Theo thống kê tại Việt Nam năm 2018, cứ 45 phút trôi qua lại có website bị tấn công. Website bị tấn công không chỉ gây các bất tiện cho người dùng mà còn gây ra các tổn hại đến doanh thu của doanh nghiệp, ảnh hưởng danh tiếng và các thiệt hại khác. Hôm nay, hãy cùng T-web tìm hiểu về khái niệm website, tầm quan trọng của việc bảo mật website và đặc biệt là quy trình bảo mật website toàn diện và dễ thao tác mà bạn có thể thực hiện dễ dàng. Hãy cùng theo dõi bài viết để có thể bảo mật website của mình nhé.
- Bảo mật website là gì?
- Lý do nên bảo mật cho website
- Quy trình bảo mật website toàn diện, dễ thao tác
- 1. Bảo mật tài khoản cho quản trị viên website
- 2. Phân quyền tài khoản hợp lý
- 3. Phòng chống mã độc và virus cho website
- 4. Sử dụng HTTPS/ chứng chỉ SSL (Secure Sockets Layer) cho trang web
- 5. Bảo mật website khỏi các sự tấn công của DDOS
- 6. Bảo vệ dữ liệu website và thông tin khách hàng
- 7. Sao lưu website định kỳ
- 8. Cập nhật thường xuyên bản vá bảo mật cho website
- 9. Kiểm tra các đánh giá an ninh của website
- Những thói quen tốt cho việc bảo mật website
- TOP 4 công cụ nên sử dụng để phát hiện lỗ hổng website
- Lời kết
Bảo mật website là gì?
Bảo mật website là một chức năng, nhiệm vụ hết sức quan trọng và thiết yếu, đảm bảo tính an toàn của website trong quá trình hoạt động và sử dụng. Các nhà quản trị cần thường xuyên kiểm tra và xây dựng hệ thống bảo mật để tránh các trường hợp bị hacker tấn công. Để có thể sở hữu một website vận hành tốt và trơn tru, hãy đảm bảo rằng website của bạn đã và đang được bảo mật một cách tốt nhất.
Lý do nên bảo mật cho website
Không có một doanh nghiệp nào đợi website của bị bị tấn công rồi mới xây dựng hệ thống bảo mật cho website của mình. Cho dù các doanh nghiệp cho rằng không có quá nhiều dữ liệu quan trọng hay họ đang sử dụng các công nghệ hàng đầu thì bị việc các hacker tấn công vẫn là điều khó tránh khỏi. Một website bị các hacker tấn công có thể đem đến các hậu quả nghiêm trọng như:
- Hoạt động kinh doanh của doanh nghiệp bị gián đoạn, ngắt quãng
- Đánh mất các dữ liệu của người dùng và lộ các thông tin cá nhân
- Thứ hạng từ khóa trên kết quả tìm kiếm Google bị mất đồng thời ảnh hưởng đến quá trình SEO
- Ảnh hưởng xấu đến uy hình ảnh thương hiệu của doanh nghiệp
- Không thể sử dụng các loại hình quảng cáo trả phí như: Facebooks Ads, Google Ads,…
- Thông qua các dữ liệu và thông tin của doanh nghiệp, các hacker có thể nắm được chiến lược kinh doanh của công ty.
Xem thêm: website chuẩn seo là gì
Quy trình bảo mật website toàn diện, dễ thao tác
1. Bảo mật tài khoản cho quản trị viên website
Bảo vệ mật khẩu cho quản trị viên
Việc các quản trị viên sử dụng một mật khẩu quá đơn giản có thể là điều kiện cho các hacker tấn công dò mật khẩu (brute-force attack). Vậy nên các quản trị viên website cần đặt một mật khẩu mạnh, bao gồm cả chữ và số, chữ cái viết hoa và các ký tự đặc biệt.
Và mật khẩu của bạn cần thay đổi một cách định kỳ và không nên dùng chung một mật khẩu cho nhiều tài khoản khác nhau. Bạn sẽ không muốn bị lộ mật khẩu Facebook sẽ lộ luôn mật khẩu quản trị website của bạn.
