Không nên bỏ qua 10 mẹo bảo mật này khi tạo một trang web mới

Khi thiết lập trang web mới, điều quan trọng là đảm bảo rằng trang web đó được an toàn. May mắn thay, hầu hết những điều bạn cần làm là rất dễ dàng. Một số mẹo bảo mật sẽ mất một ít thời gian, nhưng đó là một sự “đầu tư” xứng đáng. Đừng để trang web của bạn không được bảo vệ! 

1. Chọn một nhà cung cấp tên miền an toàn

Khi đăng ký tên miền cho website của bạn, bạn cần phải đảm bảo rằng không ai có thể kiểm soát nó. Nếu một kẻ lừa đảo có thể đăng nhập tên miền của bạn, họ có thể biến nó thành của họ hoặc phá hoại trang web. 

Có một vài lựa chọn nhà cung cấp tên miền sử dụng xác thực hai yếu tố (2FA). Điều này làm tăng thêm mức độ bảo mật và khiến cho việc truy cập khó khăn hơn nhiều. Ngay cả khi ai đó có được mật khẩu, thì họ cần phải truy cập vào điện thoại của bạn nữa. 

Dưới đây là một số nhà cung cấp tên miền xác thực hai yếu tố: Dynadot, GoDaddy, Lexsynergy, Name.com, NameCheap.

2. Ẩn thông tin của bạn từ WHOIS

Mỗi trang web đều có mục WHOIS và nếu bạn không thực hiện các bước để đảm bảo rằng thông tin của bạn được bảo vệ, thì tên và địa chỉ email của bạn sẽ dễ dàng bị các công ty spam tìm thấy. Cả tên và địa chỉ email của bạn là thông tin cần thiết cho việc đánh cắp nhận dạng, vì vậy giữ những thông tin này an toàn là cần thiết. 

Ẩn thông tin liên lạc

Hầu hết các máy chủ web cung cấp đăng ký WHOIS vô danh với một khoản phí nhỏ, nhưng cũng có một số ít cung cấp đăng ký miễn phí. Cả Dreamhost1and1 đều cho phép bạn mở một trang web với thông tin WHOIS ẩn danh mà không mất một đồng phí nào.

Cho dù bạn quyết định trả tiền hay dùng miễn phí, hãy làm những gì bạn cần để có thể giữ tên và email không xuất hiện trong hồ sơ WHOIS. Nó sẽ giúp bạn tiết kiệm thời gian đối phó với rất nhiều thư rác và khiến những người muốn lấy thông tin của bạn trở nên khó khăn hơn.

3. Thay đổi mật khẩu

Nếu tên miền, host, CMS hoặc bất cứ thứ gì khác đi kèm với mật khẩu quản trị viên chuẩn, hãy thay đổi mật khẩu ngay. Bạn thậm chí phải thay đổi tên đăng nhập của bạn từ "admin" sang cái gì khác nếu đó là mặc định.

Thay đổi mật khẩu thường xuyên cũng không phải là một ý tưởng tồi đâu. Sử dụng trình quản lý mật khẩu để theo dõi chúng và đảm bảo chúng được bảo mật.

4. Cập nhật phần mềm cho trang web

Khi bạn đã đảm bảo an toàn cho phần đăng ký, đây là thời điểm để bảo đảm an toàn cho trang web. Và bước đầu tiên, giống như bước đầu tiên để đảm bảo an toàn cho bất cứ điều gì khác là giữ mọi thứ được cập nhật.

Khi các công ty phát hiện lỗ hổng trong bảo mật, họ sẽ phát hành các bản vá và cập nhật. Nếu không cập nhật phần mềm của mình, bạn sẽ dễ bị "tổn thất". Hầu hết các host sẽ nhắc nhở bạn cập nhật khi có một phiên bản mới. Mặc dù vậy, bạn nên thường xuyên kiểm tra thông tin về phiên bản của mình nhé.

5. Sử dụng plugin an toàn

Nếu bạn đang sử dụng hệ thống quản trị nội dung (CMS), thì có các plugin an toàn có sẵn. Những cái tên lớn như WordPress, Drupal, Joomla và Magento đều có rất nhiều plugin. Tất cả những gì bạn cần làm là chọn những cái phù hợp nhất, sau đó tải về, cài đặt và kích hoạt.

Mỗi CMS và extension bảo mật sẽ cung cấp cho bạn lời khuyên về chính xác những gì bạn nên sử dụng. Bạn cũng nên tham khảo ý kiến đánh giá của bên thứ ba về các plugin an toàn. Nhưng nếu plugin đấy là của một nhà cung cấp có uy tín, nó sẽ giúp giữ cho trang web của bạn được an toàn. Sử dụng các cài đặt bảo mật nâng cao để loại bỏ các lỗ hổng bảo mật và giữ cho extension của bạn luôn được cập nhật.

6. Bật HTTPS

Đây không chỉ là bảo mật của riêng bạn như bạn nghĩ. Cả khách truy cập và Google sẽ đánh giá cao về việc bạn đã mã hóa tất cả lưu lượng truy cập trên trang web của bạn. Đặc biệt là nếu khách truy cập chia sẻ bất kỳ thông tin nhạy cảm nào.

 

Một số dịch vụ hosting tự động kích hoạt HTTPS cho bạn và một số khác cho phép bạn thực hiện điều đó bằng một vài thao tác đơn giản. Nếu bạn đang tự host hoặc thuê máy chủ web, việc kích hoạt HTTPS sẽ khó khăn hơn vì có liên quan đến việc mua chứng chỉ SSL, kích hoạt nó và định cấu hình trang web của bạn để sử dụng HTTPS.

