คู่มือเสริมความปลอดภัยบนโลกออนไลน์ ให้ธุรกิจและตัวคุณห่างไกลจากผู้ไม่หวังดี

Cyber Attack ซึ่งสร้างความเสียหายมูลค่ามหาศาลเป็นสิ่งที่ป้องกันได้หากคุณมีความรู้พื้นฐานความเข้าใจ เราจะมาคุยกันผ่านคู่มือฉบับนี้ในแบบที่เจ้าของธุรกิจเข้าใจง่าย

C. Chinnakrit
พฤศจิกายน 18, 2023

กดเพื่อดูสารบัญ

ทำไมคุณถึงต้องสนใจเรื่อง Cyber Security

ในเมื่อเทคโนโลยีกลายมาเป็นปัจจัยที่ 5 ซึ่งหลอมรวมเข้าไปในชีวิตประจำวันเราโดยสมบูรณ์แล้ว การที่คุณต้องสนใจเรื่อง Cyber Attack เป็นสิ่งที่หลีกเลี่ยงไม่ได้เลย คุณควรมีความรู้พื้นฐานในการป้องกันตัวเองและคนรอบตัว ไม่ว่าจะเป็นในการใช้งานส่วนตัวหรือการใช้เทคโนโลยีในบริษัทหรือองค์กรของคุณ (ซึ่งหากถูกเจาะข้อมูลก็อาจสร้างความเสียหายมูลค่ามหาศาล) การดูแลความปลอดภัยของเว็บไซต์ของคุณก็อยู่ในหัวข้อนี้เช่นกัน การที่คุณติดอาวุธด้วยความรู้ที่เท่าทันผู้ไม่หวังดีย่อมป้องกันความเสี่ยงที่อาจเกิดขึ้นได้ ลองมาดูตัวเลขสถิติการคุกคามทางไซเบอร์ในปี 2022 จากศูนย์ CSOC ของ NT Cyfence กัน

ว่ากันด้วยเรื่อง Cyber Attack ของปี 2022

รู้ไหมครับว่าปัจจุบันอัตราความเสี่ยงในการโดนโจมตีทางไซเบอร์เยอะขนาดไหน? ผมขออ้างอิงข้อมูลที่มีการสำรวจและเปิดเผยจากสถิติการคุกคามทางไซเบอร์ในปี 2022 จากศูนย์ CSOC ของ NT Cyfence

ประเภทการโจมตีทางไซเบอร์ ประกอบด้วย

  1. Malicious Code – มีจำนวน 54% ซึ่งก็คือการติดตั้งซอฟต์แวร์หรือโค้ดที่ไม่ประสงค์ดีในอุปกรณ์ของคุณ จำพวก Virus, Trojan หรือ Malware เป็นต้น
  2. Availability Attack – 18% ของทั้งหมด เป็นการโจมตีด้วยการฟลัด Traffic เข้ามาจนระบบล่มนั่นเอง
  3. Information Gathering – 16% ของทั้งหมด เป็นการโจรกรรมข้อมูลของคุณเพื่อนำไปใช้ในทางไม่ดี
  4. Intrusion Attempt – 12% ของทั้งหมด เป็นการพยายามเจาะเข้าระบบผ่านช่องโหว่ (Vulnerabilities) และการ Brute Force Attack

สถิติที่น่าตกใจคือ การพยายามเจาะช่องโหว่และการพยายามเจาะล็อคอินบัญชีทั่วโลกมาจากประเทศไทยถึง 5% ครับ เรียกได้ว่าเราอยู่กันในถ้ำเสือเลยทีเดียว ตามสถิติการคุกคามทางไซเบอร์ครึ่งปีแรกของปี 2022 จากศูนย์ CSOC ของ NT Cyfence

นี่คือหนึ่งในสถิติของ Intrusion Attempt จากปลั๊กอิน Limit Login Attemptsบน Wordpress ต่อเดือน มีเกือบ 8 แสนครั้งทั่วโลกเลยทีเดียว (จากแค่การเก็บข้อมูลของส่วนขยายเดียวนะ)

แล้วใครได้จะรับผลกระทบจาก Cyber Attack บ้าง?

