Missed the action at the 2018 Chrome Dev Summit? Catch up with our playlist on the Google Chrome Developers channel on YouTube. Watch now.

วิธีแฮ็กเว็บไซต์ที่นักส่งสแปมทำบ่อยที่สุด

การทำความเข้าใจว่าไซต์ถูกแฮ็กได้อย่างไรเป็นส่วนที่สำคัญส่วนหนึ่งในการปกป้องไซต์จากการโจมตี ในบทความนี้ เราจะกล่าวถึงช่องโหว่ด้านความปลอดภัยบางอย่างที่อาจทำให้ไซต์ถูกแฮ็ก

รหัสผ่านที่ถูกขโมย

ผู้โจมตีสามารถใช้เทคนิคการคาดเดารหัสผ่านโดยพยายามป้อนรหัสผ่านต่างๆ จนกระทั่งคาดเดาได้ถูกต้อง การโจมตีด้วยการคาดเดารหัสผ่านอาจทำได้หลายวิธี เช่น พยายามใช้รหัสผ่านที่มักใช้กันทั่วไปหรือสแกนผ่านชุดตัวอักษรและตัวเลขที่ผสมกันแบบสุ่มจนกว่าจะพบรหัสผ่านที่ถูกต้อง ในการป้องกันปัญหานี้ ให้สร้างรหัสผ่านที่รัดกุมซึ่งคาดเดาได้ยาก ดูเคล็ดลับในการสร้างรหัสผ่านที่รัดกุมได้ในบทความในศูนย์ช่วยเหลือของ Google

มีข้อควรจำ 2 ข้อ ได้แก่ ข้อแรก ต้องหลีกเลี่ยงการใช้รหัสผ่านซ้ำในบริการต่างๆ เมื่อผู้โจมตีทราบชื่อผู้ใช้และรหัสผ่านที่ใช้งานได้ 1 ชุด ก็จะพยายามใช้ในบริการต่างๆ ให้มากที่สุด ดังนั้น การใช้รหัสผ่านที่แตกต่างกันในบริการต่างๆ ก็อาจช่วยป้องกันไม่ให้บัญชีอื่นๆ ในบริการอื่นถูกแฮ็กได้

ข้อ 2 ให้ใช้ประโยชน์จากการตรวจสอบสิทธิ์แบบ 2 ปัจจัย (2FA) เช่น การยืนยันแบบ 2 ขั้นตอนของ Google ถ้ามีตัวเลือกนี้ให้ใช้งาน ทั้งนี้ 2FA จะช่วยให้คุณใช้ข้อมูลรับรองการเข้าสู่ระบบขั้นที่ 2 ได้ ซึ่งโดยปกติจะเป็นการใช้รหัสข้อความหรือ PIN ที่สร้างขึ้นแบบไดนามิก เพื่อทำให้ผู้โจมตีที่มีเพียงรหัสผ่านที่ขโมยไปเพียงอย่างเดียวมีโอกาสเข้าถึงบัญชีของคุณได้น้อยลง ผู้ให้บริการ CMS บางรายมีคำแนะนำในการกำหนดค่า 2FA ด้วย ลองดูเอกสารประกอบสำหรับ Joomla! , WordPress หรือ Drupal

ไม่มีการอัปเดตด้านความปลอดภัย

ซอฟต์แวร์เวอร์ชันเก่าๆ อาจได้รับผลกระทบจากช่องโหว่ด้านความปลอดภัยที่มีความเสี่ยงสูง ซึ่งทำให้ผู้โจมตีแฮ็กไซต์ได้ทั้งไซต์ ผู้โจมตีจะพยายามค้นหาซอฟต์แวร์เก่าๆ ที่มีช่องโหว่ การปล่อยปละละเลยช่องโหว่ในไซต์จึงทำให้ไซต์มีโอกาสถูกโจมตีมากขึ้น