Giới hạn về số lần nhập sai mật khẩu
Để tránh lại các cuộc tấn công dò mật khẩu của các hacker, bạn có thể cài thêm tính năng khóa đăng nhập khi nhập sai mật khẩu quá 5 lần. Lúc đó, các hacker sẽ không thể dò được mật khẩu tài khoản quản trị website của bạn. Bạn có thể cài đặt plugin Loginizer trên WordPress để thực hiện biện pháp bảo mật này cho tài khoản của bạn.
Đổi URL để đăng nhập trang quản lý website
Một trong các cách đơn giản nhất để bảo mật website, chống lại các hacker dò được mật khẩu của bạn là đổi địa chỉ đăng nhập trang quản trị website. Thông thường địa chỉ quản trị mặc định của WordPress là /wp-admin và Joomla là /administrator/index.php. Nếu bạn đổi địa chỉ quản trị này thì sẽ làm khó khăn hơn đối với các tin tặc.
Bật xác thực 2 bước (2FA)
Nếu các kẻ xấu có được mật khẩu admin website của bạn bằng các hình thức phân phối mã độc hay phishing, bạn vẫn có thể sẽ an toàn nếu bật tính năng xác thực đăng nhập 2 bước cho website.
Để có thể sử dụng tính năng này, bạn tải ứng dụng Authenticator trên Android hoặc IOS.
2. Phân quyền tài khoản hợp lý
Nếu website của bạn chỉ có một vài nhà quản trị thì sẽ không có vấn đề. Nhưng nếu website có đến hàng chục, hàng trăm nhà quản trị, từ content đến code sẽ phát sinh các vấn đề. Hãy đảm bảo rằng mỗi người được phân quyền một cách hợp lý và đúng với vai trò công việc của họ.
Nếu bảo mật tài khoản website là một vấn đề quan trọng với bạn, hãy sử dụng nhiều tài khoản khác nhau với các quyền hạn nhất định và phục vụ các mục đích khác nhau, tránh việc sử dụng một tài khoản có tất cả các quyền hạn.
Và đừng quên xóa tài khoản của nhân viên đã nghỉ việc.
3. Phòng chống mã độc và virus cho website
Quét mã độc cho website
Virus, trojan và các phần mềm độc hại khác đều có thể là mối nguy hại đối với website của bạn. Thế nên việc quét virus cho website cần được hiện một cách thường xuyên và định kỳ. Doanh nghiệp của bạn nên quét virus ngay cả khi không có các dấu hiệu bất thường nào, vì việc quét virus không chỉ giúp doanh nghiệp của bạn ngăn chặn được sự tấn công của virus mà còn giúp phát hiện ra các lỗ hổng website còn tồn tại.
Cẩn trọng với các mã độc ẩn trong các theme và plugin miễn phí có trên WordPress
Người dùng thường có xu hướng sử dụng các theme và plugin miễn phí trên WordPress để có thể tiết kiệm chi phí và có thể sử dụng nhiều loại khác nhau. Các hacker nắm được tâm lý này của người dùng và có thể chèn mã độc vào các sản phẩm miễn phí đó. Nếu không để ý, các chính chủ của website sẽ tải các mã độc này vào website của mình và qua đó tạo cơ hội cho các hacker tấn công vào website của bạn.
Lời khuyên dành cho các bạn là hãy thật sự cẩn trọng khi tải các theme hoặc các plugin miễn phí. Nếu bạn có trình độ lập trình, hãy kiểm tra code và plugin thật kỹ trước khi cài đặt nó cho trang web của mình. Hoặc trả phí cho các sản phẩm trên để được hỗ trợ kỹ thuật và bảo hành trọn đời.
4. Sử dụng HTTPS/ chứng chỉ SSL (Secure Sockets Layer) cho trang web
HTTPS là giao thức với chức năng cung cấp bảo mật thông qua Internet. Người dùng được đảm bảo rằng họ đang giao tiếp với máy chỉ mà họ mong muốn, không bị chặn hoặc thay đổi nội dung cho cả quá trình.
