10 แนวทางปฏิบัติที่ดีที่สุดสำหรับการรักษาความปลอดภัยเว็บโฮสติ้งในปี 2020
เผยแพร่แล้ว: 2022-04-28ภัยคุกคามเป็นไปตามแนวโน้มและต้องขอบคุณการระเบิดทางดิจิทัลที่แพร่กระจายไปทั่วโลก การโฮสต์เว็บไซต์ในปัจจุบันจึงเป็นอันตรายมากขึ้นเรื่อยๆ
สิ่งนี้เลวร้ายยิ่งกว่าเดิม เนื่องจากคนส่วนใหญ่ที่เป็นเจ้าของเว็บไซต์พยายามสร้างรายได้จากพวกเขา ซึ่งหมายความว่ามีโอกาสที่จะส่งผลกระทบอย่างมีนัยสำคัญ
แม้ว่าปีที่แล้ว Google เตือนถึงการมุ่งเน้นที่การปรับปรุงในความพร้อมของมือถือสำหรับเว็บไซต์ แต่ปี 2018 ก็พบว่ามัลแวร์บนมือถือมีการโจมตีเพิ่มขึ้นเป็นสองเท่า แม้ว่าสิ่งนี้อาจเกี่ยวข้องกันอย่างหลวม ๆ เท่านั้น แต่สามารถมองเห็นแนวโน้มทั่วไปของภัยคุกคามความปลอดภัยทางไซเบอร์ที่ติดตามฝูงชนได้
การรักษาความปลอดภัยของเว็บโฮสติ้งอาจเป็นเรื่องที่ท้าทาย โดยเฉพาะสำหรับเว็บไซต์ขนาดเล็กที่มีทรัพยากรจำกัด ท้ายที่สุดแล้ว หากแม้แต่สถาบันการเงินที่มีงบประมาณความปลอดภัยทางไซเบอร์มูลค่าหลายพันล้านดอลลาร์สามารถถูกละเมิดได้ ความหวังสำหรับพวกเราที่เหลือคืออะไร?
ไม่ถูกต้องทั้งหมด
การยอมแพ้และเพิกเฉยต่อภัยคุกคามทางไซเบอร์เพียงเพราะคุณคิดว่าคุณไม่มีทรัพยากรที่จะเอาชนะสิ่งเหล่านี้ถือเป็นความผิดพลาด การโจมตีทางไซเบอร์ใช้เวลาและทรัพยากรมากขึ้นในการเจาะเป้าหมายที่มีมูลค่าสูง เนื่องจากมีโอกาสได้รับเงินจำนวนมาก
อย่างไรก็ตาม สำหรับไซต์ขนาดเล็ก การรักษาสิ่งต่าง ๆ ในมุมมองและปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของเว็บโฮสติ้งมาตรฐานก็เพียงพอแล้วที่จะบรรเทาปัญหาส่วนใหญ่ได้ เว้นแต่คุณจะทำให้ใครบางคนไม่พอใจคุณมากด้วยเหตุผลบางอย่าง
วันนี้ผมจะมาแบ่งปันแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของเว็บโฮสติ้ง รวมทั้งเสนอเคล็ดลับที่นำไปใช้ได้จริง ซึ่งคุณสามารถลองใช้เพื่อเพิ่มการป้องกันของคุณ
ไม่สามารถเข้าถึงเว็บไซต์ของคุณ? คุณถูกแฮ็กหรือไม่? ลืมรหัสผ่านหรือทั้งบัญชี? ไฟล์หลักของคุณถูกบุกรุกหรือไม่? สคริปต์การกู้คืนฉุกเฉินฟรี จะช่วยไขฝันร้ายของคุณได้ด้วยคลิกเดียว
10 แนวทางปฏิบัติด้านความปลอดภัยของเว็บโฮสติ้งที่ดีที่สุดที่ควรปฏิบัติตาม
1. ติดกับผู้ให้บริการเว็บโฮสติ้งที่มีชื่อเสียง
ผู้ให้บริการเว็บโฮสติ้งของคุณมีบทบาทในการรักษาความปลอดภัยเว็บไซต์ของคุณมากกว่าที่คุณคิด จากพื้นที่ทางกายภาพ เว็บไซต์ของคุณอยู่ในการรับส่งข้อมูลที่เข้าและออกจากเว็บไซต์ของคุณ ผู้ให้บริการเว็บโฮสติ้งของคุณมีบทบาทใกล้ชิดอย่างยิ่งในประเด็นที่เกี่ยวข้องกับความปลอดภัยของคุณ
