การแฮกคืออะไร ?
การแฮกคือการเข้าถึงข้อมูลหรือมีสิทธิ์การเข้าถึงที่ไม่ได้รับอนุญาตโดยอาศัยช่องโหว่ต่างๆ โดยมีจุดประสงค์ที่ไม่ดี
ปัจจุบันมีเครื่องมือ (Tools) สำเร็จรูปจำนวนมากที่สามารถดาวน์โหลดมาใช้งานสำหรับเจาะระบบโดยเฉพาะ ผู้ใช้งานอาจมีความรู้เพียงเล็กน้อยหรือไม่มีเลยก็สามารถใช้เครื่องมือเหล่านี้ได้ เครื่องมือเหล่านี้ทำให้เกิดผู้คนที่อยากรู้อยากลองจำนวนมาก โด
เป้าหมายของการแฮก
เป้าหมายหรือจุดประสงค์ของการกระทำที่ไม่หวังดี ขึ้นอยู่กับ Hacker ว่ามีสิทธิ์เข้าถึงข้อมูลหรือระบบของเว็บไซต์ได้มากน้อยเพียงใด และจำกระทำการใดบ้าง โดยส่วนใหญ่แล้วแฮกเกอร์จะมีจุดประสงค์คล้ายๆกันดังนี้
- เพื่อต้องการเงิน
แฮกเกอร์สามารถแอบติดโฆษณาแบบเนียนๆ หากผู้ดูแลเว็บไซต์ไม่สังเกตุ อาจไม่เจอความผิดปกติบนเว็บไซต์ได้เลย หรือแฮกเกอร์สามารถขโมยข้อมูลลูกค้าของคุณเพื่อนำข้อมูลเหล่านี้ไปขายก็ได้เช่นกัน - เพื่อความบันเทิง
มีแฮกเกอร์จำนวนไม่น้อยที่แฮกเว็บไซต์เพื่อความสนุกสนานหรือเพื่อชื่อเสียง กรณีนี้จะพบเจอได้บ่อย จะเห็นได้ว่าแฮกเกอร์มักจะเปลี่ยนหน้าหลัก (Home Page) ของเว็บไซต์เป็นชื่อทีม หรือนามแฝงของแฮกเกอร์ - เพื่อผลประโยชน์ทางธุรกิจ
การแฮกเพื่อผลประโยชน์ทางธุรกิจพบเจอได้ไม่บ่อยมากนัก แต่มักจะพบเจอได้กับบริษัทที่มีชื่อเสียง เมื่อเว็บไซต์โดนแฮกและเป็นข่าว ความน่าเชื่อถือขององค์กรหรือบริษัทจะลดลงอย่างมาก อีกทั้งมีผลกระทบกับการตลาดหรือ SEO อีกด้วย
วิธีป้องกัน
วิธีป้องกันเว็บไซต์ไม่ให้โดนแฮกหรือเจาะระบบได้นั้น เป็นไปได้ยาก ระบบหรือเว็บไซต์บนโลกนี้ไม่มีวิธีไหนที่สามารถป้องกันได้ 100% ทุกระบบล้วนมีช่องโหว่ แต่เรื่องที่ควรให้ความสำคัญคือความเสี่ยงที่เอื้ออำนวยหรือปัจจัยที่ทำให้เว็บไซต์นั้นโดนแฮกได้ง่ายขึ้น
คุณสามารถลดความเสี่ยงของเว็บไซต์ไม่ให้ถูกแฮกได้ดังนี้
- รหัสผ่าน
การตั้งรหัสผ่านไม่ควรตั้งรหัสผ่านที่สามารถคาดเดาได้ง่าย เช่น “123456”, “password”, “thisismypass” เป็นต้น ควรตั้งรหัสผ่านที่มีความยาวมากกว่า 8 ตัว อีกทั้งควรมีตัวเล็ก, ตัวใหญ่, ตัวเลข และอักขระพิเศษ รวมอยู่ด้วย เพื่อให้ยากต่อการคาดเดาหรือป้องกันการโจมตีรูปแบบ Brute-force attack - เซิร์ฟเวอร์
