Nội dung bài viết:
Bảo mật cho website là công đoạn rất quan trọng sau khi bạn đã làm xong website. Nó giống như việc bạn lắp camera, lắp ổ khóa tự động, xây dựng hàng rào kiên cố cho ngôi nhà mới xây xong. Mục đích cuối cùng là bảo vệ kẻ tấn công vào nhà/ website của mình.
Để hiểu về bảo mật website là gì, làm cách nào để bảo mật thì tốt nhất ta nên tìm hiểu về cách thức hacker tấn công 1 website. Giống như việc bạn hiểu được mấy tay trộm chui vào nhà bạn bằng cách nào thì bạn sẽ có cách rào chống lại đúng ko nào?
Cách thức hacker tấn công 1 website:
Thực ra tôi cũng chưa đủ trình độ để viết bài này, bởi vì nói đến hack thì vô vàn kiểu, tuy nhiên tôi sẽ liệt kê cho bạn xem một số phương thức thâm nhập mà hacker hay sử dụng nhất hiện nay để tấn công website của bạn. Hãy xem chi tiết bên dưới nhé.
Hack tên miền (domain):
Trong các cuộc tấn công domain hacking, hacker sẽ lạm dụng những đặc quyền trên phần mềm lưu trữ tên miền mà chúng chiếm đoạt được để thay đổi nhà đăng ký tên miền, cũng như thay đổi các thông tin sở hữu, quản lý, xử lý kỹ thuật của tên miền. Kiểu tấn công này có thể dẫn đến hậu quả cực kỳ nghiêm trọng cho chủ sở hữu tên miền, đặc biệt là khi tên miền này được sử dụng cho các hoạt động độc hại khác
Có rất nhiều cách để kẻ tấn công có thể chiếm quyền kiểm soát tên miền:
- Truy cập trái phép vào tên miền, khai thác lỗ hổng ở cấp độ đăng ký tên miền, chiếm đoạt tài khoản chủ sở hữu tên miền, hoặc sử dụng các kỹ thuật xã hội (social engineering)… là những cách thường được hacker sử dụng để chiếm đoạt tên miền.
- Mạo danh chủ sở hữu tên miền để thuyết phục nhà đăng ký tên miền sửa đổi thông tin hoặc chuyển tên miền sang nhà đăng ký khác.
- Sử dụng keylogger để đánh cắp thông tin đăng nhập. Keylogger sẽ được kẻ gian lét lút cài đặt trên thiết bị của người sở hữu tên miền, sau đó ghi lại toàn bộ thông tin nhập liệu của nạn nhân và gửi đến cho chúng.
Một khi domain bị hack thì website coi như tèo, bởi vậy vấn đề bạn cần quan tâm đầu tiên là làm sao để tránh khỏi bị hack domain. Tham khảo bên dưới nhé.
Hack backend quản trị website (CMS open source)
Thông thường mỗi website sẽ được viết trên mỗi mã nguồn khác nhau, hiện nay mã nguồn mở ngày càng phổ biến. Mỗi mã nguồn mở sẽ có 1 CMS mà hình thức giống nhau về cấu trúc đường dẫn. Bởi vậy hacker hay sử dụng phương pháp brute force attack để tấn công vào phía backend quản trị của website.
Nếu hacker biết được mật khẩu thì việc dò ra đường dẫn admin là rất dễ. Ví dụ, đường dẫn mặc định đi vào phần quản trị website wordpress là www.yourdomain.com/wp-admin. Thế thì nếu bạn không biết cách thay đổi đường dẫn mặc định này, hacker chẳng may login vào tài khoản admin của bạn => lấy hết database, xóa dữ liệu website, cài trojan => bạn cũng tèo luôn.
