การเข้าใจวิธีที่เว็บไซต์ของคุณถูกบุกรุกคือส่วนสำคัญของการปกป้องเว็บไซต์จากการถูกแฮ็กในอนาคต เอกสารนี้ครอบคลุมช่องโหว่ด้านความปลอดภัยบางอย่างที่อาจทำให้เว็บไซต์ของคุณถูกบุกรุก
วิดีโอด้านล่างสรุปประเภทของการแฮ็กและวิธีที่แฮ็กเกอร์ควบคุมเว็บไซต์ของคุณ
รหัสผ่านที่ถูกขโมย
ผู้โจมตีอาจได้รหัสผ่านของคุณโดยการเดารหัสผ่านต่างๆ จนกว่าจะเดาได้ถูกต้อง การโจมตีด้วยการเดารหัสผ่านใช้วิธีต่างๆ เช่น การลองใช้รหัสผ่านทั่วไปหรือการสแกนตัวอักษรและตัวเลขแบบสุ่ม สร้างรหัสผ่านที่รัดกุมและเดาได้ยากเพื่อป้องกันไม่ให้เกิดเหตุการณ์ดังกล่าว ดูเคล็ดลับในการสร้างรหัสผ่านที่รัดกุมได้ในบทความในศูนย์ช่วยเหลือของ Google
โปรดจำ 2 ข้อต่อไปนี้
- หลีกเลี่ยงการใช้รหัสผ่านซ้ำในบริการต่างๆ เมื่อผู้โจมตีระบุชื่อผู้ใช้และรหัสผ่านที่ใช้ได้แล้ว ก็จะพยายามใช้ข้อมูลเข้าสู่ระบบดังกล่าวในบริการต่างๆ ให้ได้มากที่สุด ใช้รหัสผ่านที่ไม่ซ้ำกันเพื่อป้องกันไม่ให้บัญชีอื่นๆ ถูกบุกรุก
- ใช้การตรวจสอบสิทธิ์แบบ 2 ปัจจัย (2FA) เช่น การยืนยันแบบ 2 ขั้นตอนของ Google 2FA จะเพิ่มข้อมูลเข้าสู่ระบบชั้นที่ 2 ผ่านรหัสทาง SMS หรือ PIN ที่สร้างขึ้นแบบไดนามิก เพื่อป้องกันไม่ให้ผู้โจมตีเข้าถึงบัญชีของคุณ ผู้ให้บริการ CMS บางรายมีคำแนะนำเกี่ยวกับการกำหนดค่า 2FA ดังนี้
พลาดการอัปเดตความปลอดภัย
ซอฟต์แวร์เวอร์ชันก่อนหน้าอาจมีช่องโหว่ด้านความปลอดภัยที่มีความเสี่ยงสูง ซึ่งทำให้ผู้โจมตีสามารถบุกรุกเว็บไซต์ทั้งเว็บไซต์ได้ ผู้โจมตีจะมองหาซอฟต์แวร์เก่าที่มีช่องโหว่อย่างแข็งขัน การละเลยช่องโหว่จะเพิ่มความเสี่ยงต่อการถูกโจมตี
ตัวอย่างเช่น
- ซอฟต์แวร์เว็บเซิร์ฟเวอร์ (หากคุณโฮสต์เซิร์ฟเวอร์เอง)
- ระบบจัดการเนื้อหา (CMS) เช่น การเผยแพร่ด้านความปลอดภัยจาก Wordpress, Drupal และ Joomla!
