Tiếp nối Các quy tắc bảo mật website mà nhà quản trị cần biết ở phần trước, các quy tắc của phần 2 này có thể giúp website của bạn được tăng mức độ bảo mật lên gấp 2, thậm chí gấp 3 lần.


Các quy tắc bảo mật website cơ bản cần biết (P2)

Hạn chế người dùng upload file

Đới với một số website, việc người dùng upload file (như hình ảnh, video, âm thanh,...) lên là điều không thể tránh khỏi, thậm chí là bắt buộc. Trong trường hợp này, cho dù những file đó trông có vẻ vô hại, chúng ta vẫn phải đề phòng cao độ, vì các file đó có thể chứa những dòng lệnh độc hại tiêm nhiễm vào máy chủ. Giải pháp tốt nhất mà nhà quản trị web nên làm là chặn hoàn toàn quyền truy cập trực tiếp vào các file được tải lên.

Nếu cho phép các file được upload lên từ Internet thì hãy chỉ sử dụng các phương thức vận chuyển an toàn đến máy chủ như SFTP hoặc SSH. Nếu có thế, hãy để cơ sở dữ liệu chạy trên một máy chủ khác riêng biệt với máy hủ web. Như vậy, máy chủ cơ sở dữ liệu sẽ không thể truy cập từ bên ngoài mà chỉ máy chủ web mới có thể truy cập nó, giúp giảm thiếu rủi ro dữ liệu bị lộ.

Hãy cảnh giác với các file upload lên website của bạn


Cẩn thận khi thông báo lỗi tới người dùng

Hãy cẩn thận với lượng thông tin mà bạn cung cấp khi thông báo lỗi cho người dùng. Các chuyên gia bảo mật khuyên chỉ nên thông báo các lỗi tối thiểu để đảm bảo chúng không làm rò rỉ thông tin bí mật trên máy chủ. Cung cấp quá chi tiết các thông tin sẽ tạo điều kiện cho các cuộc tấn công SQL Injjection xảy ra dễ dàng hơn. Vì vậy, các thông báo lỗi chỉ nên hiển thị cho người dùng những thông tin họ cần.


Đừng lơ là yếu tố con người

Thực tế cho thấy, có rất nhiều cá nhân, doanh nghiệp đầu tư vào các phần mềm, hạ tầng bảo mật đắt đỏ mà lại chủ quan, hoặc thậm chí quên đi con người mới chính là mắt xích yếu nhất trong chuỗi bảo mật.

Có nhiều kẻ xấu chẳng cần đến công cụ phức tạp nào để có thể thực hiện một cuộc tấn công, mà chỉ đánh vào yếu tố tâm lý con người. Có những trò lừa đảo hết sức đơn giản nhưng vì thiếu kiến thúc về bảo mật nên vẫn có rất nhiều người mắc bẫy hacker. Vì thế, hãy quan tâm đến việc nâng cao nhận thức bảo mật cho chính mình, cho nhân viên và cho cả những người xung quanh để cải thiện môi trường an toàn an ninh mạng chung.

Con người là mắt xích yếu nhất trong chuỗi bảo mật


Thường xuyên quét các tệp tin

Đây là một thao tác cơ bản nhưng cực kỳ hữu ích trong việc phát hiện kịp thời mối nguy cho website. Các chuyên gia bảo mật thường khuyến khích kiểm tra định kỳ các tệp tin trên máy chủ để không bỏ lỡ bất kỳ dấu hiệu nào của hacker. Ngay cả khi không có dấu hiệu tấn công nào thì hoat động này vẫn nên được duy trì một cách thường xuyên.


Sử dụng và giữ cho máy chủ web luôn "sạch"


Một trong những việc không thể bỏ qua trong quy tắc bảo mật website đó là sử dụng máy chủ an toàn. Việc lựa chọn một nhà cung cấp dịch vụ lưu trữ website chất lượng và uy tín là điều rất quan trọng. Người dùng cần chú ý đến cấu hình của máy để đảm bảo mức độ an toàn nhất có thể. Để giữ cho máy chủ website luôn "sạch", nhà quản trị hãy chú ý thực hiện các phần sau:

  • Loại bỏ tất cả các phần mềm, dịch vụ và module không sử dụng và không cần thiết
  • Thiết lập chính sách phù hợp cho người dùng và các nhóm
  • Thiết lập quyền truy cập vào các tập tin và thư mục nhất định
  • Vô hiệu hóa tính năng duyệt thư mục trực tiếp
  • Ghi nhận và thường xuyên kiểm tra các hoạt động đáng ngờ trên website
  • Sử dụng mã hóa và các giao thức an toàn


Tìm đến các nhà cung cấp dịch vụ bảo mật

Giải pháp đơn giản mà hiệu quả nhất cho các cá nhân hay doanh nghiệp không đủ khả năng cũng như nguồn nhân lực cho bảo mật chính là nhờ đến sự giúp đỡ của các công ty bảo mật. Hiện nay có rất nhiều dịch vụ bảo mật website phù hợp với nhu cầu của từng khách hàng. Các nhà cung cấp dịch vụ bảo mật có đội ngũ chuyên môn giàu kinh nghiệm, có thể giúp bạn xử lý sự cố một cách nhanh chóng và chính xác và tiết kiệm thời gian.

Trên đây là các quy tắc bảo mật cơ bản mà nhà quản trị nên áp dụng vào website của mình. Hãy bám sát theo các quy tắc này để đảm bảo sự "sống còn" cho website. Đừng bao giờ ngừng tìm kiếm các giải pháp bảo vệ và phòng bị. Hãy ngưng nghĩ "Website của tôi chẳng có gì để hack cả", vì website của bạn rất đáng giá và xứng đáng được bảo vệ trước hacker.


----------

Cung cấp các giải pháp bảo mật và truyền tải cho doanh nghiệp

Dịch vụ Anti-DDoS: Hệ thống chống DDoS lớn nhất Việt Nam với tổng băng thông lên đến 2600 Tbps

Dịch vụ bảo mật websiteTích hợp bảo mật an ninh nhiều lớp với Multi CDN, WAF, trí tuệ nhân tạo AI,... vào chung một nền tảng duy nhất

Multi CDN: Sở hữu sức mạnh của các nhà cung cấp CDN hàng đầu thế giới với hơn 2300 PoP trải dài toàn cầu