วิธีรักษาความปลอดภัยให้กับเว็บไซต์

เนื้อหา

• ขั้นตอน

บทความนี้เขียนขึ้นโดยความร่วมมือของบรรณาธิการและนักวิจัยที่มีคุณสมบัติเหมาะสมเพื่อรับประกันความถูกต้องและครบถ้วนของเนื้อหา

มี 7 แหล่งอ้างอิงที่อ้างถึงในบทความนี้พวกเขาอยู่ที่ด้านล่างของหน้า

ทีมจัดการเนื้อหาของ ตรวจสอบงานของกองบรรณาธิการอย่างละเอียดเพื่อให้แน่ใจว่าแต่ละรายการเป็นไปตามมาตรฐานคุณภาพสูงของเรา

หากคุณมีเว็บไซต์คุณต้องแน่ใจว่าได้ป้องกันเว็บไซต์จากการโจมตีที่อาจเกิดขึ้น การใช้ใบรับรอง SSL และการเข้ารหัส HTTPS เป็นวิธีที่ดีที่สุดในการรักษาความปลอดภัยที่อยู่ แต่ก็ยังมีสิ่งอื่น ๆ ที่ต้องตรวจสอบเพื่อป้องกันการโจมตีของแฮกเกอร์หรือมัลแวร์จากความปลอดภัยของเว็บไซต์ของคุณ

ขั้นตอน

1. 
   

   
   ทำให้ไซต์ของคุณทันสมัย หากคุณไม่อัปเดตซอฟต์แวร์ความปลอดภัยและสคริปต์ของไซต์ของคุณหากจำเป็นคุณจะให้ความสามารถในการเจาะผู้บุกรุกและมัลแวร์ได้
   • สิ่งนี้ใช้กับการแก้ไขโฮสต์ของคุณ (ถ้าคุณมี) ทันทีที่การอัปเดตพร้อมใช้งานสำหรับไซต์ของคุณให้ติดตั้งโดยเร็วที่สุด
   • คุณต้องทำให้แน่ใจว่าคุณทำให้ใบรับรองของไซต์ของคุณทันสมัย แม้ว่ามันจะไม่ส่งผลกระทบโดยตรงต่อความปลอดภัยของเว็บไซต์ของคุณ แต่มันจะทำให้มันปรากฏในผลการค้นหา

2. 
   

   
   ใช้โมดูลความปลอดภัย คุณต้องเพิ่มซอฟต์แวร์หรือส่วนเสริม คุณสามารถสมัครสมาชิกเพื่อสมัครสมาชิกไปยังเว็บไซต์ที่นำเสนอโซลูชั่นไฟร์วอลล์สำหรับการป้องกันอย่างถาวรและบริการโฮสติ้งบางอย่างเช่น Wordpress ยังเสนอโปรแกรมเสริมประเภทเดียวกัน เช่นเดียวกับที่คุณปกป้องคอมพิวเตอร์ของคุณด้วยซอฟต์แวร์ป้องกันไวรัสขอแนะนำให้เว็บไซต์ของคุณได้รับการปกป้องด้วยซอฟต์แวร์เฉพาะเพื่อความปลอดภัย
   • ไฟร์วอลล์ Sucuri เป็นวิธีการชำระเงินที่ดีและคุณควรจะสามารถค้นหาไฟร์วอลล์หรือโมดูลความปลอดภัยได้ฟรี Wordpress, Weebly, Wix และบริการโฮสต์อื่น ๆ
   • โซลูชันไฟร์วอลล์โดยทั่วไปทำงานบนหลักการโฮสต์ออนไลน์ซึ่งหมายความว่าคุณไม่จำเป็นต้องดาวน์โหลดซอฟต์แวร์ลงในคอมพิวเตอร์ของคุณเพื่อใช้งาน

3. 
   

   
   
   
   บล็อกการดาวน์โหลด การอนุญาตให้ผู้ใช้อัปโหลดไฟล์ไปยังไซต์ของคุณสร้างช่องโหว่ด้านความปลอดภัย หากเป็นไปได้ให้ลบแบบฟอร์มหรือส่วนใด ๆ ของเว็บไซต์ที่ผู้ใช้อาจอัปโหลดไฟล์ไปยังเว็บไซต์ของคุณ
   • การ จำกัด แบบฟอร์มให้ยอมรับไฟล์ประเภทเดียวเท่านั้น (เช่น JPG สำหรับรูปภาพ) เป็นอีกวิธีหนึ่งในการแก้ไขปัญหานี้
   • สิ่งนี้อาจซับซ้อนเล็กน้อยหากไซต์ของคุณใช้หน้าแบบฟอร์มสำหรับไฟล์เช่นจดหมายปะหน้า คุณสามารถแก้ไขปัญหานี้ได้โดยสร้างที่อยู่อีเมลและเพิ่มไปยังหน้าของคุณ ติดต่อดังนั้นผู้ใช้จะสามารถส่งอีเมลไฟล์ได้แทนที่จะอัปโหลดไปยังเว็บไซต์ของคุณ

4. 
   

