10 แนวทางปฏิบัติที่ดีที่สุดสำหรับการรักษาความปลอดภัยเว็บโฮสติ้งในปี 2020

ภัยคุกคามเป็นไปตามแนวโน้มและต้องขอบคุณการระเบิดทางดิจิทัลที่แพร่กระจายไปทั่วโลก การโฮสต์เว็บไซต์ในปัจจุบันจึงเป็นอันตรายมากขึ้นเรื่อยๆ

สิ่งนี้เลวร้ายยิ่งกว่าเดิม เนื่องจากคนส่วนใหญ่ที่เป็นเจ้าของเว็บไซต์พยายามสร้างรายได้จากพวกเขา ซึ่งหมายความว่ามีโอกาสที่จะส่งผลกระทบอย่างมีนัยสำคัญ

แม้ว่าปีที่แล้ว Google เตือนถึงการมุ่งเน้นที่การปรับปรุงในความพร้อมของมือถือสำหรับเว็บไซต์ แต่ปี 2018 ก็พบว่ามัลแวร์บนมือถือมีการโจมตีเพิ่มขึ้นเป็นสองเท่า แม้ว่าสิ่งนี้อาจเกี่ยวข้องกันอย่างหลวม ๆ เท่านั้น แต่สามารถมองเห็นแนวโน้มทั่วไปของภัยคุกคามความปลอดภัยทางไซเบอร์ที่ติดตามฝูงชนได้

การรักษาความปลอดภัยของเว็บโฮสติ้งอาจเป็นเรื่องที่ท้าทาย โดยเฉพาะสำหรับเว็บไซต์ขนาดเล็กที่มีทรัพยากรจำกัด ท้ายที่สุดแล้ว หากแม้แต่สถาบันการเงินที่มีงบประมาณความปลอดภัยทางไซเบอร์มูลค่าหลายพันล้านดอลลาร์สามารถถูกละเมิดได้ ความหวังสำหรับพวกเราที่เหลือคืออะไร?

ไม่ถูกต้องทั้งหมด

การยอมแพ้และเพิกเฉยต่อภัยคุกคามทางไซเบอร์เพียงเพราะคุณคิดว่าคุณไม่มีทรัพยากรที่จะเอาชนะสิ่งเหล่านี้ถือเป็นความผิดพลาด การโจมตีทางไซเบอร์ใช้เวลาและทรัพยากรมากขึ้นในการเจาะเป้าหมายที่มีมูลค่าสูง เนื่องจากมีโอกาสได้รับเงินจำนวนมาก

อย่างไรก็ตาม สำหรับไซต์ขนาดเล็ก การรักษาสิ่งต่าง ๆ ในมุมมองและปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของเว็บโฮสติ้งมาตรฐานก็เพียงพอแล้วที่จะบรรเทาปัญหาส่วนใหญ่ได้ เว้นแต่คุณจะทำให้ใครบางคนไม่พอใจคุณมากด้วยเหตุผลบางอย่าง

วันนี้ผมจะมาแบ่งปันแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของเว็บโฮสติ้ง รวมทั้งเสนอเคล็ดลับที่นำไปใช้ได้จริง ซึ่งคุณสามารถลองใช้เพื่อเพิ่มการป้องกันของคุณ

ไม่สามารถเข้าถึงเว็บไซต์ของคุณ? คุณถูกแฮ็กหรือไม่? ลืมรหัสผ่านหรือทั้งบัญชี? ไฟล์หลักของคุณถูกบุกรุกหรือไม่? สคริปต์การกู้คืนฉุกเฉินฟรี จะช่วยไขฝันร้ายของคุณได้ด้วยคลิกเดียว

10 แนวทางปฏิบัติด้านความปลอดภัยของเว็บโฮสติ้งที่ดีที่สุดที่ควรปฏิบัติตาม

1. ติดกับผู้ให้บริการเว็บโฮสติ้งที่มีชื่อเสียง

ผู้ให้บริการเว็บโฮสติ้งของคุณมีบทบาทในการรักษาความปลอดภัยเว็บไซต์ของคุณมากกว่าที่คุณคิด จากพื้นที่ทางกายภาพ เว็บไซต์ของคุณอยู่ในการรับส่งข้อมูลที่เข้าและออกจากเว็บไซต์ของคุณ ผู้ให้บริการเว็บโฮสติ้งของคุณมีบทบาทใกล้ชิดอย่างยิ่งในประเด็นที่เกี่ยวข้องกับความปลอดภัยของคุณ