หมายเหตุ: จำเป็นต้องตรวจหาการอัปเดตซอฟต์แวร์ของไซต์เป็นระยะๆ เพื่อปิดช่องโหว่ แต่ทางทีดีกว่านั้นก็คือ ให้ตั้งค่าการอัปเดตอัตโนมัติสำหรับซอฟต์แวร์เท่าที่จะทำได้ และสมัครรับรายการประกาศด้านความปลอดภัยสำหรับซอฟต์แวร์ทั้งหมดที่ใช้งาน

ตัวอย่างซอฟต์แวร์ที่คุณน่าจะต้องอัปเดตอยู่เสมอมีดังนี้

  • ซอฟต์แวร์สำหรับเว็บเซิร์ฟเวอร์ ถ้าคุณใช้เซิร์ฟเวอร์ของคุณเอง
  • ระบบจัดการเนื้อหา ตัวอย่างเช่น รุ่นที่เกี่ยวข้องกับความปลอดภัยจาก Wordpress, Drupal และ Joomla!
  • ปลั๊กอินและส่วนเสริมทั้งหมดที่คุณใช้ในไซต์

ธีมและปลั๊กอินที่ไม่ปลอดภัย

ปลั๊กอินและธีมต่างๆ ใน CMS มีการเพิ่มฟังก์ชันการทำงานที่ปรับปรุงใหม่และมีประโยชน์มาก อย่างไรก็ตาม ธีมและปลั๊กอินที่ล้าสมัยหรือไม่มีการอัปเดตด้วยแพตช์เป็นสาเหตุหลักๆ ของช่องโหว่ในเว็บไซต์ต่างๆ หากคุณใช้ธีมหรือปลั๊กอินในไซต์ โปรดดูแลให้มีการอัปเดตอยู่เสมอ นำธีมหรือปลั๊กอินที่ไม่มีการดูแลรักษาจากนักพัฒนาซอฟต์แวร์แล้วออกไป

โปรดระมัดระวังอย่างยิ่งเวลาในใช้งานปลั๊กอินหรือธีมฟรีจากไซต์ที่ไม่น่าเชื่อถือ กลวิธีที่ผู้โจมตีมักใช้บ่อยคือการเพิ่มโค้ดที่เป็นอันตรายลงในเวอร์ชันฟรีของปลั๊กอินหรือธีมแบบที่ต้องซื้อ เมื่อนำปลั๊กอินออก ให้ตรวจสอบว่าได้นำไฟล์ทั้งหมดของปลั๊กอินนั้นออกจากเซิร์ฟเวอร์แล้ว แทนที่จะปิดใช้เท่านั้น

วิศวกรรมสังคม

วิศวกรรมสังคมเป็นการใช้ประโยชน์จากธรรมชาติของมนุษย์เพื่อหลีกเลี่ยงโครงสร้างพื้นฐานด้านความปลอดภัยที่แข็งแกร่ง การโจมตีประเภทนี้หลอกผู้ใช้ที่มีสิทธิ์ให้เปิดเผยข้อมูลที่เป็นความลับอย่างเช่น รหัสผ่าน วิศวกรรมสังคมที่พบบ่อยรูปแบบหนึ่งคือฟิชชิง ในระหว่างการโจมตีแบบฟิชชิง ผู้โจมตีจะส่งอีเมลที่แอบอ้างว่าเป็นองค์กรที่ชอบด้วยกฎหมายและขอข้อมูลลับจากผู้ใช้เป้าหมาย

หมายเหตุ: จากผลการวิจัยของ Google เกี่ยวกับวิศวกรรมสังคม การดำเนินการฟิชชิงที่มีประสิทธิผลมากที่สุดบางส่วนมีอัตราความสำเร็จสูงถึง 45%!