ตัวอย่างเช่น มักเป็นโฮสต์เว็บที่ดูแลรายการโฆษณามาตรฐาน เช่น โปรแกรมป้องกันไวรัสและป้องกันมัลแวร์ ผู้ให้บริการเว็บโฮสติ้งบางรายเสนอระบบป้องกันสแปม ระบบสำรองและกู้คืนข้อมูลอัตโนมัติ และหากคุณโชคดี ก็สามารถใช้ประโยชน์จากเครือข่ายการกระจายเนื้อหา (CDN) ได้
เคล็ดลับ : ทำให้การรักษาความปลอดภัยเป็นปัจจัยหลักในการพิจารณาเมื่อเลือกโฮสต์เว็บ หากคุณเคยโฮสต์เว็บไซต์มาระยะหนึ่งแล้ว และเว็บไซต์ได้เติบโตขึ้นจนถึงจุดที่คุณสามารถปรับเปลี่ยนบัญชีโฮสติ้ง VPS ได้ เราขอแนะนำให้คุณดำเนินการโดยเร็วที่สุด โฮสติ้ง VPS มีคุณสมบัติด้านความปลอดภัยที่ดีกว่าบัญชีโฮสติ้งที่ใช้ร่วมกันแบบมาตรฐาน
2. ใช้ CDN
ดังที่ได้กล่าวไว้ข้างต้น โฮสต์เว็บบางแห่งสามารถทำงานร่วมกับ CDN ได้ แต่ถ้าไม่สามารถดำเนินการได้ คุณก็สามารถทำได้ด้วยตัวเองเช่นกัน CDN ช่วยให้บริการหน้าเว็บของคุณแก่ผู้เยี่ยมชมได้รวดเร็วยิ่งขึ้นด้วยการโฮสต์แคชของไซต์ของคุณที่เซิร์ฟเวอร์ทั่วโลก เมื่อมีการร้องขอการเข้าถึงไซต์ของคุณ อันดับแรก CDN จะให้บริการข้อมูลที่แคชไว้จากตำแหน่งที่ใกล้กับตำแหน่งที่ขอมากที่สุด
อย่างไรก็ตาม นอกเหนือจากข้อได้เปรียบด้านความเร็วแล้ว CDN ยังใช้ประโยชน์จากเครือข่ายเซิร์ฟเวอร์ขนาดใหญ่เพื่อเสนอสิ่งที่เรียกว่าการทำโหลดบาลานซ์ ซึ่งหมายความว่าเมื่อใช้ CDN คุณจะใช้ทรัพยากรเซิร์ฟเวอร์บางส่วนและคุณสามารถจัดการผู้เยี่ยมชมจำนวนมากขึ้นได้
ที่เกี่ยวข้องกับส่วนที่ดีที่สุดของการใช้ CDN การป้องกันการโจมตี Distributed Denial of Service (DDoS) การโจมตี DDoS พยายามครอบงำและปิดเว็บไซต์โดยส่งคำขอจำนวนมากจนกว่าเซิร์ฟเวอร์จะปิด อย่างไรก็ตาม CDN ได้รับการออกแบบมาเพื่อเสริมความปลอดภัยด้วยการชดเชยผ่านเครือข่ายเซิร์ฟเวอร์ของตน
เคล็ดลับ : ลองใช้ Cloudflare เป็น CDN ของคุณ มีบัญชีฟรีพร้อมคุณสมบัติพื้นฐาน และคุณสามารถปรับขนาดได้เมื่อความต้องการของคุณเปลี่ยนไป
3. ใช้ใบรับรอง SSL เสมอ
ใบรับรอง Secure Sockets Layer (SSL) ช่วยให้แน่ใจว่าผู้เยี่ยมชมของคุณข้อมูลที่พวกเขาแบ่งปันบนไซต์ของคุณได้รับการเข้ารหัสและจะปลอดภัย ปัจจุบัน SSL มีความสำคัญมากจนเบราว์เซอร์อินเทอร์เน็ตรายใหญ่จะเตือนผู้ใช้หากเว็บไซต์ไม่ได้ใช้ SSL
มีใบรับรอง SSL อยู่สองสามประเภทและราคาสำหรับแต่ละประเภทจะแตกต่างกันไป วางใจได้ว่าหากคุณใช้งานเว็บไซต์ส่วนตัวหรือแม้แต่เว็บไซต์สำหรับธุรกิจขนาดเล็ก คุณสามารถใช้ใบรับรอง SSL ฟรีได้อย่างง่ายดาย ง่ายต่อการรับและติดตั้ง ที่จริงแล้ว คุณสามารถทำได้ด้วยการคลิกเพียงไม่กี่ครั้งใน Plesk หรือ cPanel