ตอบไม่ยากเลยครับ คนที่มีความเสี่ยงก็คือเราทุกคนนั่นเอง

หากเป็นบุคคลธรรมดา เราเชื่อว่า 99% มีบัญชีบนแพลตฟอร์มหรือซอฟต์แวร์บนอินเตอร์เน็ตแน่นอน อะไรก็ตามที่เข้าถึงจากอินเทอร์เน็ตได้=มีความเสี่ยงสูง หรือคอมพิวเตอร์ส่วนตัวของคุณก็มีสิทธิดาวน์โหลดสิ่งแปลกปลอมมาได้

หากคุณเป็นนิติบุคคล บริษัทของคุณส่วนใหญ่ก็จะมีเว็บไซต์ที่ยิ่งมีความเสี่ยงสูงในการถูกโจมตีเพราะค่าตอบแทน (เงินหรือความท้าทาย) มากกว่าคนธรรมดานั่นเอง หรือซอฟต์แวร์ที่ใช้ภายในองค์กรก็มีความเสี่ยงเช่นกัน

เว็บไซต์ถูกเจาะ ถูกโจมตี ยังไงได้บ้าง?

ตามสถิติการโจมตีทางไซเบอร์ในไทยด้านบน เราขอเล่าให้คุณเห็นภาพดีกว่าว่า

  1. Malicious Code – เว็บไซต์ของคุณสามารถโดนนำโค้ดที่ผู้ไม่ประสงค์ดีเขียนมาฝังไว้ได้ ซึ่งจะสร้างความเสียหายเมื่อผู้เข้าใช้งานโหลดหน้าเว็บไซต์หรือโหลดไฟล์ อาจถูกโจมตีผ่านการเข้าถึงจากโฮสติ้ง/เซิฟเวอร์ หรือผ่าน Plugin ที่ไม่ได้รับการอัพเดทความปลอดภัยหรือจากแหล่งที่ไม่ประสงค์ดี
  2. Availability Attack – เว็บไซต์ของคุณโดนโจมตี DDoS คือการฟลัด/ สแปม หรือเอาภาษาบ้าน ๆ คือรุมเข้าเว็บไซต์คุณเป็นปริมาณมหาศาลอย่างต่อเนื่องในช่วงเวลาอันสั้น คิดภาพว่าเป็นฟอรั่มสมัยก่อนที่มีการไปรุมกด F5 กันส่งผลให้มีคำขอเข้าถึงเว็บไซต์ในเซิฟเวอร์มหาศาลจนเว็บล่มนั่นเอง (เป็นเหตุการณ์ตัวอย่างที่บอกอายุมาก ฮ่า) แต่การโจมตีในรูปแบบนี้จะไม่ได้เป็นคนมานั่งกดปุ่ม รีเฟรช แต่เป็นการเขียนซอฟต์เวอร์ของแฮคเกอร์/ โปรแกรมเมอร์ที่ไม่ประสงค์ดีนั่นเอง
  3. Information Gathering – รูปแบบใกล้ตัวสุดคงเป็นคอลเซ็นเตอร์มิจฉาชีพที่พยายามล้วงข้อมูลและหลอกให้คุณโอนเงิน ในส่วนของเว็บไซต์คือการเข้าไปโจรกรรมข้อมูลจากบัญชีของคุณ หรือโจรกรรมข้อมูลทางการเงินของคุณและลูกค้านั่นเอง
  4. Intrusion Attempt – การพยายามล็อคอินเข้าไปในเว็บไซต์หรือเซิฟเวอร์ของคุณผ่านการเจาะช่องโหว่ (Exploit Vulnerabilities) หรือการถอดรหัสล็อคอินซ้ำ ๆ จนในที่สุดก็เจอรหัสผ่านที่ถูกต้องนั่นเอง (Brute Force login attempt)

บทความนี้เราตั้งใจเขียนขึ้นเพื่อให้คุณห่างไกลจากเหตุการณ์ทั้ง 4 โดยพยายามเรียบเรียงให้เข้าใจง่ายที่สุด เหมาะสำหรับนักธุรกิจที่ไม่มีเวลาแต่ต้องการเพิ่มความปลอดภัยเวลาออนไลน์

