เนื้อหา

• ขั้นตอน
• เคล็ดลับ
• คำเตือน

ในบทความนี้ เราจะบอกคุณถึงวิธีป้องกันไซต์ของคุณจากการถูกโจมตี อย่าลืมใช้ใบรับรอง SSL และโปรโตคอล HTTPS นอกจากนี้ยังมีวิธีอื่นๆ ในการปกป้องเว็บไซต์จากแฮกเกอร์และมัลแวร์

ขั้นตอน

1. 1 อัปเดตไซต์ของคุณเป็นประจำ หากคุณไม่อัปเดตซอฟต์แวร์ ความปลอดภัย และสคริปต์ของไซต์ อาจถูกแฮ็กโดยผู้บุกรุกหรือโจมตีโดยมัลแวร์
   • เช่นเดียวกับแพตช์จากโฮสติ้งของคุณ (ถ้ามี) หากมีแพตช์ใหม่สำหรับไซต์ของคุณ อย่าลืมติดตั้งแพตช์เหล่านี้
   • ต่ออายุใบรับรองเว็บไซต์ด้วย แม้ว่าจะส่งผลต่อความปลอดภัยทางอ้อมเท่านั้น แต่ก็ทำให้มั่นใจได้ว่าเว็บไซต์จะยังคงปรากฏบนเครื่องมือค้นหาต่อไป
2. 2 ใช้ซอฟต์แวร์ความปลอดภัยหรือปลั๊กอิน มีไฟร์วอลล์เว็บไซต์มากมายที่คุณสามารถสมัครใช้งานและให้การป้องกันแบบเรียลไทม์ นอกจากนี้ บางโฮสต์ (เช่น WordPress) ยังมีปลั๊กอินสำหรับปกป้องไซต์อีกด้วย ดังนั้น เราขอแนะนำให้ปกป้องไซต์ด้วยซอฟต์แวร์ เช่นเดียวกับที่คุณปกป้องคอมพิวเตอร์ของคุณด้วย เช่น โปรแกรมป้องกันไวรัส
   • Sucuri Firewall เป็นไฟร์วอลล์ที่ยอดเยี่ยม ไฟร์วอลล์ฟรีหรือปลั๊กอินป้องกันไซต์มีให้ใน WordPress, Weebly, Wix และบริการโฮสติ้งอื่นๆ
   • ไฟร์วอลล์ของเว็บแอปพลิเคชันมักจะทำงานบนคลาวด์ ซึ่งหมายความว่าคุณไม่จำเป็นต้องดาวน์โหลดและติดตั้งในคอมพิวเตอร์ของคุณ
3. 3 ป้องกันไม่ให้ผู้ใช้อัปโหลดไฟล์ไปยังไซต์ หากคุณไม่ทำเช่นนี้ ความปลอดภัยของเว็บไซต์จะได้รับผลกระทบ ถ้าเป็นไปได้ ให้ลบสิ่งที่อนุญาตให้ผู้ใช้อัปโหลดไฟล์ไปยังไซต์ออกจากไซต์
   • หากคุณไม่สามารถป้องกันการอัปโหลดไฟล์ได้ ให้อนุญาตเฉพาะไฟล์บางประเภทเท่านั้นที่จะอัปโหลด เช่น ไฟล์ JPG ในกรณีของภาพถ่าย
   • คุณยังสามารถสร้างกล่องจดหมาย และระบุที่อยู่อีเมลบนไซต์เพื่อให้ผู้ใช้สามารถติดต่อคุณได้ทางอีเมลในกรณีนี้ ผู้ใช้จะส่งไฟล์ไปยังอีเมล แทนที่จะอัปโหลดไปยังไซต์
4. 4 ติดตั้งใบรับรอง SSL เป็นการยืนยันว่าเว็บไซต์มีความปลอดภัยและสามารถแลกเปลี่ยนข้อมูลที่เข้ารหัสระหว่างเซิร์ฟเวอร์และเบราว์เซอร์ของผู้ใช้ได้ โดยปกติ คุณต้องจ่ายเงินสำหรับการใช้ใบรับรองนี้ปีละครั้ง
   • ตามแบบชำระเงิน ใบรับรอง SSL จะถูกแจกจ่ายโดย GoGetSSL และ SSLs.com
   • Let's Encrypt ออกใบรับรองนี้ฟรี
