Preventing malware infection

การปลอดจากมัลแวร์ต้องอาศัยการเฝ้าระแวดระวังอยู่ตลอดเวลา บทความนี้มีเคล็ดลับและคำแนะนำในการป้องกันการติดมัลแวร์ แต่เนื้อหาก็ไม่ได้ละเอียดถี่ถ้วนไปเสียทั้งหมด และ Google ขอแนะนำให้ผู้ดูแลเว็บดำเนินการตรวจสอบอย่างละเอียดมากขึ้นด้วยเช่นกัน

การตรวจสอบความสมบูรณ์ของเว็บไซต์ของคุณ

คุณลักษณะหลายอย่างของ Search Console สามารถช่วยคุณระบุปัญหาที่อาจเกิดขึ้นได้ เช่น

  • ลองใช้การค้นหาด้วย site: ของ Google เพื่อดูว่า Google พบหน้าอะไรบ้างในเว็บไซต์ของคุณ ซึ่งเป็นสิ่งที่ควรทำเป็นประจำเพื่อดูว่ามีใครแอบใส่หน้าเว็บหรือเนื้อหาที่ไม่คาดคิดลงในเว็บไซต์ของคุณหรือเปล่า หากคุณเห็นหน้าเว็บที่ไม่รู้จักหรือหัวข้อที่ไม่ได้เป็นคนเขียน อาจหมายความว่าเว็บไซต์ของคุณถูกแฮ็ก หากคุณยังไม่คุ้นเคยกับโอเปอเรเตอร์การค้นหาด้วย site: ก็มีวิธีการสำหรับคุณในการที่จะจำกัดการค้นหาไปยังเว็บไซต์ที่เฉพาะเจาะจง เช่น การค้นหา site:googleblog.blogspot.com จะแสดงผลการค้นหาจาก Google Blog ที่เป็นทางการเท่านั้น
  • รายงานปัญหาด้านความปลอดภัยจะแสดงหน้าเว็บที่ถูกแฮ็กที่ Google หาเจอในเว็บไซต์ของคุณ และแสดงวิธีการแก้ไขปัญหา
  • หาก Google ตรวจพบมัลแวร์ในเว็บไซต์ของคุณ เราจะแจ้งให้คุณทราบในหน้าแรกของ Search Console และส่งข้อความไปยังศูนย์ข้อความของคุณ (คุณให้ระบบส่งต่อข้อความในศูนย์ข้อความไปยังบัญชีอีเมลของคุณได้ เพื่อให้คุณได้รับการแจ้งเตือนอย่างรวดเร็ว)

