การทำความเข้าใจว่าไซต์ถูกแฮ็กได้อย่างไรเป็นส่วนที่สำคัญส่วนหนึ่งในการปกป้องเว็บไซต์จากการโจมตี หน้านี้จะกล่าวถึงช่องโหว่ด้านความปลอดภัยบางอย่างที่อาจทำให้เว็บไซต์ถูกบุกรุก
วิดีโอต่อไปนี้สรุปการแฮ็กประเภทต่างๆ และวิธีที่แฮ็กเกอร์ควบคุมเว็บไซต์ของคุณได้
รหัสผ่านที่ถูกขโมย
ผู้โจมตีสามารถใช้เทคนิคการเดารหัสผ่านโดยลองใช้รหัสผ่านต่างๆ จนกว่าจะเดาถูก การโจมตีด้วยการคาดเดารหัสผ่านอาจทำได้หลายวิธี เช่น พยายามใช้รหัสผ่านที่มักใช้กันทั่วไปหรือสแกนโดยใช้ตัวอักษรและตัวเลขผสมกันแบบสุ่มจนกว่าจะพบรหัสผ่านสำเร็จ ในการป้องกันปัญหานี้ ให้สร้างรหัสผ่านที่รัดกุมซึ่งคาดเดาได้ยาก ดูเคล็ดลับในการสร้างรหัสผ่านที่รัดกุมได้ในบทความในศูนย์ช่วยเหลือของ Google
มีข้อควรจำ 2 ข้อ ได้แก่ ข้อแรก ต้องหลีกเลี่ยงการใช้รหัสผ่าน ซ้ำในบริการต่างๆ เมื่อผู้โจมตีระบุชุดชื่อผู้ใช้และรหัสผ่านที่ใช้ได้แล้ว ผู้โจมตีจะพยายามใช้ชุดชื่อผู้ใช้และรหัสผ่านในบริการต่างๆ ให้มากที่สุด ดังนั้น การใช้รหัสผ่านที่แตกต่างกันในบริการต่างๆ ก็อาจช่วยป้องกันไม่ให้บัญชีอื่นๆ ในบริการอื่นๆ ถูกบุกรุกได้
ข้อ 2 ให้ใช้ประโยชน์จากการตรวจสอบสิทธิ์แบบ 2 ปัจจัย (2FA) เช่น การยืนยันแบบ 2 ขั้นตอนของ Google ถ้ามีตัวเลือกนี้ให้ใช้งาน โดย 2FA จะทำให้ข้อมูลเข้าสู่ระบบชั้นที่ 2 ของข้อมูลเข้าสู่ระบบชั้นที่ 2 ได้ ซึ่งโดยปกติจะทำผ่านรหัส SMS หรือ PIN อื่นๆ ที่สร้างขึ้นแบบไดนามิก ซึ่งทำให้ผู้โจมตีเข้าถึงบัญชีของคุณได้โดยใช้เพียงรหัสผ่านที่ขโมยมาเท่านั้น ผู้ให้บริการ CMS บางรายมีคำแนะนำในการกำหนดค่า 2FA โปรดดูเอกสารประกอบสำหรับ Joomla! WordPress หรือ Drupal
ไม่ได้รับการอัปเดตความปลอดภัย
ซอฟต์แวร์เวอร์ชันก่อนหน้านี้อาจได้รับผลกระทบจากช่องโหว่ด้านความปลอดภัยที่มีความเสี่ยงสูง ซึ่งทำให้ผู้โจมตีแฮ็กทั้งเว็บไซต์ได้ ผู้โจมตีจะพยายามค้นหาซอฟต์แวร์เก่าๆ ที่มีช่องโหว่ การไม่สนใจช่องโหว่ในเว็บไซต์ เพิ่มโอกาสที่เว็บไซต์จะถูกโจมตี
ตัวอย่างซอฟต์แวร์ที่คุณน่าจะต้องอัปเดตอยู่เสมอ ได้แก่
- ซอฟต์แวร์เว็บเซิร์ฟเวอร์ หากคุณใช้เซิร์ฟเวอร์ของคุณเอง
- ระบบจัดการเนื้อหา (CMS) ของคุณ ตัวอย่างเช่น รุ่นที่เกี่ยวข้องกับความปลอดภัยจาก Wordpress, Drupal และ Joomla!
