บทความ

ความปลอดภัยเว็บไซต์

User Rating: 5 / 5

Star ActiveStar ActiveStar ActiveStar ActiveStar Active
 

ปัจจุบันนี้การโจมตีเว็บไซต์นั้นกลายเป็นที่แพร่หลายเป็นอย่างมาก ไม่ว่าจะเป็นการโจมตีเพื่อใช้เป็นฐานแพร่กระจาย Malware, โจมตีเพื่อเรียกค่าไถ่ด้วย Ransomware หรือโจมตีเพื่อนำไปใช้ทำ DDoS ใส่ระบบอื่นๆ ต่อก็ตาม แนวทางเบื้องต้นที่ทุกๆ ธุรกิจควรทำเพื่อปกป้องเว็บไซต์ให้ปลอดภัยอยู่เสมอจึงมีดังนี้

  1. รู้จักให้ถ่องแท้ว่าในเว็บไซต์ของตัวเองมีอะไรประกอบอยู่บ้าง และทำงานอย่างไร

    เป็นข้อที่หลายๆ เว็บไซต์ตกม้าตายตั้งแต่เริ่มแล้ว เพราะไม่รู้ด้วยซ้ำว่าภายในระบบเว็บไซต์หรือ Server ที่ติดตั้งระบบเว็บไซต์เหล่านั้นมีอะไรอยู่ภายในบ้าง ขั้นแรกของการรักษาความปลอดภัยที่ดีนั้นก็คือการรู้ก่อนว่าเรามีการใช้งานเทคโนโลยีอะไรที่ส่วนไหนบ้าง และจะได้ทำการรักษาความปลอดภัยหรือป้องกันการโจมตีรูปแบบต่างๆ ได้ดี ไม่ว่าจะเป็นระบบ Web Server, Database Server, Web Framework, Content Management System (CMS), Proxy Server, DNS Server, SSH, FTP, SSL, Operating System และอื่นๆ เพราะในการโจมตีเว็บไซต์นั้น ช่องโหว่ใดๆ ในองค์ประกอบย่อยๆ เหล่านี้ก็อาจนำมาซึ่งหายนะต่อเว็บไซต์และธุรกิจได้ทั้งสิ้น

    หลังจากที่เรารู้แล้วว่าเว็บไซต์ของเรานั้นมีอะไรอยู่ข้างในบ้าง ขั้นถัดๆ ไปก็คือการวางแผนในการเสริมการรักษาความปลอดภัยให้แก่ระบบแต่ละส่วนนั่นเอง

    หลายคนเข้าใจว่าการใช้ Cloud ก็ทำให้เว็บไซต์ปลอดภัยแล้ว ในความเป็นจริงนั้นความเชื่อนี้ก็ยังถือว่าผิดอยู่มากทีเดียว ถึงแม้จะไปใช้ Cloud แล้ว ก็ยังมีงานอีกจำนวนมากที่ผู้ดูแลระบบและนักพัฒนาเว็บไซต์ต้องระมัดระวังเพื่อให้ระบบเว็บไซต์ยังคงมีความปลอดภัยอยู่ดี

  2. หมั่นอัปเดต Patch ของระบบทั้งหมดที่เกี่ยวข้อง

    หนึ่งในช่องทางที่ถูกใช้โจมตีมากที่สุดในวันนี้ก็คือการอาศัยช่องโหว่ของระบบเว็บไซต์ที่มีอยู่ในการโจมตี ซึ่งหลายครั้งผู้โจมตีก็มีการค้นพบช่องโหว่เหล่านี้ก่อนที่ผู้พัฒนาจะมีการอุดช่องโหว่ หรือหลายครั้งหลังจากที่ผู้พัฒนาอุดช่องโหว่ไปแล้ว ผู้โจมตีก็อาศัยช่องโหว่นั้นในการโจมตีเว็บไซต์ที่ยังไม่ยอมอัปเดตระบบ ทำให้มีเว็บไซต์จำนวนมากบนโลกตกเป็นเหยื่อของการโจมตีในลักษณะนี้

