Bảo mật website và những điều cần biết để tối ưu – Mona Media

Bảo mật website là một việc làm quan trọng

Bạn khá yên tâm, tin yêu và luôn nghĩ rằng website của bạn sẽ không khi nào bị tiến công ( hack website ) do tại nhiều lí do khác nhau :

• Lí do 1: Website của bạn chẳng có gì để hack cả. Tôi chỉ thiết kế website giới thiệu công ty thì ai lại “rảnh rỗi” mà đi hack –> thật ra hacker luôn có những lý do khác nhau từ nhỏ đến lớn để hack vào các website như của bạn.

• Lí do 2: Website của bạn đang sử dụng công nghệ ABC và nó rất xịn. Đảm bảo sẽ không ai hack bạn cả –> có thể bạn đúng, nhưng cũng có thể bạn “thiếu”. Những lỗ hổng trong website luôn xuất hiện cho dù vài chục năm nay người ta luôn cố gắn để lấp đầy. Nhưng nó vẫn còn đó và sẽ không ai mạnh miệng khẳng định 100% là không bị hack.

  Bạn đang đọc: Bảo mật website và những điều cần biết để tối ưu – Mona Media

• Lí do 3 : Cho dù website tôi có bị hack thì cũng chẳng làm thế nào với tôi cả. Tôi không quan trọng – > bạn đang nhìn nhận thấp vai trò website của mình và tiềm năng kinh doanh thương mại trên mạng internet .

Thực tế cũng có khá nhiều người vô tư giống như bạn, họ không bận tâm đến vấn đề bị tấn công website, cho đến khi bị hack, họ mới hốt hoảng giật mình thì đã quá muộn rồi. Do đó muốn thảnh thơi tập trung vào việc kinh doanh thì bạn nên cân nhắc lựa chọn một công ty thiết kế website uy tín , sẽ góp phần rất lớn trong bảo mật website cho bạn. Mặc dù giao phó hoàn toàn cho bên công ty thiết kế trang web thì bạn cũng cần phải biết những nội dung cơ bản về bảo mật website là như thế nào.

Một số phương pháp có ích để bảo mật website

Thường xuyên update ứng dụng ứng dụng website

Có vẻ như đây là một điều hiển nhiên, việc đảm bảo tất cả phần mềm được cập nhật là điều quan trọng trong việc giữ cho trang web của bạn tránh khỏi những nguy hiểm luôn luôn rình rập. Điều này có thể áp dụng cho cả hệ điều hành máy chủ và bất kỳ phần mềm nào bạn đang chạy trên trang web bao gồm CMS hoặc diễn đàn, khi lỗ hổng bảo mật website được tìm thấy trong phần mềm ứng dụng, tin tặc sẽ chớp lấy thời cơ nhanh chóng cố gắng lạm dụng chúng.

Nếu bạn đang sử dụng một giải pháp quản trị tàng trữ thì bạn không cần phải lo ngại nhiều về việc vận dụng những bản update bảo mật cho hệ quản lý vì công ty chiếm hữu độc quyền sẽ giúp bạn quản trị việc này .

Nếu bạn đang sử dụng phần mềm của bên thứ ba chẳng hạn như một CMS hoặc diễn đàn, bạn nên đảm bảo rằng bạn đã sở hữu một phiên bản bảo mật khác. Hầu hết các nhà cung cấp sản phẩm đều có một danh sách gửi thư thông báo hoặc nguồn cấp dữ liệu RSS nêu rõ bất kỳ vấn đề về bảo mật website liên quan. WordPress, OpenCart và nhiều CMS khác sẽ thông báo cho bạn về những cập nhật hệ thống hiện có trong mỗi lần bạn đăng nhập.

Đảm bảo bạn luôn cập nhật các tính năng phụ thuộc và sử dụng các công cụ như Gemnasium để nhận thông báo tự động khi một lỗ hổng được công bố ở một trong các thành phần website của bạn.