   
   ติดตั้งใบรับรอง SSL ใบรับรอง SSL ใช้เพื่อยืนยันว่าเว็บไซต์ของคุณปลอดภัยและข้อมูลที่ผ่านระหว่างเซิร์ฟเวอร์ของคุณและเบราว์เซอร์ของผู้ใช้จะถูกเข้ารหัส โดยปกติคุณจะต้องจ่ายค่าธรรมเนียมรายปีเพื่อเก็บใบรับรอง SSL ของคุณ
   • ตัวเลือกโซลูชัน SSL รวมถึง GoGetSSL และ SSLs.com
   • บริการฟรี ให้เข้ารหัส อาจมอบใบรับรอง SSL ให้คุณด้วย
   • เมื่อคุณเลือกใบรับรอง SSL คุณมีสามตัวเลือก ได้แก่ การตรวจสอบความถูกต้องของโดเมนการตรวจสอบความถูกต้องขององค์กร (ชื่อ บริษัท และที่ตั้ง) และการตรวจสอบเพิ่มเติม เพื่อที่จะแสดงแถบสีเขียว การรักษาความปลอดภัย ถัดจากที่อยู่ไซต์ของคุณ Google ต้องการการตรวจสอบความถูกต้องขององค์กรและการตรวจสอบเพิ่มเติม

5. 
   

   
   
   
   ใช้การเข้ารหัส HTTPS หลังจากติดตั้งใบรับรอง SSL แล้วเว็บไซต์ของคุณควรมีสิทธิ์รับการเข้ารหัส HTTPS โดยปกติคุณสามารถเปิดใช้งานการเข้ารหัส HTTPS ได้โดยติดตั้งใบรับรอง SSL ของคุณในส่วน ใบรับรอง ของเว็บไซต์ของคุณ
   • ถ้าคุณใช้แพลตฟอร์มเช่น Wordpress หรือ Weeblyไซต์ของคุณอาจใช้ HTTPS อยู่แล้ว
   • ใบรับรอง HTTPS จะต้องต่ออายุทุกปี

6. 
   

   
   สร้างรหัสผ่านที่คาดเดายาก. การใช้รหัสผ่านที่ไม่ซ้ำกันสำหรับส่วนการดูแลระบบของไซต์ของคุณไม่เพียงพอคุณจะต้องสร้างรหัสผ่านที่ซับซ้อนและสุ่มที่จะไม่ใช้ที่อื่นและเก็บรหัสที่อื่นนอกเหนือจากในไดเรกทอรีของเว็บไซต์ของคุณ
   • ตัวอย่างเช่นคุณสามารถใช้ตัวอักษรและตัวเลขรวมกัน 16 ตัว จากนั้นคุณสามารถเก็บรหัสผ่านนี้ไว้ในไฟล์ออฟไลน์ในคอมพิวเตอร์เครื่องอื่นหรือฮาร์ดดิสก์

7. 
   

   
   ซ่อนโฟลเดอร์ของคุณ ผู้ดูแลระบบ. ตั้งชื่อโฟลเดอร์ของคุณที่มีไฟล์สำคัญของเว็บไซต์ "admin" หรือ "root" ของคุณสะดวกมาก แต่น่าเสียดายที่สะดวกสำหรับโจรสลัดที่อาจเกิดขึ้น การเปลี่ยนชื่อเป็น passepartout มากกว่าเดิม (ตัวอย่างเช่น "โฟลเดอร์ใหม่ (2)" หรือ "ประวัติ") จะทำให้ตำแหน่งของพวกเขายากขึ้นสำหรับผู้โจมตี

8. 
   

   
   ทำให้ข้อผิดพลาดง่ายขึ้น หากข้อผิดพลาดของคุณเปิดเผยข้อมูลมากเกินไปแฮกเกอร์หรือมัลแวร์สามารถใช้ประโยชน์เพื่อค้นหาและเข้าถึงโฟลเดอร์รูทของไซต์ของคุณ แทนที่จะให้ข้อมูลโดยละเอียดเกี่ยวกับข้อผิดพลาดของคุณโพสต์ข้อแก้ตัวสั้น ๆ และลิงก์ไปยังหน้าแรกของเว็บไซต์
   • สิ่งนี้ใช้กับข้อผิดพลาดทั้งหมด, หน้า 404 เพื่อข้อผิดพลาด 500 เซิร์ฟเวอร์

9. 
   

   
   เข้ารหัสรหัสผ่านของคุณ หากคุณเก็บรหัสผ่านของผู้ใช้ในเว็บไซต์ของคุณโปรดเข้ารหัสเพื่อเก็บไว้ ข้อผิดพลาดทั่วไปในหลาย ๆ ไซต์คือการเก็บรหัสผ่านให้ชัดเจน ซึ่งหมายความว่าพวกเขาสามารถถูกขโมยได้ง่ายหากผู้โจมตีพบไฟล์ที่มี
   • แม้แต่เว็บไซต์ที่ถือว่าเป็นความผิดพลาดในอดีต

คำแนะนำ

• การจ้างที่ปรึกษาด้านความปลอดภัยเพื่อตรวจสอบสคริปต์ของคุณเป็นวิธีที่เร็วที่สุด (แต่แพงที่สุด) ในการตรวจพบช่องโหว่ที่อาจเกิดขึ้นในเว็บไซต์ของคุณ
• ทดสอบไซต์ของคุณด้วยเครื่องมือทดสอบความปลอดภัย (เช่น Mozilla Observatory) เสมอก่อนที่จะอัปโหลดเวอร์ชันล่าสุด

คำเตือน

• การละเมิดความปลอดภัยถูกค้นพบหลังจากมีผู้ตกเป็นเหยื่อเท่านั้น เพื่อให้ผลที่ตามมาน้อยที่สุดให้ทำการสำรองข้อมูลรายสัปดาห์ของเว็บไซต์ของคุณ (เช่นคอมพิวเตอร์ออฟไลน์หรือฮาร์ดไดรฟ์)