แน่นอนครับ ไม่มีใครอยากให้เว็บโดนแฮ็ค เพราะต้องนั่งแก้ปัญหา แก้เว็บโดนแฮ็ค หรือแม้กระทั่งในกรณีร้ายแรงสุดคือต้องนั่งทำเว็บใหม่ตั้งแต่ต้น คงไม่ใช่การดีแน่นอนครับ
การ “แฮ็ค” หรือการ “เจาะระบบ” มีหลายประเภท เว็บแต่ละเว็บที่โดนมีอาการและความร้ายแรงต่างกันไปครับ อาการของเว็บไซต์ที่โดนแฮ็ค เช่น โดนฝังโฆษณาผิดกฏหมายที่ลิ้งค์ไปเว็บไม่พึงประสงค์ (Phishing) ฝังไวรัสหรือมัลแวร์ โดนเปลี่ยนหน้าเว็บเป็นหน้าเว็บของแฮ็คเกอร์ (defacing) เข้าควบคุมเว็บผ่าน Backdoor หรือสังเกตว่ามี User สิทธิ์ผู้ดูแลเว็บหรือ Admin โผล่ขึ้นมาโดยที่เราไม่ใช่เป็นคนสร้าง เป็นต้น โดยผลเสียมีมากกว่าที่ตาเราเห็นแน่นอน หลัก ๆ เช่น
- โดน Blacklist หรือขึ้นบัญชีดำของ Search Engine ต่าง ๆ เช่น Google
- เว็บโฮสติ้งปิด หรือมีความจำเป็นต้องให้เจ้าของเว็บย้ายออก
- โดน flag ว่าเป็นที่เผยแพร่มัลแวร์
- ผู้เข้าชมจะเข้าหน้าเว็บไม่ได้เพราะ Antivirus เตือนไม่ให้เข้า
- ขโมยข้อมูลส่วนตัวบนเว็บไซต์ ไม่ว่าจะเป็น E-Mail, รหัสผ่าน ถ้ามีข้อมูลการเชื่อมต่อทางการเงินอาจนำไปใช้ในทางไม่ดีได้
- ใช้เว็บไซต์ของคุณเป็นฐานเพื่อใช้โจมตีเว็บอื่น
ที่กล่าวมาข้างต้นไม่มีข้อไหนไม่อันตรายครับ ถ้าดูไปทีละข้อ ข้อแรกการปลด Blacklist Google ไม่ใช่เรื่องง่ายเลย เจ้าของเว็บเสียคนเข้าชมได้ ที่สำคัญคือข้อมูลส่วนตัวของเรา และลูกค้าเราซึ่งเป็นเรื่องร้ายแรงมาก อาจมีผลกระทบไปยังผู้ที่เป็นสมาชิกเว็บของเราในอนาคตได้ครับ
สาเหตุที่เว็บไซต์โดนแฮ็ค
1.1 เว็บโฮสติ้งไม่ปลอดภัย
ปัจจุบันในตลาดมีเว็บโฮสติ้งมากมายให้ได้เลือกใช้ แน่นอนว่าคุณภาพย่อมต่างกันแน่นอน เว็บโฮสติ้งบางเจ้าไม่มีระบบ Security หรือความปลอดภัยมากพอ ทำให้เว็บไซต์ที่ใช้บริการสามารถโดนแฮ็คหรือติดมัลแวร์ได้ง่ายแม้เว็บนั้นจะตั้งค่าความปลอดภัยไว้ดีแค่ใดก็ตาม
วิธีป้องกันง่าย ๆ คือให้ย้ายไปใช้เว็บโฮสติ้งที่เชื่อถือได้ โดยสามารถเช็คคะแนนและรีวิวเว็บโฮสติ้งแต่ละเจ้าได้ที่ http://www.hostsearch.co.th/web-hosting-reviews