Xem thêm: Những tiêu chí của một website hoàn hảo

Bảo mật SQL injection

SQL injection là hình thức tấn công trang web phổ biến nhất dựa trên các thao tác form website, lý do là các nội dung này thường không được mã hoá chính xác và công cụ hacking tận dụng các điểm yếu này để hoạt động phá hoại, loại khai thác này rất dễ dàng để đạt được mục đích ngay cả những tin tặc thiếu kinh nghiệm cũng có thể thực hiện hành động này, nghiêm trọng hơn, nếu lỗi này được thực hiện bởi các tin tặc có tay nghề cao, chỉ cần một điểm yếu trong source code website có thể tiết lộ quyền truy cập root của các máy chủ web và từ đó tin tặc có thể tấn công sang các máy chủ mạng khác.

Structured Query Language ( SQL ) là ngôn từ gần như phổ quát của cơ sở tài liệu được cho phép tàng trữ, thao tác và truy xuất tài liệu. Cơ sở tài liệu sử dụng SQL gồm có MS SQL Server, MySQL, Oracle, Access … và đương nhiên, những cơ sở tài liệu này cũng phải chịu cuộc tiến công SQL injection. Các chương trình chống vi-rút cũng không mấy hiệu suất cao để hoàn toàn có thể chặn những cuộc tiến công SQL injection, đơn thuần vì chúng được sử dụng để phát hiện và ngăn ngừa một loại tài liệu trọn vẹn khác .Cách phòng ngừa SQL injection thông dụng nhất được tạo thành từ hai thành phần. Đầu tiên là liên tục update và vá lỗi của tổng thể những sever, dịch vụ và ứng dụng, sau đó sản xuất và sử dụng tốt source code đồng thời kiểm thử source code website không được cho phép sống sót những lệnh SQL có tín hiệu không bình thường .

Bảo mật website với XSS

Tấn công cross-site scripting (XSS) hay tấn công JavaScript độc hại vào website của bạn, sau đó chạy trong trình duyệt của người dùng và có thể thay đổi nội dung trang web hoặc ăn cắp thông tin để gửi lại cho kẻ tấn công. Ví dụ: nếu bạn hiển thị nhận xét trên một trang không có xác nhận hợp lệ thì kẻ tấn công có thể gửi một thông điệp chứa các thẻ tập lệnh và JavaScript có thể chạy trong trình duyệt của mọi người dùng khác và lấy cắp cookie đăng nhập của họ, từ đó cho phép xảy ra cuộc tấn công nhằm kiểm soát tài khoản của mọi người dùng đã xem bình luận. Bạn cần đảm bảo rằng người dùng không thể đưa nội dung JavaScript vào các trang đang hoạt động của bạn.

Đây là mối quan tâm đặc biệt trong các ứng dụng web hiện đại, nơi các trang được xây dựng chủ yếu từ nội dung người dùng và trong nhiều trường hợp tạo ra HTML, sau đó cũng được xử lý front-end như Angular và Ember. Các frameworks này cung cấp nhiều sự bảo vệ XSS nhưng lại kết hợp liên lạc giữa máy chủ và truy cập của khách hàng đôi lúc có thể tạo ra các đường tấn công mới phức tạp hơn, không chỉ là tích hợp JavaScript vào HTML hiệu quả, mà bạn còn có thể chèn nội dung source code bằng cách chèn các lệnh Angular hoặc Ember.

Chìa khóa ở đây là tập trung chuyên sâu vào nội dung do người dùng tạo ra hoàn toàn có thể thoát khỏi số lượng giới hạn mà bạn mong đợi và được trình duyệt hiểu như thể một góc nhìn khác mà bạn đang dự tính, điều này cũng tựa như như bảo vệ chống lại SQL injection. Khi tự động hóa tạo ra HTML, sử dụng những hàm rõ ràng để thực thi những đổi khác bạn đang tìm kiếm ( ví dụ : sử dụng element. setAttribute và element. textContent, chứ không phải tự thiết lập element. innerHTML bằng tay ) hoặc sử dụng những hàm trong frameworks tự động hóa chạy tương thích hơn là liên kết chuỗi hoặc thiết lập nội dung HTML .

Một công cụ mạnh mẽ khác trong hộp công cụ của XSS Defender là Content Security Policy (CSP). CSP là một thuộc tính mà máy chủ của bạn có thể trả về cho trình duyệt để giới hạn cách thức JavaScript được thực hiện như thế nào trong website, ví dụ như không cho phép chạy bất kỳ tập lệnh nào không được lưu trữ trên tên miền của bạn, không cho phép JavaScript inline hoặc vô hiệu hóa hàm eval(), điều này làm cho các tập lệnh của tin tặc khó làm việc hơn, ngay cả khi chúng có thể đưa vào trang web của bạn.

