ป้องกันเว็บจาก Hacker ทำให้เว็บ Joomla! ปลอดภัย ด้วย Plugin
ตอนนี้หากทำเว็บสิ่งที่ไม่ควรมองข้ามคือเรื่องของความปลอดภัย ซึ่งหลายคนละเลยมาก จนเว็บถูกโจมตีและโดน Hack ในที่สุด ไม่ว่าจะทำเว็บด้วย Opensource หรือเขียนระบบขึ้นมาเอง ล้วนแล้วแต่มีโอกาสเสี่ยงที่จะโดนแฮกทั้งสิ้น หากคุณไม่คิดจะสนใจมัน ดังนั้นการมีเครื่องมือป้องกันอย่างเดียวไม่พอ ครับ ต้องมี สำรอง อัพเตตให้ใหม่ ซ่อนตัว และ ปกป้อง มาลุยกัน
เว็บโดนแฮกจากทางไหนได้บ้าง
- รหัสผ่าน ไม่ปลอดภัย = อันนี้เจอมาเยอะมากกับ รหัส 1234 หรือ 123456 ลองไปอ่าน >> Brute force attack โจมตีคนที่ใช้ Password ง่ายๆ ในการทำเว็บ แล้วเปลี่ยนรหัสผ่านซะ
- Script ไม่ปลอดภัย = ส่วนใหญ่คนทำเว็บไม่ยอม อัพเดตสคริปที่ใช้เป็นรุ่นล่าสุด ไม่ว่าจะเป็น Core หรือตัวเสริม จึงมีโดนแฮกได้ง่าย
- Server ไม่ปลอดภัย = ถ้าเช่าก็ต้องให้คนที่เราเช่าดูแลให้ เลือก Host ที่อยู่มานานและมีคนใช้อยู่
- เครื่องคุณเอง ไม่ปลอดภัย = ส่วนนี้น่าจะเป็นสาเหตุใหญ่ๆ ในตอนนี้ คือเครื่องของคนทำเว็บติดโทรจัน แล้วโดนชโมยรหัสผ่านไป ลองไปอ่าน >> เมื่อเว็บโดนแฮก วาง Iframe / Virus บนหน้า เว็บ ทำอย่างไร
สำรองข้อมูล ( Backup )
การป้องกันเป็นทางเลือกที่ดี แต่จะดีมากหากเรามีการสำรองข้อมูล และกู้คืนได้เมื่อมีปัญหา
สิ่งแรกสุดที่คุณควรทำ คือ ติดตั้งระบบ สำรองข้อมูล ในที่นี่ผมแนะนำ Akeaba Backup สามารถ โหลดได้จาก https://www.akeebabackup.com ตอนนนี้ รุ่น ใหม่ๆ จะใช้ได้ดีกับ PHP 5.5 Akeaba Backup จะสำรองข้อมูลทั้งเว็บ ทั้งไฟล์และฐานข้อมูล และสามารถนำไปติดตั้งใหม่ได้ อ่านได้ที่ การสำรองข้อมูล Backup Joomla! ทั้งเว็บ ด้วย Akeeba backup
สำรองข้อมูลเสร็จ ก็ต้องโหลดไหล์ลงมาเก็บไว้ที่เครื่อง หรือเอาไปฝาก ไว้ อย่าง google drive หรือ dropbox ก็ได้
Update Joomla ให้เป็นรุ่นล่าสุด
เรื่องนี้เป็นเรื่องที่ควรทำมาที่สุดแต่กลับถูกละเลยมาที่สุด ทั้งๆที่ joomla ก็มีระบบแจ้งเตือน มาให้แล้ว
เช่นถ้าคุณใช้ joomla 3.x หากเห็นการแจ้งเตือนก็กด Update ได้เลย
แต้ถ้าคุณใช้ Jooma 1.5 นั้นเท่ากับคุณอยู่ในความเสี่ยงสูง ต้องรีบหาทาง อัพเกรด Joomla เป็นรุ่นล่าสุดทั้นที
ถ้าคุณใช้ Joomla 2.5.x รุ่นสุดท้ายที่ต้องอัพให้ถึงคือ joomla 2.5.28 และควรหาทาง อัพเกรดเว็บจูมล่า เป็น Joomla 3.x เช่นกันเพราะ Joomla 2.5.x จะไม่มีอัพเดตอีกแล้ว
Update Extension
Joomla มีระบบเตือน ส่วนเสริมที่ต้องอัพเดต ซึ่งเป็นสิ่งที่สมควรทำ เป็นอย่างยิ่ง ส่วนส่วนเสริมไหนไม่เตือน เราควรไปตามดูจาก เว็บต้นทางที่ปล่อย เพื่อความปลอดภัย
ซ่อนตัว
การซ่อนตัว เป็นปราการด่านแรก เพื่อให้ hacker ค้นหาเราไม่เจอว่าเราใช้ Joomla! hacker มักดูจาก meta generator
ซ่อน meta generator
เราสามารถซ่อน ได้โดยใช้ Plugin Aimy No Generator http://www.aimy-extensions.com/joomla/no-generator.html
ซ่อน URLs
ปรกติ URL ของ joomla จะเป้นแบบนี้
http://yourdomain.com/index.php?option=com_content&view=category&id=2&Itemid=141
Hacker ก็จะรู้เลยว่าคุณใช้ Joomla โดยดูจาก com_content หรือ com_xxxxx อะไรก็แล้วแต่ ลองเอา com_content ไปค้นใน Google ดู ก็จะเจอหลายเว็บเลย เพราะฉนั้น ซ่อนมันซะ
อ่านการซ่อน URLs ที่ การตั้งค่า Joomla SEO และ SEF URLs สวยงามและปลอดภัย
ซ่อน หลังบ้าน (administrator)
เป็นที่รู้กันทั่วไปว่า การเข้าหลังบ้าน ของ Joomla นั้นใช้ /administrator มานาน Hacker ก็รู้ ซ่อนมันซะ ด้วย Plugin AdminExile
ปกป้อง
การป้องกัน หากเป็นเว็บลูกค้าผมจะมีระบบ Firewall ที่เป็นคอมโพเน้นของ Joomla หากสามารถซื้อไว้ปกป้องเว็บเราได้ก็ควรซื้อครับ แต่ที่จะแนะนำ เพื่อเอาไว้ ป้องกัน
- SQL Injections
- Remote URL/File Inclusions
- Remote Code Executions
- XSS Based Attacks!
ซึ่งน่าจะเพียงพอต่อการป้องกัน โหลด jHackGuard โหลดไปติดตั้งเลย http://extensions.joomla.org/extensions/extension/access-a-security/site-security/jhackguard ซึ่งใช้ไม่ยาก แค่ติดตั้ง และเปิดการใช้งาน
- Hits: 10302