ทางเราแนะนำ HostAtom, Ruk-Com, Bangmod.cloud (โฮสไทย) และ Cloudways (ต่างประเทศ) เพราะว่าคุณภาพของ Service ดีมาก และบริการ Support ดีเยี่ยม เจ้าหน้าที่ให้คำปรึกษาดีและแก้ปัญหาอย่างมืออาชีพจริง ๆ โดยผมเคยมีหลายครั้งที่ผมไม่มีเวลาตอบ Ticket เขาโทรมาแจ้งว่าเสร็จแล้ว หรือบางทีโทรมาแนะนำเลย
และเช่นกัน ทางเราแนะนำว่าให้เลี่ยงการใช้งานเว็บโฮสติ้งที่ชื่อโดเมนเป็นอักษรตัวเดียว เนื่องจาก 60-70% ของลูกค้าที่เว็บไซต์มีปัญหาล้วนมาจากการที่เว็บโฮสติ้งมีช่องโหว่ทางความปลอดภัย ที่สำคัญคือทางผู้ให้บริการไม่ให้ความสำคัญอะไรเลย
1.2 รหัสผ่านไม่ปลอดภัย
เว็บไซต์ส่วนใหญ่ในปัจจุบันเป็นเว็บไซต์ที่มีหลังบ้านครับ หรือหลายที่ก็ใช้ระบบ CMS อย่าง WordPress หรือระบบอย่าง Magento ซึ่งระบบพวกนี้จะต้องล็อกอินก่อนเข้าจัดการเว็บไซต์ครับ เช่นเดียวกับรหัสผ่านที่เรา ๆ ใช้บน Google หรือ Facebook ถ้ารหัสผ่านเดาได้ง่าย ก็มีสิทธิ์ที่จะโดนแฮ็คได้ครับ
และที่สำคัญรหัสผ่านที่ทางเว็บโฮสติ้งให้มา เก็บไว้ดีๆ ครับ พยายามอย่าแชร์ให้ผู้อื่นเพราะข้อมูลอาจรั่วไหลได้ เช่น รหัส FTP, รหัส DirectAdmin/cPanel (รหัสผ่านเข้าเว็บโฮสติ้ง), รหัส E-Mail, รหัสผ่าน WordPress, รหัสผ่าน MySQL Database เป็นต้น
ถ้าหากว่าขี้เกียจจำรหัสผ่าน ผมแนะนำให้ใช้ LastPass Bitwarden จำให้ดีกว่าครับ ซึ่ง Bitwarden เป็นระบบจัดเก็บและจัดการรหัสผ่านที่ปลอดภัยมากๆ แฮ็คเกอร์เคยพยายามเจาะเข้ามาแต่ไม่ได้อะไรกลับไปเลย
ที่สำคัญ ฟรี ครับ (มีแบบพรีเมี่ยม แต่ถ้าแค่เก็บรหัสผ่านแบบฟรีก็พอแล้วครับ)
1.3 ธีม/ปลั๊กอิน/สคริปต์รุ่นเก่าที่ไม่ได้อัพเดท (ตกยุค)
แน่นอนว่าเทคโนโลยีย่อมก้าวหน้าไปเรื่อยๆ สิ่งหนึ่งที่นักพัฒนาซอฟต์แวร์ทำอยู่ตลอดเวลาคือแก้บั๊คและ ปรับปรุงผลงานตัวเองให้เข้ากับยุคใหม่อยู่เสมอ เหตุผลหนึ่งคือเรื่องความปลอดภัยด้วย เว็บมาสเตอร์หรือผู้ดูแลเว็บไซต์ทุกท่านควรหมั่นอัพเดทสคริปต์ให้ทันสมัยอยู่ตลอดเวลา ถ้าสคริปต์นานวันเข้าแล้วไม่ได้อัพเดทเลย บางทีช่องโหว่ที่อยู่กับสคริปต์ตัวนั้นอาจไม่ได้รับการแก้ไข และอาจเป็นช่องทางของ hacker ที่เข้ามาเจาะระบบเว็บไซต์เราได้ครับ