- ปลั๊กอินและส่วนเสริมทั้งหมดที่คุณใช้ในเว็บไซต์
ธีมและปลั๊กอินที่ไม่ปลอดภัย
ปลั๊กอินและธีมต่างๆ ใน CMS มีการเพิ่มฟีเจอร์ประสิทธิภาพสูงและมีประโยชน์เพิ่มเติม อย่างไรก็ตาม ธีมและปลั๊กอินที่ล้าสมัยหรือไม่มีการอัปเดตด้วยแพตช์เป็นสาเหตุหลักของช่องโหว่ในเว็บไซต์ หากคุณใช้ธีมหรือปลั๊กอินในเว็บไซต์ โปรดดูแลให้มีการอัปเดตอยู่เสมอ นำธีมหรือปลั๊กอินที่ไม่มีการดูแลรักษาจากนักพัฒนาซอฟต์แวร์แล้วออก
โปรดระมัดระวังอย่างยิ่งเวลาในใช้งานปลั๊กอินหรือธีมฟรีจากไซต์ที่ไม่น่าเชื่อถือ กลวิธีทั่วไปสำหรับผู้โจมตีคือการเพิ่มโค้ดที่เป็นอันตรายลงในปลั๊กอินหรือธีมแบบฟรีที่ต้องซื้อ เมื่อนำปลั๊กอินออก ให้ตรวจสอบว่าได้นำไฟล์ทั้งหมดของปลั๊กอินนั้นออกจากเซิร์ฟเวอร์แล้ว แทนที่จะปิดใช้อย่างเดียว
วิศวกรรมสังคม
วิศวกรรมสังคมคือการแสวงหาประโยชน์จากธรรมชาติของมนุษย์เพื่อหลบเลี่ยงโครงสร้างพื้นฐานของความปลอดภัยที่ซับซ้อน การโจมตีประเภทนี้หลอกผู้ใช้ที่ได้รับอนุญาต ให้เปิดเผยข้อมูลที่เป็นความลับ เช่น รหัสผ่าน วิศวกรรมสังคมโดยทั่วไป คือฟิชชิง ในระหว่างการโจมตีแบบฟิชชิง ผู้โจมตีจะส่งอีเมลที่แอบอ้างว่าเป็นองค์กรที่ถูกต้องตามกฎหมายและขอข้อมูลลับ
อย่าให้ข้อมูลที่ละเอียดอ่อนใดๆ (เช่น รหัสผ่าน หมายเลขบัตรเครดิต ข้อมูลธนาคาร หรือแม้กระทั่งวันเกิดของคุณ) เว้นแต่คุณจะแน่ใจเกี่ยวกับตัวตนของผู้ขอ หากมีผู้จัดการเว็บไซต์หลายคน ให้ลองจัดการฝึกอบรมเพื่อเพิ่มความตระหนักรู้ด้านความปลอดภัยเกี่ยวกับการโจมตีด้วยวิศวกรรมสังคม โปรดดูเคล็ดลับการป้องกันฟิชชิงเบื้องต้นที่ศูนย์ช่วยเหลือของ Gmail
ช่องโหว่ของนโยบายด้านความปลอดภัย
หากคุณเป็นผู้ดูแลระบบหรือใช้งานเว็บไซต์ของตัวเอง โปรดทราบว่านโยบายด้านความปลอดภัยที่ไม่ดีอาจทำให้ผู้โจมตีแฮ็กเว็บไซต์ของคุณได้ ตัวอย่างเช่น
- อนุญาตให้ผู้ใช้สร้างรหัสผ่านที่ไม่รัดกุม
- ให้สิทธิ์การเข้าถึงระดับผู้ดูแลระบบแก่ผู้ใช้โดยที่ไม่จำเป็น
- ไม่เปิดใช้ HTTPS ในเว็บไซต์และอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้โดยใช้ HTTP
- อนุญาตให้อัปโหลดไฟล์จากผู้ใช้ที่ไม่ได้รับการตรวจสอบสิทธิ์ หรือโดยไม่ต้องตรวจสอบประเภท
เคล็ดลับเบื้องต้นเพื่อปกป้องไซต์
- ตรวจสอบว่ามีการกำหนดค่าเว็บไซต์ด้วยการควบคุมความปลอดภัยระดับสูงโดยการปิดใช้บริการที่ไม่จำเป็น
- ทดสอบการควบคุมการเข้าถึงและสิทธิ์ของผู้ใช้
- ใช้การเข้ารหัสกับหน้าเว็บที่จัดการข้อมูลที่ละเอียดอ่อน เช่น หน้าเข้าสู่ระบบ
- ตรวจสอบบันทึกอย่างสม่ำเสมอเพื่อหากิจกรรมที่น่าสงสัย
การรั่วไหลของข้อมูล
การรั่วไหลของข้อมูลอาจเกิดขึ้นได้เมื่อมีการอัปโหลดข้อมูลที่เป็นความลับ และการกำหนดค่าที่ไม่ถูกต้องทำให้ข้อมูลที่เป็นความลับเผยแพร่สู่สาธารณะ ตัวอย่างเช่น การจัดการข้อผิดพลาดและการรับส่งข้อความในเว็บแอปพลิเคชันอาจทำให้ข้อมูลการกำหนดค่ารั่วไหลในข้อความแสดงข้อผิดพลาดที่ไม่มีการจัดการ เมื่อใช้วิธีการที่เรียกว่า "Dorking" ผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากฟังก์ชันการทำงานของเครื่องมือค้นหาเพื่อค้นหาข้อมูลนี้
ตรวจสอบว่าเว็บไซต์ไม่ได้เปิดเผยข้อมูลที่ละเอียดอ่อนต่อผู้ใช้ที่ไม่ได้รับอนุญาตด้วยการตรวจสอบเป็นระยะๆ และจำกัดข้อมูลที่เป็นความลับของบุคคลที่เชื่อถือได้ผ่านนโยบายความปลอดภัย หากคุณพบว่ามีการแสดงข้อมูลที่ละเอียดอ่อนในเว็บไซต์ซึ่งต้องนำออกจากผลการค้นหาของ Google โดยด่วน ก็ใช้เครื่องมือนำ URL ออกเพื่อนำ URL แต่ละรายการออกจาก Google Search ได้