ตัวอย่างเช่น มักเป็นโฮสต์เว็บที่ดูแลรายการโฆษณามาตรฐาน เช่น โปรแกรมป้องกันไวรัสและป้องกันมัลแวร์ ผู้ให้บริการเว็บโฮสติ้งบางรายเสนอระบบป้องกันสแปม ระบบสำรองและกู้คืนข้อมูลอัตโนมัติ และหากคุณโชคดี ก็สามารถใช้ประโยชน์จากเครือข่ายการกระจายเนื้อหา (CDN) ได้

เคล็ดลับ : ทำให้การรักษาความปลอดภัยเป็นปัจจัยหลักในการพิจารณาเมื่อเลือกโฮสต์เว็บ หากคุณเคยโฮสต์เว็บไซต์มาระยะหนึ่งแล้ว และเว็บไซต์ได้เติบโตขึ้นจนถึงจุดที่คุณสามารถปรับเปลี่ยนบัญชีโฮสติ้ง VPS ได้ เราขอแนะนำให้คุณดำเนินการโดยเร็วที่สุด โฮสติ้ง VPS มีคุณสมบัติด้านความปลอดภัยที่ดีกว่าบัญชีโฮสติ้งที่ใช้ร่วมกันแบบมาตรฐาน

2. ใช้ CDN

ดังที่ได้กล่าวไว้ข้างต้น โฮสต์เว็บบางแห่งสามารถทำงานร่วมกับ CDN ได้ แต่ถ้าไม่สามารถดำเนินการได้ คุณก็สามารถทำได้ด้วยตัวเองเช่นกัน CDN ช่วยให้บริการหน้าเว็บของคุณแก่ผู้เยี่ยมชมได้รวดเร็วยิ่งขึ้นด้วยการโฮสต์แคชของไซต์ของคุณที่เซิร์ฟเวอร์ทั่วโลก เมื่อมีการร้องขอการเข้าถึงไซต์ของคุณ อันดับแรก CDN จะให้บริการข้อมูลที่แคชไว้จากตำแหน่งที่ใกล้กับตำแหน่งที่ขอมากที่สุด

อย่างไรก็ตาม นอกเหนือจากข้อได้เปรียบด้านความเร็วแล้ว CDN ยังใช้ประโยชน์จากเครือข่ายเซิร์ฟเวอร์ขนาดใหญ่เพื่อเสนอสิ่งที่เรียกว่าการทำโหลดบาลานซ์ ซึ่งหมายความว่าเมื่อใช้ CDN คุณจะใช้ทรัพยากรเซิร์ฟเวอร์บางส่วนและคุณสามารถจัดการผู้เยี่ยมชมจำนวนมากขึ้นได้

ที่เกี่ยวข้องกับส่วนที่ดีที่สุดของการใช้ CDN การป้องกันการโจมตี Distributed Denial of Service (DDoS) การโจมตี DDoS พยายามครอบงำและปิดเว็บไซต์โดยส่งคำขอจำนวนมากจนกว่าเซิร์ฟเวอร์จะปิด อย่างไรก็ตาม CDN ได้รับการออกแบบมาเพื่อเสริมความปลอดภัยด้วยการชดเชยผ่านเครือข่ายเซิร์ฟเวอร์ของตน

เคล็ดลับ : ลองใช้ Cloudflare เป็น CDN ของคุณ มีบัญชีฟรีพร้อมคุณสมบัติพื้นฐาน และคุณสามารถปรับขนาดได้เมื่อความต้องการของคุณเปลี่ยนไป

3. ใช้ใบรับรอง SSL เสมอ

ใบรับรอง Secure Sockets Layer (SSL) ช่วยให้แน่ใจว่าผู้เยี่ยมชมของคุณข้อมูลที่พวกเขาแบ่งปันบนไซต์ของคุณได้รับการเข้ารหัสและจะปลอดภัย ปัจจุบัน SSL มีความสำคัญมากจนเบราว์เซอร์อินเทอร์เน็ตรายใหญ่จะเตือนผู้ใช้หากเว็บไซต์ไม่ได้ใช้ SSL