รวมวิธีเพิ่มความปลอดภัยในโลกออนไลน์

ทีมแคร์ดิจิตัลได้รวบรวมมาตรการด้านความปลอดภัยต่าง ๆ ที่เรามักแนะนำให้ลูกค้าของเราปฏิบัติตาม ซึ่งเราต้องออกตัวก่อนว่า เราไม่ใช่บริษัทด้าน Cyber Security เฉพาะทาง วิธีทั้งหมดที่เราจะกล่าวถึงนี้ ตอบโจทย์ Threat Model ของเรา (โมเดลความเสี่ยง/ การคุกคาม) ซึ่งเพียงพอในการทำให้เว็บไซต์และลูกค้าของเราปลอดภัย เรามั่นใจว่าวิธีการเสริมความปลอดภัยออนไลน์ด้านล่างนี้เป็นวิธีการที่ได้รับการยอมรับตามสากลและจะช่วยให้คุณปลอดภัยมากขึ้นจนผู้ไม่ประสงค์ดีมาเห็นก็โบกมือลาทุกครั้งไป มาดู Security Hygiene ที่คุณควรทราบกันดีกว่า

เพิ่มความปลอดภัยทางเทคโนโลยีของคุณ

การปรับเปลี่ยนพฤติกรรม เพิ่มความรู้

ข้อนี้สำคัญที่สุดที่คุณจะได้อ่านวันนี้เลยครับ การทำให้ตัวคุณปลอดภัยยิ่งขึ้นบนโลกออนไลน์มันคือการปรับเปลี่ยนพฤติกรรมที่คุณทำอยู่ ซึ่งเมื่อไหร่ก็ตามที่เราต้องเปลี่ยนสิ่งที่เราทำอยู่ทุกวัน มันยากมาก แต่หากคุณทำไม่ได้ สิ่งที่คุณจะอ่านต่อไปแทบจะไม่มีความหมายเลย

จากการใช้พาสเวิร์ดเดิม ๆ เป็นการใช้แอพเข้ามาช่วย มันอาจเพิ่มขั้นตอนขึ้นมาอีก 1-3 ขั้นตอนซึ่งแรก ๆ อาจจะดูลำบาก แต่เชื่อเถอะครับว่าทำไปสักพักมันจะชินไปเอง เทียบกับความปลอดภัยที่คุณจะได้เพิ่มขึ้นมาอีกไม่รู้กี่ร้อยเปอร์เซ็นต์ (เราใช้จนชินแล้ว มันง่ายมาก การันตีครับ)

การหรือสนใจเรื่องเทคโนโลยีบวกกับความช่างสังเกตก็ช่วยคุณให้ปลอดภัยบนโลกออนไลน์ได้อีกเยอะ ลองคิดว่า ถ้ามีมิจฉาชีพที่ตีเนียนยังกับเจ้าหน้าที่รัฐเลย ส่งลิงก์มาให้คุณกด แล้วคุณเห็นลิงก์แล้วจำได้ว่า เอ้ย! เว็บไซต์ขององค์กรรัฐนี้ไม่ใช่ URL นี้ หรือหากจำไม่ได้ก็อาศัยไปค้นเพิ่มเติมให้แน่ใจก่อน ความเป็นไปได้ที่คุณจะโดนล้วงข้อมูลก็แทบจะหายไปโดยสิ้นเชิงเลย

ถ้าหากคุณพร้อมที่จะเปลี่ยนความเคยชินและเรียนรู้อยู่ตลอดเวลาแล้ว คุณจะประสบความสำเร็จแน่นอนในการเปลี่ยนสุขอนามัยให้ดีขึ้นครับ งั้นเรามาเริ่มกันเลยดีกว่า

Strong Password และ Password Manager

ผมพนันได้เลยว่า เหตุผลหลักที่คนส่วนใหญ่โดนแฮคบัญชีมาจากพาสเวิร์ดที่ไม่แข็งแรงหรือสั้นเกินไป (เรากำลังพูดถึงพาสเวิร์ดอยู่จริง ๆ ครับ!) โดยเฉพาะอย่างยิ่ง การใช้พาสเวิร์ดที่ไม่แข็งแรงพอกับทุก Account เพราะว่าไม่อยากจำพาสเวิร์ดอื่น! เหตุผลที่แฮคเกอร์อยู่ในไทยเยอะเพราะพวกเขาล้วนบอกเลยว่า หวานเจี๊ยบสุด ๆ ครับ เจอพาสเวิร์ดสั้นและง่ายแบบนี้ แถมลงทุนแฮคทีเดียวโดนทั้งยวงเพราะใช้พาสเวิร์ดเดียวกัน