Nó không quá phức tạp, nhưng quá trình có thể khác nhau trên dịch vụ hosting của bạn, do đó, kiểm tra dịch vụ và tìm cách tốt nhất để thực hiện điều này.

7. Kiểm tra quyền truy cập

Những người dùng khác nhau trên trang web của bạn sẽ có các quyền truy cập khác nhau. Là quản trị viên, bạn sẽ có quyền thay đổi bất cứ điều gì bạn muốn, những người khác sẽ bị hạn chế hơn. CMS thường cho phép bạn thay đổi quyền cho khách truy cập thông thường, khách truy cập đã đăng nhập, biên tập, người đóng góp và nhiều nhóm người dùng khác.

Hãy suy nghĩ xem có bao nhiêu quyền truy cập cho mỗi nhóm. Các biên tập viên của bạn cần tạo người dùng mới? Liệu độc giả của bạn có thể chỉnh sửa trang? Cung cấp cho mỗi người những quyền tối thiểu để để thực hiện công việc của họ.

Bạn có thể sử dụng một máy khách FTP để xem tất cả các tệp trên trang web của bạn và kiểm tra các quyền bằng ký hiệu tượng trưng hoặc số. Sau đó bạn có thể sử dụng các lệnh để thay đổi quyền.

8. Ẩn trang quản trị

Các trang web bạn sử dụng để đăng nhập và quản lý không nên được hiển thị trên các công cụ tìm kiếm. Đây có thể không giống như một biện pháp bảo mật, nhưng nó sẽ khiến cho những người có ý định tìm các trang đó với mục đích xấu gặp khó khăn hơn. Việc ẩn trang quản trị rất dễ dàng thực hiện, chỉ mất vài phút.

Một số CMS và plugin bảo mật sẽ cho phép bạn ẩn các trang này khỏi các công cụ tìm kiếm. Nếu máy của bạn không cung cấp chức năng này, bạn có thể thực hiện thủ công bằng cách chỉnh sửa tệp robots.txt, tệp này có thể truy cập được từ cài đặt CMS hoặc phần quản trị viên cPanel. Thêm các dòng lệnh sau vào tệp tin:

User-agent: *

Disallow: [the relative URL of the page]

Trong WordPress, bạn sẽ sử dụng “/wp-admin/” làm URL. Các CMS khác sẽ có các URL khác nhau. Bạn cũng có thể không cho phép người dùng xem bất kỳ trang nào khác. Điều này không chỉ đảm bảo bảo mật cho trang web mà còn giúp tối ưu hóa công cụ tìm kiếm của bạn.

9. Bảo vệ chống lại lỗ hổng bảo mật Scripting Cross-Site (XSS)

XSS là một thủ thuật hack có liên quan đến việc chạy code trên trang web của bạn. Ví dụ, nó có thể xảy ra trong một hình thức liên lạc bao gồm một tập lệnh trong đó, một hacker có thể khiến trang web của bạn thực thi code đó, cho phép họ truy cập hoặc gây ra sự tàn phá cho trang web của bạn.

 

Bảo vệ chống lại kiểu tấn công này thực sự là khá phức tạp. Nếu bạn muốn tìm hiểu về các phương pháp bạn có thể sử dụng, hãy thử anti-XSS cheat sheet tuyệt vời từ OWASP. Nếu bạn không biết nhiều về kỹ thuật thì có rất nhiều plugin chống XSS có sẵn, một số plugin bảo mật tiêu chuẩn có thể xử lý lỗ hổng bảo mật này. Tuy nhiên phải chắc chắn trang web của bạn được bảo vệ.

10. Ngăn ngừa rò rỉ thông tin

Trong khi XSS, SQL injection, crack mật khẩu và các phương pháp hack khác có thể có vẻ nguy hiểm nhất, nhưng không thể bỏ qua những điều đơn giản nhất vì nó có thể gây ra vấn đề. Rò rỉ thông tin là một trong những điều đó.

Khi bạn vô tình đưa ra thông tin mà bạn không có ý định (hoặc không biết), đó là rò rỉ thông tin. Rất dễ dàng cho các nhà phát triển vô tình để lại HTML comment trong code trang web của bạn.

Code trang web

Nếu bạn đang sử dụng với một CMS chuẩn, đây sẽ không phải là vấn đề lớn. Nhưng nếu bạn đã nhờ hoặc thuê ai đó thiết kế một theme tuỳ chỉnh bạn nên kiểm tra thông tin rò rỉ. Một trong những cách tốt nhất là chỉ cần sử dụng tùy chọn View Source trong trình duyệt của bạn và quét nhanh các HTML comment không bị xóa.

Các trang web lớn hơn bao gồm hàng trăm hoặc hàng ngàn trang có thể yêu cầu một chuyên gia bảo mật (hoặc ít nhất là một thực tập sinh) kiểm tra phần này. Dù bằng cách nào, đây là một cách dễ dàng để kiểm tra, do đó, không nên bỏ qua bước này.

Bảo vệ trang web của bạn ngay!

Khi tạo một trang web mới, có rất nhiều việc bạn phải làm. Và thật dễ dàng quên đi những biện pháp bảo mật cơ bản này. Nhưng những biện pháp này có thể giúp bạn giải quyết rất nhiều rắc rối về lâu dài. Vì vậy, đừng bỏ qua chúng! Đảm bảo trang web của bạn được an toàn trước khi bắt đầu tạo nội dung.

Thứ Năm, 14/09/2017 17:38
  • 2 ★ 3 👨
  • 431