Số 42, ngõ 178 Thái Hà, Đống Đa, Hà Nội
0985 136 895

Các phương pháp bảo mật Website hiệu quả khỏi hacker

Bạn có thể nghĩ rằng không cần lo lắng về việc tìm các phương pháp bảo mật cho website vì website của bạn chẳng có giá trị nào cho hacker. Tuy nhiên bạn đã nhầm to, vì hacker không ăn cắp dữ liệu web của bạn, chúng lợi dụng các lỗ hổng bảo mật để gửi thư rác, thiết lập máy chủ ảo phục vụ mục đích bất hợp pháp.

cac phuong phap bao mat website

Các phương pháp bảo mật website hiệu quả

Như vậy không vì website của bạn không có chút thông tin giá trị nào mà bạn không cần lo lắng chuyện bảo mật cho web.

1. Cập nhật phần mềm ngay khi có bản vá lỗi

Tất cả phần mềm, từ phần mềm đơn giản đến phức tạp đều có thể gặp phải những rủi ro không hề báo trước. Các nhà phát triển phần mềm chỉ có thể thông qua bản cập nhật để vá lỗi cho người dùng.

Chính vì thế, để hệ thống của bạn tránh được những tấn công luôn luôn đổi mới từ hacker hãy luôn cập nhật phần mềm ngay khi có bản vá lỗi mới nhé!

Cập nhật phần mềm cũng chính là một phương pháp bảo mật website rất hữu ích đó!

cac phuong phap bao mat website
Thường xuyên update phần mềm để cập nhật những lỗi mới nhất

Nếu bạn đang sử dụng hosting do một công ty hosting uy tín quản lý thì bạn cũng không cần quá lo lắng về vấn đề này vì cty hosting sẽ giúp bạn cập nhật bản vá mới nhất.

Hầu hết các lỗ hổng bảo mật của hệ điều hành sau khi được công bố thì đều sẽ có bản vá ngay sau đó. Chính vì lý do này, nếu bạn không cập nhật phần mềm nhanh chóng chắc chắn website của bạn sẽ là miếng mồi cho các hacker khai thác.

2. SQL injection

SQL injection một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về để tiêm vào hệ thống thi hành các câu lệnh SQL bất hợp pháp.

Hacker thường áp dụng phương pháp tấn công bảo mật website được quản lý bằng hệ quản trị cơ sở dữ liệu phổ biến như: SQL Server, MySQL, Oracle, …

Chống lại tấn công SQL injection không khó vì thực tế thì hình thức tấn công này đã đang rất phổ biến. Thông thường hacker thường lợi dụng các câu truy vấn chuẩn để chèn mã code bẩn vào.

Để chống lại hình thức tấn công này bạn chỉ cần chú ý dùng các câu truy vấn đã được tham số hóa để tránh hacker có cơ hội lợi dụng.

Tính năng tham số hóa đều đã được tích hợp vào đa số các ngôn ngữ lập trình hiện nay, thuận tiện sử dụng.

Tóm lại để tránh các tấn công liên quan đến SQL injection với tỉ lệ cao nhất thì tốt nhất bạn nên sử dụng Framework thay vì chỉ có code không nhé!

3. XSS (Cross-Site Scripting)

Cross-site Scripting (XSS) là một loại lỗ hổng bảo mật máy tính thường được tìm thấy trong các ứng dụng web. XSS cho phép kẻ tấn công chèn các tập lệnh phía máy khách vào các trang web mà người dùng truy cập.

cac phuong phap bao mat website

Không giống như SQL injection, XSS tấn công trực tiếp vào người dùng website của bạn. Lợi dụng phương pháp tấn công này hacker có thể lừa đảo người dùng, chiếm phiên, ăn cắp cookie, … Sau đó chính là chiếm quyền điều khiển website, bạn sẽ hoàn toàn mất quyền quản trị website nếu như dính phải hình thức tấn công này.

Hình thức tấn công này rất tinh vi, hacker có thể tải tập tin lừa đảo lên từ các mục cho phép tải lên như bình luận, mẫu lấy thông tin khách hàng trên web của bạn. Tập tin này ảnh hưởng trực tiếp đến người dùng, thậm chí những người không ấn vào tập tin, chỉ cần xem thôi cũng có thể bị dính mã độc. Các phương pháp bảo mật website của bạn trong trường hợp này không nhiều, tốt nhất bạn nên phòng chống nó ngay từ đầu!

XSS đang là hình thức tấn công vô cùng nguy hiểm, bạn sẽ chẳng thể nào có thể đo được phạm vi tác động của nó. Nhưng cách phòng chống thì lại khá đơn giản đó là kiểm soát dữ liệu đầu vào, chặn từ khóa nguy hiểm, không chấp nhận tải lên các file lạ, …

Đương nhiên bạn có thể cài đặt tải lên các file lạ, có khả năng ảnh hưởng

Để làm việc này thì hiện tại có khá nhiều bộ lọc để chúng ta lựa chọn. Ví dụ bộ thư viện viết bằng PHP cho phép filter HTML để ngăn chặn kẻ xấu post mã độc XSS thông qua website của bạn.

4. Xác nhận / xác thực biểu mẫu phía server

Việc xác thực nên thực hiện ở cả hai phía người dùng và máy chủ để có thể đảm bảo an toàn cho dữ liệu khi trao đổi.

Bạn cần xác thực sâu hơn về phía server để hạn chế mã độc được gài vào cùng với kịch bản xác thực. Mã độc có thể thông qua việc xác thực biểu mẫu này để xâm nhập vào cơ sở dữ liệu, ăn cắp dữ liệu hoặc chiếm phiên đăng nhập của bạn.