รายการตรวจสอบการรักษาความปลอดภัย

นอกเหนือจากการตรวจสอบเว็บไซต์ของคุณอย่างสม่ำเสมอแล้ว ขอแนะนำสิ่งต่อไปนี้ด้วย

ผู้ดูแลเว็บทั้งหมด

  • เลือกรหัสผ่านที่ดี ดูหลักเกณฑ์ของบัญชี Google เพื่อช่วยในการตั้งรหัสผ่าน
  • เลือกผู้ให้บริการเนื้อหาที่เป็นบุคคลที่สามอย่างระมัดระวังให้มาก หากคุณกำลังคิดจะติดตั้งแอปพลิเคชันที่จัดหามาโดยบุคคลที่สาม เช่น วิดเจ็ต ตัวนับ หรือเครือข่ายโฆษณา คุณต้องใช้ความระมัดระวังตามสมควร พื้นที่โฆษณามักจะถูกขายให้แก่บุคคลอื่นๆ ที่เจ้าของเว็บไซต์ไม่รู้จัก แม้จะมีเนื้อหาของบุคคลที่สามที่ดีจำนวนมากบนเว็บ ก็ยังมีความเป็นไปได้ว่าผู้ให้บริการจะใช้แอปพลิเคชันเหล่านี้ในการผลักดันสิ่งที่ใช้หาประโยชน์ส่วนตัวไปยังผู้เข้าชม เช่น สคริปต์ที่เป็นอันตราย ให้คุณดูแน่ใจว่าแอปพลิเคชันนั้นมาจากแหล่งที่มาที่เชื่อถือได้ บุคคลที่สามเหล่านั้นมีเว็บไซต์ที่ถูกต้องตามกฎหมาย พร้อมบริการสนับสนุนและข้อมูลติดต่อ และดูว่ามีผู้ดูแลเว็บรายอื่นๆ ใช้บริการดังกล่าวหรือไม่
  • ติดต่อบริษัทโฮสติ้งหรือแพลตฟอร์มเผยแพร่ของคุณเพื่อขอการสนับสนุน บริษัทส่วนใหญ่จะมีกลุ่มสนับสนุนที่คอยตอบสนองและให้ความช่วยเหลือ และ/หรือหน้าการรักษาความปลอดภัย หากหน้าหรือเว็บไซต์การรักษาความปลอดภัยมีฟีด RSS ให้คุณสมัครเป็นสมาชิกเพื่อให้แน่ใจว่าคุณได้รับข่าวสารล่าสุดเสมอ
  • เก็บรักษาคอมพิวเตอร์ทุกเครื่องของคุณให้ปลอดภัย โดยเฉพาะอย่างยิ่งเมื่อทำงานบนเว็บไซต์ ดูให้แน่ใจว่าสถานที่ปฏิบัติงานของคุณมีซอฟแวร์ที่ทันสมัย ปราศจากไวรัส โทรจัน หรือมัลแวร์ที่คล้ายคลึงกัน และได้ติดตั้งซอฟแวร์ป้องกันไวรัสที่อัปเดตไปเมื่อไม่นานมานี้แล้ว

