เคยมีช่วงนึงที่ในกลุ่ม WordPress บน Facebook มีโพสเรื่องเว็บโดนแฮ็คแทบทุกวันเลยครับ 

แน่นอนครับ ไม่มีใครอยากให้เว็บโดนแฮ็ค เพราะต้องนั่งแก้ปัญหา แก้เว็บโดนแฮ็ค หรือแม้กระทั่งในกรณีร้ายแรงสุดคือต้องนั่งทำเว็บใหม่ตั้งแต่ต้น คงไม่ใช่การดีแน่นอนครับ

การ "แฮ็ค" หรือการ "เจาะระบบ" มีหลายประเภท เว็บแต่ละเว็บที่โดนมีอาการและความร้ายแรงต่างกันไปครับ อาการของเว็บไซต์ที่โดนแฮ็ค เช่น โดนฝังโฆษณาผิดกฏหมายที่ลิ้งค์ไปเว็บไม่พึงประสงค์ (Phishing) ฝังไวรัสหรือมัลแวร์ โดนเปลี่ยนหน้าเว็บเป็นหน้าเว็บของแฮ็คเกอร์ (defacing) เข้าควบคุมเว็บผ่าน Backdoor หรือสังเกตว่ามี User สิทธิ์ผู้ดูแลเว็บหรือ Admin โผล่ขึ้นมาโดยที่เราไม่ใช่เป็นคนสร้าง เป็นต้น โดยผลเสียมีมากกว่าที่ตาเราเห็นแน่นอน หลัก ๆ เช่น

• โดน Blacklist หรือขึ้นบัญชีดำของ Search Engine ต่าง ๆ เช่น Google
• เว็บโฮสติ้งปิด หรือมีความจำเป็นต้องให้เจ้าของเว็บย้ายออก
• โดน flag ว่าเป็นที่เผยแพร่มัลแวร์
• ผู้เข้าชมจะเข้าหน้าเว็บไม่ได้เพราะ Antivirus เตือนไม่ให้เข้า
• ขโมยข้อมูลส่วนตัวบนเว็บไซต์ ไม่ว่าจะเป็น E-Mail, รหัสผ่าน ถ้ามีข้อมูลการเชื่อมต่อทางการเงินอาจนำไปใช้ในทางไม่ดีได้
• เว็บไซต์ของคุณเป็นฐานเพื่อใช้โจมตีเว็บอื่น

ที่กล่าวมาข้างต้นไม่มีข้อไหนไม่อันตรายครับ ถ้าดูไปทีละข้อ ข้อแรกการปลด Blacklist Google ไม่ใช่เรื่องง่ายเลย เจ้าของเว็บเสียคนเข้าชมได้ ที่สำคัญคือข้อมูลส่วนตัวของเรา และลูกค้าเราซึ่งเป็นเรื่องร้ายแรงมาก อาจมีผลกระทบไปยังผู้ที่เป็นสมาชิกเว็บของเราในอนาคตได้ครับ

สาเหตุที่เว็บไซต์โดนแฮ็ค
1.1 เว็บโฮสติ้งไม่ปลอดภัย
ปัจจุบันในตลาดมีเว็บโฮสติ้งมากมายให้ได้เลือกใช้ แน่นอนว่าคุณภาพย่อมต่างกันแน่นอน เว็บโฮสติ้งบางเจ้าไม่มีระบบ Security หรือความปลอดภัยมากพอ ทำให้เว็บไซต์ที่ใช้บริการสามารถโดนแฮ็คหรือติดมัลแวร์ได้ง่ายแม้เว็บนั้นจะตั้งค่าความปลอดภัยไว้ดีแค่ใดก็ตาม

วิธีป้องกันง่าย ๆ คือให้ย้ายไปใช้เว็บโฮสติ้งที่เชื่อถือได้ โดยสามารถเช็คคะแนนและรีวิวเว็บโฮสติ้งแต่ละเจ้าได้ที่ http://www.hostsearch.co.th/web-hosting-reviews (หรือลองเอาชื่อ Search Google ดูได้ครับ)

