เช็คลิสต์ แนวทางเบื้องต้น ป้องกันเว็บโดนแฮก

ข่าวเว็บไซต์โดนแฮกมีให้เห็นอยู่บ่อยครั้ง สำหรับคนที่ต้องทำงานเกี่ยวข้องหรือเป็นฝ่ายดูแลเว็บไซต์ ลองมาสำรวจเบื้องต้นว่าตัวเองมีแนวทางอะไรบ้างในการป้องกันไม่ให้เว็บไซต์มีความเสี่ยงในการโดนแฮก

1. กำหนดชื่อผู้ใช้และรหัสผ่านที่เดายาก

ชื่อผู้ใช้ในที่นี้จำเพาะไปในกลุ่มผู้ใช้ระดับ maintenance user หรือ system admin กล่าวคือ เป็นผู้ใช้ที่สามารถปรับแต่งส่วนต่างๆ ของเว็บไซต์ได้มากกว่าผู้ใช้ระดับปกติ ควรหลีกเลี่ยงการใช้ชื่อ webmaster, admin, administrator, manager, sysadmin, test ฯลฯ เป็นต้น สำหรับรหัสผ่าน ในเรื่องนี้มีหลายฝ่ายให้ความเห็นทั้งการใช้ตัวอักษรปกติสลับกับตัวอักษรพิเศษ เช่น @ # ! $ % และแนวทางใช้คำธรรมดาหลายคำมาประกอบกันเป็นประโยค ที่ช่วยเพิ่มความยากในการใช้โปรแกรมแกะรหัส (อ่านเพิ่มเติม: The Usability of Passwords)

2. อัพเดทโปรแกรม CMS ให้เป็นรุ่นปัจจุบันอยู่เสมอ

การแฮกผ่านความล้าสมัยของโปรแกรม CMS ก็เป็นอีกกรณีที่ต้องระมัดระวัง หลังจากสร้างเว็บไซต์เสร็จเรียบร้อย ผู้ดูแลจะต้องคอยติดตามข่าวการอัพเดทของโปรแกรมที่นำมาใช้เป็นพื้นฐานในการสร้างเว็บอยู่เสมอ เช่น สร้างเว็บไซต์ด้วยโปรแกรม joomla 1.5.18 ปัจจุบันก็ควรอัพเดทเป็น joomla 1.5.26 หรือ สร้างเว็บด้วย drupal 6.12 ปัจจุบันก็ควรจะต้องอัพเดทเป็น drupal 6.28 เป็นต้น

3. ไม่ใช้โปรแกรมละเมิดลิขสิทธิ์

ประเด็นนี้พบได้ไม่บ่อยนัก แต่ก็มีโอกาสเกิดขึ้นได้เช่นกัน สำหรับโปรแกรมอำนวยความสะดวกในการจัดทำเว็บไซต์ ที่นักพัฒนาโปรแกรมได้กำหนดสิทธิ์การใช้งานให้เฉพาะผู้ที่ชำระเงินแล้วเท่านั้น ไม่ว่าจะเป็นโปรแกรมสำหรับคัดลอกไฟล์ข้อมูล FTP หรือโปรแกรมต่างๆ ที่ใช้สำหรับจัดทำเซิร์ฟเวอร์ แม้ราคาค่าใช้จ่ายจะไม่แพงมาก(เมื่อเทียบกับความเสี่ยงในการโดนแฮก) แต่ผู้จัดทำเว็บไซต์หลายคนก็ละเลยพยายามหาโปรแกรมที่ทำการละเมิดลิขสิทธิ์มาใช้งาน โดยไม่รู้ว่าแฮกเกอร์ที่ช่วยปลดล็อกการตรวจสอบสิทธิ์ ได้แทรกคำสั่งดักข้อมูลชื่อผู้ใช้และรหัสผ่านพร้อมส่งไปให้แฮกเกอร์โดยผู้ใช้ไม่รู้ตัว สำหรับทางออกในประเด็นนี้ คือ ไม่ควรละเมิดลิขสิทธิ์โปรแกรม หรือ พยายามหาใช้โปรแกรมโอเพ่นซอร์สอื่น ที่มีคุณสมบัติใกล้เคียงมาใช้งานแทน

4. เลือกโฮสติ้งที่น่าเชื่อถือ

ที่ยกประเด็นความน่าเชื่อถือของโฮสติ้ง เพราะหลายครั้งที่เว็บไซต์ถูกแฮก เกิดจากระบบจัดการของโฮสติ้งไม่ได้รับการป้องกันที่เพียงพอ กล่าวคือ เมื่อโฮสติ้งถูกโจมตี เว็บไซต์ที่ใช้บริการอยู่ภายในก็มีสิทธิ์ได้รับผลกระทบด้วยเช่นกัน ประเด็นในลักษณะนี้อาจไม่สามารถสอบถามกันได้โดยตรง ว่าแต่ละโฮสติ้งมีความน่าเชื่อถือแค่ไหน แต่ทั้งนี้ผู้ใช้อาจต้องดูข้อมูลรอบข้างในการประกอบการตัดสินใจ เช่น บริการรองรับการเข้ารหัส (https) ตลอดเวลาที่ผู้ใช้เข้าใช้งานในระบบ, ความทันสมัยของโปรแกรมที่ใช้งานภายในเซิร์ฟเวอร์, มีระบบสำรองข้อมูลที่สม่ำเสมอ รวมทั้ง ความรวดเร็วในการตอบสนองของฝ่าย support เมื่อผู้ใช้ต้องการความช่วยเหลือ เป็นต้น

หมายเหตุ: รูปประกอบด้านบนจากเว็บไซต์ https://pixabay.com/illustrations/cyber-security-internet-security-1805632/