    ช่องโหว่เหล่านี้มีขึ้นได้ในทุกระดับและทุกส่วนประกอบย่อยของเว็บไซต์ทั้งสิ้น ดังนั้นเหล่าผู้ดูแลระบบเว็บไซต์และนักพัฒนาเว็บไซต์นั้นต่างก็ควรหมั่นติดตามข่าวสารเกี่ยวกับช่องโหว่ต่างๆ ของระบบที่ตนเองใช้งาน และจัดวางกระบวนการในการอุดช่องโหว่เหล่านั้นอย่างสม่ำเสมอ

  3. ตั้งรหัสผ่านทั้งหมดให้ปลอดภัย อย่าใช้ Default เด็ดขาด

    การกำหนดรหัสผ่านของส่วนประกอบต่างๆ ในเว็บไซต์ให้ปลอดภัยและยากต่อการคาดเดาถือเป็นสิ่งง่ายๆ ที่จำเป็นแต่มักถูกละเลยอยู่เสมอ บางรายถึงขั้นไม่ตั้งรหัสผ่านเลยก็มี ซึ่งถือเป็นการประมาทอย่างร้ายแรง

    ไม่ว่าจะเป็นระบบทดสอบ, โค้ดที่อยู่ระหว่างการพัฒนา, ระบบสำรอง หรือแม้แต่ระบบ Production นั้นก็ควรตั้งรหัสผ่านให้ปลอดภัยทั้งหมดอยู่เสมอให้ติดเป็นนิสัย จะได้ไม่ถูกโจมตีจากการคาดเดารหัสผ่านหรือใช้รหัสผ่านพื้นฐานในอนาคต

  4. ตั้งค่าการทำงานของระบบต่างๆ ให้ปลอดภัย

    การกำหนดค่าการทำงานของเว็บไซต์ให้มีความปลอดภัยนั้นก็ถือเป็นอีกสิ่งสำคัญเช่นกัน ไม่ว่าจะเป็นการกำหนดค่าที่ระดับของ Web Server หรือ Proxy Server ให้ทนทานและยากต่อการเข้าถึงข้อมูลต่างๆ ที่ไม่ได้รับอนุญาต, การทำความเข้าใจและกำหนดการตั้งค่าเชิงลึกให้ระบบทำงานอย่างปลอดภัย, การจำกัดรูปแบบที่ใช้ได้ในการยืนยันตัวตนเข้าถึงระบบจากระยะไกล และอื่นๆ

    การนำเครื่องมือต่างๆ มาใช้ตรวจจับพฤติกรรมต้องสงสัยและยับยั้งการโจมตีนั้นก็ถือเป็นทางเลือกที่ดีเช่นกัน แต่ก็ต้องหมั่นติดตามด้วยว่าระบบเหล่านั้นมีช่องโหว่หรืออัปเดตอะไรที่ต้องคอยจัดการหรือไม่ไปด้วยในเวลาเดียวกัน

  5. กำหนดสิทธิ์ในการเข้าถึงและใช้งานแต่ละ Folder ให้ดีๆ

    เป็นอีกประเด็นที่หลายๆ เว็บมักจะตกม้าตายจากการที่ขาดความรู้พื้นฐานของระบบปฏิบัติการและระบบเว็บไซต์ ซึ่งความผิดพลาดในการกำหนดสิทธิ์เหล่านี้จะนำมาซึ่งการฝังโค้ดหรือไฟล์อันตรายสำหรับการโจมตีได้อย่างง่ายดาย และเป็นประเด็นเบื้องต้นที่ทุกเว็บไซต์ควรจะรีบจัดการก่อนเป็นอันดับแรกเลย

    สิ่งที่ควรเริ่มต้นทำคือศึกษาโครงสร้างของระบบเว็บไซต์ว่า Folder หรือ Directory ไหนควรมีสิทธิ์ในการทำอะไรและเข้าถึงโดยผู้ใช้งานคนไหนได้บ้าง แล้วจึงจำกัดสิทธิ์ตามเท่าที่มีการใช้งานเท่านั้น เพื่อลดความเสี่ยงในการถูกโจมตีลงไปได้ระดับหนึ่ง