Nếu bạn muốn truyền tải các thông tin, dữ liệu mang tính riêng tư như thẻ tín dụng, trang đăng nhập hay các URL được gửi đến,…thì bạn nên sử dụng HTTPS. Ví dụ như mỗi biểu mẫu đăng nhập sẽ có một cookie riêng, khi người dùng đăng nhập thì các dữ liệu sẽ được gửi kèm với các yêu cầu khác tới website. Sau đó, các cookie này sẽ được sử dụng để xác nhận các yêu cầu trên. Các hacker có thể lợi dụng giả làm người dùng và chiếm quyền trong phiên đăng nhập. Để có thể phòng tránh các trường hợp này, bạn nên sử dụng HTTPS cho toàn bộ trang web của mình.
Hiện nay có nhiều công cụ công cộng trên các nền tảng và framework chung để thiết lập tự động website khi kích hoạt HTTPS.
Một điểm lưu ý nữa là Google sẽ tăng thứ hạng tìm kiếm cho các doanh nghiệp sử dụng HTTPS, là một lợi thế cho SEO. Những HTTPS không an toàn đang được thay thế và nâng cấp lên các phiên bản tốt nhất. Bạn có thể cân nhắc việc thiết lập HTTPS Strict Transport Security (HSTS), một header đơn giản với chức năng phản hồi cho máy chủ tránh các HTTPS không an toàn hoạt động trên toàn bộ domain.
5. Bảo mật website khỏi các sự tấn công của DDOS
Sử dụng tường lửa ứng dụng Web
WAF – Web Application Firewall là một giải pháp hiệu quả giúp website tránh khỏi các hình thức tấn công phổ biến như XSS, SQL injection, Buffer Overflow hay DDOS giảm thiểu các lỗ hổng bảo mật. Tường lửa website được thiết kế dưới dạng phần cứng và được cài đặt trên máy chủ, cung cấp các mô hình theo thông tin được truyền dưới giao thức HTTPS/ HTTPS.
Nhiệm vụ của WAF là tự động hóa việc tiêu diệt các virus, phân tích và cảnh báo cho các nhà quản trị web về những lỗ hổng website có nguy cơ bị xâm nhập bởi các mã độc và các hình thức tấn công khác. Qua đó mà các trung tâm dữ liệu, các kết nối đến đám mây và hệ thống chống thất thoát dữ liệu website được bảo vệ một cách toàn diện, đảm bảo các thông tin nhạy cảm không bị rò rỉ ra ngoài. WAF được xem là một phương pháp bảo vệ website khỏi các cuộc tấn công từ chối dịch vụ.
Mua thêm băng thông dự phòng
Băng thông của website nên rộng hơn so với hạn mức bạn cần để có thể đáp ứng kịp thời các trường hợp bất ngờ trong lưu lượng truy cập. Việc này đến từ các chiến dịch quảng cáo, khuyến mãi mà công ty đang sử dụng hoặc công ty bất ngờ được PR trên các phương tiện truyền thông.
Việc bổ sung băng thông dự phòng rộng hơn 100% hay 500% so với nhu cầu thực tế của các nhà quản trị không có nghĩa rằng bạn có thể ngăn chặn được các cuộc tấn công từ DDOS. Nhưng nó sẽ dành thời gian để hành động trước khi xảy ra tình trạng máy chủ bị quá tải.
Giám sát downtime cho website
Sự tấn công của DDOS sẽ làm ảnh hưởng đến hoạt động kinh doanh của doanh nghiệp. Thế nên doanh nghiệp cần một phần mềm giám sát downtime website hiệu quả.
Downtime là một khoảng thời gian website không khả dụng với người truy cập website. Downtime xảy ra có thể do nhiều nguyên nhân khác nhau, từ sự tấn công từ chối dịch vụ (DDOS), trang web bị quá tải, dịch vụ Hosting mà website bạn đang sử dụng đang xảy ra các vấn đề. Một website tốt cần tối đa thời gian uptime và giảm thiểu downtime.
Một phần mềm phổ biến được sử dụng miễn phí mà bạn nên sử dụng là UptimeRobot. Tuy nhiên Uptimerobot chỉ cảnh báo 5’/ lần nếu bạn sử dụng phiên bản miễn phí. Nếu bạn sử dụng phiên bản trả phí, các tính năng sẽ được nâng cấp và mức độ cao hơn.
