บทความวิกิฮาวนี้จะแนะนำวิธีการตรวจสอบให้แน่ใจว่าเว็บไซต์ของคุณได้รับการปกป้องจากการโจมตี การใช้ใบรับรอง SSL และ HTTPS เป็นวิธีที่ง่ายที่สุดในการรักษาความปลอดภัยที่อยู่ แต่มีบางสิ่งที่คุณสามารถทำได้เพื่อป้องกันแฮ็กเกอร์และมัลแวร์จากการบุกรุกเว็บไซต์ของคุณ
ขั้นตอน
ขั้นตอนที่ 1 ทำให้เว็บไซต์ของคุณทันสมัยอยู่เสมอ
การไม่อัปเดตซอฟต์แวร์ ความปลอดภัย และสคริปต์ของเว็บไซต์ของคุณเมื่อจำเป็นเป็นวิธีที่แน่นอนในการอนุญาตให้ผู้บุกรุกและมัลแวร์ใช้ประโยชน์จากไซต์ของคุณ
- สิ่งนี้ใช้กับแพตช์จากบริการโฮสติ้งของเว็บไซต์ของคุณด้วย (ถ้ามี) เมื่อใดก็ตามที่มีการอัปเดตสำหรับเว็บไซต์ของคุณ ให้ติดตั้งโดยเร็วที่สุด
- คุณควรอัปเดตใบรับรองของไซต์อยู่เสมอ แม้ว่าการดำเนินการนี้จะไม่ส่งผลโดยตรงต่อความปลอดภัยของเว็บไซต์ของคุณ แต่จะช่วยให้มั่นใจได้ว่าเว็บไซต์ของคุณจะยังคงแสดงในเครื่องมือค้นหาต่อไป
ขั้นตอนที่ 2 ใช้ซอฟต์แวร์ความปลอดภัยหรือปลั๊กอิน
มีไฟร์วอลล์เว็บไซต์หลายแบบซึ่งคุณสามารถสมัครรับข้อมูลเพื่อการป้องกันอย่างต่อเนื่อง และบริการโฮสต์เว็บไซต์อย่าง WordPress มักมีปลั๊กอินความปลอดภัยด้วย เช่นเดียวกับการปกป้องคอมพิวเตอร์ของคุณด้วยโปรแกรมป้องกันไวรัส ก็ควรที่จะปกป้องเว็บไซต์ของคุณด้วยซอฟต์แวร์รักษาความปลอดภัย
- Sucuri Firewall เป็นตัวเลือกที่ดีในการจ่ายเงิน และคุณควรจะสามารถหาไฟร์วอลล์ฟรีหรือปลั๊กอินความปลอดภัยสำหรับ WordPress, Weebly, Wix และบริการโฮสติ้งอื่นๆ
- ไฟร์วอลล์แอปพลิเคชันเว็บไซต์ (WAF) มักจะทำงานบนคลาวด์ ซึ่งหมายความว่าคุณไม่จำเป็นต้องดาวน์โหลดซอฟต์แวร์ใดๆ ลงในคอมพิวเตอร์ของคุณเพื่อใช้งาน
ขั้นตอนที่ 3 ป้องกันไม่ให้ผู้ใช้อัปโหลดไฟล์
การอนุญาตให้ผู้อื่นอัปโหลดไฟล์ไปยังเว็บไซต์ของคุณจะสร้างช่องโหว่ด้านความปลอดภัยโดยอัตโนมัติ หากเป็นไปได้ ให้ลบแบบฟอร์มหรือพื้นที่ที่ผู้ใช้เว็บไซต์สามารถอัปโหลดไฟล์ได้
- การจำกัดรูปแบบที่อนุญาตให้อัปโหลดรองรับไฟล์ประเภทเดียวเท่านั้น (เช่น-j.webp" />
- ซึ่งอาจเป็นเรื่องยากหากเว็บไซต์ของคุณอาศัยแบบฟอร์มหน้าเว็บสำหรับสิ่งต่างๆ เช่น การส่งจดหมายปะหน้า คุณสามารถแก้ไขปัญหานี้ได้โดยการตั้งค่าที่อยู่อีเมลสำหรับการส่งและเพิ่มที่อยู่ในหน้า "ติดต่อ" เพื่อให้ผู้ใช้สามารถส่งอีเมลไฟล์ของตนแทนที่จะอัปโหลดไปยังเว็บไซต์ของคุณ
ขั้นตอนที่ 4 ติดตั้งใบรับรอง SSL
ใบรับรอง SSL เป็นหลักยืนยันว่าเว็บไซต์ของคุณปลอดภัยและสามารถถ่ายโอนข้อมูลที่เข้ารหัสไปมาระหว่างเซิร์ฟเวอร์ของคุณและเบราว์เซอร์ของบุคคล โดยปกติคุณจะต้องจ่ายค่าธรรมเนียมรายปีเพื่อรักษาใบรับรอง SSL ของคุณ
- ตัวเลือกการกระจาย SSL แบบชำระเงิน ได้แก่ GoGetSSL และ SSLs.com
- บริการฟรีที่เรียกว่า "Let's Encrypt" จะออกใบรับรอง SSL ด้วยเช่นกัน