สำหรับผู้ใช้ WordPress เมื่อมีอัพเดทมา ไม่ว่าจะเป็นตัวธีม ปลั๊กอินหรือตัว WordPress เอง ก็ควรจะอัพเดท หากไม่มีเวลามากมายแนะนำให้อย่างน้อยอัพเดทเดือนละครั้ง ก่อนกด update อย่าลืมแบ็คอัพก่อนด้วยนะครับ เผื่อเว็บพัง
1.4 ธีม/ปลั๊กอิน/สคริปต์ผิดลิขสิทธิ์ (Nulled)
มีเว็บไซต์จำนวนไม่น้อยเลยนะครับที่หาโหลดสคริปต์ ธีม หรือปลั๊กอินพรีเมี่ยม (ที่ขายในท้องตลาด) มาแบบฟรีๆ โดยไม่เสียเงินค่าลิขสิทธิ์ (อารมณ์ประมาณโหลดโปรแกรมเถื่อน หรือ crack มาลงในเครื่องคอมฯ) แน่นอนครับ พวกที่แจกสคริปต์พวกนี้เจตนาชัดเจนแน่นอนครับ
การนำสคริปต์เถื่อนมาใช้ในเว็บไม่ต่างอะไรกับการเปิดช่องทางให้ผู้ไม่หวังดีเข้าเว็บฟรี ๆ ครับ ต่อให้โฮสปลอดภัยแค่ไหน รหัสผ่านหนาแค่ไหน ยังไงก็เข้าได้ครับ…เพราะผู้ใช้ไปเปิดทางให้เขาเอง
ทางหลีกเลี่ยงที่ดีที่สุดคืออย่าโหลดมาใช้งานจริงครับ ประเด็นคือมันจะไม่ได้ซวยแค่ผู้ใช้เท่านั้น ในกรณี Shared Hosting หรือโฮสติ้งทั่วไป เว็บอื่นในเซิร์ฟเวอร์เดียวกับมีโอกาสโดนด้วยครับ
มีปลั๊กอินโหด ๆ แจกในเว็บ WordPress เยอะแยะมากมายครับ ถ้าหากว่าไม่สามารถซื้อปลั๊กอินพรีเมี่ยมตัวที่ต้องการได้แนะนำให้ใช้ปลั๊กอินฟรีที่ความสามารถพอๆ กันแก้ขัดไปก่อนครับ แล้วค่อยซื้อของที่ต้องการมาใช้งานอย่างถูกต้องเมื่อสะดวก ส่วนใหญ่แล้วผู้พัฒนาหลายเจ้ามักแจกตัว Free แบบกั๊กฟีเจอร์เอาไว้เยอะอยู่ครับ ขึ้นกับว่าเพียงพอต่อการใช้งานหรือเปล่า ถ้าต้องการฟีเจอร์เสริมค่อยซื้อเอาได้ครับ
สุดท้ายนี้…
แนะนำให้ผู้ดูแลเว็บไซต์ใส่ใจในเรื่อง Security ให้มากๆ ครับ เรื่องความปลอดภัยเป็นเรื่องมองข้ามไม่ได้เลย ไม่มีใครอยากให้เว็บที่นั่งทำมาข้ามวันข้ามคืนพังเพราะโดนเจาะระบบครับ กันไว้ดีกว่าแก้ครับ แต่ละเคสมีการวิธีแก้ต่างกันไปยากง่ายต่างกันครับ
ช่วงโฆษณาแบบไม่แฝง…
รับแก้เว็บไซต์โดนแฮ็ค บริการแก้ปัญหากู้คืนเว็บไซต์ที่ถูกแฮ็ค เพื่อให้เว็บไซต์สามารถใช้งานได้ต่อไป และมีความปลอดภัยมากขึ้นในอนาคต ถ้าติดปัญหาต้องการคำปรึกษา มาหาทางเราได้นะครับ