Page 29 - CAT Magazine
P. 29
CAT SCOOP / 29
4 ในการเข้าถึงของยูสเซอร์รายอื่นๆ ให้เหมาะกับงาน และถ้าเกิดกรณี 9 ติดตั้ง SSL (Secure Socket Layer) โดยเฉพาะเว็บไซต์อีคอมเมิร์ซ
ส�าหรับเว็บไซต์ที่มีล็อกอินหลายอัน ผู้ที่เป็นแอดมินหลักต้องดูแลสิทธิ
หรือเว็บไซต์ที่ต้องมีการรับส่งข้อมูลส�าคัญ เพราะ SSL หรือมาตรฐาน
ที่ยูสเซอร์บางรายขออนุญาตเข้าใช้บางฟังก์ชันเป็นกรณีพิเศษ ก็ให้เป็น การรักษาความปลอดภัยบนระบบอินเทอร์เน็ตนี้จะช่วยเข้ารหัสข้อมูลจาก
กรณีๆ ไป เมื่อจบงานก็ควรลบสิทธิ์ในการเข้าถึงนั้นๆ ด้วย และอย่าให้สิทธิ์ถึง จุด A ไปจุด B ซึ่งลดโอกาสการถูกโจมตีระหว่างทาง หรือ Man in the
ขั้นที่ผู้ใช้งานรายนั้นสามารถเข้ามาเป็นแอดมินของระบบได้ เหล่านี้จะช่วยให้ Middle (MITM) attack ได้
แอดมินควบคุมเว็บไซต์ได้อย่างมีประสิทธิภาพมากขึ้น และสามารถตรวจ
ตราการใช้งานของยูสเซอร์แต่ละรายได้ว่ามีพฤติกรรมการใช้งานอย่างไร 10 เข้าใจเรื่อง File Permissions เราสามารถท�างานกับไฟล์
เสี่ยงต่อการถูกเจาะระบบหรือไม่ด้วย ต่างๆ ได้สามแบบคือ Read, Write และ Execute ซึ่งแทน
ด้วยตัวเลข 4, 2 และ 1 ตามล�าดับ ส่วนระดับยูสเซอร์ เบื้องต้นก็แบ่งออก
5 อย่าตั้งค่า CMS (Content Management System) เป็น Default ได้เป็นสามแบบง่ายๆ ได้แก่ Owner (เจ้าของ), Group (กลุ่ม) และ Public
(ทุกคน) แอดมินระบบต้องมีการจัดการว่ายูสเซอร์แต่ละระดับจะท�าอะไรกับ
การใช้งานโปรแกรมประเภทจัดการเนื้อหาเว็บไซต์หรือ CMS นั้น
ควรเข้าไปปรับในส่วนของการควบคุมอื่นๆ ข้างใน เพราะเว็บไซต์ที่ใช้การตั้งค่า ไฟล์ได้บ้าง เช่น ระดับ Owner อาจอนุญาตให้ Read (4) และ Write (2)
เริ่มต้นของโปรแกรมเอาไว้นั้นจะมีโอกาสถูกเจาะระบบสูงกว่า ได้ ยูสเซอร์ระดับ Group อาจ Read (4) ได้อย่างเดียว ส่วนระดับ Public
อาจท�าอะไรไม่ได้เลย (0) ผลคือ File Permission จะแสดงตัวเลข 640
6 เลือก Extension ต่างๆ ให้ดี การเลือกส่วนขยายมาเชื่อมต่อเพิ่มเติม Write Read Execute
อาจท�าให้เกิดช่องโหว่ได้ เพราะ Extension บางตัวอาจมีผลต่อระบบ
รักษาความปลอดภัย ดังนั้นการเลือก Extension อาจดูได้จากการอัปเดต Owner 2 4 0
ถ้าไม่มีการอัปเดต Extension นั้นๆ เลย ก็เป็นไปได้ว่านักพัฒนาอาจเลิกสนใจ Group 0 4 0
Extension ตัวนั้นไปแล้ว อีกข้อมูลที่ควรสนใจก็คือชื่อของนักพัฒนาว่า Public 0 0 0
น่าเชื่อถือแค่ไหน และจ�านวนคนที่ติดตั้ง Extension ตัวนั้นมีมากเท่าไร เพราะ
นักพัฒนาที่มีประสบการณ์แล้วก็มีโอกาสที่จะตระหนักเรื่องความปลอดภัย
มากกว่า แต่สิ่งที่ส�าคัญที่สุดคือควรดาวน์โหลด Extension จากแหล่งที่ การเข้าไปเซ็ตค่าตัวนี้จะมีประโยชน์มาก และท�าให้เว็บปลอดภัย ขณะที่
เชื่อถือได้เท่านั้น บางเว็บอาจแนะน�าให้เซ็ตไว้ที่ 666 หรือ 777 ซึ่งหมายความว่าคุณอนุญาต
ให้ “ใครก็ได้” เข้ามาใส่มัลแวร์ในระบบหรือลบไฟล์ในฐานข้อมูลได้นั่นเอง
7 แบ็กอัปไว้บ้าง เพราะโอกาสที่เว็บไซต์จะเกิดความเสียหายแล้ว ทั้ง 10 ข้อนี้ อาจเป็นเทคนิคเบื้องต้นที่แอดมินมือใหม่สามารถศึกษาและ
ได้ตัวแบ็กอัปช่วยไว้ก็มีอยู่มาก
ปฏิบัติตามเพื่อเพิ่มความปลอดภัยให้กับเว็บไซต์ได้ก็จริง แต่ไม่อาจการันตี
8 ตั้งค่าใน Server Configuration Files เพิ่มเติม แอดมินควรตั้งค่าใน ได้ร้อยเปอร์เซ็นต์ว่าจะไม่ถูกแฮ็ก ดังนั้น ส�าหรับแอดมินมือใหม่ควรหมั่น
Configuration Files เพื่อป้องกันปัญหาต่างๆ เช่น Prevent directory
ติดตามข่าวคราวและศึกษาเทคโนโลยีต่างๆ อยู่เสมอ
browsing, Prevent imagehotlinking หรือ Protect sensitive files เพื่อ
ลดโอกาสที่ผู้ไม่ประสงค์ดีจะเข้ามาดูคอนเทนต์ต่างๆ ได้อย่างสะดวก โดยอาจ
ศึกษาจากหัวข้อ Security เพิ่มเติมก็ได้
ปกป้องแอปพลิเคชันบนเว็บด้วย
Web Application Firewall Service
ด้วยความตระหนักถึงภัยคุกคามต่างๆ ที่ก�าลังพุ่งเป้ามาสู่เว็บไซต์ขององค์กร CAT จึงได้พัฒนา
บริการ Web Application Firewall Service บริการป้องกันการโจมตีเว็บไซต์ ที่ให้บริการในรูปแบบ
Security Cloud Service เพื่อให้ลูกค้าลดภาระด้านการลงทุนอุปกรณ์ แต่พร้อมด้วยประสิทธิภาพ
การป้องกันภัยคุกคามจากการโจมตีเว็บไซต์หลากหลายรูปแบบ เช่น การตรวจจับพฤติกรรมการ
ใช้งาน Web Application ที่ผิดปกติ ตอบสนองทุกความต้องการของธุรกิจกับ 2 แพ็กเกจ
ให้เลือกใช้งาน คือ Standard Web Application Firewall และ Advanced Web Application
Firewall โดยสามารถศึกษาข้อมูลเพิ่มเติมได้ที่ www.catcyfence.com
CAT MAGAZINE