มีใบรับรอง SSL อยู่สองสามประเภทและราคาสำหรับแต่ละประเภทจะแตกต่างกันไป วางใจได้ว่าหากคุณใช้งานเว็บไซต์ส่วนตัวหรือแม้แต่เว็บไซต์สำหรับธุรกิจขนาดเล็ก คุณสามารถใช้ใบรับรอง SSL ฟรีได้อย่างง่ายดาย ง่ายต่อการรับและติดตั้ง ที่จริงแล้ว คุณสามารถทำได้ด้วยการคลิกเพียงไม่กี่ครั้งใน Plesk หรือ cPanel

เคล็ดลับ : คุณสามารถรับใบรับรอง SSL ฟรีจาก Let's Encrypt ได้โดยตรงจากพวกเขา แต่จะดีกว่าถ้าโฮสต์เว็บของคุณให้บริการนี้ โฮสต์เว็บในเดือนพฤษภาคมนี้จะทำให้การติดตั้ง Let's Encrypt ฟรี SSL เป็นเรื่องง่าย

4. สำรองข้อมูลไว้เสมอ

สำรองและกู้คืนอัตโนมัติด้วย WPX Hosting

แม้ว่าจะมีโฮสต์เว็บที่เสนอคุณสมบัติการสำรองและกู้คืน แต่บางเว็บก็ยังไม่มี โดยไม่คำนึงถึงสิ่งนี้ คุณควรสำรองข้อมูลของคุณเองและเก็บชุดของไฟล์แบบออฟไลน์ไว้เสมอ เผื่อไว้ นี้อาจฟังดูน่าเบื่อเล็กน้อยสำหรับคุณ แต่คุณไม่รู้ว่าโฮสต์ของคุณตั้งค่าระบบสำรองอย่างไร หรืออะไรจะเกิดขึ้นในภัยพิบัติ การสำรองข้อมูลแบบออฟไลน์ (ของทั้งไฟล์และฐานข้อมูลของคุณ!) สามารถช่วยชีวิตได้

เคล็ดลับ : กระบวนการสำรองข้อมูลออฟไลน์แบบอัตโนมัติทำได้ง่ายกว่าที่คุณคิด โดยเฉพาะหากคุณใช้ WordPress ใช้ปลั๊กอินสำรอง UpdraftPlus และคุณสามารถสำรองข้อมูลจากระยะไกลได้ทุกความถี่ไปยังปลายทางที่คุณเลือก คุณอาจต้องการตรวจสอบ บริการสำรองข้อมูลเหล่านี้สำหรับ WordPress

5. เสริมสร้างรหัสผ่าน

คุณเคยได้ยินเกี่ยวกับเรื่องนี้ เคยดูในภาพยนตร์ และอาจมีความผิดที่ทำเอง แต่การใช้รหัสผ่านที่จำง่ายเป็นสูตรสำหรับหายนะ แฮ็กเกอร์ในทุกวันนี้มีความซับซ้อนพอที่จะมีไฟล์ทั้งหมดที่เรียกว่าพจนานุกรมซึ่งเต็มไปด้วยรหัสผ่านที่ใช้กันทั่วไป ซึ่งพวกเขาจะทดสอบกับการป้องกันของเว็บไซต์

บ็อตเน็ตสามารถบังคับรหัสผ่านหกอักขระได้ในเวลาประมาณสี่ชั่วโมง โปรดจำไว้ว่านี่เป็นการทำงานอัตโนมัติทั้งหมด ดังนั้นในขณะที่คุณและผู้โจมตีทางไซเบอร์กำลังหลับอยู่ บอทจะพยายามบุกเข้าไปในเว็บไซต์

เคล็ดลับ : ใช้รหัสผ่านที่ยาวและซับซ้อนกว่า ซึ่งควรประกอบด้วยอักขระตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข และอักขระพิเศษผสมกัน

6. เข้ารหัสการเชื่อมต่อของคุณเอง

เนื่องจากคุณเป็นเจ้าของเว็บไซต์ของคุณ การเชื่อมต่อกับบัญชีเว็บโฮสติ้งของคุณควรได้รับการรักษาความปลอดภัยมากกว่าหนึ่งรายการจากผู้เยี่ยมชมของคุณ ฉันแนะนำให้คุณถ่ายโอนไฟล์โดยใช้ Secure File Transfer Protocol (SFTP) หรือผ่านการเชื่อมต่อ Virtual Private Network (VPN)