ผู้ดูแลเว็บที่มีสิทธิ์เข้าถึงเซิร์ฟเวอร์

  • ตรวจสอบการกำหนดค่าเซิร์ฟเวอร์ของคุณ Apache มีเคล็ดลับการกำหนดค่าการรักษาความปลอดภัยบางอย่างในเว็บไซต์ของตน ส่วน Microsoft ก็มีทรัพยากรศูนย์เทคโนโลยีสำหรับ IIS บางอย่างในเว็บไซต์ เคล็ดลับเหล่านี้บางส่วนรวมถึงข้อมูลเกี่ยวกับสิทธิ์ของไดเรกทอรี คำสั่งรวมฝั่งเซิร์ฟเวอร์ การตรวจสอบสิทธิ์ และการเข้ารหัส
  • ทำสำเนาข้อมูลสำรองของไฟล์ .htaccess (หรือกลไกควบคุมการเข้าถึงอื่นๆ โดยขึ้นอยู่กับแพลตฟอร์มเว็บไซต์ของคุณ) ใช้ไฟล์ข้อมูลสำรองของคุณในการกู้คืนหากสิ่งที่จะกล่าวต่อไปนี้ล้มเหลว คุณต้องลบไฟล์ข้อมูลสำรองเมื่อคุณดำเนินการเสร็จสิ้นแล้ว
  • ติดตามการอัปเดตและแพตช์ซอฟต์แวร์ล่าสุดอยู่เสมอ มีเครื่องมือจำนวนมากที่ทำให้การสร้างเว็บไซต์เป็นเรื่องง่าย แต่เครื่องมือแต่ละอย่างก็เพิ่มความเสี่ยงในการถูกนำไปใช้หาประโยชน์ส่วนตัว อันตรายที่พบบ่อยสำหรับผู้ดูแลเว็บจำนวนมากคือการติดตั้งฟอรัมหรือบล็อกบนเว็บไซต์ของตนแล้วลืมไปว่าได้ติดตั้งไว้ สิ่งสำคัญคือคุณต้องทำการอัปเดตล่าสุดทั้งหมดสำหรับโปรแกรมซอฟแวร์ใดก็ตามที่คุณได้ติดตั้งไว้ ซึ่งก็คล้ายกับการนำรถยนต์ของคุณไปทำการปรับแต่งเครื่องยนต์ ให้ทำรายการของซอฟต์แวร์และปลั๊กอินทั้งหมดที่ใช้สำหรับเว็บไซต์ของคุณ และติดตามหมายเลขเวอร์ชันและการอัปเดตต่างๆ แม้ว่าคุณจะขยันทำให้ส่วนประกอบเว็บไซต์ทั้งหมดได้รับการอัปเดตเสมอ คุณอาจยังคงมีความเสี่ยงถ้าผู้โฮสต์เว็บของคุณยังไม่ได้ติดตั้งแพตช์ล่าสุดของระบบปฏิบัติการ เรื่องนี้ไม่ได้เป็นปัญหาสำหรับบรรดาเว็บไซต์ที่มีขนาดเล็กเท่านั้น ได้มีคำเตือนต่างๆ สำหรับเว็บไซต์ของธนาคาร ทีมกีฬา รวมถึงเว็บไซต์ขององค์กรและของรัฐบาลด้วย
  • คอยเฝ้าดูไฟล์บันทึกของคุณ การทำสิ่งนี้ให้เป็นนิสัยเป็นเรื่องที่มีประโยชน์อย่างยิ่ง ซึ่งหนึ่งในนั้นคือการเพิ่มการรักษาความปลอดภัย เช่น พารามิเตอร์ URL ที่ไม่คุ้นเคย (เช่น "=http:" หรือ "=//") หรือปริมาณการเข้าชมที่เพิ่มขึ้นอย่างรวดเร็วสำหรับ URL เปลี่ยนเส้นทางในเว็บไซต์ของคุณอาจบ่งชี้ว่าแฮ็กเกอร์กำลังหาประโยชน์จากการเปลี่ยนเส้นทางแบบเปิด นอกจากนี้ โปรดจำไว้ว่าแฮกเกอร์มักจะพยายามเปลี่ยนแปลงไฟล์บันทึก ให้ใช้มาตรการต่างๆ เพื่อปกป้องไฟล์เหล่านี้จากการถูกโจมตี ตัวอย่างเช่น คุณสามารถย้ายไฟล์เหล่านี้จากตำแหน่งเริ่มต้น ซึ่งจะทำให้แฮกเกอร์ค้นพบไฟล์ได้ยากขึ้น
  • ตรวจหาช่องโหว่ทั่วไปในเว็บไซต์ของคุณ หลีกเลี่ยงการมีไดเรกทอรีที่มีสิทธิ์แบบเปิด ซึ่งคล้ายกับเป็นการเปิดประตูหน้าบ้านของคุณทิ้งไว้

    นอกจากนี้ ให้ตรวจสอบช่องโหว่ในการแทรก XSS (Cross-site Scripting) และการแทรก SQL

  • ใช้โปรโตคอลที่ปลอดภัย Google แนะนำให้ใช้ SSH และ SFTP สำหรับการโอนข้อมูล แทนที่จะใช้โปรโตคอลข้อความธรรมดาอย่างเช่น เทลเน็ตหรือ FTP สำหรับ SSH และ SFTP นั้นจะใช้การเข้ารหัสและมีความปลอดภัยกว่ามาก
  • ติดตามข่าวสารล่าสุดเกี่ยวกับการรักษาความปลอดภัย บล็อกการรักษาความปลอดภัยออนไลน์ของ Google ให้ข้อมูลที่เป็นประโยชน์เกี่ยวกับการรักษาความปลอดภัยและความปลอดภัยทางออนไลน์ รวมถึงคำแนะนำเกี่ยวกับทรัพยากรอื่นๆ เว็บไซต์ของรัฐบาลที่มีชื่อว่า US-CERT (United States Computer Emergency Readiness Team หรือทีมเตรียมความพร้อมฉุกเฉินด้านคอมพิวเตอร์ของสหรัฐอเมริกา) จะมีการแจ้งเตือนและเคล็ดลับต่างๆ เกี่ยวกับการรักษาความปลอดภัยทางเทคนิค