Bảo mật với những thông tin lỗi website

Hãy cẩn trọng với thông tin bạn hiển thị trong những thông tin lỗi, chỉ phân phối những lỗi tối thiểu cho người dùng để bảo vệ rằng không bị rò rỉ bí hiểm trên sever của bạn ( ví dụ : API hoặc mật khẩu cơ sở tài liệu ). Không phân phối khá đầy đủ những cụ thể ngoại lệ vì những điều này hoàn toàn có thể làm cho những cuộc tiến công phức tạp như SQL injection trở nên thuận tiện hơn, tàng trữ những lỗi chi tiết cụ thể trong nhật ký sever của bạn và chỉ cho người dùng biết thông tin họ cần .

Phòng chống và xử lý các cuộc tấn công DDOS

DDOS là các cuộc tấn công sử dụng nhiều máy tính vệ tinh tấn công thẳng vào Server với mục đích làm quá tải máy chủ nhằm ngăn chặn việc truyền tải thông tin, chất lượng kết nối và khả năng truy cập vào Website của bạn. Mặc dù tấn công DDOS không lấy cắp được dữ liệu hay phá hỏng cấu trúc của website tuy nhiên nó cũng đem lại rất nhiều bất lợi và khó khăn khi gặp phải.Vì vậy đối với DDOS bạn cần phải chuẩn bị trước và có kế hoạch xử lý có thể triển khai ngay lập tức.

Phê duyệt / xác nhận hợp lệ bảo mật website phía sever

Xác nhận phải luôn luôn được triển khai cả trên trình duyệt và phía sever, trình duyệt hoàn toàn có thể bắt những lỗi đơn thuần như những trường bắt buộc không được bỏ trống hoặc khi bạn nhập văn bản vào những trường số. Tuy nhiên, đôi lúc chúng hoàn toàn có thể được bỏ lỡ và bạn phải bảo vệ kiểm tra những xác nhận này vì không thực thi được điều đó hoàn toàn có thể dẫn đến trường hợp mã độc được chèn vào cơ sở tài liệu hoàn toàn có thể gây ra những hiệu quả không mong ước trong website của bạn .

Cài mật khẩu có độ bảo mật cao

Mọi người đều biết họ nên sử dụng mật khẩu phức tạp, nhưng điều đó không có nghĩa là họ luôn sẵn sàng chuẩn bị triển khai điều đó. Điều rất quan trọng là sử dụng mật khẩu đủ mạnh cho sever và khu vực quản trị website, nhưng cũng cần nhấn mạnh vấn đề mật khẩu tốt cho người dùng của bạn để bảo vệ tính bảo mật thông tin tài khoản của họ. Việc thực thi những nhu yếu về mật khẩu ví dụ điển hình như tối thiểu là khoảng chừng tám ký tự, gồm có một vần âm và chữ viết hoa sẽ giúp bảo vệ thông tin của họ trong thời hạn dài tuyệt đối bảo đảm an toàn .Mật khẩu phải luôn luôn được tàng trữ dưới dạng những giá trị mã hoá, tốt hơn là sử dụng một thuật toán băm một chiều như SHA, sử dụng giải pháp này có nghĩa là khi bạn xác nhận người dùng, bạn chỉ cần so sánh những giá trị được mã hóa. Trong trường hợp có ai đó xâm nhập và đánh cắp mật khẩu của bạn, việc sử dụng mật khẩu đã băm hoàn toàn có thể giúp hạn chế thiệt hại vì khó hoàn toàn có thể giải thuật được chúng .

Bên cạnh đó bạn cũng cài đặt mật khẩu hai lớp cho tất cả các công cụ làm việc online của mình, từ tài khoản email, tài khoản hosting, tài khoản quản trị website. Tâm lý của tin tặc là chọn những trang nào lơ đễnh, ít phòng bị thì nó sẽ tấn công trước, những trang nào có độ bảo mật cao, khó quá thì cho qua.

Xét duyệt việc tải tập tin lên website

Cho phép người dùng tải tệp lên trang web của bạn có thể là nguy cơ ảnh hưởng tới bảo mật website, ngay cả khi chỉ cần một thao tác nhỏ là thay đổi avatar của họ. Rủi ro là bất kỳ tệp nào tải lên vô tội vạ có thể chứa một tập lệnh được thực hiện trên máy chủ có đường dẫn tới trang web của bạn.