เลือกใช้บริการเว็บเซิร์ฟเวอร์หรือโฮสติ้งกับธุรกิจที่มีมาตรฐานและความน่าเชื่อถือ และอัพเดทซอฟต์แวร์บนเซิร์ฟเวอร์เป็นประจำ เนื่องจากเมื่อช่องโหว่ต่างๆถูกเปิดเผยสาธารณะ ทีมพัฒนาจะออก Patch เผื่ออุดช่องโหว่ดังกล่าว จึงจำเป็นต้องอัพเดทซอฟต์แวร์อย่างสม่ำเสมอ - CMS
หากคุณใช้ระบบ CMS ในการสร้างเว็บไซต์ เช่น WordPress, Joomla, Drupal เป็นต้น มีความเสี่ยงสูงและความเสี่ยงต่ำในเวลาเดียวกัน หมายความว่าระบบเหล่านี้ส่วนใหญ่เป็น Open Source ที่ใครก็สามารถเห็นระบบหรือโค้ดหลังบ้านได้ ทำให้ตกอยู่ในความเสี่ยงสูง แต่ในขณะเดียวกันก็จะมีทีมพัฒนาจำนวนมากที่คอยอุดช่องโหว่เหล่านี้ ทำให้มีความเสี่ยงที่ต่ำเช่นกัน ดังนั้นคุณควรอัพเดทเวอร์ชั่นของ CMS และ Plugin อย่างสม่ำเสมอ - ภาษา
ภาษาที่ใช้ในการพัฒนาเว็บไซต์ อาจมีบางภาษาหรือภาษาบางเวอร์ชั่นถูกหยุดการพัฒนาไปแล้ว ทำให้เมื่อเกิดช่องโหว่จะไม่มีการออกอัพเดทหรือ Patch มาอุดช่องโหว่ อาจทำให้เว็บไซต์นั้นเสี่ยงอยู่ตลอดเวลาและความเสี่ยงนั้นจะเพิ่มมากขึ้นตามระยะเวลา แต่การหยุดพัฒนาจะมีการแจ้งเตือนหรือประกาศออกมาล่วงหน้าหลายเดือนหรือหลายปี วิธีแก้คือควรปรึกษาผู้เชี่ยวชาญเพื่อไปใช้ภาษาอื่นหรืออัพเกรดภาษาเพื่อข้ามเวอร์ชั่นไปยังเวอร์ชั่นที่พัฒนาอยู่
วิธีแก้ไข
การแก้ไขเมื่อเว็บไซต์โดนแฮกจำเป็นต้องแก้ไขให้ตรงจุด ผู้แก้ไขต้องทราบถึงวิธีการและความเสียหายที่เกิดขึ้น เพราะถ้าหากแก้ปัญหาปลายเหตุโดยการ Restore ไฟล์ข้อมูลที่ Backup เอาไว้ ในอนาคตก็สามารถเกิดเหตุการณ์เดิมได้อีก หากคุณจ้างโปรแกรมเมอร์มาแก้ไขเว็บไซต์ที่ถูกแฮก คุณจำเป็นต้องถามถึงวิธีการที่แฮกเกอร์เข้ามาควบคุมเว็บไซต์ได้อย่างไร เพราะมีโปรแกรมเมอร์หลายคน ที่ได้รับมอบหมายงานแล้วก็แก้ปัญหาที่ปลายเหตุโดยการ Restore ไฟล์ข้อมูล
หากคุณเป็นผู้ดูแลหรือเจ้าของเว็บไซต์แต่ไม่อยากเสียเงินจ้างโปรแกรมเมอร์ วิธีที่ง่ายที่สุดแต่ไม่ใช่ทางออกที่ดีที่สุดคือการ Restore ไฟล์ข้อมูลที่ Backup เอาไว้ แต่จะมั่นใจได้อย่างไรว่าไฟล์ Backup นั้นปลอดภัยและไม่ได้โดนแฮก คำตอบคือต้องตรวจสอบโค้ดเพื่อหาโค้ดแปลกปลอมที่แฮกเกอร์ใส่เอาไว้ อาจจำเป็นต้องจ้างโปรแกรมเมอร์หรือผู้เชี่ยวชาญในการแก้ไข