Thống kê năm 2019 tại Việt Nam chỉ ra rằng cứ mỗi 45 phút trôi qua lại có một website bị tấn công. Hậu quả của việc web bị hack không chỉ gây bất tiện cho người dùng mà còn gây ảnh hưởng lớn đến doanh thu và uy tín của các doanh nghiệp.
Trong bài viết này, DataMark sẽ hướng dẫn bạn các phương pháp bảo vệ website toàn diện để chủ động ngăn chặn sự tấn công của tin tặc.
Tại sao cần bảo mật website?
Phòng ngừa là phương châm đúng đắn trong an ninh mạng
Trang web là một trong những tài sản số được tin tặc nhắm đến nhiều nhất.
Hậu quả của trang web bị xâm nhập
- Gián đoạn hoạt động kinh doanh
- Lộ dữ liệu khách hàng và thông tin quan trọng
- Ảnh hưởng đến SEO (Xếp hạng từ khóa trên Google giảm)
- Làm hỏng uy tín thương hiệu
- Không thể chạy quảng cáo Google và Facebook
Việt Nam là một trong những quốc gia có tỷ lệ website bị tấn công mạng cao nhất thế giới
Trong thời gian gần đây, số vụ tấn công vào các trang web trên toàn cầu có xu hướng gia tăng. Theo Báo cáo An ninh Website năm 2019 do CyStack thực hiện, năm 2019 thế giới đã phải hứng chịu hơn 560.000 vụ tấn công website. Việt Nam vẫn nằm trong top 11 quốc gia bị tấn công nhiều nhất toàn cầu với hơn 9.000 trang web bị tấn công. Điều này cho thấy tình hình bảo mật website tại Việt Nam năm 2019 chưa thực sự đảm bảo.
Top 15 quốc gia bị tấn công website nhiều nhất thế giới
Tuy nhiên, đây cũng không hẳn là một tín hiệu xấu, vì trong năm vừa qua, nhận thức về an ninh website của các tổ chức và doanh nghiệp Việt Nam đã được nâng cao đáng kể. Bằng chứng là số lượng website Việt Nam bị tấn công trong quý IV đã giảm đáng kể so với quý III.
Có nên sử dụng các dịch vụ bảo mật website trên thị trường hiện nay?
Câu trả lời sẽ tùy thuộc vào mức độ nhu cầu và mục đích bảo mật riêng của từng cá nhân hoặc doanh nghiệp.
Trên thị trường có nhiều loại hình dịch vụ bảo mật website khác nhau như:
- Đánh giá an ninh bảo mật website.
- Giám sát hệ thống bảo mật website.
- Xử lý sự cố bảo mật website nếu có.
Tùy mục đích, đặc điểm của website, doanh nghiệp có thể lựa chọn dịch vụ phù hợp nhất
- Với các doanh nghiệp khởi nghiệp (startup) hoặc doanh nghiệp vừa và nhỏ (SMB), việc tập trung nhân lực vào phát triển kinh doanh là ưu tiên hàng đầu, trong khi đó website cũng phải được đảm bảo an toàn, thì sử dụng các dịch vụ bảo mật website toàn diện là lựa chọn hợp lý.
- Sau khi doanh nghiệp phát triển vững mạnh, việc sử dụng các dịch vụ riêng lẻ sẽ mang lại hiệu quả bảo mật cao nhất, vì mỗi dịch vụ có thể tập trung tốt vào một mảng chuyên biệt, như dịch vụ đánh giá an ninh bảo mật website.
Ngoài việc sử dụng các dịch vụ bảo mật website, bạn có thể thực hiện các biện pháp sau để tăng cường bảo mật cho trang web của mình.
Hướng dẫn cách bảo mật website toàn diện A-Z
Các bước để bảo mật website một cách toàn diện bao gồm:
- Bảo mật tài khoản quản trị viên website
- Phân quyền tài khoản hợp lý
- Phòng chống mã độc và virus cho website
- Sử dụng HTTPS/chứng chỉ SSL
- Bảo vệ website khỏi tấn công DDOS
- Bảo vệ dữ liệu website và thông tin khách hàng
- Sao lưu website định kỳ
- Cập nhật bản vá bảo mật cho website
- Kiểm tra đánh giá an ninh website
- Xây dựng chương trình thông báo lỗ hổng VDP dành cho Hacker mũ trắng
- Đào tạo kiến thức và quản lý nhân viên
- Những thói quen tốt giúp bảo mật website
Chúng ta sẽ đi sâu vào từng bước một.