พึงระลึกว่าอย่าเปิดเผยข้อมูลที่ละเอียดอ่อนใดๆ (เช่น รหัสผ่าน หมายเลขบัตรเครดิต ข้อมูลทางธนาคาร หรือแม้กระทั่งวันเกิดของคุณ) เว้นแต่คุณจะมั่นใจว่าใครเป็นผู้ขอข้อมูลนั้น หากมีผู้ดูแลไซต์หลายคน ให้พิจารณาจัดการฝึกอบรมเพื่อเพิ่มการตระหนักรู้ด้านความปลอดภัยเกี่ยวกับการโจมตีด้วยวิศวกรรมโซเชียล ดูเคล็ดลับในการป้องกันฟิชชิงได้จากศูนย์ช่วยเหลือของ Gmail

ช่องโหว่ของนโยบายด้านความปลอดภัย

ถ้าคุณเป็นผู้ดูแลระบบหรือดูแลไซต์ของคุณเอง พึงระลึกว่านโยบายด้านความปลอดภัยที่ไม่เหมาะสมอาจทำให้ผู้โจมตีแฮ็กไซต์ของคุณได้ ตัวอย่างเช่น

  • อนุญาตให้ผู้ใช้สร้างรหัสผ่านที่ไม่รัดกุม
  • ให้สิทธิ์การเข้าถึงระดับผู้ดูแลระบบแก่ผู้ใช้โดยที่ไม่จำเป็น
  • ไม่เปิดใช้ HTTPS ในไซต์และอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้ผ่าน HTTP
  • อนุญาตให้อัปโหลดไฟล์โดยไม่มีการตรวจสอบประเภท หรือให้ผู้ใช้ที่ไม่ได้รับอนุญาตอัปโหลดไฟล์

เคล็ดลับเบื้องต้นเพื่อปกป้องไซต์

  • ตรวจสอบว่าได้กำหนดค่าเว็บไซต์ด้วยการควบคุมด้านความปลอดภัยระดับสูงโดยปิดใช้บริการที่ไม่จำเป็น
  • ทดสอบการควบคุมสิทธิ์เข้าถึงและสิทธิพิเศษของผู้ใช้
  • เข้ารหัสหน้าเว็บที่ใช้จัดการข้อมูลที่ละเอียดอ่อน เช่น หน้าการเข้าสู่ระบบ
  • ตรวจสอบบันทึกอย่างสม่ำเสมอเพื่อหากิจกรรมที่น่าสงสัย

การรั่วไหลของข้อมูล

การรั่วไหลของข้อมูลอาจเกิดขึ้นได้เมื่อมีการอัปโหลดข้อมูลที่เป็นความลับและการกำหนดค่าผิดพลาดที่ทำให้ข้อมูลที่เป็นความลับเผยแพร่สู่สาธารณะ เช่น การจัดการข้อผิดพลาดและการรับส่งข้อความในเว็บแอปพลิเคชันอาจทำให้ข้อมูลการกำหนดค่ารั่วไหลไปในข้อความแสดงข้อผิดพลาดที่ไม่มีการดูแล ผู้ประสงค์ร้ายจะใช้วิธีที่ชื่อว่า "Dorking" เพื่อใช้ประโยชน์จากฟังก์ชันการทำงานของเครื่องมือค้นหาเพื่อค้นหาข้อมูลดังกล่าว

ตรวจสอบว่าไซต์ไม่ได้เปิดเผยข้อมูลที่ละเอียดอ่อนแก่ผู้ใช้ที่ไม่ได้รับอนุญาตด้วยการตรวจสอบเป็นระยะๆ และเปิดเผยข้อมูลที่เป็นความลับแก่หน่วยงานที่เชื่อถือได้ตามวิธีการในนโยบายด้านความปลอดภัยเท่านั้น หากคุณพบว่ามีการแสดงข้อมูลที่ละเอียดอ่อนในไซต์ ซึ่งต้องรีบนำออกจากผลการค้นหาของ Google โดยด่วน ก็ใช้เครื่องมือนำ URL ออกเพื่อนำ URL แต่ละรายการออกจาก Google Search ได้