แก้ไขอย่างไรน่ะหรอครับ? ใช้พาสเวิร์ดที่แข็งแรงขึ้นยังไงล่ะ พาสเวิร์ดที่ดีควรมีตัวพิมพ์ใหญ่ ตัวเลข และอักษรพิเศษ (จำพวก *, -, #, $, @, ^, %, = และอื่น ๆ ทั้งหลายเหล่านี้) อย่างน้อย 1 ตัวอักษร และมีความยาวไม่น้อยกว่า 20 ตัวอักษร โอเค… พอเราบอกแบบนี้แล้ว เรารู้ว่าคุณก็คิดในหัวไปแล้วว่า “ใครจะไปจำได้(วะ)?” แต่คุณรู้เคล็ดลับอะไรไหมครับ? คุณไม่จำเป็นต้องจำมันแล้ว ต่อจากนี้ และตลอดไป!

เราขอแนะนำให้คุณใช้ Password Manager หรือแอปจัดการพาสเวิร์ดนั่นเองไม่ว่าจะเป็น

ซึ่งในรายการที่กล่าวมานี้ได้รับการยอมรับและผ่านเกณฑ์ของ Privacy Guide: Password managers recommendation ที่มีความปลอดภัยและเคารพความเป็นส่วนตัวของคุณ ซึ่งแอพที่ว่ามามันฟรีทั้งหมดเลยครับ! (ยกเว้น1Password) และได้รับการ Audit จาก Third Party ว่าผ่านเกณฑ์ตามที่เคลมไว้จริง

ส่วนตัวของเราใช้ Bitwarden ที่เป็นที่นิยมมากเนื่องจากใช้งานง่ายและมีการเข้ารหัสที่เครื่องของคุณ (End to End Encryption) คือถ้าหากเครื่องคุณไม่ได้ถูกขโมยและโจรมีลายนิ้วมือของคุณก็แทบจะเป็นไปไม่ได้ที่ใครจะมาเจาะรหัสคุณได้เลย อีกทั้งซอฟต์แวร์พวกนี้ยังมีฟีเจอร์ Password Generator ที่สุ่มพาสเวิร์ดมาให้คุณใช้ตามออปชั่นที่คุณเลือกซึ่งเราเลือกออปชั่นแบบจัดเต็มเสมอ

  • 128 ตัวอักษร (ยาวสุด ๆ อยาก Brute Force ก็คงใช้เวลาหลายแสนปี)
  • ใช้ตัวพิมพ์ใหญ่, ตัวพิมพ์เล็ก, ตัวเลข และอักขระพิเศษ (เพิ่มความยากในการสุ่มพาสเวิร์ด)

Multi Factor Authentication หรือ 2FA

ไม่มีการเสริมความปลอดภัยในการล็อคอินใดจะยอดเยี่ยมเท่าการทำ 2FA (Two-factor Authentication) อีกแล้วในแง่ของการทำน้อยแต่ได้มาก มันอาจไม่ได้แปลว่าอัตราความเสี่ยงคุณจะเหลือ 0 แต่แค่คุณเปิดฟังค์ชั่นนี้ ก็อุ่นใจไปได้สุด ๆ

Multi-Factor Authentication แปลเป็นไทยทางการก็ ‘การยืนยันตัวตนหลายปัจจัย’ หรือพูดบ้าน ๆ ก็ยืนยันตัวตนหลายชั้นหน่อยถึงจะเข้าบัญชีได้ ซึ่งที่นิยมกันมากก็คือ 2FA หรือแค่สองชั้นก็ช่วยได้เยอะแล้ว