เคล็ดลับ : คุณสามารถรับใบรับรอง SSL ฟรีจาก Let's Encrypt ได้โดยตรงจากพวกเขา แต่จะดีกว่าถ้าโฮสต์เว็บของคุณให้บริการนี้ โฮสต์เว็บในเดือนพฤษภาคมนี้จะทำให้การติดตั้ง Let's Encrypt ฟรี SSL เป็นเรื่องง่าย
4. สำรองข้อมูลไว้เสมอ
สำรองและกู้คืนอัตโนมัติด้วย WPX Hosting
แม้ว่าจะมีโฮสต์เว็บที่เสนอคุณสมบัติการสำรองและกู้คืน แต่บางเว็บก็ยังไม่มี โดยไม่คำนึงถึงสิ่งนี้ คุณควรสำรองข้อมูลของคุณเองและเก็บชุดของไฟล์แบบออฟไลน์ไว้เสมอ เผื่อไว้ นี้อาจฟังดูน่าเบื่อเล็กน้อยสำหรับคุณ แต่คุณไม่รู้ว่าโฮสต์ของคุณตั้งค่าระบบสำรองอย่างไร หรืออะไรจะเกิดขึ้นในภัยพิบัติ การสำรองข้อมูลแบบออฟไลน์ (ของทั้งไฟล์และฐานข้อมูลของคุณ!) สามารถช่วยชีวิตได้
เคล็ดลับ : กระบวนการสำรองข้อมูลออฟไลน์แบบอัตโนมัติทำได้ง่ายกว่าที่คุณคิด โดยเฉพาะหากคุณใช้ WordPress ใช้ปลั๊กอินสำรอง UpdraftPlus และคุณสามารถสำรองข้อมูลจากระยะไกลได้ทุกความถี่ไปยังปลายทางที่คุณเลือก คุณอาจต้องการตรวจสอบ บริการสำรองข้อมูลเหล่านี้สำหรับ WordPress
5. เสริมสร้างรหัสผ่าน
คุณเคยได้ยินเกี่ยวกับเรื่องนี้ เคยดูในภาพยนตร์ และอาจมีความผิดที่ทำเอง แต่การใช้รหัสผ่านที่จำง่ายเป็นสูตรสำหรับหายนะ แฮ็กเกอร์ในทุกวันนี้มีความซับซ้อนพอที่จะมีไฟล์ทั้งหมดที่เรียกว่าพจนานุกรมซึ่งเต็มไปด้วยรหัสผ่านที่ใช้กันทั่วไป ซึ่งพวกเขาจะทดสอบกับการป้องกันของเว็บไซต์
บ็อตเน็ตสามารถบังคับรหัสผ่านหกอักขระได้ในเวลาประมาณสี่ชั่วโมง โปรดจำไว้ว่านี่เป็นการทำงานอัตโนมัติทั้งหมด ดังนั้นในขณะที่คุณและผู้โจมตีทางไซเบอร์กำลังหลับอยู่ บอทจะพยายามบุกเข้าไปในเว็บไซต์
เคล็ดลับ : ใช้รหัสผ่านที่ยาวและซับซ้อนกว่า ซึ่งควรประกอบด้วยอักขระตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข และอักขระพิเศษผสมกัน
6. เข้ารหัสการเชื่อมต่อของคุณเอง
เนื่องจากคุณเป็นเจ้าของเว็บไซต์ของคุณ การเชื่อมต่อกับบัญชีเว็บโฮสติ้งของคุณควรได้รับการรักษาความปลอดภัยมากกว่าหนึ่งรายการจากผู้เยี่ยมชมของคุณ ฉันแนะนำให้คุณถ่ายโอนไฟล์โดยใช้ Secure File Transfer Protocol (SFTP) หรือผ่านการเชื่อมต่อ Virtual Private Network (VPN)
ทั้งสองวิธีจะช่วยป้องกันไม่ให้ใครก็ตามพยายามสกัดกั้นและขโมยข้อมูลที่คุณส่งไปยังเว็บเซิร์ฟเวอร์ของคุณ โดยส่วนตัวแล้ว ฉันแนะนำให้ใช้ VPN แม้ว่าโดยทั่วไปแล้วค่าใช้จ่ายจะสูงกว่าการใช้ไคลเอ็นต์ SFTP VPN ทำงานโดยเข้ารหัสทุกอย่างที่ส่งออกจากคอมพิวเตอร์ของคุณ ครอบคลุมทุกสถานการณ์!