Bảo mật tài khoản quản trị website
Bảo vệ mật khẩu quản trị
- Sử dụng mật khẩu mạnh, bao gồm cả số, chữ cái viết hoa và ký tự đặc biệt. Hạn chế sử dụng mật khẩu quá đơn giản, dễ đoán.
- Thay đổi mật khẩu thường xuyên.
- Không sử dụng cùng một mật khẩu cho nhiều tài khoản khác nhau.
- Sử dụng phần mềm quản lý mật khẩu (ví dụ: Locker Password Manager) để giữ an toàn và dễ dàng quản lý tất cả mật khẩu.
Giới hạn số lần nhập sai mật khẩu
- Cài đặt tính năng khóa đăng nhập khi nhập sai mật khẩu quá một số lần nhất định (ví dụ: 5 lần). Điều này ngăn chặn các cuộc tấn công dò mật khẩu brute force.
- Sử dụng plugin như Loginizer trên WordPress để thực hiện biện pháp bảo mật này.
Đổi URL đăng nhập trang quản lý
- Thay đổi địa chỉ đăng nhập trang quản trị website mặc định (ví dụ: wp-admin đối với WordPress, administrator/index.php đối với Joomla).
- Khi thay đổi địa chỉ đăng nhập, hãy sử dụng tên khác biệt, khó đoán.
Bật xác thực 2 bước (2FA)
- Kể cả khi tin tặc có được mật khẩu đăng nhập của bạn, bạn vẫn có thể bảo vệ website bằng cách bật tính năng xác thực 2 bước (2FA).
- Tải xuống ứng dụng xác thực trên thiết bị di động (ví dụ: Google Authenticator) để sử dụng tính năng này.
Phân quyền tài khoản hợp lý
Khi trang web chỉ có một vài thành viên thì việc phân quyền tài khoản không phải là vấn đề. Tuy nhiên, nếu có hàng chục đến hàng trăm người tham gia xây dựng, từ nội dung đến mã code, thì vấn đề sẽ nảy sinh. Hãy đảm bảo rằng mỗi người được phân quyền hợp lý theo đúng vai trò và công việc của họ.
Ngoài ra, nếu bảo mật trang web là mối quan tâm chính, thì việc sử dụng nhiều tài khoản khác nhau với quyền hạn hạn chế, phục vụ cho các mục đích cụ thể sẽ an toàn hơn so với việc sử dụng một tài khoản có đầy đủ quyền hạn.
Cuối cùng, đừng quên xóa tài khoản của những nhân viên đã nghỉ việc.
Bảo vệ trang web khỏi phần mềm độc hại và virus
Quét phần mềm độc hại cho trang web
Vi-rút, trojan, hay phần mềm độc hại nói chung là mối đe dọa nghiêm trọng đối với bảo mật trang web. Việc quét và xóa phần mềm độc hại thường xuyên là rất quan trọng cho các trang web, từ quy mô nhỏ tới lớn.
Gợi ý
Bạn có thể quét phần mềm độc hại cho trang web bằng các công cụ mạnh mẽ như VirusTotal hoặc CyStack Web Security. Dùng thử ngay.
Cảnh báo mã độc trong theme và plugin miễn phí trên WordPress
Trong bối cảnh nhu cầu tiết kiệm chi phí, không ít người dùng đã tải các theme và plugin miễn phí từ Internet mà không may biết rằng đây có thể là “món hời chết người”. Các tin tặc có thể lợi dụng sự hấp dẫn của những bản miễn phí để cài mã độc vào các sản phẩm này. Nếu thiếu cảnh giác, chủ website có thể vô tình tải các thành phần đã nhiễm mã độc lên trang web của mình, dẫn đến nguy cơ bị tấn công bất cứ lúc nào.
