• โฮมเพจ
  • บทความ
  • แนะนำ
  • ปัจจัยด้านความปลอดภัยใดที่คุณควรพิจารณาเมื่อเลือกผู้ให้บริการโฮสติ้ง WodPress ของคุณ?

ปัจจัยด้านความปลอดภัยใดที่คุณควรพิจารณาเมื่อเลือกผู้ให้บริการโฮสติ้ง WodPress ของคุณ?

เผยแพร่แล้ว: 2021-12-03

เนื่องจากความนิยมที่เพิ่มขึ้นของ WordPress ทั่วทั้งกระดาน มีเหตุการณ์ด้านความปลอดภัยที่ส่งผลกระทบต่อบริษัทโฮสติ้งเว็บไซต์ WordPress ต่างๆ มากขึ้นเรื่อยๆ

GoDaddy เป็นตัวอย่างล่าสุด เนื่องจากพวกเขาเพิ่งมีการ ละเมิดความปลอดภัย ในสภาพแวดล้อมโฮสติ้ง WordPress เมื่อสัปดาห์ที่แล้ว การประกาศมี บุคคลที่สามที่ไม่ได้รับอนุญาตเข้าถึงสภาพแวดล้อมการโฮสต์ WordPress ที่มีการจัดการ ซึ่งส่งผลต่อข้อมูลของลูกค้าที่ใช้งานและไม่ได้ใช้งานมากถึง 1.2 ล้านราย

WordPress Security Breach บน GoDaddy

Demetrius Comes หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO) ประกาศเมื่อวันที่ 22 พฤศจิกายน ในการยื่นต่อสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (SEC) ว่าเมื่อวันที่ 17 พฤศจิกายน พวกเขาได้ค้นพบการเข้าถึงเซิร์ฟเวอร์ WordPress ที่มีการจัดการของ GoDaddy โดยไม่ได้รับอนุญาต พวกเขาระบุว่าเหตุการณ์เริ่มต้นขึ้นเมื่อวันที่ 6 กันยายน พ.ศ. 2564 และได้เปิดเผยข้อมูลของลูกค้าที่มีการจัดการ WordPress ที่ใช้งานอยู่และไม่ได้ใช้งาน 1.2 ล้านราย พวกเขาได้ระบุกิจกรรมที่น่าสงสัยในสภาพแวดล้อมการโฮสต์ WordPress ที่มีการจัดการ และเริ่มการสอบสวนทันทีด้วยความช่วยเหลือของบริษัทนิติวิทยาศาสตร์ด้านไอทีและติดต่อหน่วยงานด้านกฎหมาย รหัสผ่านที่ถูกบุกรุกทำให้ผู้โจมตีสามารถเข้าถึงระบบของตนได้

ประกาศระบุว่า:

  • ลูกค้า WordPress ที่มีการจัดการและใช้งานไม่ได้มากถึง 1.2 ล้านคนถูกเปิดเผยที่อยู่อีเมลและหมายเลขลูกค้า การเปิดเผยที่อยู่อีเมลมีความเสี่ยงต่อการโจมตีแบบฟิชชิ่ง
  • รหัสผ่านผู้ดูแลระบบ WordPress เดิมที่ตั้งไว้ในขณะที่เตรียมใช้งานถูกเปิดเผย หากยังคงใช้ข้อมูลประจำตัวเหล่านั้น พวกเขาจะรีเซ็ตรหัสผ่านเหล่านั้น
  • สำหรับลูกค้าที่ใช้งานอยู่ ชื่อผู้ใช้และรหัสผ่าน sFTP และฐานข้อมูลถูกเปิดเผย พวกเขารีเซ็ตรหัสผ่านทั้งสอง
  • สำหรับกลุ่มย่อยของลูกค้าที่ใช้งานอยู่ คีย์ส่วนตัว SSL ถูกเปิดเผย อยู่ระหว่างการออกและติดตั้งใบรับรองใหม่ให้กับลูกค้าเหล่านั้น

