7 bước để phòng chống website bị hack
Nếu bạn là chủ một website, còn điều gì đáng sợ hơn việc một ngày bạn phát hiện ra mọi nỗ lực của bản thân hoàn toàn bị thay đổi hoặc bị xóa sổ hoàn toàn bởi một hacker mũ đen. Bạn đã chăm chút hàng ngày cho trang web của mình (cũng như gây dựng thương hiệu của bạn) – vì vậy hãy dành thời gian để bảo vệ nó bằng các tính năng chống website bị hack này!
Ngoài việc thường xuyên sao lưu các tập tin của mình (bạn nên làm vì nhiều lý do khác nhau), thực hiện theo bảy bước đơn giản sau đây sẽ giúp bạn bảo mật web tốt hơn và phòng chống website bị hack.
Bước 1: Luôn cập nhật các nền tảng và script
Một trong những điều tốt nhất bạn nên làm để phòng chống website bị hack là đảm bảo rằng bất kỳ nền tảng hoặc tập lệnh script nào đã cài đặt đều được cập nhật. Bởi vì nhiều công cụ được tạo ra dưới dạng các chương trình phần mềm mã nguồn mở, mã code của các công cụ này rất dễ sử dụng – cho cả các nhà phát triển cũng như các hacker mũ đen. Các hacker có thể lướt qua mã này, tìm kiếm những lỗ hổng bảo mật cho phép kiểm soát trang web của bạn bằng cách khai thác bất kỳ điểm yếu nào của nền tảng hoặc script.
Ví dụ: nếu bạn đang chạy một trang web được xây dựng trên nền tảng WordPress, cài đặt cơ bản WordPress hay bất kỳ plugin nào của bên thứ ba mà bạn đã cài đặt có thể trở thành mục tiêu của các loại tấn công này. Đảm bảo bạn luôn cập nhật phiên bản mới nhất sẽ tốn một chút thời gian nhưng có thể giúp bạn giảm thiểu nguy cơ website bị hack theo phương pháp tìm kiếm giản đơn này.
Người dùng WordPress có thể kiểm tra các bản cập nhật một cách nhanh chóng khi họ đăng nhập vào bảng điều khiển WordPress của họ. Tìm biểu tượng Updates ở góc trên bên trái bên cạnh tên trang web của bạn. Nhấp vào để truy cập WordPress Updates của bạn.
Thông báo update trên nền tảng WordPress mà bạn không nên bỏ lỡ
Xem thêm các mẹo bảo mật website WordPress tại
Bước 2: Cài đặt các plugin bảo mật khi có thể để chống website bị hack
Khi bạn đã cập nhật tất cả mọi thứ, hãy tăng cường bảo mật trang web của bạn với các plugin chuyên dụng để ngăn chặn các nỗ lực tìm cách xâm nhập.
Một lần nữa, sử dụng WordPress làm ví dụ, bạn sẽ muốn tìm hiểu về các plugin miễn phí như iThemes Security và Bulletproof Security (hoặc các công cụ tương tự có sẵn cho các trang web được xây dựng trên các CMS khác). Các sản phẩm này giúp giải quyết các điểm yếu vốn có trong mỗi nền tảng, ngăn chặn các loại thủ đoạn lừa đảo có thể đe dọa trang web của bạn.
Ngoài ra, cho dù bạn đang chạy trang quản lý CMS hoặc các trang HTML, hãy tham khảo CyStack Platform.
Bước 3: Sử dụng HTTPS
Là một người dùng, bạn có thể đã biết phải luôn luôn tìm biểu tượng https màu xanh lá cây trong thanh trình duyệt bất kỳ lúc nào bạn có ý định cung cấp thông tin nhạy cảm cho trang web. Hầu hết người dùng web đều biết năm chữ nhỏ đó là dấu hiện ngắn gọn quan trọng đối với bảo mật: chúng cho biết rằng việc cung cấp thông tin tài chính trên trang web đó là an toàn.
Chứng chỉ SSL PayPal
Nếu trang của bạn có cửa hàng trực tuyến hoặc nếu bất kỳ phần nào trong trang web của bạn yêu cầu khách truy cập phải chuyển giao thông tin nhạy cảm như số thẻ tín dụng, bạn phải có
Bước 4: Sử dụng truy vấn tham số
Một trong những thủ thuật phổ biến khiến các website bị hack là thủ thuật chèn mã SQL.