Để tránh rủi ro này, lời khuyên thiết thực nhất là hãy thận trọng với những “bữa ăn miễn phí” trên Internet. Nếu bạn am hiểu về lập trình, hãy dành thời gian kiểm tra mã của các plugin thật cẩn thận. Trường hợp bạn không chuyên về mảng này, hãy cân nhắc trả phí để mua bản quyền plugin. Đổi lại, bạn sẽ được hỗ trợ kỹ thuật và cập nhật bảo mật trọn đời.
Sử dụng HTTPS và Chứng chỉ SSL
Đối với những trang web chưa triển khai HTTPS, đây chính là thời điểm phù hợp. Ngoài việc tăng cường bảo mật, HTTPS còn mang lại nhiều lợi ích khác, bao gồm:
- Nâng cao uy tín thương hiệu
- Tối ưu hóa cho SEO
- Ngăn chặn trình duyệt web đánh dấu trang web là “không an toàn”
Đối với các trang web thương mại điện tử tích hợp cổng thanh toán trực tuyến, việc cài đặt HTTPS là bắt buộc.
Gợi ý: Bạn có thể cài đặt HTTPS miễn phí với Let’s Encrypt.
Bảo vệ trang web khỏi tấn công DDoS
Sử dụng tường lửa ứng dụng web (WAF)
Tường lửa WAF là một biện pháp bảo vệ hiệu quả, giúp máy chủ web tránh khỏi nhiều hình thức tấn công phổ biến gồm XSS, SQL injection, Buffer Overflow và DDoS.
Nhiệm vụ của WAF là lọc và phân loại lưu lượng truy cập vào trang web. Từ đó, WAF phát hiện và chặn các lưu lượng truy cập độc hại. Đây là phương pháp hiệu quả để bảo vệ trang web khỏi các cuộc tấn công DDoS.
Mua thêm băng thông dự phòng
Bạn nên sử dụng băng thông rộng hơn mức cần thiết cho máy chủ web. Bằng cách đó, bạn có thể đáp ứng các đột biến đột ngột trong lưu lượng truy cập – hậu quả của một chiến dịch quảng cáo, chương trình khuyến mãi hoặc việc tên công ty được đề cập trên phương tiện truyền thông.
Lưu ý rằng cho dù bạn sử dụng băng thông rộng gấp 100 hoặc thậm chí 500 lần nhu cầu thực tế, biện pháp này vẫn không chắc chắn ngăn chặn được một cuộc tấn công DDoS. Nhưng băng thông dự phòng có thể tạo thêm thời gian để bạn hành động trước khi máy chủ quá tải.
Giám sát thời gian gián đoạn dịch vụ (downtime) của trang web
Nếu website bị DDoS ảnh hưởng đến công việc kinh doanh của bạn, chắc chắn bạn sẽ cần một phần mềm giám sát downtime hiệu quả.
Downtime là khoảng thời gian trang web không thể truy cập được. Downtime có thể xảy ra do một cuộc tấn công DDoS, máy chủ quá tải hoặc có vấn đề với dịch vụ lưu trữ. Một trang web cần tối đa thời gian hoạt động (uptime) và giảm thiểu thời gian gián đoạn dịch vụ.
Một trong những phần mềm giám sát miễn phí phổ biến nhất là Uptime Robot. Tuy nhiên, tài khoản miễn phí chỉ được cảnh báo 5 phút một lần. Để có tần suất kiểm tra cao hơn, bạn cần nâng cấp lên bản trả phí.
Gợi ý: Sử dụng phần mềm CyStack Web Security để giám sát bảo mật cho trang web và dịch vụ đám mây 24/7. Đăng ký ngay.
Bảo vệ dữ liệu website và thông tin khách hàng
Hạn chế cho phép tải tệp
Việc cho phép người dùng tải tệp lên website có thể trở thành rủi ro lớn, ngay cả khi đó chỉ là thao tác thay đổi ảnh đại diện. Các tệp được tải lên, dù có vẻ vô hại, có thể chứa mã độc, xâm nhập vào máy chủ web. Do đó, nên tắt tính năng tải tệp lên nếu không cần thiết.