  6. จำกัดประเภทของไฟล์ที่อัปโหลดได้ในระบบ

    การจำกัดประเภทของไฟล์ที่อัปโหลดได้ในระบบนี้จะทำให้การโจมตีเกิดได้ยากขึ้นอีกขั้นหนึ่ง เพราะโอกาสที่ไฟล์แปลกปลอมในรูปแบบที่ไม่รู้จักจะหลุดรอดเข้ามาได้นั้นก็จะลดลงไปด้วย


  7. ใช้ HTTPS เพิ่มความมั่นใจให้ผู้ใช้งาน แถมยังเพิ่ม SEO Ranking ไปด้วย

    หลายๆ คนมักจะเข้าใจผิดว่าหากเว็บไซต์ใช้ HTTPS ก็ถือว่าเข้ารหัสและปลอดภัยเพียงพอแล้ว ในความเป็นจริงนั้นการทำ HTTPS สามารถป้องกันการโจมตีและดักขโมยข้อมูลหรือปลอมแปลงเว็บไซต์ได้บางรูปแบบเท่านั้น ไม่ได้ป้องกันได้ทั้งหมด ดังนั้นถึงแม้เว็บไซต์จะเป็น HTTPS แล้ว ก็ยังมีงานอื่นๆ อีกจำนวนมากที่ต้องทำเพื่อป้องกันไม่ให้เว็บไซต์ของเราถูกโจมตี

    สำหรับเว็บไซต์ที่ยังไม่ได้เปลี่ยนไปใช้ HTTPS ก็ควรวางแผนเปลี่ยนได้แล้ว โดยเว็บไซต์ขนาดเล็กอาจจะง่ายซักหน่อยเพราะไม่ต้องใช้ Resource เยอะมากนัก แต่หากเป็นเว็บไซต์ขนาดใหญ่ที่มีผู้ใช้งานนับแสนหรือล้านคนเข้าใช้งาน การเปลี่ยนไปใช้ HTTPS นั้นจะต้องมีการใช้พลังประมวลผลเพิ่มขึ้นอีกเป็นอย่างมาก ดังนั้นก็ต้องวางแผนกันดีๆ

    การใช้ HTTPS นอกจากจะช่วยเสริมความปลอดภัยให้กับเว็บไซต์ได้ในหลายประเด็นแล้ว ก็ยังช่วยทำให้ SEO Ranking ใน Google เพิ่มสูงขึ้นด้วยเช่นกัน



  8. สำรองข้อมูลเอาไว้บนระบบอื่น พร้อมให้กู้คืนย้อนหลังได้อยู่เสมอ

    การสำรองข้อมูลเอาไว้บน Server ต่างเครื่องนั้นถือเป็นสิ่งที่จำเป็นเป็นอย่างมากในการลดความเสี่ยงที่ข้อมูลของเว็บไซต์ทั้งหมดจะสูญหายไปพร้อมๆ กับระบบ Production รวมไปถึงกรณีที่ถูกติดตั้ง Ransomware เรียกค่าไถ่บน Server โดยตรง การมีข้อมูลสำรองถึงแม้จะไม่ได้เป็นการป้องกันไม่ให้ถูกโจมตีได้สำเร็จ แต่อย่างน้อยๆ หลังการโจมตีเกิดขึ้นแล้ว เว็บไซต์ก็ยังพอจะดำเนินกิจการต่อไปได้หากมีข้อมูลสำรองอยู่


  9. มีระบบติดตามการทำงานของเว็บไซต์อยู่ตลอด จะได้รู้ทันทีหากมีอะไรผิดปกติเกิดขึ้น

    การติดตามการทำงานของเว็บไซต์อย่างสม่ำเสมอและตอบสนองต่อทุกๆ ปัญหาได้อย่างทันท่วงทีก็ถือเป็นสิ่งที่จำเป็นมากทีเดียว เพื่อลด Downtime ที่จะเกิดขึ้นจากการที่เว็บไซต์มีปัญหา และลดความเสี่ยงต่อผู้ใช้งานและผู้อื่นในกรณีที่เว็บไซต์ถูกใช้เป็นฐานในการปล่อย Malware, Ransomware หรือ DDoS ให้ได้