Các mã SQL được chèn vào sẽ phát huy tác dụng nếu trang của bạn có một biểu mẫu điền vào (form) hoặc tham số URL cho phép người dùng bên ngoài cung cấp thông tin. Nếu bạn để các thông số của trường quá mở, ai đó có thể chèn mã vào chúng để tấn công vào cơ sở dữ liệu, nơi có thể chứa thông tin khách hàng nhạy cảm, như thông tin liên lạc hoặc số thẻ tín dụng của họ. Rõ ràng bảo mật những thông tin đó là nhiệm vụ của bạn và giúp phòng chống website bị hack.
Có một số bước bạn có thể thực hiện để bảo vệ trang web của bạn khỏi các lỗi hacker chèn mã SQL; một trong những điều quan trọng nhất và dễ thực hiện nhất là sử dụng các truy vấn tham số. Sử dụng các truy vấn tham số phải đảm bảo mã code của bạn có các tham số đủ cụ thể để phòng chống website bị hack.
Bước 5: Sử dụng CSP
Tương tự như việc chèn mã SQL, các cuộc tấn công cross-site scripting (XSS) là một thủ thuật khác từ các website đối thủ mà chúng ta cũng cần để mắt tới để ngăn ngừa việc website bị hack. Chúng xuất hiện khi các hacker tìm cách để đưa mã JavaScript độc hại vào các trang của bạn, sau đó có thể lây nhiễm vào các trang của bất kỳ khách truy cập nào đến trang web của bạn.
Để bảo vệ trang web của bạn khỏi các cuộc tấn công XSS, bạn cũng có thể sử dụng các truy vấn được tham số hóa để chống lại tấn công bằng chèn mã SQL như đã được đề cập ở trên. Các mã code nào bạn sử dụng trên website cho các chức năng hoặc trường nhập thông tin phải rõ ràng, cụ thể nhất ở mức có thể, nhờ đó, hacker sẽ không có chỗ để chèn thêm bất cứ mã gì.
Một công cụ hữu ích khác giúp bạn tự bảo vệ mình khỏi XSS là Chính sách Bảo mật Nội dung (Content Security Policy – CSP). CSP cho phép bạn xác định các tên miền mà trình duyệt cần xem xét các nguồn script thực thi hợp lệ trên trang của bạn, do đó trình duyệt sẽ không chú ý đến bất kỳ script độc hại nào có thể gây hại cho máy tính của khách truy cập.
Sử dụng CSP chỉ đơn giản là vấn đề bổ sung đúng tiêu đề HTTP cho trang web của bạn, cung cấp một chuỗi các chỉ thị cho biết trình duyệt có tên miền nào là ổn và bất kỳ ngoại lệ nào đối với quy tắc này. Bạn có thể tìm thấy các chi tiết về cách tạo tiêu đề CSP cho trang web của bạn do Mozilla cung cấp ở
Bước 6: Đảm bảo mật khẩu của bạn được an toàn
Điều này nghe có vẻ đơn giản, nhưng nó rất quan trọng. Bạn muốn tạo mật khẩu mà bạn biết sẽ luôn luôn dễ dàng để bạn nhớ. Đó là lý do tại sao mật khẩu #1 phổ biến nhất vẫn là 123456. Tuy nhiên bạn phải khiến nó phức tạp hơn rất nhiều.
Bạn phải cố gắng tạo được
Và đảm bảo rằng tất cả những ai có quyền truy cập vào trang web của bạn đều có mật khẩu bảo mật tương tự. Đặt ra các yêu cầu về độ dài và loại ký tự mà mọi người cần phải sử dụng để họ phải sáng tạo hơn là việc tiếp tục sử dụng các mật khẩu tiêu chuẩn, dễ đoán gây nên các vấn đề nghiêm trọng về bảo mật và khiến cho website bị hack.
Một mật khẩu yếu trong nhóm của bạn có thể làm cho toàn bộ website bị hack dễ dàng hơn, do đó hãy đặt ra tiêu chuẩn yêu cầu cao với những người có quyền truy cập và duy trì tiêu chuẩn đó.
Bước 7: Khóa thư mục và quyền truy cập tập tin của bạn
Bây giờ, đối với bước cuối cùng này, có thể chúng ta sẽ đòi hỏi phải biết một chút về kỹ thuật.
