Top 21+giải pháp bảo mật website A-Z

Bảo mật website nhiều lớp là yếu tố rất quan trọng.

Hiện nay, tìm một đơn vị thiết kế website chuyên nghiệp mà nhiều nhất là thiết kế website bán hàng không còn quá khó khăn. Tuy nhiên những vấn đề bảo mật đằng sau một website luôn là chủ đề khó khăn với không chỉ chủ sở hữu website, mà còn với cả đội ngũ kỹ thuật mà thiệt hại của nó có thể vô cùng lớn.

Chúng tôi xin chia sẻ các giải pháp bảo mật, nhằm giúp quý vị hạn chế được nhiều nhất sức tấn công từ hacker.

I. Bảo mật tài khoản quản trị viên website

1. Thay đổi đường dẫn Admin

Đường dẫn link phổ biến rất dễ bị khai thác.

Hầu hết các website thường để các đường dẫn admin rất đơn giản như: /admin, /administrator/ và đặc biệt là /wp-admin

Đây là các đường dẫn rất phổ biến và rất dễ bị tấn công. Đặc biệt là đường dẫn từ mã nguồn wordpress. Có thể hacker căn cứ từ đây để thực hiện các bước tấn công tiếp theo. Hãy rename ngay thư mục này càng phức tạp càng tốt

2. Đặt mật khẩu phức tạp

Yêu cầu người dùng đặt mật khẩu phức tạp sẽ hạn chế được rủi ro hơn rất nhiều.

3. Thuật toán mã mật khẩu hóa phức hợp

Hầu hết các đơn vị sẽ sử dụng thuật toán mã hóa mặc định của hệ thống hoặc của mã nguồn (ví dụ như wordpresd) dẫn đến có nguy cơ bị lộ, bị giải mã ngược. Hãy phối hợp nhiều thuật toán mã hóa, thậm chí là phối hợp với thuật toán riêng. Khi đó hacker sẽ khó khăn hơn rất nhiều trong việc mã hóa ngược.

Phương pháp này không khó và khá hiệu quả nhưng rất ít đơn vị thiết kế website triển khai.

4. Bảo mật Quản trị 2 lớp

Việc chặn thêm 1 lớp mật khẩu nữa từ folder bảo mật sẽ khiến Hacker sẽ rất ngán. Thêm nữa toàn bộ các thư mục phía trong của Quản trị sẽ được bảo mật.

II. Bảo mật với mã nguồn

5. Chọn mã nguồn hợp lý

Năm 2018, đã xảy ra sự cố website của ngân hàng Hợp tác xã bị tấn công do sử dụng wordpress. 

Tùy theo nhu cầu bảo mật cao hay thấp và chi phí để chọn mã nguồn hợp lý. Nếu giành cho các hệ thống lớn, cần bảo mật cao như ngân hàng, dữ liệu quốc gia… sẽ cao hơn rất nhiều so với website bán hàng hoặc giới thiệu doanh nghiệp.

Đánh giá bảo mật của ba mã nguồn phổ biến:  Wordpress < PHP thuần < .Net 

Thêm nữa, wordpress đang là mã nguồn bị tấn công nhiều nhất, thậm chí là tấn công hàng loạt nên nếu cần bảo mật, hãy cân nhắc kỹ lưỡng.

6. Hạn chế mã nguồn và plugin miễn phí

Nhiều mã nguồn (do hack) và nhiều plugin được giao bán tràn lan trên mạng. Hãy cẩn thận bởi bạn tiết kiệm chút tiền nhưng có thể bạn mất rất nhiều tiền để khắc phục về sau.

III. Bảo mật với tư duy lập trình

7. Cài đặt SSL/HTTPS (giao thức mã hóa)

Đây là giao thức mã hóa gần như bắt buộc hiện nay bởi google, facebook và chính các trình duyệt yêu cầu phải có. Đây là giao thức mã hóa gói dữ liệu để tránh tin tặc giả lập chặn gói tin trên đường truyền. Tuy nhiên nhiều người lầm tưởng có SSL là website đã được an toàn. Đây là chỉ một phương pháp rất nhỏ trong tổng thể các giải pháp bảo mật.

8. Ngăn chặn SQL injection

SQL injection là hình thức tấn công website khá phổ biến nhất. Hacker tận dụng qua các form, các biến (không mã hóa) để tấn công vào cơ sở dữ liệu của website. Giải pháp cho vấn đề này là:

• Mã hóa các biến đầu vào
• Kiểm soát dữ liệu đầu vào, để phát hiện các câu query vào cơ sở dữ liệu

9. Ngăn chặn tấn công XSS

Hacker tìm cách insert những đoạn javascript độc hại vào website của bạn. Khi website bị nhiễm mã độc này, nhẹ thì gây khó khăn cho người dùng, nặng có thể bị đánh cắp dữ liệu. Giải pháp cho vấn đề này là:

• Mã hóa các biến đầu vào
• Kiểm soát các biến đầu vào, phát hiện các thẻ javascript hoặc HTML không hợp lệ

10. Ngăn chặn với CSP (Content Security Policy)

Hệ thống sẽ có 1 danh sách các website trong whitelist được phép load lên. Các trang khác sẽ bị chặn. 