เราจะขอยกตัวอย่างแบบที่เราใช้บ่อยและคิดว่าคุณทำแค่นี้ก็ปลอดภัยขึ้นเยอะ คือ 2FA แบบ TOTP (Time-based One Time Password หรือพาสเวิร์ดแบบครั้งเดียวสุ่มมาตามเวลา มากกว่าการใช้แบบยืนยันผ่าน Email เพราะดักจับข้อมูลได้ง่ายกว่ามาก) ซึ่งหลายแพลตฟอร์มมีฟีเจอร์นี้ให้คุณใช้ กางโน้ทบุ๊ค/ ไสมือถือตอนนี้ได้เลยครับ ลองเข้าไปดูในหน้า Profile ของคุณ และเข้าหน้า Security (ส่วนใหญ่จะอยู่ในนั้น) และเปิดฟังค์ชั่นนี้เลยซึ่งคุณจะพบกับขั้นตอนดังนี้

  1. แอปจะบอกให้คุณโหลดแอพพวก Google Authenticator หรือ Authy แต่เราแนะนำแอปเหล่านี้ตาม Privacy Guides: Multi Factorial Authenticator (นี่ก็ฟรีครับ ขอขอบคุณ Open source software เหล่านี้ด้วย)
    1. Aegis (Android)
    2. ente Auth (Android, iOS)
  2. แอปจะสร้าง QR Code ให้คุณใช้แอพที่คุณโหลดจากข้อ 1 สแกนเลย
  3. ข้อมูล TOTP ของบัญชีคุณก็จะเข้าไปในแอพ 2FA ที่คุณดาวน์โหลดตามในข้อ 1 แบบอัตโนมัติ
  4. แอป 2FA จะเริ่มทำการสุ่มพาสเวิร์ด ให้คุณนำพาสเวิร์ดนั้นไปใส่ในช่องยืนยัน
  5. เพียงเท่านี้ก็เสร็จสมบูรณ์

การตั้งค่า 2FA ทำให้ปลอดภัยขึ้นอย่างไร?

ใครก็ตามที่จะล็อคอินเข้าบัญชีของคุณ นอกจากมีพาสเวิร์ด(ที่เจาะมาได้แล้ว) ยังต้องมีมือถือเครื่องที่คุณลงแอพ 2FA ด้วยเพื่อเอารหัสในแอพมาใส่ถึงจะเข้าได้ คนเจาะรหัสที่อยู่อีกทวีปจึงไม่สามารถเข้าบัญชีคุณได้ จะเดา TOTP ก็แทบเป็นไปไม่ได้เพราะรหัสเปลี่ยนทุก 1 นาที!

ถ้าหากคุณอยากได้ความปลอดภัยแบบสุด ๆ ก็เปลี่ยนจากแอพ 2FA เป็นฮาร์ดแวร์ Security Key เช่น Yubikey หรือ Nitrokey ก็จะปลอดภัยยิ่งขึ้นไปอีก

Sub-Account & Permission

เฮ้! คุณอย่าส่ง Account ID และ Password ให้ใครแบบนั้นสิ โดยเฉพาะทางแอพแชทหรืออีเมล

เราขอแนะนำว่าบัญชีของคุณคือบัญชีหลัก หรือ Administrator Account ทุกครั้งที่ต้องการให้มีคนเข้าถึงบัญชีของคุณ สร้าง Account ลูกหรือ Sub-Account พร้อมกำหนดสิทธิ์การเข้าถึง (Permission) ที่เหมาะสม (การส่งผ่านช่องทางด้านบนถูกขโมยได้ง่ายและไม่ใช่วิธีการส่งรหัสผ่านที่ปลอดภัยเอาซะเลย)

ส่วนเรื่องการส่ง Password ให้คุณส่งผ่าน Bitwarden หรือแอพพาสเวิร์ดอื่นที่มีฟีเจอร์การส่งรหัสผ่านแบบเข้ารหัส (End-to-End Encryption) แทน

Personal data protection

มีความจริงข้อหนึ่งที่อาจยังไม่มีใครบอกคุณนั่นคือ “ห้ามไว้ใจข้อมูลของคุณกับใครทั้งนั้น”

เพราะในเรื่องของข้อมูลส่วนบุคคลรวมไปถึงรหัสผ่านที่สำคัญ คุณไม่อาจรู้ได้เลยว่าใครเข้าถึงข้อมูลนั้นได้บ้างหลังจากที่ออกจากคอมพิวเตอร์หรือสมาร์ทโฟนของคุณไปแล้ว ถึงแม้จะเป็นบริษัทเทคโนโลยีเจ้าใหญ่ที่คุณคิดว่าไว้ใจได้ก็ตามที