สุดท้าย มาเสริม: “เราขออภัยอย่างจริงใจสำหรับเหตุการณ์นี้และความกังวลที่เกิดขึ้นกับลูกค้าของเรา เราซึ่งเป็นผู้นำและพนักงานของ GoDaddy มีความรับผิดชอบในการปกป้องข้อมูลของลูกค้าอย่างจริงจังและไม่เคยต้องการให้พวกเขาผิดหวัง เราจะเรียนรู้จากเหตุการณ์นี้และกำลังดำเนินการเพื่อเสริมความแข็งแกร่งให้กับระบบการจัดเตรียมของเราด้วยชั้นการป้องกันเพิ่มเติม”

อย่างที่คุณจินตนาการได้ มีข้อความมากมายบนอินเทอร์เน็ตที่วิจารณ์ GoDaddy ไม่เพียงแต่ใช้เวลา 5 วันในการรายงานการละเมิด แต่ยังใช้เวลามากกว่า 2 เดือนในการตรวจจับการโจมตีดังกล่าว เนื่องจากมันน่าจะเกิดขึ้นในวันที่ 6 กันยายน นอกจากนี้ คุณยังจะพบข้อมูลเพิ่มเติมเกี่ยวกับการดำเนินการที่คุณควรดำเนินการทั้งในเชิงเทคนิคและทางกฎหมาย หากคุณเป็นลูกค้าที่ได้รับผลกระทบ ฉันไม่อยากจะคิดเลยว่า GoDaddy และลูกค้าทั้งหมดที่อาจได้รับผลกระทบจะยุ่งเหยิงขนาดไหน!

ความสำคัญของความปลอดภัยเมื่อเลือกบริษัทโฮสติ้ง

เมื่อเราพูดถึงข้อกำหนดที่สำคัญสำหรับการเลือกโฮสติ้ง WordPress เราจะพิจารณาปัจจัยทั้งหมด: ความเข้ากันได้กับ PHP เวอร์ชันต่างๆ ซึ่งมีคุณสมบัติและเครื่องมือที่เสนอเพื่อจัดการการติดตั้ง WordPress อย่างง่ายดาย ความเร็วในการโหลดหน้าเว็บของเราอย่างรวดเร็ว การสนับสนุนที่มีประสิทธิภาพ บริการและแน่นอนค่าใช้จ่ายที่เหมาะสม

แต่อย่าหลอกตัวเอง: เรามักจะจบลงด้วยการผลักไสการรักษาความปลอดภัยให้อยู่ด้านล่างสุดของลำดับความสำคัญของเรา ทำไม? ประการแรก เนื่องจากการรักษาความปลอดภัยของผู้ให้บริการโฮสต์ของเราเป็นสิ่งที่เรามองข้ามไป แต่นี่เป็นเรื่องไร้สาระ เพราะหากมีสิ่งหนึ่งที่เรารู้แน่ชัดก็คือไม่มีระบบคอมพิวเตอร์ใดที่ปลอดภัย 100% ประการที่สอง การรักษาความปลอดภัยนั้นยากต่อการประเมินอย่างรวดเร็วและง่ายดาย เฉพาะเมื่อมีการละเมิดความปลอดภัยเกิดขึ้น เราจึงทราบถึงช่องโหว่ที่อาจเกิดขึ้น

ความปลอดภัยของเว็บไซต์ของคุณก็เหมือนกับสุขภาพของคุณ ถ้าสบายดีก็ไม่ต้องคิดมาก แต่วันที่คุณไม่สบาย โลกก็ถล่มลงมาที่คุณ บ่อยครั้งที่การเจ็บป่วยเป็นสิ่งที่หลีกเลี่ยงไม่ได้ แต่การป้องกันและการตรวจพบแต่เนิ่นๆ สามารถช่วยคุณคลายความเศร้าโศกได้มาก มันเหมือนกันกับความปลอดภัย หากเว็บไซต์ของคุณถูกแฮ็ก ไม่เพียงแต่ธุรกิจของคุณจะอยู่ภายใต้ แต่คุณยังอาจประสบปัญหาทางกฎหมายเนื่องจากไม่ได้ใช้มาตรการรักษาความปลอดภัยที่เหมาะสม

หากเราต้องการพยายามป้องกันการละเมิดความปลอดภัย เราควรคาดหวังอะไรจากผู้ให้บริการโฮสต์ของเรา?