- เมื่อเลือกใบรับรอง SSL คุณมีสามตัวเลือก: การตรวจสอบโดเมน การตรวจสอบธุรกิจ และการตรวจสอบเพิ่มเติม Google กำหนดให้ทั้งการตรวจสอบธุรกิจและการตรวจสอบเพิ่มเติมเพื่อรับแถบ "ปลอดภัย" สีเขียวถัดจาก URL ของไซต์ของคุณ
ขั้นตอนที่ 5. ใช้การเข้ารหัส
เมื่อคุณติดตั้งใบรับรอง SSL แล้ว เว็บไซต์ของคุณควรมีคุณสมบัติสำหรับการเข้ารหัส HTTPS; โดยปกติ คุณสามารถเปิดใช้งานการเข้ารหัส HTTPS ได้โดยการติดตั้งใบรับรอง SSL ของคุณในส่วน "ใบรับรอง" ของเว็บไซต์ของคุณ
- หากคุณใช้แพลตฟอร์มเว็บไซต์ เช่น WordPress หรือ Weebly เว็บไซต์ของคุณอาจใช้ HTTPS อยู่แล้ว
- ต้องต่ออายุใบรับรอง HTTPS ทุกปี
ขั้นตอนที่ 6 สร้างรหัสผ่านที่ปลอดภัย
การใช้รหัสผ่านเฉพาะสำหรับไซต์ระดับผู้ดูแลระบบของคุณไม่เพียงพอ คุณจะต้องสร้างรหัสผ่านแบบสุ่มที่ซับซ้อนซึ่งไม่ได้จำลองมาจากที่อื่น และเก็บคีย์ไว้ที่อื่นนอกไดเรกทอรีของเว็บไซต์
ตัวอย่างเช่น คุณอาจใช้ตัวอักษรและตัวเลขผสมกัน 16 หลักเป็นรหัสผ่าน จากนั้น คุณสามารถจัดเก็บรหัสผ่านในไฟล์ออฟไลน์บนคอมพิวเตอร์เครื่องอื่นหรือฮาร์ดไดรฟ์
ขั้นตอนที่ 7 ซ่อนโฟลเดอร์ผู้ดูแลระบบของคุณ
การตั้งชื่อโฟลเดอร์ไฟล์ที่ละเอียดอ่อนของเว็บไซต์คุณว่า "admin" หรือ "root" นั้นสะดวก น่าเสียดายที่สิ่งนี้เกิดขึ้นกับทั้งคุณและแฮ็กเกอร์ การเปลี่ยนชื่อตำแหน่งของไฟล์เหล่านี้เป็นสิ่งที่น่าเบื่อ (เช่น "โฟลเดอร์ใหม่ (2)" หรือ "ประวัติ") อาจทำให้ผู้โจมตีค้นหาไฟล์ของคุณได้ยากขึ้น
ขั้นตอนที่ 8 ทำให้ข้อความแสดงข้อผิดพลาดเป็นเรื่องง่าย
หากข้อความแสดงข้อผิดพลาดของคุณให้ข้อมูลมากเกินไป แฮกเกอร์และมัลแวร์สามารถใช้ประโยชน์จากข้อมูลเพื่อค้นหาและเข้าถึงสิ่งต่างๆ เช่น ไดเรกทอรีรากของเว็บไซต์ของคุณ แทนที่จะเพิ่มรายละเอียดที่ชัดเจนลงในข้อความแสดงข้อผิดพลาดของเว็บไซต์ของคุณ ให้ลองเสนอคำขอโทษสั้นๆ และเชื่อมโยงกลับไปยังเว็บไซต์หลัก
สิ่งนี้ใช้ได้กับทุกอย่างตั้งแต่ข้อผิดพลาด 404 ไปจนถึงรหัสเซิร์ฟเวอร์ 500 ประเภท
ขั้นตอนที่ 9 แฮชรหัสผ่านเสมอ
หากคุณเก็บรหัสผ่านผู้ใช้ไว้ในเว็บไซต์ของคุณ ต้องแน่ใจว่าได้จัดเก็บไว้ในรูปแบบที่แฮช ข้อผิดพลาดทั่วไปในหมู่เจ้าของเว็บไซต์ใหม่คือการจัดเก็บรหัสผ่านในรูปแบบข้อความธรรมดา ซึ่งทำให้รหัสผ่านง่ายต่อการขโมยหากแฮ็กเกอร์สามารถค้นหาไฟล์ได้
แม้แต่ไซต์ที่อุดมสมบูรณ์เช่น Twitter ก็มีความผิดในข้อผิดพลาดนี้ในอดีต
เคล็ดลับ
- การจ้างที่ปรึกษาด้านความปลอดภัยของเว็บเพื่อตรวจสอบสคริปต์ของคุณเป็นวิธีที่รวดเร็วที่สุด (แม้ว่าจะแพงที่สุด) ในการแก้ไขข้อบกพร่องที่อาจเกิดขึ้นในเว็บไซต์ของคุณ
- ทดสอบเว็บไซต์ของคุณผ่านเครื่องมือรักษาความปลอดภัยเสมอ (เช่น Observatory by Mozilla) ก่อนเผยแพร่เวอร์ชันล่าสุด