Bảo mật website nhiều lớp là yếu tố rất quan trọng.
Hiện nay, tìm một đơn vị thiết kế website chuyên nghiệp mà nhiều nhất là thiết kế website bán hàng không còn quá khó khăn. Tuy nhiên những vấn đề bảo mật đằng sau một website luôn là chủ đề khó khăn với không chỉ chủ sở hữu website, mà còn với cả đội ngũ kỹ thuật mà thiệt hại của nó có thể vô cùng lớn.
Chúng tôi xin chia sẻ các giải pháp bảo mật, nhằm giúp quý vị hạn chế được nhiều nhất sức tấn công từ hacker.
I. Bảo mật tài khoản quản trị viên website
Đường dẫn link phổ biến rất dễ bị khai thác.
Hầu hết các website thường để các đường dẫn admin rất đơn giản như: /admin, /administrator/ và đặc biệt là /wp-admin
Đây là các đường dẫn rất phổ biến và rất dễ bị tấn công. Đặc biệt là đường dẫn từ mã nguồn wordpress. Có thể hacker căn cứ từ đây để thực hiện các bước tấn công tiếp theo. Hãy rename ngay thư mục này càng phức tạp càng tốt
Yêu cầu người dùng đặt mật khẩu phức tạp sẽ hạn chế được rủi ro hơn rất nhiều.
Hầu hết các đơn vị sẽ sử dụng thuật toán mã hóa mặc định của hệ thống hoặc của mã nguồn (ví dụ như wordpresd) dẫn đến có nguy cơ bị lộ, bị giải mã ngược. Hãy phối hợp nhiều thuật toán mã hóa, thậm chí là phối hợp với thuật toán riêng. Khi đó hacker sẽ khó khăn hơn rất nhiều trong việc mã hóa ngược.
Phương pháp này không khó và khá hiệu quả nhưng rất ít đơn vị thiết kế website triển khai.
Việc chặn thêm 1 lớp mật khẩu nữa từ folder bảo mật sẽ khiến Hacker sẽ rất ngán. Thêm nữa toàn bộ các thư mục phía trong của Quản trị sẽ được bảo mật.
II. Bảo mật với mã nguồn
Năm 2018, đã xảy ra sự cố website của ngân hàng Hợp tác xã bị tấn công do sử dụng wordpress.
Tùy theo nhu cầu bảo mật cao hay thấp và chi phí để chọn mã nguồn hợp lý. Nếu giành cho các hệ thống lớn, cần bảo mật cao như ngân hàng, dữ liệu quốc gia… sẽ cao hơn rất nhiều so với website bán hàng hoặc giới thiệu doanh nghiệp.
Đánh giá bảo mật của ba mã nguồn phổ biến: Wordpress < PHP thuần < .Net
Thêm nữa, wordpress đang là mã nguồn bị tấn công nhiều nhất, thậm chí là tấn công hàng loạt nên nếu cần bảo mật, hãy cân nhắc kỹ lưỡng.
Nhiều mã nguồn (do hack) và nhiều plugin được giao bán tràn lan trên mạng. Hãy cẩn thận bởi bạn tiết kiệm chút tiền nhưng có thể bạn mất rất nhiều tiền để khắc phục về sau.
III. Bảo mật với tư duy lập trình
Đây là giao thức mã hóa gần như bắt buộc hiện nay bởi google, facebook và chính các trình duyệt yêu cầu phải có. Đây là giao thức mã hóa gói dữ liệu để tránh tin tặc giả lập chặn gói tin trên đường truyền. Tuy nhiên nhiều người lầm tưởng có SSL là website đã được an toàn. Đây là chỉ một phương pháp rất nhỏ trong tổng thể các giải pháp bảo mật.
