10 วิธีดูแลรักษาเว็บไซต์ให้ปลอดภัยเบื้องต้น ที่ผู้ดูแลระบบและนักพัฒนาเว็บไซต์ควรทำ!

unixdev-logo-web

ปัจจุบันนี้การโจมตีเว็บไซต์นั้นกลายเป็นที่แพร่หลายเป็นอย่างมาก ไม่ว่าจะเป็นการโจมตีเพื่อใช้เป็นฐานแพร่กระจาย Malware, โจมตีเพื่อเรียกค่าไถ่ด้วย Ransomware หรือโจมตีเพื่อนำไปใช้ทำ DDoS ใส่ระบบอื่นๆ ต่อก็ตาม แนวทางเบื้องต้นที่ทุกๆ ธุรกิจควรทำเพื่อปกป้องเว็บไซต์ให้ปลอดภัยอยู่เสมอจึงมีดังนี้

Credit: ShutterStock.com
Credit: ShutterStock.com

 

1. รู้จักให้ถ่องแท้ว่าในเว็บไซต์ของตัวเองมีอะไรประกอบอยู่บ้าง และทำงานอย่างไร

เป็นข้อที่หลายๆ เว็บไซต์ตกม้าตายตั้งแต่เริ่มแล้ว เพราะไม่รู้ด้วยซ้ำว่าภายในระบบเว็บไซต์หรือ Server ที่ติดตั้งระบบเว็บไซต์เหล่านั้นมีอะไรอยู่ภายในบ้าง ขั้นแรกของการรักษาความปลอดภัยที่ดีนั้นก็คือการรู้ก่อนว่าเรามีการใช้งานเทคโนโลยีอะไรที่ส่วนไหนบ้าง และจะได้ทำการรักษาความปลอดภัยหรือป้องกันการโจมตีรูปแบบต่างๆ ได้ดี ไม่ว่าจะเป็นระบบ Web Server, Database Server, Web Framework, Content Management System (CMS), Proxy Server, DNS Server, SSH, FTP, SSL, Operating System และอื่นๆ เพราะในการโจมตีเว็บไซต์นั้น ช่องโหว่ใดๆ ในองค์ประกอบย่อยๆ เหล่านี้ก็อาจนำมาซึ่งหายนะต่อเว็บไซต์และธุรกิจได้ทั้งสิ้น

หลังจากที่เรารู้แล้วว่าเว็บไซต์ของเรานั้นมีอะไรอยู่ข้างในบ้าง ขั้นถัดๆ ไปก็คือการวางแผนในการเสริมการรักษาความปลอดภัยให้แก่ระบบแต่ละส่วนนั่นเอง

หลายคนเข้าใจว่าการใช้ Cloud ก็ทำให้เว็บไซต์ปลอดภัยแล้ว ในความเป็นจริงนั้นความเชื่อนี้ก็ยังถือว่าผิดอยู่มากทีเดียว ถึงแม้จะไปใช้ Cloud แล้ว ก็ยังมีงานอีกจำนวนมากที่ผู้ดูแลระบบและนักพัฒนาเว็บไซต์ต้องระมัดระวังเพื่อให้ระบบเว็บไซต์ยังคงมีความปลอดภัยอยู่ดี

 

2. หมั่นอัปเดต Patch ของระบบทั้งหมดที่เกี่ยวข้อง

หนึ่งในช่องทางที่ถูกใช้โจมตีมากที่สุดในวันนี้ก็คือการอาศัยช่องโหว่ของระบบเว็บไซต์ที่มีอยู่ในการโจมตี ซึ่งหลายครั้งผู้โจมตีก็มีการค้นพบช่องโหว่เหล่านี้ก่อนที่ผู้พัฒนาจะมีการอุดช่องโหว่ หรือหลายครั้งหลังจากที่ผู้พัฒนาอุดช่องโหว่ไปแล้ว ผู้โจมตีก็อาศัยช่องโหว่นั้นในการโจมตีเว็บไซต์ที่ยังไม่ยอมอัปเดตระบบ ทำให้มีเว็บไซต์จำนวนมากบนโลกตกเป็นเหยื่อของการโจมตีในลักษณะนี้

ช่องโหว่เหล่านี้มีขึ้นได้ในทุกระดับและทุกส่วนประกอบย่อยของเว็บไซต์ทั้งสิ้น ดังนั้นเหล่าผู้ดูแลระบบเว็บไซต์และนักพัฒนาเว็บไซต์นั้นต่างก็ควรหมั่นติดตามข่าวสารเกี่ยวกับช่องโหว่ต่างๆ ของระบบที่ตนเองใช้งาน และจัดวางกระบวนการในการอุดช่องโหว่เหล่านั้นอย่างสม่ำเสมอ