ความปลอดภัยของซอฟต์แวร์

สิ่งที่ทำให้เราเบื่อหน่ายคือต้องอัปเดตซอฟต์แวร์ที่เราใช้บนคอมพิวเตอร์ของเรา แต่มันค่อนข้างสำคัญที่เราทำ เนื่องจากการอัปเดตส่วนใหญ่มีความแม่นยำในการป้องกันจากช่องโหว่ที่รู้จัก!

ด้วยเหตุผลดังกล่าว เมื่อคุณโฮสต์เว็บไซต์ WordPress กับบริษัทโฮสติ้ง ตรวจสอบให้แน่ใจว่าเว็บไซต์นั้น เป็นไปตามข้อกำหนดความเข้ากันได้และการอัปเดตซอฟต์แวร์ล่าสุดที่แนะนำโดย WordPress ดูเว็บไซต์ WordPress อย่างเป็นทางการเพื่อทำความรู้จัก ในขณะที่เขียนบทความนี้ ข้อกำหนดที่แนะนำคือ:

  • PHP 7.4 หรือใหม่กว่า
  • MySQL 5.6 หรือใหม่กว่า หรือ MariaDB 10.1 หรือใหม่กว่า
  • HTTPS

คำแนะนำของฉัน: อย่าแม้แต่พิจารณาบริษัทโฮสติ้งที่ไม่ตรงตามข้อกำหนดเหล่านี้

ความพร้อมใช้งานและการสนับสนุน SSL

Hypertext Transfer Protocol ( H yper T ext T ransfer P rotocol หรือ HTTP ) เป็นโปรโตคอลที่ใช้ในระบบเครือข่าย ซึ่งได้รับการออกแบบโดยมีวัตถุประสงค์เพื่อกำหนดและสร้างมาตรฐานให้กับรูปแบบและความหมายของธุรกรรมที่เกิดขึ้นระหว่างคอมพิวเตอร์ต่างๆ ที่ประกอบกันเป็นเครือข่าย . กล่าวคือ อธิบายวิธีที่เว็บเซิร์ฟเวอร์สื่อสารกับเว็บเบราว์เซอร์ เช่น Google Chrome หรือ Mozilla Firefox

HTTPS หมายถึงการใช้ HTTP ผ่าน Secure Sockets Layer (SSL) หรือการเชื่อมต่อกับ Transport Layer Security (TLS) และมีหน้าที่ในการเข้ารหัสข้อความ HTTP ทั้งหมดเพื่อให้การส่งข้อมูลมีความปลอดภัย เมื่อผู้ใช้ส่งข้อมูลไปยังเว็บเซิร์ฟเวอร์ SSL จะให้ชั้นการป้องกันทั้งชุด:

  • การเข้ารหัส : หากผู้โจมตีสามารถดักจับข้อมูลนั้นได้ ก็จะไร้ประโยชน์เพราะพวกเขาจะไม่รู้วิธีถอดรหัสข้อมูล (แต่คุณจะทำได้)
  • ความสมบูรณ์ของข้อมูล : ผู้โจมตีจะไม่สามารถ "แก้ไข" เนื้อหาของข้อความที่ส่งได้
  • การพิสูจน์ ตัวตน : การโจมตีแบบฟิชชิ่งหรือแบบคนกลาง ซึ่งผู้ใช้ให้ข้อมูลกับบุคคลที่สามเมื่อพวกเขาเชื่อว่าพวกเขากำลังพูดคุยกับคนอื่นอยู่

ด้วยวิธีนี้ ตัวอย่างเช่น คุณรับรองว่าข้อมูลของการซื้อที่ทำบนเว็บไซต์ของคุณจะไม่สามารถอ่านและ/หรือแก้ไขโดยอาชญากรได้