Nếu bạn sử dụng một hình thức tải tập tin, cần phải biết cách quản trị tổng thể những file, nếu bạn được cho phép người dùng tải lên hình ảnh, bạn không hề dựa vào phần đuôi lan rộng ra của ảnh hoặc loại mime để xác định rằng tệp đó là một hình ảnh vì chúng hoàn toàn có thể thuận tiện bị trá hình, ngay cả việc mở tập tin hoặc sử dụng những tính năng để kiểm tra size hình ảnh không phải là vật chứng địa thế căn cứ khá đầy đủ, hầu hết những định dạng hình ảnh được cho phép tàng trữ một phần miêu tả hoàn toàn có thể chứa source code được thực thi bởi sever .

Vậy làm thế nào để bảo mật website từ việc tải tập tin ?

Giải pháp được đề xuất kiến nghị là ngăn ngừa truy vấn trực tiếp vào những tập tin tải lên cùng nhau. Bằng cách này, bất kể tập tin nào được tải lên trang web của bạn cần được tàng trữ trong một thư mục bên ngoài webroot hoặc trong cơ sở tài liệu dưới dạng blob. Nếu tệp của bạn không hề truy vấn trực tiếp, bạn sẽ cần phải tạo một tập lệnh để tìm nạp những tập tin từ thư mục riêng và đưa chúng tới trình duyệt. Thẻ ảnh tương hỗ thuộc tính src không phải là URL trực tiếp tới hình ảnh, do đó, thuộc tính src của bạn hoàn toàn có thể trỏ đến tập lệnh phân phối tập tin phân phối cho bạn đặt đúng loại nội dung trong tiêu đề HTTP .Đảm bảo bạn có một thiết lập tường lửa và đang chặn toàn bộ những cổng không thiết yếu, nếu hoàn toàn có thể thiết lập một DMZ chỉ được cho phép truy vấn vào cổng 80 và 443 từ bên ngoài. Mặc dù điều này hoàn toàn có thể không khả thi nếu bạn không có quyền truy vấn vào sever của mình từ mạng nội bộ vì bạn cần mở cổng để cho phép tải tệp lên và đăng nhập từ xa vào sever của bạn qua SSH hoặc RDP, nếu bạn được cho phép những tệp tải lên từ Internet chỉ sử dụng những phương pháp truyền tải bảo đảm an toàn đến sever của bạn như SFTP hoặc SSH .Nếu hoàn toàn có thể, hãy thao tác cơ sở tài liệu của bạn trên một sever khác với sever web của bạn, điều này có nghĩa là sever cơ sở tài liệu không hề truy vấn trực tiếp từ bên ngoài, chỉ có sever website của bạn mới hoàn toàn có thể truy vấn, giảm thiểu rủi ro tiềm ẩn tài liệu của bạn bị lộ .Cuối cùng, đừng quên số lượng giới hạn quyền truy vấn vào sever của bạn .

Bảo mật với HTTPS

HTTPS là một giao thức được sử dụng để cung ứng bảo mật qua Internet, HTTPS bảo vệ với người dùng rằng họ đang tương tác với sever mong đợi và không ai khác hoàn toàn có thể chặn hoặc biến hóa nội dung mà họ đang xem .Nếu có bất kỳ thứ gì mà người dùng muốn riêng tư, bạn nên chỉ sử dụng HTTPS để phân phối nó. Một form đăng nhập thường sẽ được thiết lập cookie, được gửi cùng với mọi nhu yếu khác đến trang của bạn mà người dùng thao tác đăng nhập và được sử dụng để xác nhận những nhu yếu đó, tin tặc sẽ hoàn toàn có thể bắt chước người dùng một cách tuyệt vời và từ đó tiếp quản phiên đăng nhập của họ. Để đối phó những loại tiến công này, hãy sử dụng HTTPS cho hàng loạt website của mình. Điều đó không còn khó khăn vất vả và tốn kém như trước nữa, bạn chỉ cần bật HTTPS và có những công cụ cộng cộng hiện có cho những frameworks để tự động hóa thiết lập điều này cho bạn .