 

3. ตั้งรหัสผ่านทั้งหมดให้ปลอดภัย อย่าใช้ Default เด็ดขาด

การกำหนดรหัสผ่านของส่วนประกอบต่างๆ ในเว็บไซต์ให้ปลอดภัยและยากต่อการคาดเดาถือเป็นสิ่งง่ายๆ ที่จำเป็นแต่มักถูกละเลยอยู่เสมอ บางรายถึงขั้นไม่ตั้งรหัสผ่านเลยก็มี ซึ่งถือเป็นการประมาทอย่างร้ายแรง

ไม่ว่าจะเป็นระบบทดสอบ, โค้ดที่อยู่ระหว่างการพัฒนา, ระบบสำรอง หรือแม้แต่ระบบ Production นั้นก็ควรตั้งรหัสผ่านให้ปลอดภัยทั้งหมดอยู่เสมอให้ติดเป็นนิสัย จะได้ไม่ถูกโจมตีจากการคาดเดารหัสผ่านหรือใช้รหัสผ่านพื้นฐานในอนาคต

 

4. ตั้งค่าการทำงานของระบบต่างๆ ให้ปลอดภัย

การกำหนดค่าการทำงานของเว็บไซต์ให้มีความปลอดภัยนั้นก็ถือเป็นอีกสิ่งสำคัญเช่นกัน ไม่ว่าจะเป็นการกำหนดค่าที่ระดับของ Web Server หรือ Proxy Server ให้ทนทานและยากต่อการเข้าถึงข้อมูลต่างๆ ที่ไม่ได้รับอนุญาต, การทำความเข้าใจและกำหนดการตั้งค่าเชิงลึกให้ระบบทำงานอย่างปลอดภัย, การจำกัดรูปแบบที่ใช้ได้ในการยืนยันตัวตนเข้าถึงระบบจากระยะไกล และอื่นๆ

การนำเครื่องมือต่างๆ มาใช้ตรวจจับพฤติกรรมต้องสงสัยและยับยั้งการโจมตีนั้นก็ถือเป็นทางเลือกที่ดีเช่นกัน แต่ก็ต้องหมั่นติดตามด้วยว่าระบบเหล่านั้นมีช่องโหว่หรืออัปเดตอะไรที่ต้องคอยจัดการหรือไม่ไปด้วยในเวลาเดียวกัน

 

5. กำหนดสิทธิ์ในการเข้าถึงและใช้งานแต่ละ Folder ให้ดีๆ

เป็นอีกประเด็นที่หลายๆ เว็บมักจะตกม้าตายจากการที่ขาดความรู้พื้นฐานของระบบปฏิบัติการและระบบเว็บไซต์ ซึ่งความผิดพลาดในการกำหนดสิทธิ์เหล่านี้จะนำมาซึ่งการฝังโค้ดหรือไฟล์อันตรายสำหรับการโจมตีได้อย่างง่ายดาย และเป็นประเด็นเบื้องต้นที่ทุกเว็บไซต์ควรจะรีบจัดการก่อนเป็นอันดับแรกเลย

สิ่งที่ควรเริ่มต้นทำคือศึกษาโครงสร้างของระบบเว็บไซต์ว่า Folder หรือ Directory ไหนควรมีสิทธิ์ในการทำอะไรและเข้าถึงโดยผู้ใช้งานคนไหนได้บ้าง แล้วจึงจำกัดสิทธิ์ตามเท่าที่มีการใช้งานเท่านั้น เพื่อลดความเสี่ยงในการถูกโจมตีลงไปได้ระดับหนึ่ง

 

6. จำกัดประเภทของไฟล์ที่อัปโหลดได้ในระบบ

การจำกัดประเภทของไฟล์ที่อัปโหลดได้ในระบบนี้จะทำให้การโจมตีเกิดได้ยากขึ้นอีกขั้นหนึ่ง เพราะโอกาสที่ไฟล์แปลกปลอมในรูปแบบที่ไม่รู้จักจะหลุดรอดเข้ามาได้นั้นก็จะลดลงไปด้วย

 

7. ใช้ HTTPS เพิ่มความมั่นใจให้ผู้ใช้งาน แถมยังเพิ่ม SEO Ranking ไปด้วย

หลายๆ คนมักจะเข้าใจผิดว่าหากเว็บไซต์ใช้ HTTPS ก็ถือว่าเข้ารหัสและปลอดภัยเพียงพอแล้ว ในความเป็นจริงนั้นการทำ HTTPS สามารถป้องกันการโจมตีและดักขโมยข้อมูลหรือปลอมแปลงเว็บไซต์ได้บางรูปแบบเท่านั้น ไม่ได้ป้องกันได้ทั้งหมด ดังนั้นถึงแม้เว็บไซต์จะเป็น HTTPS แล้ว ก็ยังมีงานอื่นๆ อีกจำนวนมากที่ต้องทำเพื่อป้องกันไม่ให้เว็บไซต์ของเราถูกโจมตี

