10 เทคนิคช่วยแอดมินมือใหม่ปรับปรุงเว็บไซต์ให้ปลอดภัยมากขึ้น
ในช่วงไม่กี่ปีมานี้ เชื่อว่าวงการนักพัฒนาเว็บไซต์มีเครื่องมืออำนวยความสะดวกให้ใช้งานเพิ่มขึ้นมาก โดยเฉพาะระบบ CMS (Content Management Systems) อย่าง WordPress, Joomla, Drupal และอีกหลายๆ ตัวที่มาทำให้การสร้างเว็บไซต์เกิดขึ้นได้อย่างรวดเร็วและมีประสิทธิภาพ แม้ผู้สร้างจะมีความรู้ด้านการพัฒนาน้อยมากก็ตาม
แน่นอนว่า เครื่องมือเหล่านั้นมีประโยชน์ แต่ทิศทางของการพัฒนาเช่นนี้ก็ทำให้เกิดปัญหาน่าวิตกกังวลข้อหนึ่งขึ้นมาเช่นกัน นั่นคือเว็บมาสเตอร์ที่มีจำนวนมากขึ้นเรื่อยๆ กำลังขาดความตระหนักในเรื่องภัยคุกคามทางไซเบอร์ วันนี้เราเลยจะมาคุยกันว่า สามารถทำให้เว็บไซต์ของเรานั้นปลอดภัยมากขึ้นได้อย่างไร
–
1 อัพเดตอยู่เสมอ
มีเว็บไซต์จำนวนไม่น้อยเลยที่ไม่ให้ความสำคัญกับการอัพเดตซอฟต์แวร์ให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ ขณะที่การแฮ็กระบบนั้น เดี๋ยวนี้มี ‘บอต’ เข้าไปช่วยสแกนหาช่องโหว่ตามเว็บไซต์ต่างๆ และเจาะระบบให้โดยอัตโนมัติไปเรียบร้อยแล้ว ถ้าเป็นเว็บไซต์ที่พัฒนาโดย WordPress อาจลองใช้ปลั๊กอิน WP Updates Notifier ที่จะแจ้งเตือนทันทีเมื่อมันพบว่ามีการอัพเดตจาก WordPress เพื่อที่จะได้รับข้อมูลข่าวสารเกี่ยวกับการอัพเดตได้รวดเร็วขึ้น
–
2 Password
สำหรับผู้ที่อยากตั้งรหัสผ่านให้ปลอดภัยเรามีเกณฑ์มาฝากกัน 3 ข้อ ข้อแรกคือต้องซับซ้อนสักหน่อยอาจเป็นคำที่ Random มาก็ได้ แต่อย่าเอาข้อมูลวันเกิด ทีมบอลที่ชอบ ฯลฯ มาใช้เด็ดขาด ข้อสองคือ ควรจะยาวอย่างน้อย 12 ตัวอักษรขึ้นไปจะปลอดภัยสูงกว่า เพราะบรรดาบอตที่คอยเจาะระบบนั้น บางตัวจะถูกเซ็ตค่าให้ป้อนรหัสผ่านแค่ 8 ตัวเท่านั้น และข้อสามอย่าใช้รหัสผ่านซ้ำกับระบบอื่น เช่น อีเมล หรือบัญชีธนาคาร เพราะอาจถูกเจาะระบบต่อเนื่องได้
–
3 อย่าเก็บทุกอย่างไว้บนเซิร์ฟเวอร์เดียว
ในกรณีที่มีหลายเว็บไซต์ให้ดูแล การเก็บทุกอย่างไว้บนเซิร์ฟเวอร์ตัวเดียวอาจเป็นเรื่องสะดวก แต่ถ้าถูกโจมตีโอกาสที่จะเกิดความเสียหายก็สูงตามไปด้วย และเมื่อถูกเจาะได้แล้ว ก็มีโอกาสที่จะถูกเจาะใหม่ในอนาคตอีกด้วย
–
4 เว็บไซต์ที่มีล็อกอินหลายชุด
ผู้ที่เป็นแอดมินหลักต้องดูแลสิทธิในการเข้าถึงของยูสเซอร์รายอื่นๆ ให้เหมาะกับงานและถ้าเกิดกรณีที่ยูสเซอร์บางรายขออนุญาตเข้าใช้บางฟังก์ชั่นเป็นกรณีพิเศษ ก็ให้เป็นกรณีๆ ไปเมื่อจบงานก็ควรลบสิทธิ์ในการเข้าถึงนั้นๆ ด้วยและอย่าให้สิทธิ์ถึงขั้นที่ผู้ใช้งานรายนั้นสามารถเข้ามาเป็นแอดมินของระบบได้ เหล่านี้จะช่วยให้แอดมินควบคุมเว็บไซต์ได้อย่างมีประสิทธิภาพมากขึ้น และสามารถตรวจตราการใช้งานของยูสเซอร์แต่ละรายได้ว่ามีพฤติกรรมการใช้งานอย่างไร เสี่ยงต่อการถูกเจาะระบบหรือไม่ด้วย
5 อย่าตั้งค่า CMS (Content Management System) เป็น Default
การใช้งานโปรแกรมประเภทจัดการเนื้อหาเว็บไซต์หรือ CMS นั้น ควรเข้าไปปรับในส่วนของการควบคุมอื่นๆ ข้างใน เพราะเว็บไซต์ที่ใช้การตั้งค่าเริ่มต้นของโปรแกรมเอาไว้นั้นจะมีโอกาสถูกเจาะระบบสูงกว่า
–
6 เลือก Extension ต่างๆ ให้ดี