ทั้งสองวิธีจะช่วยป้องกันไม่ให้ใครก็ตามพยายามสกัดกั้นและขโมยข้อมูลที่คุณส่งไปยังเว็บเซิร์ฟเวอร์ของคุณ โดยส่วนตัวแล้ว ฉันแนะนำให้ใช้ VPN แม้ว่าโดยทั่วไปแล้วค่าใช้จ่ายจะสูงกว่าการใช้ไคลเอ็นต์ SFTP VPN ทำงานโดยเข้ารหัสทุกอย่างที่ส่งออกจากคอมพิวเตอร์ของคุณ ครอบคลุมทุกสถานการณ์!

เคล็ดลับ : หาก VPN ไม่ใช่ถ้วยชาของคุณ มีไคลเอนต์ SFTP ฟรีมากมายให้คุณใช้งาน ฉันแนะนำ FileZilla ซึ่งทรงพลังอย่างยิ่งและเป็นโอเพ่นซอร์ส

7. ปรับปรุงสิ่งต่าง ๆ

วิธีหนึ่งที่ผู้โจมตีพยายามเข้าถึงเว็บไซต์คือการใช้ประโยชน์จากจุดอ่อนที่ทราบในซอฟต์แวร์ ซอฟต์แวร์เกือบทั้งหมดมีข้อบกพร่องหรือช่องโหว่บางประเภท และหลายซอฟต์แวร์กำลังได้รับการอัปเดตอย่างต่อเนื่องเพื่อบล็อกช่องว่างเหล่านี้เมื่อนักพัฒนาค้นพบ

ตรวจสอบให้แน่ใจว่าคุณได้อัปเดตซอฟต์แวร์ทั้งหมดที่คุณใช้สำหรับเว็บไซต์ของคุณอยู่เสมอหากเป็นไปได้ หากคุณกำลังใช้ WordPress ตรวจสอบให้แน่ใจว่าไม่ใช่แค่การติดตั้ง WordPress ของคุณเท่านั้นที่ได้รับการอัปเดต แต่ยังรวมถึงปลั๊กอินหรือธีมแต่ละตัวที่คุณติดตั้งด้วย

เคล็ดลับ : โฮสต์เว็บบางแห่งเสนอการอัปเดตด้วยคลิกเดียวสำหรับไซต์ WordPress ที่จะช่วยให้คุณอัปเดตได้อย่างรวดเร็ว ไม่ใช่แค่ไซต์เดียว แต่ไซต์ทั้งหมดของคุณโฮสต์ภายใต้บัญชีของคุณ

8. ใช้ประโยชน์จากไฟล์การกำหนดค่าเซิร์ฟเวอร์

ประเภทของไฟล์การกำหนดค่าเซิร์ฟเวอร์ที่คุณต้องจัดการ ขึ้นอยู่กับว่าคุณใช้แพลตฟอร์มเว็บโฮสติ้งอะไร ตัวอย่างเช่น Apache ใช้ .htaccess ในขณะที่ Microsoft ใช้ไฟล์ web.config ไฟล์การกำหนดค่าเหล่านี้มีประสิทธิภาพอย่างยิ่งและสามารถใช้เพื่อเพิ่มความปลอดภัยให้กับไซต์ของคุณได้

การเพิ่มกฎที่ถูกต้องลงในไฟล์การกำหนดค่าเซิร์ฟเวอร์ของคุณ จะทำให้คุณสามารถป้องกันการเรียกดูไดเรกทอรี หยุดไม่ให้ผู้อื่นเชื่อมโยงไปยังรูปภาพบนไซต์ของคุณ และแม้กระทั่งปกป้องไฟล์บางไฟล์

เคล็ดลับ : หากคุณไม่แน่ใจว่าคุณกำลังใช้เว็บเซิร์ฟเวอร์ใด คุณสามารถตรวจสอบได้อย่างรวดเร็วที่นี่

9. ใส่ใจกับการอนุญาตไฟล์

ไฟล์มีคุณสมบัติหลายอย่างที่กำหนดสิ่งที่ผู้ใช้สามารถทำได้และโดยใคร โดยทั่วไป มีสามบทบาทที่สามารถโต้ตอบกับไฟล์ได้ เจ้าของกลุ่มและสาธารณะ สิ่งที่พวกเขาสามารถทำได้กับไฟล์คือการอ่าน เขียน หรือดำเนินการ