ที่ผมบอกแบบนี้ไม่ได้มองโลกในแง่ร้ายแต่อย่างใด แต่เป็นหลักการที่ต่างประเทศปฏิบัติจริง ๆ เรียกว่า Zero Trust เรามีข้อแนะนำง่าย ๆ ที่คุณสามารถปฏิบัติตามได้

  1. มีสติเสมอเวลาให้ข้อมูลของคุณ อัพโหลดไฟล์ต่าง ๆ หรือทำกิจกรรมอะไรก็แล้วแต่บนโลกอินเตอร์เน็ท (คุณจะตกใจมากเลยล่ะ หากคุณรู้ถึงมาตรการที่หละหลวมในการเข้าถึง เก็บ และประมวลผลของข้อมุลของคุณ)
  2. อ่านนโยบายความเป็นส่วนตัว หรือนโยบายการจัดการข้อมูลของคุณให้ดี ก่อนให้ข้อมูลแก่นิติบุคคล/บริษัทไหน ๆ คุณสงสัยไหมว่าทำไมถึงมีมิจฉาชีพรู้เบอร์มือถือของคุณและรายละเอียดของคุณอย่างดี คุณอาจต้องมานั่งนึกว่าเคยให้ข้อมูลกับใครไปบ้าง เพราะกรณีการขายข้อมูลจากพนักงาน (แม้แต่ในสถาบันการเงินเจ้าใหญ่) ก็เกิดขึ้นอย่างเป็นประจำเลยหละ
  3. เช็ค URL ของเว็บไซต์ที่คุณกำลังกรอกข้อมูลให้ดี ใช่ URL ที่ถูกต้องหรือไม่ อาจลองเสิร์ช URL นี้ใน Google อีกสักทีเพื่อความมั่นใจ
  4. หากคุณมีซอฟต์แวร์ที่ใช้ภายในองค์กร ประเมินว่าแอพขององค์กรเป็บข้อมูลอะไรบ้าง และเลือกเปิดเผยหรือใช้งานแค่เท่าที่จำเป็น

ไม่มีใครจะดูแลข้อมูลและความปลอดภัยได้ดีเท่าตัวคุณเองแล้ว จริงไหมครับ?

เพิ่มความปลอดภัยให้เว็บไซต์ของบริษัท ทำยังไงได้บ้าง?

Server Level Protection

หากคุณมีเว็บไซต์แบบ Static HTML การป้องกันเซิฟเวอร์หรือโฮสติ้งของคุณเป็นหนึ่งในไม่กี่สิ่งที่คุณทำได้ แต่หากคุณมี CMS (Content Management System) เช่น Wordpress, Woocommerce, Magento, Grav หรืออื่น ๆ การป้องกันในระดับเซิฟเวอร์ (Server Level) เป็นมาตรการที่ดีเยี่ยมกว่าในระดับ Application Level ที่คุณไม่ควรมองข้าม

ตรวจสอบให้แน่ใจว่ามีใครเข้าถึงเซิฟเวอร์ของคุณบ้าง เรากำลังพูดถึงแบบในชีวิตจริง คือมีใครเดินเข้าไปถึงตัวเซิฟเวอร์คุณและจัดการแก้ไขอะไรได้บ้าง หากเป็นเซิฟเวอร์ของคุณเอง ก็ลองดูสิทธิ์ของเจ้าหน้าที่แต่ละคนและมาตรการการจัดการข้อมูล

อันดับต่อไป จำกัดการเข้าถึงทางออนไลน์อย่างการตั้งค่า Inbound/Outbound Firewall Rule และ WAF
การทำ Rate Limiter (ทั้งบน Server หรือ Application Level) ก็เป็นทางเลือกที่ดีในการกันผู้ไม่ประสงค์ดีที่พยายามจะเจาะเซิฟเวอร์หรือโฮสติ้งของคุณ

