนี้เลยครับ ในฐานะ Agency ที่ใช้ Bricks เป็นเครื่องมือหลักในการทำเว็บไซต์ให้ลูกค้า เราอยากจะนำข่าวมาบอกทุกคนว่า Bricks ออกอัพเดทใหม่พร้อมฟีเจอร์ความปลอดภัยเพียบ!
หากกำลังมองหาซอฟต์แวร์ในการสร้างเว็บ Wordpress ที่ดีที่สุดในส่วนของหน้าตาเว็บ (Front-end development) คุณจะไม่ผิดหวังแน่ ๆ เพราะเช่นเดียวกับกับการทำงานของทีมพัฒนาที่ผ่านมา ต้องขอชื่นชมทีม Bricks จริง ๆ ที่ใส่ใจและจริงจังกับการแก้ไขปัญหาที่เกิดขึ้นก่อนหน้านี้ หลังจากที่โดนโจมตีอย่างหนัก (ซึ่งทางทีม Patchstack รายงานว่าเหตุการณ์แฮ็คใหญ่โตก่อนหน้านี้ ไม่ได้เกิดเพราะ Bricks เพียงอย่างเดียว) พร้อมกับสื่อสารกับลูกค้าอย่างตรงไปตรงมา แสดงให้เห็นถึงความมุ่งมั่นของพวกเขาที่มีต่อแพลตฟอร์มและต่อเหล่าผู้ใช้เลยล่ะครับ สามารถบอกได้ว่าพวกเขาไม่ได้แค่แก้ไขส่ง ๆ แต่เป็นการทำให้ดีขึ้นไปอีก
ย้อนเหตุการณ์ RCE ก่อนหน้านี้ที่เกิดกับ Bricks Builder
ย้อนกลับไปเมื่อเดือนกุมภาพันธ์ที่ผ่านมา ทีม Bricks ก็ได้ออกอัพเดตแบบด่วนจี๋ Bricks 1.9.6.1 เพื่อแก้ปัญหาเรื่อง Security ที่ถูกรายงานไป (Remote Code Execution) ซึ่งการอัพเดตครั้งนั้นก็ประสบความสำเร็จในการจัดการปัญหาเฉพาะหน้าได้อย่างรวดเร็วเลยครับ แต่สิ่งที่พิเศษคือ พวกเขาใช้เวลาอีก 4 สัปดาห์ต่อมาเพื่อทบทวนและยกระดับความปลอดภัยทั้งหมดของโค้ดใน Bricks ขึ้นไปอีกขั้น เป้าหมายก็คือการพัฒนาโซลูชั่นในการรันโค้ดได้แบบยังรักษาฟังก์ชั่นการทำงานขั้นสูงเอาไว้แต่เพิ่มการยกระดับความปลอดภัยขั้นพื้นฐานให้สูงขึ้นกว่าเดิมนั่นเอง และนี่คือที่มาของ Bricks 1.9.7 ครับ (1.9.7.1 ถูกปล่อยตามมาติด ๆ เพื่อแก้บั๊ค)
Feature ที่เพิ่มเข้ามา
ไหน ๆ ก็ไหน ๆ แล้ว เรามาดูกันเลยดีกว่าครับว่า Bricks 1.9.7 มีอะไรที่น่าสนใจบ้าง:
- Code Execution ถูกตั้งปิดเป็นค่าเริ่มต้นแล้ว ซึ่งเป็นข่าวดีมาก ๆ เลยสำหรับมือใหม่ แต่สำหรับขาโหดก็ยังเปิดใช้ได้อยู่ครับ แค่เข้าไปเปิดเอง ทำให้ลดความเสี่ยงด้านความปลอดภัยลงไปได้เยอะเลยสำหรับมือใหม่ที่ไม่รู้ว่าฟังก์ชั่นนี้ใช้ทำอะไร
- Code Signatures ก็ถือเป็นฟีเจอร์เด็ดที่เพิ่มมา เวลาเปิดใช้ Code Execution ปุ๊บจะมีการเซ็นชื่อกำกับโค้ดโดยอัตโนมัติ ทำให้รันโค้ดได้เฉพาะผู้ใช้ที่มีสิทธิ์เต็มรูปแบบเท่านั้น (หรือ Admin นั่นเอง) เพื่อเป็นการการันตีว่าจะไม่มีใครมาแอบยัดโค้ดมั่วซั่วเข้ามาได้แน่นอน
- Code Review อันนี้สำคัญมาก ๆ ในการตรวจสอบโค้ดทั้งหมดบนเว็บเราอีกรอบ เผื่อมีอะไรไม่ชอบมาพากลจะได้มั่นใจว่าเว็บเราทำงานปลอดภัยจริง ๆ จากโค้ดของเราเอง
- ปิดท้ายด้วย Echo Tag Function Filter ที่ต้องมีการอนุญาตการใช้ฟังก์ชันก่อนกับ echo tag แบบ Dynamic ผ่าน Bricks Filter โดยเฉพาะเพื่อควบคุมการเรียกใช้งานได้อย่างเข้มงวดขึ้นไปอีก
เอาจริง ๆ การอัพเดตใหญ่แบบนี้อาจจะกระทบหน้าเว็บของเราบ้างเล็กน้อยที่เรียกว่า Breaking Changes แนะนำให้ทำการสร้าง Staging Site เพื่อลองเทสต์ QA ก่อนพุชขึ้นเว็บจริงครับ (เป็นมาตรฐานการดูแลอัพเดทเว็บไซต์ที่ดีที่ควรทำครับ)
ขั้นตอนการอัพเดทและเปิดฟังค์ชั่น
โดยทำตามขั้นตอนง่าย ๆ ที่คุณ Thomas ผู้พัฒนาแนะนำมาดังนี้
- Backup ข้อมูลให้หมด อันนี้สำคัญมาก
- อัพเดท Bricks เป็นเวอร์ชั่นล่าสุด
- เปิด Code Execution (ถ้าอยากใช้) ได้ที่ Bricks Settings > Custom Code
- รัน Code Review สักรอบที่ Bricks Settings > Custom Code > Code Review
- Generate Code Signatures ให้กับโค้ดที่ต้องการใช้งาน ที่ Bricks Settings > Custom Code > Signatures
- อนุญาตฟังก์ชันผ่าน Filter สำหรับ “echo” tag หากคุณต้องใช้งาน
ทางทีมเราติดตาม Community ของ Bricks มาโดยตลอดและเห็นถึงการสนับสนุนและข้อเสนอแนะดี ๆ จากคนในกลุ่มใหญ่ ซึ่งมันช่วยผลักดันให้ Bricks พัฒนาไปในทิศทางที่ดีขึ้นไปอีก ถือว่าเป็นหนึ่งใน Community ที่แข็งแรงมาก ๆ กว่าตัวเลือกอื่นในตลาด (ที่เราก็อยู่เหมือนกันเพราะต้องลองใช้หลายเครื่องมือใหม่ ๆ อยู่เสมอ)
สุดท้ายนี้ อย่าลืมไปอัพเดตและลองปรับ Feature ตามที่ใช้งานดูนะครับ หากมีข้อสงสัยอะไรเพิ่มเติมที่เราพอช่วย ทีมงานยินดีให้คำแนะนำช่วยเหลือกันอย่างเต็มที่แน่นอนครับ