6. Bảo vệ dữ liệu website và thông tin khách hàng
Hạn chế cho phép upload files
Việc cho phép người dùng có thể tải file lên website dù là chỉ thay đổi hình ảnh đại diện cũng có thể mang lại rủi ro cho doanh nghiệp. Bất cứ file nào được upload lên, trông có vẻ vô hại nhưng có thể mang các dòng lệnh tiêm nhiễm vào máy chủ. Thế nên, hãy tắt tính năng upload files nếu đó không phải là điều thật sự cần thiết.
Nếu upload files là điều thật sự cần thiết, bạn nên cẩn trọng với tất cả mọi thứ. Việc bạn dựa vào phần mở rộng của file để có thể xác minh đó là file hình ảnh là không an toàn vì nó có thể giả mạo một cách dễ dàng. Ngay cả khi mở file và đọc tiêu đề hay sử dụng các chức năng kiểm tra hình ảnh cũng phải cảnh giác. Hầu hết những định dạng hình ảnh cho phép lưu trữ một phần bình luận có thể chứa các code PHP được thực thi bởi máy chủ.
Xác thực từ 2 phía
Việc xác thực luôn được thực hiện từ cả hai phía trình duyệt và máy chủ. Trình duyệt có thể gặp phải các lỗi cơ bản như trường bắt buộc điền để bị trống hoặc nhập văn bản tại các trường chỉ cho điền số. Tuy nhiên, các vấn đề này vẫn có thể bỏ qua thay vào đó là tập trung đảm bảo việc kiểm tra xác thực sâu tại máy chủ. Nếu bạn không chú ý đến có thể dẫn đến việc các mã hay dòng lệnh độc hại có thể được chèn vào cơ sở dữ liệu hoặc có thể gây ra những kết quả mong muốn tại website.
Cẩn thận với các thông báo lỗi
Hãy cẩn trọng với lượng thông tin bạn cung cấp cho các thông báo lỗi. Bạn chỉ nên cung cấp các lỗi tối thiểu tới người dùng tránh trường hợp các thông tin trên máy chủ bị rò rỉ (khóa API hoặc bảo mật cơ sở dữ liệu). Các thông tin đầy đủ, chi tiết, ngoại lệ khi cung cấp có thể là cho các cuộc tấn công phức tạp như SQL injection được thực hiện một cách đơn giản. Bạn nên giữ các lỗi chi tiết trong máy chủ và chỉ cung cấp các thông tin mà người dùng cần.
7. Sao lưu website định kỳ
Một bản sao lưu tất cả các nội dung của website không bị nhiễm độc có ý nghĩa to lớn trong việc bảo mật website. Các bản sao lưu giúp tiết kiệm thời gian và công sức khôi phục cho các doanh nghiệp, ngoài ra nó còn giải quyết các vấn đề phát sinh khi máy chủ gặp vấn đề.
Dịch vụ cloud AWS của Amazon hay Azure của Microsoft là một dịch vụ lưu trữ đám mây có giá phải chăng và có tốc độ cao nhất hiện nay, giúp bạn sao lưu mã nguồn và cơ sở dữ liệu website một cách dễ dàng.
8. Cập nhật thường xuyên bản vá bảo mật cho website
Đối với nền tảng như WordPress sẽ tồn tại các lỗ hổng mà các hacker có thể khai thác để tấn công trang web của bạn. Giống như các theme, plugin, hệ thống máy chủ, việc vá các lỗi bảo mật còn phụ thuộc vào nhà cung cấp, họ sẽ tự nâng cấp bảo mật.
Để có thể đảm bảo được tính an toàn cho website thì bạn nên cập nhật các thành phần một cách định kỳ và thường xuyên.
9. Kiểm tra các đánh giá an ninh của website
Hình thức kiểm tra bảo mật thâm nhập (Pentest) là một phương pháp khá hiệu quả để bảo mật cho các website lớn, nhiều tính năng. Đối với các website này, những phần mềm quét lỗ hổng không thể tìm ra các lỗi bảo mật liên quan đến business logic hay các lỗi phức tạp.
Và ngược lại, đối với các kỹ sư pentest có thể giúp bạn thực hiện các cuộc tấn công thử nghiệm để phát hiện ra các lỗi lỗ hổng bảo mật phức tạp.
