เว็บไซต์ไม่ว่าจะสร้างมาด้วยเครื่องมืออะไรก็มีโอกาสถูก hack หรือถูกโจรกรรมข้อมูลได้เสมอ วันนี้ CNXWebdesign จะมาแนะนำ tricks ง่ายๆที่ใครก็ทำได้ เพื่อป้องกันการถูกจู่โจมเบื้องต้น
เนื้อหา
Toggleเลือกโฮสติ่งที่มีความปลอดภัย
อันดับแรกเลยคือ โฮสติ่ง หรือ server ที่คุณจะวางเว็บไซต์คุณไว้ ไม่ว่าคุณจะ secure เว็บไซต์คุณขนาดไหน แต่ถ้า server คุณมีช่องโหว่ให้ถูกโจมตีได้ ก็จบกัน
วิธีเลือกโฮสติ่ง คุณต้องมองก่อนว่า ฐานลูกค้ามี location ที่ไหน เช่น เฉพาะในไทย เฉพาะเอเชีย หรือทั่วโลก เพื่อเลือกโฮสติ่ง location ได้ถูกต้อง การเลือกโฮสติ่ง location จะทำให้ลูกค้าเป้าหมายคุณเข้าถึงเว็บไซต์คุณได้อย่างรวดเร็ว
หลังจากนั้นก็มองหาโฮสติ่งที่ให้ความสำคัญกับความปลอดภัยของ server เช่น Hostatom(ในไทย), Siteground(ต่างประเทศ), Kinsta(ต่างประเทศ) โฮสติ่งที่ยกตัวอย่างมาทั้งหมด ทำงานได้ดีกับ WordPress รวมทั้งมีการ configure เครื่อง server ให้ทำงานได้ดีกับ WordPress อีกด้วย ทาง CNXWebDesign ใช้บริการโฮสติ่งนี้เป็นประจำ
ใช้ PHP version ล่าสุด
WordPress เป็น CMS(content management system) ที่ถูกสร้างขึ้นมาด้วยภาษา PHP เมื่อไรที่ PHP มีการ release version ใหม่ๆ เราควร update ตามเสมอ การ update สามารถทำได้ที่โฮสติ่งของคุณ ถ้าโฮสติ่งคุณมีการ update PHP version และอนุญาตให้คุณเปลี่ยนได้ บางโฮสติ่งที่คุณภาพต่ำ คุณจะไม่สามารถเปลี่ยน PHP version ให้เป็น version ล่าสุดได้ ซึ่งเสี่ยงต่อการถูกโจมตีจาก hacker
หากคุณต้องการเปลี่ยน PHP version สำหรับเว็บไซต์คุณ คุณต้อง backup เว็บไซต์คุณก่อนทุกครั้ง เพราะบางครั้ง PHP version ใหม่ๆอาจไม่ compatible กับ theme หรือ plugins ที่เว็บไซต์คุณใช้ก็ได้ การ backup สำคัญมาก
สร้าง username และ password ให้ปลอดภัย
การสร้าง username และ password ให้ปลอดภัย สำคัญมากๆ เพราะเป็นส่วนที่ทั้ง hacker และ bot สามารถเดา username และ password จากฐานข้อมูลของโปรแกรม hacker เข้ามา hack เว็บเราได้
Username และ Password ที่ไม่ควรใช้
- admin
- demo
- sql
- db
- user1
- administrator
- ชื่อคุณ ซึ่งเกี่ยวข้องกับเว็บไซต์
- ชื่ออีเมล ที่ค้นหาเจอจาก Google เช่น contact email
- พวกคำทั่วไป (general words) เช่น iloveyou, master, shadow เป็นต้น
- เบอร์โทรศัพท์
รายการ password ที่ง่ายต่อการเดา สำหรับ hacker และ bot ห้ามตั้งตามรายการเหล่านี้
วิธีหา Password ที่ยากต่อการเดา
วิธีที่ง่ายคือ ใช้บริการจากพวก Security app เช่น LastPass ยิ่งความยาวของ password มาก ก็จะทำให้เดา password ยากขึ้น คุณควรเปลี่ยน password ทุกๆ 6 เดือน เพื่อความปลอดภัยที่มากขึ้น
WordPress, themes, plugins ต้องค่อย update เป็นเวอร์ชั่นล่าสุดเสมอ
สำหรับ WordPress จะมีการ update เพื่อแก้ bugs หรือเพิ่มประสิทธิภาพการทำงานอยู่เสมอทุกปี ปีหนึ่งอาจจะหลายครั้ง คุณต้องค่อยเข้าม update ทั้ง WordPress core, themes และ plugins.