Thêm vào đó, Google đã thông báo rằng họ sẽ tăng xếp hạng tìm kiếm của website nếu bạn sử dụng HTTPS, đây là một điều hoàn toàn có lợi cho việc SEO trang web.

Cách nhanh chóng nhất để thiết lập giao thức HTTPS cho website chính là đăng ký chứng chỉ SSL chuyên nghiệp tại Mona Media

Công cụ bảo mật website

Một khi bạn nghĩ rằng bạn đã làm tất cả những gì bạn có thể thì nên dành thời gian để tiến hành việc thử nghiệm bảo mật website, cách hiệu quả nhất để làm việc này là thông qua việc sử dụng một số công cụ bảo mật trang web.

Có rất nhiều mẫu sản phẩm thương mại và không tính tiền để giúp bạn thực thi việc này, chúng hoạt động giải trí trên cơ sở tựa như như những tập lệnh mà tin tặc sử dụng để kiểm tra toàn bộ những hành vi khai thác và nỗ lực làm tổn hại đến website của bạn bằng cách sử dụng một số ít giải pháp đã đề cập trước đó như SQL injection. Một số công cụ không lấy phí đáng chú ý quan tâm :

• Netsparker ( có phiên bản không lấy phí và phiên bản tính phí ) tốt cho thử nghiệm SQL injection và XSS .
• OpenVAS, chương trình quét mã bảo mật mã nguồn mở tiên tiến nhất, tốt cho việc kiểm tra các lỗ hổng nhưng nó có thể khó thiết lập vì yêu cầu một máy chủ OpenVAS được cài đặt, OpenVAS là một phần của Nessus trước khi nó trở thành một sản phẩm thương mại mã nguồn đóng., chương trình quét mã bảo mật mã nguồn mở tiên tiến và phát triển nhất, tốt cho việc kiểm tra những lỗ hổng nhưng nó hoàn toàn có thể khó thiết lập vì nhu yếu một sever OpenVAS được thiết lập, OpenVAS là một phần của Nessus trước khi nó trở thành một mẫu sản phẩm thương mại mã nguồn đóng .

• SecurityHeaders.io (kiểm tra trực tuyến miễn phí), công cụ nhanh chóng báo cáo bảo mật website (chẳng hạn như CSP và HSTS đã bật hay như cấu hình một tên miền chính xác…).

• Cốc cốcXenotix XSS Exploit Framework, một công cụ của OWASP ( Open Web Application Security Project ) gồm có một loạt những ví dụ về tiến công XSS mà bạn hoàn toàn có thể nhanh gọn xác nhận liệu nguồn vào website có dễ bị ảnh hưởng tác động bởi Chrome, Firefox, và IE hay không .

Kết quả từ những lần kiểm thử hoàn toàn có thể gây sợ hãi cho tất cả chúng ta vì chúng bộc lộ rất nhiều yếu tố tiềm ẩn, điều quan trọng là phải tập trung chuyên sâu vào những yếu tố quan trọng thứ nhất, mỗi yếu tố báo cáo giải trình thường đi kèm với một lý giải tốt về tiềm năng dễ bị tổn thương, hoàn toàn có thể bạn sẽ thấy 1 số ít yếu tố mức độ trung bình thấp không phải là mối chăm sóc so với website của bạn .

Nếu bạn muốn tiến thêm một bước nữa thì có một số cách tiếp theo bạn có thể thực hiện bằng cách thay đổi giá trị POST / GET, một proxy gỡ lỗi có thể giúp bạn vì nó cho phép bạn đánh chặn các giá trị của một yêu cầu HTTP giữa trình duyệt và máy chủ của bạn, một ứng dụng phần mềm miễn phí phổ biến được gọi là Fiddler cũng là một quyết định sáng suốt.

Hy vọng rằng những lời khuyên trên đây sẽ giúp cho trang web và thông tin của bạn an toàn, có rất nhiều CMS có tính năng bảo mật website sẵn có, nhưng ý tưởng tốt vẫn là cần phải có kiến ​​thức về các lỗ hổng bảo mật phổ biến để có thể chủ động bảo vệ cho chính website của bạn. Nếu bạn không am hiểu nhiều vấn đề kỹ thuật, hãy liên hệ bên công ty thiết kế website để họ thực hiện bảo mật website cho bạn. 

Source: https://vh2.com.vn
Category: Bảo Mật