Với Penetration, bạn có thể:
- Đánh giá cách tổng thể bảo mật của website
- Tìm ra các điểm yếu kỹ thuật của website
- KHắc phục những lỗi bảo mật phức tạp trước khi các hacker tìm ra và khai thác chúng.
Tuy nhiên, giải pháp Pentest có mặt trái là chi phí khá cao do sử dụng nhân lực để kiểm tra bảo mật. Vậy nên, pentest chỉ phù hợp với các tập đoàn có hệ thống website phức tạp hay các công ty công nghệ trong lĩnh vực thương mại điện tử, tài chính ngân hàng hay phần mềm.
Những thói quen tốt cho việc bảo mật website
Giữ mã nguồn và CSDL của website một cách đơn giản
Một website càng phức tạp và cồng kềnh thì việc nảy sinh các lỗ hổng bảo mật càng dễ xảy ra, cho phép các tin tặc tấn công website. Vì thế, bạn nên xóa các tính năng, dòng code hay các dữ liệu không cần thiết và giữ cho website của bạn ở trạng thái tối giản nhất. Việc này không chỉ giúp tăng cường bảo mật cho website của bạn mà còn giúp website của bạn có tốc độ chạy nhanh hơn và mang lại trải nghiệm tốt cho người dùng.
Bảo mật máy tính cá nhân
Máy tính cá nhân là một cánh cửa gián tiếp giúp các hacker có thể tấn công vào website của bạn. Vậy nên, hãy tập hình thành thói quen sử dụng máy tính cá nhân của bạn một cách an toàn, cũng là gián tiếp bảo mật website của bạn trước các rủi ro. Để có thể làm được điều đó, bạn nên sử dụng một phần mềm diệt virus an toàn, uy tín và cẩn trọng khi duyệt web và mở email, file, link lạ, cẩn trọng khi sử dụng các thiết bị ngoại vi như USB, đĩa cứng,…
Tìm hiểu thềm về: sơ đồ website
TOP 4 công cụ nên sử dụng để phát hiện lỗ hổng website
1. Công cụ SQLmap
SQL map là một công cụ được các nhà quản trị viên được sử dụng nhiều nhất trong việc đánh giá lỗ hổng trong cơ sở dữ liệu SQL. SQL map hoạt động dựa trên nền tảng mã nguồn mở dùng để phát hiện và xử lý các mã ngắn IP khác lạ truy cập vào website của bạn. Hơn thế, bạn có thể sử dụng công cụ này trên tất cả các nền tảng điều hành mà không tốn phí.
2. Công cụ PuTTY
Là một công cụ kiểm tra lỗ hổng website hoàn toàn miễn phí. PuTTY được dùng để kết nối với máy chủ thông qua SSH và chương trình PuTTY. Nó sẽ cho các nhà quản trị web các cảnh cáo hữu ích về cấu hình hệ thống.
3. Nmap
Là một công cụ hỗ trợ miễn phí trên hầu hết các nền tảng điều hành như Windows, Linux, FreeBSDS, Mac OS X,…Nmap kết hợp các tính năng linh hoạt và có thể vượt qua cả WAF, bộ lọc IP và nhiều hệ thống khác để quét và xử lý. Đây là một công cụ được sử dụng khá phổ biến, và được ưa chuộng nhất hiện nay.
4. Burp Suite
Là một công cụ phát huy rất tốt các chức năng của mình. Burp Suite tích hợp 2 công cụ chính là Spider và Intruder. Spider được dùng để thu thập các thông tin và Intruder được dùng để thử các cuộc truy quét tự động trên website. Công cụ Spider và Intruder hoạt động song song giúp cho việc tìm ra các lỗ hổng từ ứng dụng này nhanh chóng và chính xác hơn. Tuy vậy, Burp Suite là một công cụ mà người dùng phải trả phí mới có thể sử dụng các tính năng.
Lời kết
Hy vọng với các thông tin mà T-web đã chia sẻ ở trên, các bạn có thể hiểu được bảo website là gì, lợi ích của việc bảo mật website. Qua đó doanh nghiệp của bạn có thể cân nhắc việc bảo mật cho website của mình với các quy trình cụ thể mà mình đã chia sẻ. Chúc các bạn thành công.