Nếu phải cho phép tải tệp lên, hãy thận trọng với mọi tình huống. Tránh nhận định loại tệp dựa trên phần mở rộng, do một tệp với tên “image.jpg.php” có thể vượt qua kiểm tra. Hầu hết hình ảnh đều có thể lưu trữ phần bình luận (comment), nơi có thể chứa mã PHP được thực thi bởi máy chủ web.
Giải pháp là ngăn hoàn toàn quyền truy cập trực tiếp vào các tệp được tải lên. Tức là mọi tệp tải lên sẽ được lưu trữ trong thư mục bên ngoài webroot hoặc trong cơ sở dữ liệu dưới dạng tệp nhị phân lớn (blob).
Xác thực hai lớp
Xác thực nên luôn được thực hiện trên cả trình duyệt và máy chủ. Trình duyệt có thể phát hiện các lỗi đơn giản như để trống trường bắt buộc hay nhập dữ liệu sai định dạng. Tuy nhiên, không nên bỏ qua việc kiểm tra xác thực chi tiết hơn ở phía máy chủ. Việc không làm như vậy có thể dẫn đến việc chèn mã độc hoặc tập lệnh vào cơ sở dữ liệu, tạo ra kết quả không mong muốn trên website.
Thận trọng với thông báo lỗi
Cẩn trọng với lượng thông tin cung cấp trong thông báo lỗi. Chỉ cung cấp lỗi tối thiểu cho người dùng, tránh tiết lộ bí mật máy chủ như khóa API hoặc mật khẩu cơ sở dữ liệu. Không cung cấp thông tin ngoại lệ chi tiết vì chúng có thể khiến các cuộc tấn công như SQL injection dễ dàng hơn. Giữ các lỗi chi tiết trong nhật ký máy chủ và chỉ hiển thị thông tin cần thiết cho người dùng.
Sao lưu dữ liệu định kỳ
Là hoạt động vô cùng quan trọng để đảm bảo không mất dữ liệu, ví dụ như trong trường hợp website của bạn bị host tấn công và không thể sửa chữa thì việc sao lưu sẽ giúp bạn phục hồi và đảm bảo 100% dữ liệu.
Với chi phí hợp lý và tốc độ nhanh chóng, các dịch vụ lưu trữ dữ liệu trên đám mây như Amazon AWS và Azure của Microsoft cho phép bạn sao lưu dễ dàng cả dữ liệu và mã nguồn.
Cập nhật bản vá bảo mật cho website
Hệ thống quản lý nội dung (CMS) như WordPress, giao diện (theme), tiện ích mở rộng (plugin) hay hệ điều hành máy chủ đôi khi có thể gặp lỗ hổng bảo mật mà tin tặc có thể lợi dụng để tấn công. Trong trường hợp này, nhà cung cấp sẽ chịu trách nhiệm vá lỗ hổng và phát hành bản cập nhật.
Để đảm bảo an toàn cho website trước các sự cố từ bên thứ ba, bạn cần cập nhật tất cả các thành phần ngay khi có bản cập nhật.
Gợi ý
- Kích hoạt tính năng cập nhật tự động cho WordPress.
Kiểm tra đánh giá an ninh trang web
Kiểm thử thâm nhập (Pentest) là một phương pháp hiệu quả để bảo vệ các trang web lớn và nhiều tính năng. Đối với các trang web này, các phần mềm quét lỗ hổng tự động không thể tìm ra các lỗi bảo mật liên quan đến logic kinh doanh hoặc các lỗi phức tạp.
Ngược lại, các kỹ sư pentest sẽ giúp bạn:
- Thực hiện các cuộc tấn công thử nghiệm để phát hiện các lỗ hổng bảo mật phức tạp.
- Đánh giá tổng quát về bảo mật của trang web.
- Tìm ra những điểm yếu kỹ thuật của trang web.
- Khắc phục các lỗi bảo mật phức tạp trước khi kẻ tấn công tìm ra và khai thác chúng.
Mặt hạn chế của Pentest là:
- Chi phí cao do sử dụng nhân lực để kiểm tra bảo mật.
Vì vậy, Pentest phù hợp với:
- Các tập đoàn có hệ thống trang web phức tạp.
