วิธีรักษาความปลอดภัยให้กับเว็บไซต์
ผู้เขียน:
Peter Berry
วันที่สร้าง:
19 สิงหาคม 2021
วันที่อัปเดต:
1 กรกฎาคม 2024
![ปกป้องเว็บไซต์ของเราให้ปลอดภัยด้วย Wordfence Security Plugin 🛡](https://i.ytimg.com/vi/ir2BHwmTOB0/hqdefault.jpg)
เนื้อหา
บทความนี้เขียนขึ้นโดยความร่วมมือของบรรณาธิการและนักวิจัยที่มีคุณสมบัติเหมาะสมเพื่อรับประกันความถูกต้องและครบถ้วนของเนื้อหามี 7 แหล่งอ้างอิงที่อ้างถึงในบทความนี้พวกเขาอยู่ที่ด้านล่างของหน้า
ทีมจัดการเนื้อหาของ ตรวจสอบงานของกองบรรณาธิการอย่างละเอียดเพื่อให้แน่ใจว่าแต่ละรายการเป็นไปตามมาตรฐานคุณภาพสูงของเรา
หากคุณมีเว็บไซต์คุณต้องแน่ใจว่าได้ป้องกันเว็บไซต์จากการโจมตีที่อาจเกิดขึ้น การใช้ใบรับรอง SSL และการเข้ารหัส HTTPS เป็นวิธีที่ดีที่สุดในการรักษาความปลอดภัยที่อยู่ แต่ก็ยังมีสิ่งอื่น ๆ ที่ต้องตรวจสอบเพื่อป้องกันการโจมตีของแฮกเกอร์หรือมัลแวร์จากความปลอดภัยของเว็บไซต์ของคุณ
ขั้นตอน
-
ทำให้ไซต์ของคุณทันสมัย หากคุณไม่อัปเดตซอฟต์แวร์ความปลอดภัยและสคริปต์ของไซต์ของคุณหากจำเป็นคุณจะให้ความสามารถในการเจาะผู้บุกรุกและมัลแวร์ได้- สิ่งนี้ใช้กับการแก้ไขโฮสต์ของคุณ (ถ้าคุณมี) ทันทีที่การอัปเดตพร้อมใช้งานสำหรับไซต์ของคุณให้ติดตั้งโดยเร็วที่สุด
- คุณต้องทำให้แน่ใจว่าคุณทำให้ใบรับรองของไซต์ของคุณทันสมัย แม้ว่ามันจะไม่ส่งผลกระทบโดยตรงต่อความปลอดภัยของเว็บไซต์ของคุณ แต่มันจะทำให้มันปรากฏในผลการค้นหา
-
ใช้โมดูลความปลอดภัย คุณต้องเพิ่มซอฟต์แวร์หรือส่วนเสริม คุณสามารถสมัครสมาชิกเพื่อสมัครสมาชิกไปยังเว็บไซต์ที่นำเสนอโซลูชั่นไฟร์วอลล์สำหรับการป้องกันอย่างถาวรและบริการโฮสติ้งบางอย่างเช่น Wordpress ยังเสนอโปรแกรมเสริมประเภทเดียวกัน เช่นเดียวกับที่คุณปกป้องคอมพิวเตอร์ของคุณด้วยซอฟต์แวร์ป้องกันไวรัสขอแนะนำให้เว็บไซต์ของคุณได้รับการปกป้องด้วยซอฟต์แวร์เฉพาะเพื่อความปลอดภัย- ไฟร์วอลล์ Sucuri เป็นวิธีการชำระเงินที่ดีและคุณควรจะสามารถค้นหาไฟร์วอลล์หรือโมดูลความปลอดภัยได้ฟรี Wordpress, Weebly, Wix และบริการโฮสต์อื่น ๆ
- โซลูชันไฟร์วอลล์โดยทั่วไปทำงานบนหลักการโฮสต์ออนไลน์ซึ่งหมายความว่าคุณไม่จำเป็นต้องดาวน์โหลดซอฟต์แวร์ลงในคอมพิวเตอร์ของคุณเพื่อใช้งาน
-
บล็อกการดาวน์โหลด การอนุญาตให้ผู้ใช้อัปโหลดไฟล์ไปยังไซต์ของคุณสร้างช่องโหว่ด้านความปลอดภัย หากเป็นไปได้ให้ลบแบบฟอร์มหรือส่วนใด ๆ ของเว็บไซต์ที่ผู้ใช้อาจอัปโหลดไฟล์ไปยังเว็บไซต์ของคุณ- การ จำกัด แบบฟอร์มให้ยอมรับไฟล์ประเภทเดียวเท่านั้น (เช่น JPG สำหรับรูปภาพ) เป็นอีกวิธีหนึ่งในการแก้ไขปัญหานี้
- สิ่งนี้อาจซับซ้อนเล็กน้อยหากไซต์ของคุณใช้หน้าแบบฟอร์มสำหรับไฟล์เช่นจดหมายปะหน้า คุณสามารถแก้ไขปัญหานี้ได้โดยสร้างที่อยู่อีเมลและเพิ่มไปยังหน้าของคุณ ติดต่อดังนั้นผู้ใช้จะสามารถส่งอีเมลไฟล์ได้แทนที่จะอัปโหลดไปยังเว็บไซต์ของคุณ
-