11. Check downtime cho website

Downtime là thời gian website không phản hồi với người truy cập. Vấn đề này thường xảy ra khi bị tấn công hoặc lượng người truy cập thực tế lớn hơn sức chịu của server. Trong trường hợp lượng truy cập lớn cần nâng cấp hệ thống hoặc tính toán các giải pháp cân bằng tải. Trường hợp bị tấn công, ta cần xác định được nguồn tấn công cũng như phương thức tấn công để ngăn chặn.

12. Bảo mật các thư mục

Các thư mục cần được bảo vệ. Khi theo đường dẫn này không được để lộ các thông tin bên trong.

13. Mã hóa code

Đại đa số các bên thường không mã hóa code trước khi up lên server. Rủi ro rất lớn khi server bị tấn công, code website của  bạn có thể sẽ được giao bán trên mạng.

14. Chặn quyền “Run” với thư mục upload

Các thư mục upload cần chặn phương thức “Chạy”. Bởi phía sau một bức ảnh up lên có thể là một virus nguy hiểm. Khi chặn phương thức này cũng là chặn việc kích hoạt virut. 

Ngoài ra cần thêm chặn các file được up lên thư mục này.

15. Giữ cho các lỗi đơn giản

Khi gặp sự cố, nhiều mã nguồn sẽ bắn ra các lỗi show cả câu lệnh truy xuất dữ liệu, thư mục… vô tình để hacker nhìn thấy. Và từ đó có thể gợi ý cho hacker một con đường tiếp cận.

IV. Bảo mật với người dùng

16. Upload từ người dùng

Hạn chế cho người dùng upload file. Trường hợp phải có tính năng này, hãy thực hiện:

• Kiểm soát chặt dữ liệu đầu vào. Những file nào được upload
• Nên upload lên server khác. Nếu có sự cố thì dữ liệu của website cũng không bị ảnh hưởng

V. GIẢI PHÁP BẢO MẬT VỚI SERVER

17. Đổi cổng mặc định

Đổi các cổng mặc định của server như Port SQL, SSH… để tránh việc hacker soi ra. Đồng thời chặn các giao thức quét Port như telnet…

18. Sử dụng tường lửa

Tường lửa vẫn là giải pháp hiệu quả để hạn chế các rủi ro tấn công vào server như DDos,  XSS, SQL injection, Buffer Overflow. Tường lửa sẽ tự động phân tích và ngăn chặn các truy vấn có nghi ngờ. 

19. Thuê server nơi uy tín

Những rủi ro sau bạn cầu lưu ý khi thuê phải bên không uy tín:

• Có sự cố, không ai support
• Có sự cố, không có khả năng hỗ trợ vì kỹ thuật yếu
• Bị mất dữ liệu cho chính nhân viên của bên thuê chia sẻ ra ngoài 

20. Backup thường xuyên

Backup dữ liệu thì rất đơn giản nhưng ít người để ý vì nó rất ít khi xảy ra sự cố. Nhưng nếu chủ quan, để mất dữ liệu thì hậu quả là vô cùng lớn. 

Các bản backup phải đủ nhiều để khắc phục sự cố. VD phải có bản backup hàng tuần, hàng ngày, hàng tháng.

Đã có trường hợp sự cố xảy ra nhưng 2 tuần sau mới phát hiện. Nhưng mà chỉ có 1 bản backup ở tuần gần nhất. Lúc đó không còn cách nào khắc phục.

21. Backup chéo hệ thống

Đã có những lần sự cố đã xảy ra với đường truyền của bên cung cấp server. Hậu quả dẫn đến cả bản backup 

Một số công cụ bảo mật website bạn có thể tìm hiểu thêm

Một số công cụ miễn phí bạn có thể tìm hiểu như:

• SecurityHeaders.io: Công cụ kiểm tra và báo cáo bảo mật website trực tuyến miễn phí (có thể kiểm tra cấu hình của một tên miền chính xác, CSP và HSTS đã bật…).
• Netsparker: Công cụ phát hiện lỗ hổng bảo mật tự động, có thể phát hiện các lỗ hổng website cơ bản như SQL Injection, Cross-site Scripting (XSS), File Inclusion...
• OpenVAS: Chương trình quét mã bảo mật mã nguồn mở tiên tiến nhất cho việc kiểm tra các lỗ hổng website.
• OWASP Xenotix XSS Exploit Framework: Công cụ thử nghiệm tấn công để quét các lỗ hổng XSS trong ứng dụng web. 

Trên đây là những chia sẻ tương đối đầy đủ có thể giúp quý khách có được những giải pháp bảo mật tốt nhất cho website của mình. Bài viết trên chúng tôi có tham khảo ý kiến chuyên gia của Delectech - Thương hiệu thiết kế website tối ưu hàng đầu tại Việt Nam hiện nay với công cụ hỗ trợ tối ưu SEO content  https://seotobo.com/ nổi tiếng nhiều được SEOer yêu thích.

Tham khảo: https://delecweb.com/tu-van-lam-website/28-giai-phap-bao-mat-website-an-toan-va-hieu-qua-n223.html