- Các công ty công nghệ trong lĩnh vực thương mại điện tử, tài chính, ngân hàng, phần mềm.
Đối với các Startup:
- Có thể triển khai chương trình Bug Bounty để tìm lỗ hổng hiệu quả với chi phí hợp lý.
Chương trình Thông báo Lỗ hổng VDP Dành cho Hacker Mũ Trắng
Chương trình Thông báo Lỗ hổng (VDP) là chính sách khuyến khích các hacker mũ trắng báo cáo có trách nhiệm về các lỗ hổng tiềm ẩn mà họ tìm thấy trên trang web của bạn.
Báo cáo có trách nhiệm có nghĩa là thay vì công khai hoặc bán lỗ hổng trên thị trường chợ đen, hacker mũ trắng sẽ thông báo trực tiếp cho bạn trước. Điều này cho phép bạn xác minh, vá lỗi, và công nhận đóng góp của hacker bằng vật chất hoặc danh dự hoặc cả hai.
Chính sách VDP cũng cần nêu rõ rằng bạn sẽ không khởi kiện hacker khi nhận được báo cáo lỗ hổng từ họ.
Mặc dù việc xây dựng VDP không đảm bảo bạn sẽ nhận được báo cáo từ hacker, nhưng nếu không có chính sách này, các hacker mũ trắng sẽ không biết phải làm gì khi tìm thấy lỗ hổng trên trang web của bạn.
Đào tạo kiến thức bảo mật và quản lý nhân viên
Để đảm bảo an toàn cho website và doanh nghiệp, việc xây dựng chiến lược bảo mật là cực kỳ quan trọng. Tuy nhiên, chỉ cần một nhân viên bất cẩn tải xuống phần mềm độc hại vào máy tính cũng có thể phá hủy tất cả nỗ lực đó. Do đó, đào tạo kiến thức sử dụng internet an toàn cho nhân viên là vô cùng cần thiết. Nội dung đào tạo bao gồm:
- Sử dụng email an toàn để tránh bị lừa đảo phishing
- Sử dụng USB an toàn
- Lướt web an toàn, tránh các trang web độc hại
- Nhận biết các dấu hiệu của virus, phần mềm độc hại
- Quản lý mật khẩu an toàn…
Để đảm bảo các quy trình bảo mật được tuân thủ, bạn nên thiết lập một chính sách bảo mật và yêu cầu nhân viên bắt buộc tuân theo.
Gợi ý
Việc sử dụng các phần mềm quản lý máy tính trạm (Endpoint) có thể giúp ngăn chặn các hành vi và phần mềm gây hại đến website và doanh nghiệp của bạn. Đăng ký tư vấn ngay hôm nay!
Những thói quen tốt giúp bảo mật website
Giữ mã nguồn và CSDL của website tối giản
Một website cồng kềnh và phức tạp thường chứa nhiều lỗ hổng bảo mật có thể bị tin tặc khai thác. Do đó, người dùng nên xóa bỏ các tính năng, đoạn mã hoặc dữ liệu không cần thiết để duy trì sự tối giản của website. Việc này không những tăng cường tính bảo mật mà còn giúp website hoạt động nhanh hơn, nâng cao trải nghiệm người dùng.
Bảo mật máy tính cá nhân
Máy tính cá nhân có thể trở thành một kênh gián tiếp để tin tặc tấn công website. Do đó, việc hình thành thói quen sử dụng máy tính một cách an toàn cũng chính là cách gián tiếp bảo vệ website khỏi các rủi ro mạng. Để thực hiện điều này, người dùng nên sử dụng phần mềm diệt virus uy tín, cẩn trọng khi duyệt web, mở email, tệp hoặc liên kết lạ. Ngoài ra, còn cần thận trọng khi sử dụng các thiết bị ngoại vi như USB, đĩa cứng, …
Kết luận
Tội phạm mạng ngày càng phát triển. Trang web của các tổ chức và doanh nghiệp luôn phải đối mặt với nguy cơ bị tấn công gia tăng. Do đó, việc hiểu rõ các kiến thức về bảo mật web sẽ giúp các quản trị viên chủ động ứng phó với tin tặc và các mối đe dọa trên internet.