1.2 รหัสผ่านไม่ปลอดภัย

เว็บไซต์ส่วนใหญ่ในปัจจุบันเป็นเว็บไซต์ที่มีหลังบ้านครับ หรือหลายที่ก็ใช้ระบบ CMS อย่าง WordPress หรือระบบอย่าง Magento ซึ่งระบบพวกนี้จะต้องล็อกอินก่อนเข้าจัดการเว็บไซต์ครับ เช่นเดียวกับรหัสผ่านที่เรา ๆ ใช้บน Google หรือ Facebook ถ้ารหัสผ่านเดาได้ง่าย ก็มีสิทธิ์ที่จะโดนแฮ็คได้ครับ

และที่สำคัญรหัสผ่านที่ทางเว็บโฮสติ้งให้มา เก็บไว้ดีๆ ครับ พยายามอย่าแชร์ให้ผู้อื่นเพราะข้อมูลอาจรั่วไหลได้ เช่น รหัส FTP, รหัส DirectAdmin/cPanel (รหัสผ่านเข้าเว็บโฮสติ้ง), รหัส E-Mail, รหัสผ่าน WordPress, รหัสผ่าน MySQL Database เป็นต้น

ถ้าหากว่าขี้เกียจจำรหัสผ่าน ผมแนะนำให้ใช้ LastPass จำให้ดีกว่าครับ LastPass เป็นระบบจัดเก็บและจัดการรหัสผ่านที่ปลอดภัยมากๆ แฮ็คเกอร์เคยพยายามเจาะเข้ามาแต่ไม่ได้อะไรกลับไปเลย

ที่สำคัญ ฟรี ครับ (มีแบบพรีเมี่ยม แต่ถ้าแค่เก็บรหัสผ่านแบบฟรีก็พอแล้วครับ)

1.3 ธีม/ปลั๊กอิน/สคริปต์รุ่นเก่าที่ไม่ได้อัพเดท (ตกยุค)

แน่นอนว่าเทคโนโลยีย่อมก้าวหน้าไปเรื่อยๆ สิ่งหนึ่งที่นักพัฒนาซอฟต์แวร์ทำอยู่ตลอดเวลาคือแก้บั๊คและ ปรับปรุงผลงานตัวเองให้เข้ากับยุคใหม่อยู่เสมอ เหตุผลหนึ่งคือเรื่องความปลอดภัยด้วย เว็บมาสเตอร์หรือผู้ดูแลเว็บไซต์ทุกท่านควรหมั่นอัพเดทสคริปต์ให้ทันสมัยอยู่ตลอดเวลา ถ้าสคริปต์นานวันเข้าแล้วไม่ได้อัพเดทเลย บางทีช่องโหว่ที่อยู่กับสคริปต์ตัวนั้นอาจไม่ได้รับการแก้ไข และอาจเป็นช่องทางของ hacker ที่เข้ามาเจาะระบบเว็บไซต์เราได้ครับ

สำหรับผู้ใช้ WordPress เมื่อมีอัพเดทมา ไม่ว่าจะเป็นตัวธีม ปลั๊กอินหรือตัว WordPress เอง ก็ควรจะอัพเดท หากไม่มีเวลามากมายแนะนำให้อย่างน้อยอัพเดทเดือนละครั้ง ก่อนกด update อย่าลืมแบ็คอัพก่อนด้วยนะครับ  เผื่อเว็บพัง

1.4 ธีม/ปลั๊กอิน/สคริปต์ผิดลิขสิทธิ์ (Nulled)

มีเว็บไซต์จำนวนไม่น้อยเลยนะครับที่หาโหลดสคริปต์ ธีม หรือปลั๊กอินพรีเมี่ยม (ที่ขายในท้องตลาด) มาแบบฟรีๆ โดยไม่เสียเงินค่าลิขสิทธิ์ (อารมณ์ประมาณโหลดโปรแกรมเถื่อน หรือ crack มาลงในเครื่องคอมฯ) แน่นอนครับ พวกที่แจกสคริปต์พวกนี้เจตนาชัดเจนแน่นอนครับ