หาก themes หรือ plugins ไหน ไม่ได้ใช้งาน(inactive) หรือ outdated ให้ลบออก เพราะสิ่งเหล่านี้อาจเป็นช่องโหว่ให้เว็บคุณถูก hack ได้
หากคุณ update WordPress core และมีบาง plugins ไม่สามารถร่วมกับ WordPress core ได้ ให้คุณเปลี่ยนเป็น plugins อื่น และลบ plugin นั้นออกไปจากเว็บคุณ
จำกัดจำนวนครั้งที่ login แล้วผิดพลาด
สำหรับพวก hacker หรือ bot เวลาจู่โจม จะจู่โจมครั้งละหลายๆ attempt เช่น 200-1000 ครั้ง หาก server คุณไม่มีการจัดการ load balance ที่ดีพอ เว็บคุณอาจล่มได้ง่ายๆเลย
ทีนี้เราจะป้องกันการพยายาม login เข้ามาจากพวก hacker และ bot ได้ยังไง วิธีการง่ายๆคือ หา plugin ที่ช่วยในการจำกัดการพยายาม login (login attempt) เช่น Wordfence เราอาจตั้งค่าไว้ว่า ถ้ามีคนพยายาม login เข้ามา 3 ครั้งแล้วล้มเหลวให้ block username นั้นๆไป เป็นระยะเวลา 4 ชั่วโมงเป็นต้น
เปลี่ยน WordPress admin URL
อีกวิธีการที่เพิ่มความปลอดภัยให้เว็บไซต์คุณก็คือ การเปลี่ยน WordPress admin URL โดยเราจะเปลี่ยน admin URL จาก yourdomain.com/wp-admin ซึ่งเป็น default WordPress admin URL เป็นอย่างอื่น เช่น yourdomain.com/pepo เป็นต้น ก่อนเปลี่ยนต้อง backup เว็บไซต์คุณก่อน กันความผิดพลาด เพราะหาคุณเปลี่ยน admin URL แล้วผิดพลาด คุณจะไม่สามารถเข้าถึง WordPress admin ได้อีก
ใช้ HTTPS สำหรับเข้ารหัสการเชื่อมต่อ - SSL certificate
SSL certificate ซึ่งเราจะเห็นว่า เกือบทุกเว็บไซต์ในปัจจบันจะมี SSL certificate ติดตั้งอยู่ เช่น http://cnxwebdesign.com จะเห็นว่า เรามี https แสดงคือ โปรโตคอลที่ติดตั้ง SSL certificate ไว้
คำถามต่อมาคือ แล้วทำไมต้องติดตั้ง SSL certificate
ความปลอดภัย
ปกติการส่งผ่านข้อมูลระหว่างเว็บไซต์คุณกับ server จะเป็น plain text ซึ่งพวก hacker สามารถเข้าถึงข้อมูลระหว่างการส่งข้อมูลและขโมยเอาข้อมูลนั้นไป จะอันตรายมาก ถ้าเว็บไซต์เป็นเว็บขายของและยอมให้ตัดเงินผ่านบัตรเครดิต หรือต้องให้ลูกค้ากรอกข้อมูลส่วนตัวในฟอร์ม ถ้าเว็บคุณมี SSL certificate ข้อมูลที่จะส่งผ่านจากเว็บคุณไป server จะถูกเข้ารหัสที่ปลอดภัย ถึงแม้ hacker ได้ข้อมูลไปก็ถอดรหัสไปเป็น plain text ได้ยาก
SEO - อันดับผลการค้นหาจาก Google
Google ประกาศอย่างเป็นทางการว่า HTTPS is a ranking factor นอกจากนี้ยังทำให้ผู้เข้าชมเว็บไซต์รู้สึกเชื่อมั่นในเว็บไซต์เราอีกด้วย สำหรับเว็บขายของออนไลน์ จะไม่สามารถติดตั้ง payment gateway ได้เลย ถ้าเว็บไซต์ไม่ได้ติดตั้ง SSL certificate เพราะถือว่า เว็บไซต์นั้นมีความไม่ปลอดภัยสูง
Backup เว็บไซต์ทุกเดือนเป็นอย่างน้อย
หากเว็บไซต์คุณมีการแก้ไข content ไม่บ่อย คือ เดือนละครั้งหรือมากกว่านั้น คุณควร backup เว็บไซต์คุณทุกเดือน ต้อง backup ทั้ง files และ database คู่กัน
แต่หากเว็บไซต์คุณแก้ไข content บ่อยๆ คือ เดือนหนึ่งหลายครั้ง ก็ควร backup ทุก 2 อาทิตย์ คุณควรเก็บ backup copy เก่าๆไว้อย่างน้อย 2 ชุด
เมื่อเว็บไซต์ถูก hack จะทำยังไง
เนื่องจากการ hack มีหลายกรณี คุณจะต้องหา root cause ให้เจอ แล้วแก้ไขจากจุดนั้น หากคุณไม่ใช่นักเขียนโปรแกรม สามารถติดต่อทาง CNX WebDesign เพื่มขอความช่วยเหลือจากเราได้
บทสรุป
การรักษาความปลอดภัย ควรมีการติดตามและดูแลอยู่เสมอ เพื่อให้เว็บไซต์ทำงานได้อย่างมีประสิทธิภาพ และเป็นผลดีต่อผู้เข้าชมเว็บไซต์ด้วย หากคุณไม่มีเวลาหรือความสามารถพอในการติดตามและแก้ปัญหา เรายินดีเป็นผู้ดูแลเว็บไซต์ให้คุณ ติดต่อสอบถามเราได้เลย
CNX WEBDesign, รับทำเว็บขายของออนไลน์ ติดตั้งตะกร้าสินค้า ติดตั้งระบบรับชำระสินค้าออนไลน์ ติดตั้งระบบสร้างใบสั่งซื้ออัตโนมัติ การติดตามใบสั่งซื้อ(สถานะใบสั่งซื้อ) และรายงานยอดขายประจำวัน ประจำเดือน และประจำปี เหมาะสำหรับร้านค้า ธุรกิจขนาดเล็กและขนาดกลาง