- ปลั๊กอินและส่วนเสริมทั้งหมดที่คุณใช้ในเว็บไซต์
ธีมและปลั๊กอินที่ไม่ปลอดภัย
ปลั๊กอินและธีมของ CMS จะเพิ่มฟีเจอร์ที่มีประโยชน์ อย่างไรก็ตาม ธีมและปลั๊กอินที่ล้าสมัยหรือยังไม่ได้แก้ไขเป็นแหล่งที่มาหลักของช่องโหว่ อัปเดตธีมและปลั๊กอินให้เป็นปัจจุบันอยู่เสมอ นำธีมหรือปลั๊กอินที่ไม่มีการดูแลรักษาอีกต่อไปออก
โปรดระมัดระวังอย่างยิ่งเวลาในใช้งานปลั๊กอินหรือธีมฟรีจากไซต์ที่ไม่น่าเชื่อถือ ผู้โจมตีมักใช้กลยุทธ์ในการเพิ่มโค้ดที่เป็นอันตรายลงในปลั๊กอินหรือธีมแบบชำระเงินเวอร์ชันฟรี เมื่อนำปลั๊กอินออก โปรดตรวจสอบว่าได้นำไฟล์ทั้งหมดของปลั๊กอินออกจากเซิร์ฟเวอร์แล้ว ไม่ใช่เพียงแค่ปิดใช้
วิศวกรรมสังคม
วิศวกรรมสังคม ใช้ประโยชน์จากธรรมชาติของมนุษย์เพื่อข้ามการรักษาความปลอดภัย การโจมตีเหล่านี้หลอกให้ผู้ใช้ให้ข้อมูลที่เป็นความลับ เช่น รหัสผ่าน ฟิชชิงเป็นรูปแบบหนึ่งที่พบได้บ่อยของวิศวกรรมสังคม ในการพยายามฟิชชิง ผู้โจมตีจะส่งอีเมลโดยแสร้งเป็นองค์กรที่ถูกต้องตามกฎหมายเพื่อขอข้อมูลที่เป็นความลับ
อย่าแชร์ข้อมูลที่ละเอียดอ่อน (เช่น รหัสผ่าน หมายเลขบัตรเครดิต ข้อมูลธนาคาร หรือแม้แต่วันเกิด) เว้นแต่คุณจะแน่ใจว่าผู้ขอเป็นใคร หากมีผู้จัดการเว็บไซต์หลายคน ให้จัดฝึกอบรมเพื่อสร้างความตระหนักรู้เกี่ยวกับวิศวกรรมสังคม ดูเคล็ดลับพื้นฐานในการป้องกันฟิชชิงได้ที่ศูนย์ช่วยเหลือของ Gmail
ช่องโหว่ของนโยบายด้านความปลอดภัย
หากคุณเป็นผู้ดูแลระบบหรือโฮสต์เว็บไซต์เอง นโยบายด้านความปลอดภัยที่ไม่ดีอาจทำให้ผู้โจมตีบุกรุกเว็บไซต์ของคุณได้ ตัวอย่างเช่น
- อนุญาตให้ผู้ใช้สร้างรหัสผ่านที่ไม่รัดกุม
- ให้สิทธิ์เข้าถึงระดับผู้ดูแลระบบแก่ผู้ใช้ที่ไม่จำเป็นต้องใช้สิทธิ์ดังกล่าว
- ไม่ได้เปิดใช้ HTTPS และอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้โดยใช้ HTTP
- อนุญาตการอัปโหลดไฟล์จากผู้ใช้ที่ไม่ได้รับการตรวจสอบสิทธิ์โดยไม่มีการตรวจสอบประเภท
เคล็ดลับบางประการในการปกป้องเว็บไซต์มีดังนี้
- กำหนดค่าเว็บไซต์ด้วยการควบคุมความปลอดภัยระดับสูงโดยปิดใช้บริการที่ไม่จำเป็น
- ทดสอบการควบคุมการเข้าถึงและสิทธิ์ของผู้ใช้
- ใช้การเข้ารหัสสำหรับหน้าที่จัดการข้อมูลที่ละเอียดอ่อน เช่น หน้าเข้าสู่ระบบ
- ตรวจสอบบันทึกเป็นประจำเพื่อหากิจกรรมที่น่าสงสัย
การรั่วไหลของข้อมูล
การรั่วไหลของข้อมูลเกิดขึ้นเมื่อมีการอัปโหลดข้อมูลที่เป็นความลับและกำหนดค่าให้ข้อมูลดังกล่าวพร้อมใช้งานต่อสาธารณะ เช่น ข้อความแสดงข้อผิดพลาดของเว็บแอปพลิเคชันอาจทำให้ข้อมูลการกำหนดค่ารั่วไหลได้ ผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากฟังก์ชันการทำงานของเครื่องมือค้นหาเพื่อค้นหาข้อมูลนี้โดยใช้วิธีที่เรียกว่า "Dorking"
ตรวจสอบว่าเว็บไซต์ไม่ได้เปิดเผยข้อมูลที่ละเอียดอ่อนโดยทำการตรวจสอบเป็นระยะๆ และจำกัดข้อมูลที่เป็นความลับ หากพบข้อมูลที่ละเอียดอ่อน ในเว็บไซต์ซึ่งต้องนำออกจาก Google Search อย่างเร่งด่วน ให้ใช้ เครื่องมือนำ URL ออก