SQL injection là hình thức tấn công website khá phổ biến nhất. Hacker tận dụng qua các form, các biến (không mã hóa) để tấn công vào cơ sở dữ liệu của website. Giải pháp cho vấn đề này là:
Hacker tìm cách insert những đoạn javascript độc hại vào website của bạn. Khi website bị nhiễm mã độc này, nhẹ thì gây khó khăn cho người dùng, nặng có thể bị đánh cắp dữ liệu. Giải pháp cho vấn đề này là:
Hệ thống sẽ có 1 danh sách các website trong whitelist được phép load lên. Các trang khác sẽ bị chặn.
Downtime là thời gian website không phản hồi với người truy cập. Vấn đề này thường xảy ra khi bị tấn công hoặc lượng người truy cập thực tế lớn hơn sức chịu của server. Trong trường hợp lượng truy cập lớn cần nâng cấp hệ thống hoặc tính toán các giải pháp cân bằng tải. Trường hợp bị tấn công, ta cần xác định được nguồn tấn công cũng như phương thức tấn công để ngăn chặn.
Các thư mục cần được bảo vệ. Khi theo đường dẫn này không được để lộ các thông tin bên trong.
Đại đa số các bên thường không mã hóa code trước khi up lên server. Rủi ro rất lớn khi server bị tấn công, code website của bạn có thể sẽ được giao bán trên mạng.
Các thư mục upload cần chặn phương thức “Chạy”. Bởi phía sau một bức ảnh up lên có thể là một virus nguy hiểm. Khi chặn phương thức này cũng là chặn việc kích hoạt virut.
Ngoài ra cần thêm chặn các file được up lên thư mục này.
Khi gặp sự cố, nhiều mã nguồn sẽ bắn ra các lỗi show cả câu lệnh truy xuất dữ liệu, thư mục… vô tình để hacker nhìn thấy. Và từ đó có thể gợi ý cho hacker một con đường tiếp cận.
IV. Bảo mật với người dùng
Hạn chế cho người dùng upload file. Trường hợp phải có tính năng này, hãy thực hiện:
V. GIẢI PHÁP BẢO MẬT VỚI SERVER
Đổi các cổng mặc định của server như Port SQL, SSH… để tránh việc hacker soi ra. Đồng thời chặn các giao thức quét Port như telnet…
Tường lửa vẫn là giải pháp hiệu quả để hạn chế các rủi ro tấn công vào server như DDos, XSS, SQL injection, Buffer Overflow. Tường lửa sẽ tự động phân tích và ngăn chặn các truy vấn có nghi ngờ.
Những rủi ro sau bạn cầu lưu ý khi thuê phải bên không uy tín:
Backup dữ liệu thì rất đơn giản nhưng ít người để ý vì nó rất ít khi xảy ra sự cố. Nhưng nếu chủ quan, để mất dữ liệu thì hậu quả là vô cùng lớn.
Các bản backup phải đủ nhiều để khắc phục sự cố. VD phải có bản backup hàng tuần, hàng ngày, hàng tháng.
Đã có trường hợp sự cố xảy ra nhưng 2 tuần sau mới phát hiện. Nhưng mà chỉ có 1 bản backup ở tuần gần nhất. Lúc đó không còn cách nào khắc phục.
Đã có những lần sự cố đã xảy ra với đường truyền của bên cung cấp server. Hậu quả dẫn đến cả bản backup
Một số công cụ miễn phí bạn có thể tìm hiểu như:
Trên đây là những chia sẻ tương đối đầy đủ có thể giúp quý khách có được những giải pháp bảo mật tốt nhất cho website của mình. Bài viết trên chúng tôi có tham khảo ý kiến chuyên gia của Delectech - Thương hiệu thiết kế website tối ưu hàng đầu tại Việt Nam hiện nay với công cụ hỗ trợ tối ưu SEO content https://seotobo.com/ nổi tiếng nhiều được SEOer yêu thích.
Tham khảo: https://delecweb.com/tu-van-lam-website/28-giai-phap-bao-mat-website-an-toan-va-hieu-qua-n223.html