เคล็ดลับ : หาก VPN ไม่ใช่ถ้วยชาของคุณ มีไคลเอนต์ SFTP ฟรีมากมายให้คุณใช้งาน ฉันแนะนำ FileZilla ซึ่งทรงพลังอย่างยิ่งและเป็นโอเพ่นซอร์ส
7. ปรับปรุงสิ่งต่าง ๆ
วิธีหนึ่งที่ผู้โจมตีพยายามเข้าถึงเว็บไซต์คือการใช้ประโยชน์จากจุดอ่อนที่ทราบในซอฟต์แวร์ ซอฟต์แวร์เกือบทั้งหมดมีข้อบกพร่องหรือช่องโหว่บางประเภท และหลายซอฟต์แวร์กำลังได้รับการอัปเดตอย่างต่อเนื่องเพื่อบล็อกช่องว่างเหล่านี้เมื่อนักพัฒนาค้นพบ
ตรวจสอบให้แน่ใจว่าคุณได้อัปเดตซอฟต์แวร์ทั้งหมดที่คุณใช้สำหรับเว็บไซต์ของคุณอยู่เสมอหากเป็นไปได้ หากคุณกำลังใช้ WordPress ตรวจสอบให้แน่ใจว่าไม่ใช่แค่การติดตั้ง WordPress ของคุณเท่านั้นที่ได้รับการอัปเดต แต่ยังรวมถึงปลั๊กอินหรือธีมแต่ละตัวที่คุณติดตั้งด้วย
เคล็ดลับ : โฮสต์เว็บบางแห่งเสนอการอัปเดตด้วยคลิกเดียวสำหรับไซต์ WordPress ที่จะช่วยให้คุณอัปเดตได้อย่างรวดเร็ว ไม่ใช่แค่ไซต์เดียว แต่ไซต์ทั้งหมดของคุณโฮสต์ภายใต้บัญชีของคุณ
8. ใช้ประโยชน์จากไฟล์การกำหนดค่าเซิร์ฟเวอร์
ประเภทของไฟล์การกำหนดค่าเซิร์ฟเวอร์ที่คุณต้องจัดการ ขึ้นอยู่กับว่าคุณใช้แพลตฟอร์มเว็บโฮสติ้งอะไร ตัวอย่างเช่น Apache ใช้ .htaccess ในขณะที่ Microsoft ใช้ไฟล์ web.config ไฟล์การกำหนดค่าเหล่านี้มีประสิทธิภาพอย่างยิ่งและสามารถใช้เพื่อเพิ่มความปลอดภัยให้กับไซต์ของคุณได้
การเพิ่มกฎที่ถูกต้องลงในไฟล์การกำหนดค่าเซิร์ฟเวอร์ของคุณ จะทำให้คุณสามารถป้องกันการเรียกดูไดเรกทอรี หยุดไม่ให้ผู้อื่นเชื่อมโยงไปยังรูปภาพบนไซต์ของคุณ และแม้กระทั่งปกป้องไฟล์บางไฟล์
เคล็ดลับ : หากคุณไม่แน่ใจว่าคุณกำลังใช้เว็บเซิร์ฟเวอร์ใด คุณสามารถตรวจสอบได้อย่างรวดเร็วที่นี่
9. ใส่ใจกับการอนุญาตไฟล์
ไฟล์มีคุณสมบัติหลายอย่างที่กำหนดสิ่งที่ผู้ใช้สามารถทำได้และโดยใคร โดยทั่วไป มีสามบทบาทที่สามารถโต้ตอบกับไฟล์ได้ เจ้าของกลุ่มและสาธารณะ สิ่งที่พวกเขาสามารถทำได้กับไฟล์คือการอ่าน เขียน หรือดำเนินการ
เพื่อให้เว็บไซต์ของคุณปลอดภัยอย่างแท้จริง ให้เรียนรู้ว่าไฟล์สำคัญคืออะไร และตรวจสอบการอนุญาตที่แต่ละไฟล์ได้รับการตั้งค่าไว้ การอนุญาตไฟล์ที่กำหนดไว้อย่างไม่ถูกต้องอาจทำให้ทุกคนที่สามารถเข้าถึงไฟล์นั้นสามารถเพิ่มโค้ดที่เป็นอันตรายซึ่งอาจเป็นอันตรายต่อไซต์ของคุณ
เคล็ดลับ : การอนุญาตไฟล์ 666 อนุญาตให้ทุกคนเขียนอะไรก็ได้ในไฟล์ของคุณ – ระวังอย่างยิ่งที่จะใช้การตั้งค่านี้!