   • เมื่อเลือกใบรับรอง SSL จะมีสามตัวเลือก: การยืนยันโดเมน การยืนยันธุรกิจ และการตรวจสอบขั้นสูง Google กำหนดให้มีการตรวจสอบธุรกิจและการตรวจสอบขั้นสูงเพื่อแสดงไอคอนความปลอดภัยสีเขียวทางด้านซ้ายของ URL เว็บไซต์ของคุณ
5. 5 ใช้โปรโตคอลการเข้ารหัส HTTPS เมื่อคุณติดตั้งใบรับรอง SSL ไซต์จะได้รับการเข้ารหัส HTTPS เพื่อเปิดใช้งานโปรโตคอลนี้ ให้ติดตั้งใบรับรอง SSL ในส่วนใบรับรองของเว็บไซต์ของคุณ
   • บางโฮสต์ เช่น WordPress หรือ Weebly เปิดใช้งานโปรโตคอล HTTPS โดยอัตโนมัติ
   • มีการต่ออายุใบรับรอง HTTPS ทุกปี
6. 6 ตั้งรหัสผ่านที่ปลอดภัย. รหัสผ่านผู้ดูแลไซต์ที่รัดกุมไม่เพียงพอ - สร้างรหัสผ่านแบบสุ่มที่ซับซ้อนซึ่งไม่ได้ใช้ที่ใดก็ได้และเก็บไว้นอกสถานที่
   • ตัวอย่างเช่น ใช้ชุดตัวอักษรและตัวเลข 16 ตัวสำหรับรหัสผ่านของคุณ บันทึกรหัสผ่านนี้ลงในไฟล์บนคอมพิวเตอร์เครื่องอื่นหรือฮาร์ดไดรฟ์
7. 7 ซ่อนโฟลเดอร์ผู้ดูแลระบบ หากโฟลเดอร์ที่มีไฟล์ลับเรียกว่า "Admin" หรือ "Root" จะสะดวก แต่น่าเสียดายทั้งสำหรับคุณและสำหรับแฮกเกอร์ ดังนั้นเปลี่ยนชื่อโฟลเดอร์เป็นสิ่งที่ธรรมดาเช่น New Folder (2) หรือ History
8. 8 ลดความซับซ้อนของข้อความแสดงข้อผิดพลาด หากมีข้อมูลมากเกินไปในข้อความดังกล่าว แฮกเกอร์และมัลแวร์สามารถใช้เพื่อค้นหาและเข้าถึงไดเร็กทอรีรากของไซต์ได้ ดังนั้น เพียงเพิ่มคำขอโทษสั้นๆ และลิงก์ไปยังเว็บไซต์หลักในข้อความแสดงข้อผิดพลาด
   • สิ่งนี้ใช้กับข้อผิดพลาด 404 ถึง 500 ทั้งหมด
9. 9 รหัสผ่านแฮช หากรหัสผ่านของผู้ใช้ถูกเก็บไว้บนเว็บไซต์ ให้ทำในรูปแบบแฮช เจ้าของไซต์ที่ไม่มีประสบการณ์จะเก็บรหัสผ่านเป็นข้อความ ซึ่งทำให้ง่ายต่อการขโมยหากไซต์ถูกบุกรุก
   • แม้แต่เว็บไซต์ขนาดใหญ่อย่าง Twitter ก็เคยทำผิดพลาดมาก่อน

เคล็ดลับ

• การจ้างที่ปรึกษาด้านความปลอดภัยของเว็บเพื่อตรวจสอบสคริปต์ของไซต์เป็นวิธีที่รวดเร็วที่สุด (แต่ก็แพงที่สุดด้วย) ในการแก้ไขปัญหาช่องโหว่ที่อาจเกิดขึ้น
• ทดสอบเว็บไซต์ของคุณด้วยเครื่องมือสแกนความปลอดภัย (เช่น Mozilla's Observatory) ก่อนเปิดตัว

คำเตือน

• บ่อยครั้ง ช่องโหว่ด้านความปลอดภัยจะไม่ถูกค้นพบจนกว่าจะมีผู้ได้รับอันตราย เพื่อหลีกเลี่ยงผลกระทบด้านลบ ให้สำรองข้อมูลเว็บไซต์ของคุณเป็นประจำ (สัปดาห์ละครั้ง) และจัดเก็บไว้ในคอมพิวเตอร์ที่ไม่ได้เชื่อมต่อกับเครือข่ายหรือในฮาร์ดไดรฟ์ภายนอก