Số 42, ngõ 178 Thái Hà, Đống Đa, Hà Nội
0985 136 895

Hướng dẫn chi tiết cách bảo mật website PHP với 6 bước

Bảo mật website PHP đang rất cấp thiết hiện nay, cũng có rất nhiều cách để bảo mật cho website PHP. Sau đây là các gợi ý giúp bạn tăng bảo mật cho website của mình một cách hiệu quả nhé!

bao mat website phpLưu ý: Cách bảo mật dưới đây chỉ áp dụng cho các website được thiết kế dựa trên mã nguồn PHP, cùng theo dõi hoặc tham gia bình luận để bổ sung các cách bảo mật website PHP nhé!

Các phương pháp bảo mật website PHP

Ngôn ngữ lập trình PHP được ứng dụng để thiết kế website đang được sử dụng rất phổ biến hiện nay. Ưu điểm của ngôn ngữ này đó là phục vụ được cho nhiều nhu cầu sử dụng khác nhau. Bạn có thể bắt gặp người ta sử dụng PHP từ những website đơn giản không cần database, cho đến những website lớn với database chứa nhiều dữ liệu quan trọng (website thương mại điện tử, website bán hàng trực tuyến, website chính phủ…Như thống kê ở hình dưới, bạn có thể thấy rằng có hơn 50% số lượng website hiện nay đang dùng ngôn ngữ này.

bao mat website php

Tuy nhiên chính sự phổ biến, độ phủ bao trùm của website PHP khiến cho các hacker rất nhanh chóng khai thác được các lỗi tồn tại và tấn công website của bạn. Các lần tấn công của hacker được thực hiện đều với mục đích chung là phá hoại, thậm chí là cạnh tranh không lành mạnh giữa các đối thủ kinh doanh (lấy thông tin khách hàng, khai thác thông tin tài khoản nhằm mục đích cướp đoạt tiền của, … )

Đứng trước nguy cơ website của mình có thể bị tấn công bất cứ lúc nào hãy tham khảo những cách Vicoders chia sẻ sau và bảo mật cho website bán hàng của bạn nhé!

Bảo mật website PHP với 6 bước sau

Bạn cần hiểu rằng : PHP là chạy trên Linux, database được sử dụng là MySQL.

Vậy website chạy trên Linux ta phải CHMOD thế nào cho bảo mật?

1. CHMOD(phân quyền) cho các thư mục và file quan trọng

  • Với các file và thư mục quan trọng dùng để khai báo thông tin truy cập đến máy chủ. Bạn nên phân quyền 404 cho file và phân quyền 101 cho thư mục, với cách phân quyền như vậy, tất cả các file chỉ cho phép đọc (đối với cả nhóm Owner). Khi cần bạn có thể phân quyền lại để chỉnh sửa. Còn đối với thư mục phân quyền 101 để các group chỉ được xem chứ không được chỉnh sửa
  • Các máy chủ cần được phân quyền 644 cho file và phân quyền 755 thư mục.

Hoàn thành bước phân quyền một cách hợp lý thì có nghĩa bạn đã bảo mật tương đương 30% cho website PHP của mình.

2. Không dùng tên mặc định cho các thư mục quan trọng

Công việc tiếp theo là thay đổi các đường dẫn mặc định trong website. Sở dĩ phải thay đổi vì những thứ mặc định các hacker có thể đoán được và truy cập vào các dữ liệu quan trọng của bạn.

  • Máy chủ web dùng Direct Admin: Thư mục chứa website thường là /public_html/ => tránh để tên mặc định này. Với mục đích tránh cho hacker không biết website của mình nằm ở đâu, đây cũng là một cách để bảo mật website PHP rất hiệu quả.
  • Máy chủ web dùng Cpanel: Thư mục chứa web là /httpdocs/.
  • Các mã nguồn mở như Joomla, NukeViet… hoặc tốn phí như VBB, Drupal… : thư mục chứa website thường là /administrator, /admincp, … hãy chú ý tìm và đổi tên cho các thư mục này!

3. Mã hóa thông tin các file quan trọng

Các file chứa thông tin quan trọng như config.php, libs.php, configuration.php, … . Để mã hóa các file này bạn cần có trình hỗ trợ giải mã ngược( bạn có thể thử ionCubeloader), các trình hỗ trợ giải mã ngược giúp server hiểu được nội dùng file đã được mã hóa.

4. Không sử dụng bảng tiền tố dữ liệu mặc định

Các tiền tố mặc định đều được công khai, và hầu như ai làm lập trình cũng có thể biết nó được khai báo thế nào. Ví dụ: thay vì dùng tiền tố mặc định jos_ cho bảng database trong MySQL bạn nên dùng một tiền tố khác, khó đoán hơn.

5. Tạo file index.html ở các thư mục

Website của bạn có thể mất các file index.php, default.php, … bạn không hề được báo trước. Khi đó sẽ xảy ra tình trạng toàn bộ các file và thư mục con bị show ra cho người truy cập website thấy. Hacker có thể dễ dàng tải mã nguồn của bạn bằng cách này.

Để xử lý tình trạng này, bạn hãy tạo file index.html cùng bậc với file index.php. Bạn hãy yên tâm vì file .php sẽ luôn được ưu tiên hơn file html nên mọi hoạt động sẽ không bị đảo lộn.

Bạn có thể chọn phân quyền cho file mới tạo là 404 hoặc 704 ( chỉ cho phép đọc). Như vậy nếu file index.php bị mất sẽ có file index.html thay thế => các file và thư mục không bị hiện lên.

6. Tránh sử dụng khung gửi thông tin hoặc tải lên file đính kèm

Tránh sử dụng các khung gửi thông tin, các dạng form submit hoặc cho phép tải lên các file đính kèm. Tránh được điều này sẽ khiến hacker khó tải lên các file độc hại đánh sập website của bạn.

bao mat website php

Trong trường hợp bắt buộc phải cho phép tải lên bạn có thể hạn chế các dạng file tải lên: vbs, js, html, php, … thường thì những file này sẽ tiềm tàng nguy hiểm ảnh hưởng đến bảo mật website php của bạn.

Vicoders – Chuyên gia bảo mật và thiết kế website hàng đầu tại Việt Nam

Related Posts

Leave a comment