คุณก็ยังมีทางเลือกในการติดตั้งซอฟต์แวร์ที่ดูแลด้านความปลอดภัยอย่าง BitNinja, Immunify360, CPguard, Fail2Ban และอื่น ๆ เพื่อเพิ่มฟีเจอร์ด้านความปลอดภัยแบบพรีเมี่ยม แต่ผมขออนุญาตไม่กล่าวถึงขั้นตอนการติดตั้งระบบในบทความนี้ คุณควรติดต่อผู้เชี่ยวชาญด้าน Cyber Security หรือตามเข้าไปอ่านจาก Documentation ของเครื่องมือต่าง ๆ ที่กล่าวถึงไป (แต่คุณต้องมั่นใจนะว่าคุณเข้าใจสิ่งที่คุณกำลังทำเองอยู่และรับความเสี่ยงได้)

Wordpress Update and Plugin Update

หากคุณมีเว็บไซต์ Wordpress สิ่งที่จะเข้ามาอยู่ในการดูแลเว็บไซต์ของคุณคือ คุณต้องมีการอัพเดท Wordpress Core ที่จะมีการปล่อยอัพเดทอุดช่องโหว่และความเสี่ยงต่าง ๆ ตลอดทั้งปี ทุกครั้งที่มีการอัพเดทคุณควรศึกษาว่า Changelog มีอะไรบ้าง ซึ่งหากมีการอัพเดทความปลอดภัย เราแนะนำให้ทำโดยทันที หรือดีที่สุดคือการตั้ง Auto Update ไปเลย

แต่มันดันมาพร้อมข้อเสียนี่สิ เพราะปลั๊กอินหรือส่วนขยายที่ติดตั้งไว้ อาจเข้ากับ WP เวอร์ชั่นใหม่ไม่ได้ และทำให้หน้าบ้านแสดงผลไม่เหมือนเดิม มีการแตกหักพังไปของ Element ซึ่งคุณก็ต้องเข้าสู่กระบวนการตรวจสอบปัญหาว่าเกิดจากอะไรนั่นเอง (Bug Troubleshooting) ซึ่งเป็นเรื่องปกติของซอฟต์แวร์ที่ต้องมีการอัพเดทเสมอ

คราวนี้คุณคงเกิดข้อกังวลใจ จะ Auto Update ดีไหม? หรือรอให้เวอร์ชั่นที่จะอัพเดทมันนิ่ง ๆ ก่อน มีคนเทสต์แล้วไม่มีปัญหาอะไรค่อยตามอัพเดททีหลัง มาฟังเสียงของผู้เชี่ยวชาญการดูแล Wordpress ที่คุณ Kyle Van Deusen แห่ง Admin Bar ไปสัมภาษณ์มาในบทความ How often should you update Wordpress?
ซึ่งเราขอสรุปแบบรวบรัดให้ว่า จากผู้เชี่ยวชาญด้าน Plugin 3 คนและ ผู้เชี่ยวชาญด้านการ Maintenance Wordpress 3 คน ลงความเห็นเป็นเสียงเดียวกันว่า “คุณควร Auto Update เพื่อลดความเสียหายที่อาจเกิดขึ้นจากการโดนเจาะช่องโหว่” ส่วนถ้าเว็บไซต์มีปัญหาค่อยตามแก้ไข, restore backup หรือเรียกนักพัฒนาเว็บเข้ามาแก้ไขให้

นี่เป็นเพียงการเริ่มต้นของคุณในการอัพเกรดความปลอดภัยทั้งในชีวิตส่วนตัวและในธุรกิจของคุณ เราหวังว่าบทความนี้จะเป็นประโยชน์ และอย่างน้อยที่สุดเลยคือ คุณอ่านย่อหน้านี้จบ คุณออกและไปเข้า App Store ดาวน์โหลดแอพ Password Manager มาแล้วไล่จัดการสุขอนามัยรหัสผ่านของคุณทั้งหมดมาเป็นแบบที่เดาได้ยากมากขึ้นด้วย Password Generator และใช้ 2FA กับทุกบัญชีที่ใช้ได้ เราเชื่อเลยว่าคุณจะห่างไกลสิ่งไม่ดีบนโลกออนไลน์ไปอีกแสนนานเลย

Have a great security hygiene ครับ! แชร์ให้เพื่อนคุณอ่านได้นะโดยกดที่ปุ่มด้านล่าง

แชร์คอนเทนต์ให้ทุกคนได้อ่าน

โพสต์อื่นที่น่าสนใจ