  10. วางแผนรับมือเบื้องต้นหากถูกโจมตี DDoS และโจมตีในรูปแบบอื่นๆ

    Distributed Denial of Service หรือ DDoS นั้นเริ่มจะกลายเป็นการโจมตีพื้นฐานมากขึ้นเรื่อยๆ แล้วด้วยค่าใช้จ่ายในการโจมตีที่ไม่แพงนักแต่ทำให้บริการของเว็บไซต์ต่างๆ สามารถหยุดชะงักลงได้ การป้องกัน DDoS นั้นมีด้วยกันหลากหลายรูปแบบไม่ว่าจะเป็นการเพิ่มความสามารถในการรองรับการเรียกใช้เว็บไซต์ให้ได้มากขึ้นด้วยวิธีการต่างๆ หรือใช้งานเทคโนโลยี DDoS Protection โดยตรงก็ตามแต่

    ทั้งนี้สิ่งที่ควรทำก็คือการวางแผนรับมือล่วงหน้า ว่าถ้าหากถูกโจมตีแบบ DDoS หรือโจมตีรูปแบบอื่นๆ แล้วเว็บไซต์หรือธุรกิจจะทำอย่างไร? จะป้องกันที่ระดับไหน? ใครจะมีบทบาทรับผิดชอบอะไรบ้าง? เรียกได้ว่าเป็นการกำหนดกระบวนการในการโต้ตอบต่อกรณีเหล่านี้ในขั้นพื้นฐานเพื่อแก้ไขปัญหาให้ได้รวดเร็วที่สุดนั่นเอง

วางแผนรับมือเบื้องต้นหากถูกโจมตี DDoS และโจมตีในรูปแบบอื่นๆ

นอกจาก 10 ข้อนี้แล้วก็ยังมีแนวทางอื่นๆ เพิ่มเติมนอกเหนือไปจากนี้อีกมากมาย แต่เบื้องต้นหากทำได้ 10 ข้อนี้ก่อนก็ถือว่าเป็นพื้นฐานที่ดีสำหรับการรักษาความปลอดภัยให้แก่ระบบเว็บไซต์ของคุณแล้ว แต่ก็อย่าเพิ่งประมาทไป ไม่ใช่ว่าทำได้แค่ 10 ข้อนี้แล้วระบบของคุณจะปลอดภัย 100% การระมัดระวังตัวและศึกษาหาความรู้อย่างต่อเนื่องไม่ประมาทนั้นคือสิ่งที่จำเป็นในการรักษาความปลอดภัยของเว็บไซต์


ให้ทีมงานมืออาชีพของเรา Makewebresponsive.com ช่วยดูแลเว็บไซต์ของคุณให้ทนทานปลอดภัย!

มาดูคุณลักษณะบางอย่างของตัวป้องกันความปลอดภัยของเรากันนะครับ

  1. Stand alone Web Application Firewall.

  2. Protects against remote & local file inclusions, code execution, uploads, SQL injections, bots and scanners, XSS and many other threats.

  3. Hooks and sanitises all HTTP requests before they reach your website, as well as the response body.

  4. Real-time detection (File Guard).

  5. Response body filter (Web Filter).

เรามีระบบสำรองข้อมูลที่มีการสำรองข้อมูลในรอบวัน และรอบสัปดาห์ด้วย มั่นใจในข้อมูลเว็บไซต์ของท่านได้

cr : techtalkthai

ติดต่อเรา

ฝ่ายขาย       โทร. 081 950 9969
ฝ่ายดูแลลูกค้า  โทร. 081 950 9969
ฝ่ายเทคนิค     โทร. 089 829 2855
อีเมล์          info@makewebresponsive.com
เฟสบุ๊ค        FB:makewebresponsive