6. Tạo password mạnh

Bạn đã quá quen thuộc với câu nói tạo mật khẩu mạnh cho tài khoản. Tuy nhiên chúng ta lại ít khi để ý đến vấn đề này, mật khẩu thường là chuỗi ký tự liên quan nhiều đến cá nhân, dễ đoán, mật khẩu quá ngắn và đơn giản, … Hiện nay đã có rất nhiều bộ từ điển mật khẩu được công khai, hacker quá dễ dàng để đoán mật khẩu của bạn.

Chính vì lý do này, bạn nên chọn mật khẩu mạnh, nhiều ký tự, bao gồm cả ký tự đặc biệt, ký tự số, ký tự viết hoa, …

Ngoài ra, trong trường hợp bạn là người quản trị hệ thống, người dùng có đăng ký tài khoản user với bạn. Người dùng có thể tạo mật khẩu không đủ mạnh, tuy nhiên có 2 cách để bảo vệ thông tin người dùng như sau:

  • Yêu cầu mật khẩu mạnh (người dùng phải vượt qua vòng đặt mật khẩu, mật khẩu đủ mạnh mới lập được tài khoản) : trường hợp này tuy tiết kiệm công sức cho bạn nhưng lại gây khó khăn cho người dùng.
  • Dùng chuỗi salt: Người dùng vẫn đặt mật khẩu thông thường, tuy nhiên bạn cần cài đặt hệ thống để thêm chuỗi salt vào mật khẩu. Chuỗi salt này sẽ được thêm vào mật khẩu của khách hàng theo nhiều cách khác nhau, tăng độ mạnh cho mật khẩu. Đây chính là một trong các phương pháp bảo mật website hiệu quả hàng đầu hiện nay

7. Quản lý File uploads chặt chẽ

cac phuong phap bao mat website

Như ở phần các rủi ro bên trên mình cũng đã nói vấn đề file tải lên vô cùng nguy hiểm cho website của bạn. Nếu có thể bạn nên hạn chế việc tải file lên để tránh cho hacker lợi dụng cơ hội tải lên file đính kèm phá hoại website của bạn.

Tệp đính kèm độc hại ngày càng tinh vi, việc bạn kiểm soát các file tải lên thông qua extension, type của file, … cũng không có nhiều tác dụng. Vì hacker có quá nhiều cách để giả mạo file. File tưởng như vô hại lại chính là mầm mống mã độc lây nhiễm cho website của bạn!

Biện pháp: không lưu trữ file uploads trên website của bạn. Hãy lưu chúng ở thư mục bên ngoài, hoặc trong cơ sở dữ liệu dạng blob, … Có rất nhiều cách để giải quyết vấn đề này. Ngoài ra bạn cũng có thể sử dụng các phương thức truyền tải an toàn cho website của bạn như SFTP, SSH, …

8. HTTPS

HTTPS (viết tắt của HTTP Secure – HTTP An toàn) là phiên bản bảo mật của giao thức HTTP (HyperText Transfer Protocol – Giao thức truyền tải siêu văn bản) vốn là cốt lõi của Internet.

Bạn có thể tìm hiểu về HTTPS trong bài viết: Chứng chỉ bảo mật của trang web – https có ảnh hưởng seo?

Mặc dù HTTPS  là giao thức an toàn nhưng không có điều gì có thể đảm bảo nó an toàn 100%.  Tuy nhiên, HTTPS vẫn an toàn hơn rất nhiều so với HTTP. Khi bạn kết nối vào một máy chủ sử dụng HTTPS, trình duyệt sẽ kiểm tra chứng thực bảo mật (security certificate) của trang web này để xem xem chứng thực nói trên có được cung cấp bởi một đơn vị đáng tin cậy hay không. Nhờ đó, khi bạn truy cập vào những địa chỉ như https://storeA.com, trình duyệt của bạn sẽ xác thực được rằng bạn đang truy cập vào địa chỉ thực của Store A hay không. Tưởng như điều này rất đơn giản, tuy nhiên có quá nhiều web giả mạo, việc dùng HTTPS bảo mật cho bạn hơn rất nhiều so với HTTP.

9. Công cụ bảo mật website

Dùng một số công cụ bảo mật website cũng khá hữu ích. Mặc dù không thể bằng chuyên gia nhưng công cụ bảo mật website giúp bạn bảo mật dữ liệu web ở mức căn bản rất hữu ích.

Có khá nhiều công cụ publish trên mạng và hoàn toàn miễn phí để bạn lựa chọn. Các công cụ bảo mật web hoạt động dựa trên nguyên lý rà soát tất cả các tập lệnh mà hacker thường dùng để tấn công website của bạn.

Vicoders giới thiệu cho bạn đọc một số công cụ bảo mật website miễn phí khá hữu ích như sau:

  • OpenVAS: công cụ cho phép scan white box rất mạnh.
  • SecurityHeaders.io: Check online rất thuận tiện.
  • Netsparker: để kiểm tra lỗi do SQL injection và XSS rất hiệu quả.

Lời kết

Ngoài ra còn rất nhiều hình thức tấn công khác cùng với cách phòng chống mình sẽ cập nhật trong các bài viết tiếp theo. Mong rằng bài viết của Vicoders hữu ích cho việc bảo mật website của các bạn!

Vicoders – Chuyên gia bảo mật và thiết kế website hàng đầu tại Việt Nam!

Related Posts

Leave a comment