Tất cả các trang web có thể được tóm tắt bởi một loạt các tập tin và thư mục được lưu trữ trên tài khoản lưu trữ web của bạn. Bên cạnh việc chứa tất cả các tập lệnh script và dữ liệu cần thiết để làm cho trang web của bạn hoạt động, mỗi tập tin và thư mục này được gán cho một tập hợp các điều khoản để kiểm soát việc ai có thể đọc, viết và thực hiện bất kỳ tập tin hoặc thư mục nhất định nào liên quan đến người dùng trong nhóm admin.
Trên hệ điều hành Linux, quyền truy cập có thể xem được dưới dạng mã gồm ba chữ số, trong đó mỗi chữ số là một số nguyên giữa 0-7. Chữ số đầu tiên thể hiện sự cho phép đối với chủ sở hữu tập tin, số thứ hai biểu thị cho sự cho phép cho bất kỳ ai được gán cho nhóm sở hữu tập tin, và chữ số thứ ba thể hiện phân quyền cho những người khác. Ngoài ra, các phân công khác được định nghĩa như sau:
- 4 có nghĩa là Đọc (Read)
- 2 có nghĩa là Ghi (Write)
- 1 có nghĩa là Thực thi (Execute)
- 0 có nghĩa là không cho phép người dùng đó
Ví dụ, lấy mã quyền truy cập “644.” Trong trường hợp này, một “6” (hay “4 + 2”) ở vị trí đầu tiên cho phép chủ sở hữu của tập tin khả năng đọc và viết tập tin. Các “4” ở vị trí thứ hai và thứ ba có nghĩa là cả người dùng nhóm và người sử dụng Internet nói chung chỉ có thể đọc các tập tin – bảo vệ các tập tin khỏi các thao túng bất ngờ.
Vì vậy, một tập tin có mã “777” (hay 4 + 2 + 1 /4 + 2 + 1 / 4 + 2 + 1) cho phép người dùng, nhóm và tất cả mọi người trong thế giới có thể đọc được, ghi và thực thi.
Như vậy, một tập tin được gán một mã cho phép mọi người trên web có khả năng viết và thực thi nó ít an toàn hơn một tập tin đã bị khóa để bảo vệ tất cả các quyền chỉ cho phép chủ sở hữu. Tất nhiên, có những lý do hợp lý để mở truy cập vào các nhóm người dùng khác (tải lên FTP vô danh, chẳng hạn), nhưng những trường hợp này phải được xem xét cẩn thận để tránh tạo ra một nguy cơ về bảo mật và phòng chống website bị hack.
Vì lý do này, một nguyên tắc chung là đặt các quyền của bạn như sau:
Thư mục và sơ đồ thư mục (Folders and directories) = 755
Các tập tin cá nhân(Individual files) = 644
Để thiết lập quyền truy cập tập tin của bạn, hãy đăng nhập vào Trình quản lý tập tin của cPanel hoặc kết nối với máy chủ của bạn qua FTP. Khi đó, bạn sẽ thấy một danh sách các quyền của tập tin hiện có của bạn (như trong ví dụ sau được tạo ra bằng cách sử dụng chương trình Filezilla FTP):
Danh sách các quyền của tập tin hiện có được tạo ra bằng cách sử dụng chương trình Filezilla FTP
Cột cuối cùng trong ví dụ này hiển thị thư mục và quyền truy cập tập tin được chỉ định cho nội dung của trang web. Để thay đổi các quyền này trong Filezilla, chỉ cần nhấp chuột phải vào thư mục hoặc tập tin đang được hỏi và chọn tùy chọn “File permissions”. Làm như vậy sẽ khởi chạy màn hình cho phép bạn gán các quyền khác nhau bằng cách sử dụng một loạt các hộp kiểm:
Hộp kiểm tùy chọn “File permissions”
Mặc dù phần phụ trợ của máy chủ lưu trữ web hoặc chương trình FTP của bạn có thể hơi khác nhau nhưng quá trình cơ bản để thay đổi quyền vẫn tương tự. Đừng bỏ qua bước quan trọng này – đảm bảo trang web của bạn sử dụng tất cả các chiến lược khác nhau là một phần quan trọng trong việc giữ cho trang web của bạn bảo mật và hoạt động ổn định trong thời gian dài!