สำหรับเว็บไซต์ที่ยังไม่ได้เปลี่ยนไปใช้ HTTPS ก็ควรวางแผนเปลี่ยนได้แล้ว โดยเว็บไซต์ขนาดเล็กอาจจะง่ายซักหน่อยเพราะไม่ต้องใช้ Resource เยอะมากนัก แต่หากเป็นเว็บไซต์ขนาดใหญ่ที่มีผู้ใช้งานนับแสนหรือล้านคนเข้าใช้งาน การเปลี่ยนไปใช้ HTTPS นั้นจะต้องมีการใช้พลังประมวลผลเพิ่มขึ้นอีกเป็นอย่างมาก ดังนั้นก็ต้องวางแผนกันดีๆ

การใช้ HTTPS นอกจากจะช่วยเสริมความปลอดภัยให้กับเว็บไซต์ได้ในหลายประเด็นแล้ว ก็ยังช่วยทำให้ SEO Ranking ใน Google เพิ่มสูงขึ้นด้วยเช่นกัน

 

8. สำรองข้อมูลเอาไว้บนระบบอื่น พร้อมให้กู้คืนย้อนหลังได้อยู่เสมอ

การสำรองข้อมูลเอาไว้บน Server ต่างเครื่องนั้นถือเป็นสิ่งที่จำเป็นเป็นอย่างมากในการลดความเสี่ยงที่ข้อมูลของเว็บไซต์ทั้งหมดจะสูญหายไปพร้อมๆ กับระบบ Production รวมไปถึงกรณีที่ถูกติดตั้ง Ransomware เรียกค่าไถ่บน Server โดยตรง การมีข้อมูลสำรองถึงแม้จะไม่ได้เป็นการป้องกันไม่ให้ถูกโจมตีได้สำเร็จ แต่อย่างน้อยๆ หลังการโจมตีเกิดขึ้นแล้ว เว็บไซต์ก็ยังพอจะดำเนินกิจการต่อไปได้หากมีข้อมูลสำรองอยู่

 

9. มีระบบติดตามการทำงานของเว็บไซต์อยู่ตลอด จะได้รู้ทันทีหากมีอะไรผิดปกติเกิดขึ้น

การติดตามการทำงานของเว็บไซต์อย่างสม่ำเสมอและตอบสนองต่อทุกๆ ปัญหาได้อย่างทันท่วงทีก็ถือเป็นสิ่งที่จำเป็นมากทีเดียว เพื่อลด Downtime ที่จะเกิดขึ้นจากการที่เว็บไซต์มีปัญหา และลดความเสี่ยงต่อผู้ใช้งานและผู้อื่นในกรณีที่เว็บไซต์ถูกใช้เป็นฐานในการปล่อย Malware, Ransomware หรือ DDoS ให้ได้

 

10. วางแผนรับมือเบื้องต้นหากถูกโจมตี DDoS และโจมตีในรูปแบบอื่นๆ

Distributed Denial of Service หรือ DDoS นั้นเริ่มจะกลายเป็นการโจมตีพื้นฐานมากขึ้นเรื่อยๆ แล้วด้วยค่าใช้จ่ายในการโจมตีที่ไม่แพงนักแต่ทำให้บริการของเว็บไซต์ต่างๆ สามารถหยุดชะงักลงได้ การป้องกัน DDoS นั้นมีด้วยกันหลากหลายรูปแบบไม่ว่าจะเป็นการเพิ่มความสามารถในการรองรับการเรียกใช้เว็บไซต์ให้ได้มากขึ้นด้วยวิธีการต่างๆ หรือใช้งานเทคโนโลยี DDoS Protection โดยตรงก็ตามแต่

ทั้งนี้สิ่งที่ควรทำก็คือการวางแผนรับมือล่วงหน้า ว่าถ้าหากถูกโจมตีแบบ DDoS หรือโจมตีรูปแบบอื่นๆ แล้วเว็บไซต์หรือธุรกิจจะทำอย่างไร? จะป้องกันที่ระดับไหน? ใครจะมีบทบาทรับผิดชอบอะไรบ้าง? เรียกได้ว่าเป็นการกำหนดกระบวนการในการโต้ตอบต่อกรณีเหล่านี้ในขั้นพื้นฐานเพื่อแก้ไขปัญหาให้ได้รวดเร็วที่สุดนั่นเอง