เพื่อให้เว็บไซต์ของคุณปลอดภัยอย่างแท้จริง ให้เรียนรู้ว่าไฟล์สำคัญคืออะไร และตรวจสอบการอนุญาตที่แต่ละไฟล์ได้รับการตั้งค่าไว้ การอนุญาตไฟล์ที่กำหนดไว้อย่างไม่ถูกต้องอาจทำให้ทุกคนที่สามารถเข้าถึงไฟล์นั้นสามารถเพิ่มโค้ดที่เป็นอันตรายซึ่งอาจเป็นอันตรายต่อไซต์ของคุณ

เคล็ดลับ : การอนุญาตไฟล์ 666 อนุญาตให้ทุกคนเขียนอะไรก็ได้ในไฟล์ของคุณ – ระวังอย่างยิ่งที่จะใช้การตั้งค่านี้!

10. ใช้การรับรองความถูกต้องด้วยสองปัจจัย

เกี่ยวข้องกับข้อ #5 ไม่ว่ารหัสผ่านจะยาวหรือซับซ้อนแค่ไหน ก็ยังมีโอกาสถูกแคร็กได้ หากนี่เป็นความหวาดกลัวของคุณจริงๆ ฉันขอแนะนำอย่างยิ่งให้คุณมองหาระบบ 2 Factor Authentication (2FA)

การใช้ 2FA หมายความว่านอกเหนือจากรหัสผ่านของคุณ ระบบที่คุณพยายามจะเข้าถึงต้องตรวจสอบตัวตนของคุณด้วยวิธีการอื่น วิธี 2FA ที่เร็วและธรรมดาที่สุดคือการตรวจสอบสิทธิ์ผ่านรหัสมือถือ

เมื่อรหัสผ่านของคุณได้รับการยืนยันแล้ว ระบบจะส่งรหัสไปยังอุปกรณ์มือถือของคุณและแสดงรหัสรับรองความถูกต้องให้กับคุณ คุณต้องป้อนรหัสนั้นลงในระบบก่อนเข้าใช้งาน สิ่งนี้จะเพิ่มความปลอดภัยให้กับระบบของคุณอย่างมาก

เคล็ดลับ : มีระบบ 2FA มากมายในตลาด หากคุณใช้ WordPress คุณสามารถทดลองใช้ฟรีได้เช่น Google Authenticator

สรุป: พูดเบา ๆ และถือแท่งใหญ่

แม้ว่าในที่นี้ ฉันได้ให้ตัวอย่างแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดด้านความปลอดภัยของเว็บโฮสติ้งมาแล้ว 10 ตัวอย่าง ยังมีอีกมาก และบางส่วนอาจเกี่ยวข้องกับมากกว่าหนึ่งรายการที่คุณสามารถทำได้หรือให้ความสนใจเพื่อปรับปรุง ด้วยเหตุนี้ เจ้าของเว็บไซต์จึงอาจติดตามทุกสิ่งได้ยาก โดยเฉพาะอย่างยิ่งหากนั่นไม่ใช่ธุรกิจหลักของคุณ

ฉันแนะนำให้คุณจัดทำรายการตรวจสอบที่คุณระบุทุกสิ่งที่จำเป็นต้องตรวจสอบและแยกตามความถี่ เช่น รายการที่คุณต้องตรวจสอบรายวัน รายสัปดาห์ หรือรายเดือน นี้จะช่วยให้คุณทันความเร็ว

จำไว้ว่าคุณไม่จำเป็นต้องมีความปลอดภัยเว็บไซต์ที่สมบูรณ์แบบ – เป็นไปไม่ได้ สิ่งที่คุณต้องทำจริงๆ คือ ทำสิ่งที่ยากสำหรับผู้โจมตีให้มากที่สุดเท่าที่จะเป็นไปได้ เพื่อที่พวกเขาจะได้หมดความสนใจในเว็บไซต์ของคุณและไปที่การเลือกที่ง่ายขึ้น

ดังที่เท็ดดี้ รูสเวลต์กล่าวไว้ว่า "พูดเบา ๆ และถือไม้เท้าใหญ่" การป้องกันความปลอดภัยของคุณคือไม้เท้าขนาดใหญ่