หากเว็บไซต์ของคุณใช้ SSL เบราว์เซอร์ส่วนใหญ่จะแสดง URL ของเว็บที่ขึ้นต้นด้วย https:// และไอคอนแม่กุญแจที่อยู่ใกล้ๆ หรือในแถบที่อยู่ เพื่อให้ผู้เยี่ยมชมได้เห็นเบาะแสเกี่ยวกับความปลอดภัยของเว็บไซต์ปัจจุบัน

รูปภาพ URL ของ Nelio ที่แสดงในเบราว์เซอร์
รูปภาพ URL ของ Nelio ที่แสดงในเบราว์เซอร์

เมื่อมองหาผู้ให้บริการโฮสติ้ง ตรวจสอบให้แน่ใจว่ารองรับ SSL และตรวจสอบว่าตั้งค่าได้ง่ายเพียงใด

สำรองและเรียกคืน

หากคุณเคยประสบกับการโจมตีของมัลแวร์บน WordPress คุณอาจต้องกู้คืนข้อมูลสำรองเก่าที่ปราศจากโค้ดที่ติดไวรัส ด้วยเหตุผลนี้ ตรวจสอบให้แน่ใจว่าผู้ให้บริการโฮสติ้งของคุณ ทำการสำรองข้อมูลเว็บไซต์ WordPress ของคุณเป็นประจำและอัตโนมัติ

ตรวจสอบให้แน่ใจว่าคุณรู้ว่า:

  • ความถี่ของการสำรองข้อมูล
  • จำนวนข้อมูลสำรองของไซต์ที่คุณเข้าถึงได้
  • ไม่ว่าคุณจะสามารถกู้คืนได้ทั้งหมดด้วยตัวเองหรือต้องร้องขอการคืนค่าและชำระค่าบริการ
  • ไม่ว่าคุณจะสามารถกู้คืนไฟล์ โฟลเดอร์ บัญชีอีเมล หรือฐานข้อมูลบางส่วนได้
  • ไม่ว่าคุณจะสามารถเข้าถึงประวัติการคืนค่าได้หรือไม่

การป้องกันการโจมตี DDoS

การโจมตีแบบ Distributed Denial of Service (DDoS) เป็นการโจมตีประเภทหนึ่งที่พยายามทำให้เว็บเซิร์ฟเวอร์ล่มโดยเรียกใช้คำขอ "ตัน" จนกว่าเซิร์ฟเวอร์จะโอเวอร์โหลดและขัดข้อง

ภาพประกอบการโจมตี DDoS
ภาพประกอบการโจมตี DDoS (ที่มา: Anti DDoS)

เพื่อป้องกันผู้ให้บริการโฮสต์บางราย เช่น SiteGround และ Bluehost ทำงานร่วมกับ Content Delivery Networks (CDN) เช่น Cloudflare CDN ใช้งานเครือข่ายเซิร์ฟเวอร์ทั่วโลกที่ช่วยให้ให้บริการข้อมูลได้เร็วขึ้นและดูดซับการโจมตีที่ใช้ทรัพยากรมาก เช่น DDoS ซึ่งช่วยให้บริษัทโฮสติ้งลดภาระงานบนเซิร์ฟเวอร์ของตนเองโดยไม่ต้องลงทุนจำนวนมากในโครงสร้างพื้นฐานเพิ่มเติม ขอแนะนำเป็นอย่างยิ่งให้คุณตรวจสอบว่าบริษัทโฮสติ้งของคุณทำงานร่วมกับ CDN ได้หรือไม่

ตรวจสอบให้แน่ใจด้วยว่าพวกเขามีโปรโตคอลที่เตรียมไว้สำหรับการโจมตีประเภทนี้ เช่น:

  • ฮาร์ดแวร์ไฟร์วอลล์ที่กรองปริมาณการใช้ข้อมูลท่วมท้น
  • ซอฟต์แวร์ไฟร์วอลล์ที่ใช้ iptables พร้อมฟังก์ชันที่ซับซ้อนและการตรวจสอบปริมาณการใช้งาน
  • จำกัดจำนวนการเชื่อมต่อที่สามารถสร้างได้จากระยะไกล
  • พวกเขาตรวจสอบความพยายามในการเชื่อมต่อที่ล้มเหลวจำนวนมากจากโฮสต์และทำการกรอง

การสแกนมัลแวร์

มัลแวร์ดังที่เราได้เห็นในกรณีของ GoDaddy เป็นซอฟต์แวร์ที่เป็นอันตรายที่อาจส่งผลต่อเซิร์ฟเวอร์ พวกเขาสามารถทำให้เกิดการติดเชื้อเล็กน้อย เช่น การขโมยข้อมูลบางอย่าง หรือล้างฐานข้อมูลทั้งหมด

สิ่งสำคัญคือต้องรู้ว่าผู้ให้บริการโฮสติ้งของคุณควบคุมและตรวจสอบการโจมตีประเภทนี้อย่างไร พวกเขาทำการสแกนบ่อยแค่ไหน? พวกเขามีระบบแยกบัญชีเพื่อกักกันกรณีติดเชื้อหรือไม่?

ความพร้อมใช้งานและเวลาทำงาน

เสาหลักสามประการของการรักษาความปลอดภัยข้อมูลเรียกว่า CIA triad (การรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน) ความพร้อมใช้งานและเวลาทำงานของเว็บไซต์ของคุณ (เปอร์เซ็นต์ของเวลาที่เว็บไซต์มีการใช้งานและพร้อมใช้งาน) มีความสำคัญต่อเว็บไซต์ใดๆ

บริษัทโฮสติ้งมีหลายวิธีที่จะรับรองความพร้อมใช้งานนี้ ตัวอย่างเช่น บางตัวใช้เทคโนโลยี RAID, ความซ้ำซ้อนของฮาร์ดแวร์, ความซ้ำซ้อนของเครือข่าย และแม้แต่ตำแหน่งมิเรอร์สำรอง ตรวจสอบให้แน่ใจว่าผู้ให้บริการโฮสต์ของคุณรับประกันความพร้อมใช้งานขั้นต่ำในข้อตกลงระดับบริการ (SLA) ของข้อกำหนดและเงื่อนไข ตัวอย่างเช่น ในกรณีของ Siteground พวกเขารับประกัน:

5.2. เรารับประกันเวลาทำงานของเครือข่าย 99.9% ต่อปี หากเราต่ำกว่าเวลาทำงานของเครือข่ายที่รับประกัน เราจะชดเชยให้คุณดังนี้

  • 99.9% – 99.00% uptime: ฟรีโฮสติ้ง 1 เดือน
  • ฟรีโฮสติ้งเพิ่มอีก 1 เดือนสำหรับทุกๆ 1% ของเวลาทำงานที่สูญเสียไปต่ำกว่า 99.00%

SLA เป็นตัวบ่งชี้อีกประการหนึ่งของการลงทุนในโครงสร้างพื้นฐานที่ทำโดยผู้ให้บริการโฮสติ้งของคุณและความมุ่งมั่นที่พวกเขาทำเพื่อรับประกันบริการ

บทสรุป

ความปลอดภัยดังที่ได้กล่าวมาแล้วก็เหมือนสุขภาพ แม้ว่าคุณจะไม่สามารถรับประกันการควบคุมได้อย่างสมบูรณ์ แต่ยิ่งคุณเสี่ยงน้อยลงเท่าไรก็ยิ่งดีเท่านั้น การปกป้องไซต์ของคุณและการดูแลความปลอดภัยสามารถป้องกันผลกระทบที่ไม่พึงประสงค์ที่สำคัญได้ และการป้องกันนั้นเริ่มต้นด้วยการเลือกผู้ให้บริการโฮสติ้งที่ดีสำหรับเว็บไซต์ WordPress ของคุณ

ภาพเด่นของ Liam Tucker บน Unsplash