 

อย่าเข้าใจผิด! ทำครบ 10 ข้อนี้แล้ววก็ไม่ได้หมายความว่าเว็บจะปลอดภัย 100%

นอกจาก 10 ข้อนี้แล้วก็ยังมีแนวทางอื่นๆ เพิ่มเติมนอกเหนือไปจากนี้อีกมากมาย แต่เบื้องต้นหากทำได้ 10 ข้อนี้ก่อนก็ถือว่าเป็นพื้นฐานที่ดีสำหรับการรักษาความปลอดภัยให้แก่ระบบเว็บไซต์ของคุณแล้ว แต่ก็อย่าเพิ่งประมาทไป ไม่ใช่ว่าทำได้แค่ 10 ข้อนี้แล้วระบบของคุณจะปลอดภัย 100% การระมัดระวังตัวและศึกษาหาความรู้อย่างต่อเนื่องไม่ประมาทนั้นคือสิ่งที่จำเป็นในการรักษาความปลอดภัยของเว็บไซต์

 

ให้ทีมงานมืออาชีพจาก UnixDev ช่วยดูแลเว็บไซต์ของคุณให้ทนทานปลอดภัย!

ทีมงาน UnixDev เป็นทีมงานผู้เชี่ยวชาญทางด้าน Systems Engineering ที่มีประสบการณ์การดูแลเว็บไซต์ขนาดหลายสิบล้านผู้ใช้งานในแต่ละวัน และสามารถให้บริการครบวงจรสำรหับการดูแลรักษาเว็บไซต์ให้มีทั้งความเร็ว, ความทนทาน และความปลอดภัยได้อย่างครบวงจรเบ็ดเสร็จในผู้ให้บริการเดียว ทำให้คุณสามารถมุ่งเน้นไปที่การพัฒนาธุรกิจของคุณได้อย่างเต็มที่ ไม่ต้องพะวงกับประเด็นทางด้านเทคโนโลยีเชิงลึกอีกต่อไป

ผู้ที่สนใจโซลูชั่น Open Source Software ต่างๆ รวมถึง Linux/Unix/OpenStack, Data Center Infrastructure, VMware vSphere/VSAN/NSX/vCloud, Microsoft Windows Server และระบบ CMS สำเร็จรูปที่มีประสิทธิภาพสูงและปลอดภัยระดับองค์กรพร้อมบริการครบวงจร ทั้ง WordPress และ Magento หรือกำลังมองหาทีมงาน Outsource Linux/VMware/Windows Systems Engineer สามารถติดต่อทีมงาน UnixDev ได้ทันทีที่โทร 081-651-9393 หรืออีเมลล์ info@unixdev.co.th

 

เกี่ยวกับ UnixDev

unixdev-logo-web

UnixDev คือทีมงานผู้เชี่ยวชาญทางด้าน System Engineering ที่ครอบคลุมทั้ง Linux, Unix, Microsoft Windows และ VMware แบบ Full Stack ซึ่งสามารถให้บริการในการตรวจสอบแก้ไขปัญหาและปรับปรุงประสิทธิภาพและความปลอดภัยสำหรับระบบ Hypervisor, Operating System, Application, Web Application ไปจนถึง Database แบบครบวงจร https://www.unixdev.co.th


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือนแคมเปญ Phishing บริการ Office 365 หลอกมีอีเมลที่ไม่ถูกส่ง

ผู้เชี่ยวชาญได้ค้นพบความพยายามรอบใหม่ของคนร้ายที่หลอกเหยื่อด้วยการส่งข้อความแจ้งเตือนคล้ายกับว่ามาจาก Office 365 แจ้งว่ามีอีเมลไม่ถูกส่งออกเพื่อจงใจขโมย Credentials ของผู้ใช้งาน

ผลทดสอบพบแบบพิมพ์ 3 มิติสามารถผ่านระบบจดจำใบหน้าในโทรศัพท์หลายรุ่นได้

ผู้เชี่ยวชาญจาก Forbes ได้สร้างโมเดล 3 มิติขึ้นเพื่อทดสอบกับโทรศัพท์ที่เปิดใช้งานระบบจดจำใบหน้าเอาไว้ โดยเลือก Android มาทดสอบจำนวน 4 รุ่นมาเปรียบเทียบกับระบบป้องกันโทรศัพท์จากค่าย Apple ผลคือโทรศัพท์จากค่าย Android ทั้งหมดถูกหลอกได้จากแบบพิมพ์ 3 …