การนำสคริปต์เถื่อนมาใช้ในเว็บไม่ต่างอะไรกับการเปิดช่องทางให้ผู้ไม่หวังดีเข้าเว็บฟรี ๆ ครับ ต่อให้โฮสปลอดภัยแค่ไหน รหัสผ่านหนาแค่ไหน ยังไงก็เข้าได้ครับ...เพราะผู้ใช้ไปเปิดทางให้เขาเอง

ทางหลีกเลี่ยงที่ดีที่สุดคืออย่าโหลดมาใช้งานจริงครับ ประเด็นคือมันจะไม่ได้ซวยแค่ผู้ใช้เท่านั้น ในกรณี Shared Hosting หรือโฮสติ้งทั่วไป เว็บอื่นในเซิร์ฟเวอร์เดียวกับมีโอกาสโดนด้วยครับ

มีปลั๊กอินโหด ๆ แจกในเว็บ WordPress เยอะแยะมากมายครับ ถ้าหากว่าไม่สามารถซื้อปลั๊กอินพรีเมี่ยมตัวที่ต้องการได้แนะนำให้ใช้ปลั๊กอินฟรีที่ความสามารถพอๆ กันแก้ขัดไปก่อนครับ แล้วค่อยซื้อของที่ต้องการมาใช้งานอย่างถูกต้องเมื่อสะดวก ส่วนใหญ่แล้วผู้พัฒนาหลายเจ้ามักแจกตัว Free แบบกั๊กฟีเจอร์เอาไว้เยอะอยู่ครับ ขึ้นกับว่าเพียงพอต่อการใช้งานหรือเปล่า ถ้าต้องการฟีเจอร์เสริมค่อยซื้อเอาได้ครับ

สุดท้ายนี้...
แนะนำให้ผู้ดูแลเว็บไซต์ใส่ใจในเรื่อง Security ให้มากๆ ครับ เรื่องความปลอดภัยเป็นเรื่องมองข้ามไม่ได้เลย ไม่มีใครอยากให้เว็บที่นั่งทำมาข้ามวันข้ามคืนพังเพราะโดนเจาะระบบครับ กันไว้ดีกว่าแก้ครับ แต่ละเคสมีการวิธีแก้ต่างกันไปยากง่ายต่างกันครับ

Src : https://www.make2web.com/เทคนิคการทำเว็บไซต์/reason-why-website-got-hacked/

เป็นไปได้ทั้ง hosting และ wp ที่ใช้งานครับ

 

ขอบคุณสำหรับข้อมูลมากๆ ครับ เป็นประโยชน์มากๆ เลย

ขอบคุณครับ

ผมเคยโดนมาครั้งหนึ่งตัง้แต่นั้นมาเข็ดเลยครับ Backup บ่อยๆ ตั้งรหัสผ่านยากๆ หาอะไรที่เสริม Security แบบจัดหนักเลย ไม่คุ้มจริงๆครับโดนไปที

ส่วนมากที่เห็นมาจาก null นี่ละไปโหลดจากเว็บกากๆ สคริปต์นี่เพียบ เสียน้อยเสียยาก นะคนเรา

ได้ความรู้มากขึ้น ขอบคุณครับ 

ที่ผมเจอบ่อยสุดคือลูกค้าไม่อัพเดท

ใช้ WordPress มา 5 ปี+ธีมเถื่อน ปล่อยเว็บทิ้งไว้ไม่ค่อยอัพเดทอะไร แต่อัพเดทเวอร์ชั่นใหม่ตลอด
ยังไม่เคยโดยไวรัส หรือ โดนแฮ็คเลย แต่ในเว็บไม่ลงปลั๊กอินมั่ว

เพราะจากที่เคยเจอคือส่วนมากพวกที่โดนแฮ็คจะลงปลั๊กอินมั่ว เยอะแย่ ไปหมด

ขอบคุณครับ

ขอบคุณครับ