10. ใช้การรับรองความถูกต้องด้วยสองปัจจัย
เกี่ยวข้องกับข้อ #5 ไม่ว่ารหัสผ่านจะยาวหรือซับซ้อนแค่ไหน ก็ยังมีโอกาสถูกแคร็กได้ หากนี่เป็นความหวาดกลัวของคุณจริงๆ ฉันขอแนะนำอย่างยิ่งให้คุณมองหาระบบ 2 Factor Authentication (2FA)
การใช้ 2FA หมายความว่านอกเหนือจากรหัสผ่านของคุณ ระบบที่คุณพยายามจะเข้าถึงต้องตรวจสอบตัวตนของคุณด้วยวิธีการอื่น วิธี 2FA ที่เร็วและธรรมดาที่สุดคือการตรวจสอบสิทธิ์ผ่านรหัสมือถือ
เมื่อรหัสผ่านของคุณได้รับการยืนยันแล้ว ระบบจะส่งรหัสไปยังอุปกรณ์มือถือของคุณและแสดงรหัสรับรองความถูกต้องให้กับคุณ คุณต้องป้อนรหัสนั้นลงในระบบก่อนเข้าใช้งาน สิ่งนี้จะเพิ่มความปลอดภัยให้กับระบบของคุณอย่างมาก
เคล็ดลับ : มีระบบ 2FA มากมายในตลาด หากคุณใช้ WordPress คุณสามารถทดลองใช้ฟรีได้เช่น Google Authenticator
สรุป: พูดเบา ๆ และถือแท่งใหญ่
แม้ว่าในที่นี้ ฉันได้ให้ตัวอย่างแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดด้านความปลอดภัยของเว็บโฮสติ้งมาแล้ว 10 ตัวอย่าง ยังมีอีกมาก และบางส่วนอาจเกี่ยวข้องกับมากกว่าหนึ่งรายการที่คุณสามารถทำได้หรือให้ความสนใจเพื่อปรับปรุง ด้วยเหตุนี้ เจ้าของเว็บไซต์จึงอาจติดตามทุกสิ่งได้ยาก โดยเฉพาะอย่างยิ่งหากนั่นไม่ใช่ธุรกิจหลักของคุณ
ฉันแนะนำให้คุณจัดทำรายการตรวจสอบที่คุณระบุทุกสิ่งที่จำเป็นต้องตรวจสอบและแยกตามความถี่ เช่น รายการที่คุณต้องตรวจสอบรายวัน รายสัปดาห์ หรือรายเดือน นี้จะช่วยให้คุณทันความเร็ว
จำไว้ว่าคุณไม่จำเป็นต้องมีความปลอดภัยเว็บไซต์ที่สมบูรณ์แบบ – เป็นไปไม่ได้ สิ่งที่คุณต้องทำจริงๆ คือ ทำสิ่งที่ยากสำหรับผู้โจมตีให้มากที่สุดเท่าที่จะเป็นไปได้ เพื่อที่พวกเขาจะได้หมดความสนใจในเว็บไซต์ของคุณและไปที่การเลือกที่ง่ายขึ้น
ดังที่เท็ดดี้ รูสเวลต์กล่าวไว้ว่า "พูดเบา ๆ และถือไม้เท้าใหญ่" การป้องกันความปลอดภัยของคุณคือไม้เท้าขนาดใหญ่