ติดตั้งใบรับรอง SSL ใบรับรอง SSL ใช้เพื่อยืนยันว่าเว็บไซต์ของคุณปลอดภัยและข้อมูลที่ผ่านระหว่างเซิร์ฟเวอร์ของคุณและเบราว์เซอร์ของผู้ใช้จะถูกเข้ารหัส โดยปกติคุณจะต้องจ่ายค่าธรรมเนียมรายปีเพื่อเก็บใบรับรอง SSL ของคุณ- ตัวเลือกโซลูชัน SSL รวมถึง GoGetSSL และ SSLs.com
- บริการฟรี ให้เข้ารหัส อาจมอบใบรับรอง SSL ให้คุณด้วย
- เมื่อคุณเลือกใบรับรอง SSL คุณมีสามตัวเลือก ได้แก่ การตรวจสอบความถูกต้องของโดเมนการตรวจสอบความถูกต้องขององค์กร (ชื่อ บริษัท และที่ตั้ง) และการตรวจสอบเพิ่มเติม เพื่อที่จะแสดงแถบสีเขียว การรักษาความปลอดภัย ถัดจากที่อยู่ไซต์ของคุณ Google ต้องการการตรวจสอบความถูกต้องขององค์กรและการตรวจสอบเพิ่มเติม
-
ใช้การเข้ารหัส HTTPS หลังจากติดตั้งใบรับรอง SSL แล้วเว็บไซต์ของคุณควรมีสิทธิ์รับการเข้ารหัส HTTPS โดยปกติคุณสามารถเปิดใช้งานการเข้ารหัส HTTPS ได้โดยติดตั้งใบรับรอง SSL ของคุณในส่วน ใบรับรอง ของเว็บไซต์ของคุณ- ถ้าคุณใช้แพลตฟอร์มเช่น Wordpress หรือ Weeblyไซต์ของคุณอาจใช้ HTTPS อยู่แล้ว
- ใบรับรอง HTTPS จะต้องต่ออายุทุกปี
-
สร้างรหัสผ่านที่คาดเดายาก. การใช้รหัสผ่านที่ไม่ซ้ำกันสำหรับส่วนการดูแลระบบของไซต์ของคุณไม่เพียงพอคุณจะต้องสร้างรหัสผ่านที่ซับซ้อนและสุ่มที่จะไม่ใช้ที่อื่นและเก็บรหัสที่อื่นนอกเหนือจากในไดเรกทอรีของเว็บไซต์ของคุณ- ตัวอย่างเช่นคุณสามารถใช้ตัวอักษรและตัวเลขรวมกัน 16 ตัว จากนั้นคุณสามารถเก็บรหัสผ่านนี้ไว้ในไฟล์ออฟไลน์ในคอมพิวเตอร์เครื่องอื่นหรือฮาร์ดดิสก์
-
ซ่อนโฟลเดอร์ของคุณ ผู้ดูแลระบบ. ตั้งชื่อโฟลเดอร์ของคุณที่มีไฟล์สำคัญของเว็บไซต์ "admin" หรือ "root" ของคุณสะดวกมาก แต่น่าเสียดายที่สะดวกสำหรับโจรสลัดที่อาจเกิดขึ้น การเปลี่ยนชื่อเป็น passepartout มากกว่าเดิม (ตัวอย่างเช่น "โฟลเดอร์ใหม่ (2)" หรือ "ประวัติ") จะทำให้ตำแหน่งของพวกเขายากขึ้นสำหรับผู้โจมตี -
ทำให้ข้อผิดพลาดง่ายขึ้น หากข้อผิดพลาดของคุณเปิดเผยข้อมูลมากเกินไปแฮกเกอร์หรือมัลแวร์สามารถใช้ประโยชน์เพื่อค้นหาและเข้าถึงโฟลเดอร์รูทของไซต์ของคุณ แทนที่จะให้ข้อมูลโดยละเอียดเกี่ยวกับข้อผิดพลาดของคุณโพสต์ข้อแก้ตัวสั้น ๆ และลิงก์ไปยังหน้าแรกของเว็บไซต์- สิ่งนี้ใช้กับข้อผิดพลาดทั้งหมด, หน้า 404 เพื่อข้อผิดพลาด 500 เซิร์ฟเวอร์
-
เข้ารหัสรหัสผ่านของคุณ หากคุณเก็บรหัสผ่านของผู้ใช้ในเว็บไซต์ของคุณโปรดเข้ารหัสเพื่อเก็บไว้ ข้อผิดพลาดทั่วไปในหลาย ๆ ไซต์คือการเก็บรหัสผ่านให้ชัดเจน ซึ่งหมายความว่าพวกเขาสามารถถูกขโมยได้ง่ายหากผู้โจมตีพบไฟล์ที่มี- แม้แต่เว็บไซต์ที่ถือว่าเป็นความผิดพลาดในอดีต
- การจ้างที่ปรึกษาด้านความปลอดภัยเพื่อตรวจสอบสคริปต์ของคุณเป็นวิธีที่เร็วที่สุด (แต่แพงที่สุด) ในการตรวจพบช่องโหว่ที่อาจเกิดขึ้นในเว็บไซต์ของคุณ
- ทดสอบไซต์ของคุณด้วยเครื่องมือทดสอบความปลอดภัย (เช่น Mozilla Observatory) เสมอก่อนที่จะอัปโหลดเวอร์ชันล่าสุด
- การละเมิดความปลอดภัยถูกค้นพบหลังจากมีผู้ตกเป็นเหยื่อเท่านั้น เพื่อให้ผลที่ตามมาน้อยที่สุดให้ทำการสำรองข้อมูลรายสัปดาห์ของเว็บไซต์ของคุณ (เช่นคอมพิวเตอร์ออฟไลน์หรือฮาร์ดไดรฟ์)