การเลือกส่วนขยายมาเชื่อมต่อเพิ่มเติมอาจทำให้เกิดช่องโหว่ได้ เพราะ Extension บางตัวอาจมีผลต่อระบบรักษาความปลอดภัย ดังนั้นการเลือก Extension อาจดูได้จากการอัพเดต ถ้าไม่มีการอัพเดต Extension นั้นๆ เลย ก็เป็นไปได้ว่านักพัฒนาอาจเลิกสนใจExtension ตัวนั้นไปแล้ว อีกข้อมูลที่ควรสนใจก็คือชื่อของนัก พัฒนาว่าน่าเชื่อถือแค่ไหน และจำนวนคนที่ติดตั้ง Extension ตัวนั้นมีมากเท่าไร เพราะนักพัฒนาที่มีประสบการณ์แล้วก็มีโอกาสที่จะตระหนักเรื่องความปลอดภัยมากกว่า แต่สิ่งที่สำคัญที่สุดคือควรดาวน์โหลด Extension จากแหล่งที่เชื่อถือได้เท่านั้น
–
7 แบ็กอัพไว้บ้าง
เพราะโอกาสที่เว็บไซต์จะเกิดความเสียหายแล้วได้ตัวแบ็กอัพช่วยไว้ก็มีอยู่มาก
–
8 ตั้งค่าใน Server Configuration Files เพิ่มเติม
แอดมินควรตั้งค่าใน Configuration Files เพื่อป้องกันปัญหาต่างๆ เช่น Prevent directory browsing, Prevent imagehotlinking หรือ Protect sensitive files เพื่อลดโอกาสที่ผู้ไม่ประสงค์ดีจะเข้ามาดูคอนเทนต์ต่างๆ ได้อย่างสะดวกโดยอาจศึกษาจากหัวข้อ Security เพิ่มเติมก็ได้
–
9 ติดตั้ง SSL (Secure Socket Layer)
โดยเฉพาะเว็บไซต์อีคอมเมิร์ซ หรือเว็บไซต์ที่ต้องมีการรับส่งข้อมูลสำคัญ เพราะ SSL หรือมาตรฐานการรักษาความปลอดภัยบนระบบอินเทอร์เน็ตนี้จะช่วยเข้ารหัสข้อมูลจากจุด A ไปจุด B ซึ่งลดโอกาสการถูกโจมตีระหว่างทาง หรือ Man in the Middle (MITM) attack ได้
–
10 เข้าใจเรื่อง File Permissions
เราสามารถทำงานกับไฟล์ต่างๆ ได้สามแบบคือ Read, Write และ Execute ซึ่งแทนด้วยตัวเลข 4, 2 และ 1 ตามลำดับ ส่วนระดับยูสเซอร์เบื้องต้นก็แบ่งออกได้เป็นสามแบบง่ายๆ ได้แก่ Owner (เจ้าของ) Group (กลุ่ม) และ Public (ทุกคน) แอดมินระบบต้องมีการจัดการว่ายูสเซอร์แต่ละระดับจะท?ำอะไรกับไฟล์ได้บ้าง เช่น ระดับ Owner อาจอนุญาตให้ Read (4) และ Write (2) ได้ ยูสเซอร์ระดับ Group อาจ Read (4) ได้อย่างเดียว ส่วนระดับ Public อาจทำอะไรไม่ได้เลย (0) ผลคือ File Permission จะแสดงตัวเลข 640
การเข้าไปเซ็ตค่าตัวนี้จะมีประโยชน์มาก และทำให้เว็บปลอดภัยขณะที่บางเว็บอาจแนะนำให้เซ็ตไว้ที่ 666 หรือ 777 ซึ่งหมายความว่าคุณอนุญาตให้ “ใครก็ได้” เข้ามาใส่มัลแวร์ในระบบหรือลบไฟล์ในฐานข้อมูลได้นั่นเอง
ทั้ง 10 ข้อนี้ อาจเป็นเทคนิคเบื้องต้นที่แอดมินมือใหม่สามารถศึกษาและปฏิบัติตามเพื่อเพิ่มความปลอดภัยให้กับเว็บไซต์ได้ก็จริง แต่ไม่อาจการันตีได้ร้อยเปอร์เซ็นต์ว่าจะไม่ถูกแฮ็ก ดังนั้นสำหรับแอดมินมือใหม่ควรหมั่นติดตามข่าวคราวและศึกษาเทคโนโลยีต่างๆ อยู่เสมอ
ปกป้องแอพพลิเคชั่นบนเว็บด้วย Web Application Firewall Service ด้วยความตระหนักถึงภัยคุกคามต่างๆ ที่กำลังพุ่งเป้ามาสู่เว็บไซต์ขององค์กร CAT จึงได้พัฒนาบริการ Web Application Firewall Service บริการป้องกันการโจมตีเว็บไซต์ ที่ให้บริการในรูปแบบ Security Cloud Service เพื่อให้ลูกค้าลดภาระด้านการลงทุนอุปกรณ์ แต่พร้อมด้วยประสิทธิภาพการป้องกันภัยคุกคามจากการโจมตีเว็บไซต์หลากหลายรูปแบบ เช่น การตรวจจับพฤติกรรมการใช้งาน Web Application ที่ผิดปกติ ตอบสนองทุกความต้องการของธุรกิจกับ 2 แพ็กเกจ ให้เลือกใช้งาน คือ Standard Web Application Firewall และ Advanced Web Application Firewall โดยสามารถศึกษาข้อมูลเพิ่มเติมได้ที่ www.catcyfence.com
ที่มา นิตยสาร CAT MAGAZINE ฉบับ 47 ประจำเดือนเมษายน-มิถุนายน