Hack hosting/VPS/database
Phương pháp khai thác các lỗi sql injection cách đây 8 năm là rất phổ biến, lúc đó hầu hết các website viết bằng pHp đều dính lỗi này, tôi còn nhớ đám bạn của mình ngày nào cũng đi soi mấy site bán hàng nước ngoài để hack kiếm ccv. Tuy nhiên hiện nay với sự phát triển của công nghệ, các lỗi này đã giảm hẵn với sự ra đời các bản vá lỗi.
Một số module/plugin hoặc theme null/ cracked rất dễ bị cài malwares từ đó hacker có thể thực thi các câu lệnh từ xa và hack vào database của website bạn dễ dàng. Một khi đã dính malwares thì giống như máy tính bị dính viruts, rất khó để làm sạch. Để phòng tránh việc này bạn cần sử dụng các source sạch, mua bán có nguồn gốc rõ ràng. Không nên sử dụng codeshare để tránh bị kẻ xấu chơi khăm. Nên nhớ cái gì rẻ thì không ngon mà ngon thì không rẻ.
Hướng dẫn bảo mật cho website cơ bản đến nâng cao
Phương pháp bảo mật domain an toàn
Sử dụng DNS trung gian là cách bảo mật tốt nhất cho domain để hạn chế việc bị mất cắp domain và tấn công từ chối dịch vụ DDOS. Một số dịch vụ DNS trung gian như cloudfare còn cho xài miễn phí mã hóa SSL tăng cường bảo mật website, lợi ích cho SEO.
Tôi khuyên bạn, sau khi mua domain xong nên trỏ nameserver về DNS trung gian của cloudfare và cài chứng chỉ bảo mật SSL. Việc này rất có lợi cho website và SEO trong tương lai.
Cloudflare là một CDN (Content Delivery Network) giúp phân phối người dùng tới máy chủ gần họ nhất với hệ thống bộ nhớ đệm của họ. Đồng thời caching các tệp tin tĩnh như javascript, html, css, hình ảnh,… giúp tăng tốc độ tải trang và tiết kiệm băng thông cho hosting/VPS.
Cloudflare giúp website bảo mật hơn với tường lửa hạn chế DDoS + Spam, SSL, chặn truy cập từ các IP hoặc quốc gia nhất định.
Dễ sử dụng, cập nhật trong vòng vài phút.
Phiên bản trả phí có nhiều tính năng hấp dẫn.
Để đăng ký Cloudflare bạn vui lòng truy cập https://www.cloudflare.com/sign-up
Ngoài ra, để bảo vệ thông tin domain trước whois (whois.com) bạn nên mua thêm gói bảo mật thông tin domain mà các nhà cung cấp có bán kèm. Việc này hạn chế hacker biết thông tin chủ sở hữu là ai.
Như vậy nhớ nhé, để bảo mật cho domain cần làm 2 việc: Sử dụng DNS trung gian và mua gói bảo mật thông tin domain.
Bảo mật backend website, phương pháp chống brute force attack
Brute Force Attack là gì?
Hãy tưởng tượng hacker nắm trong tay một danh sách rất lớn các username và mật khẩu phổ biến hay được sử dụng. Sau đó họ gửi liên tục các truy vấn đăng nhập vào file wp-login.php của bạn và nếu tài khoản nào sai, nó sẽ bỏ qua và thử tiếp tài khoản khác. Cứ lần lượt như vậy, sau đó lại “trộn” mật khẩu đến khi nào đăng nhập được thì thôi. Đó là brute force attack.
Bạn có thể hiểu phương thức này là một cách để dò ra mật khẩu và tài khoản của người quản trị cao nhất.
Hình thức tấn công này dễ phòng chống nhưng lại rất dễ bị dính nếu bạn chủ quan trong việc đặt mật khẩu và username của mình. Thường thì bạn sẽ dễ bị tấn công kiểu này khi:
- Đặt username là admin, administrator hoặc tương tự.
- Mật khẩu không an toàn, dễ đoán ra, sử dụng phổ biến.
- Không bảo mật đường dẫn đăng nhập.
- Không thay đổi mật khẩu thường xuyên.
Như vậy, các vấn đề liên quan đến bảo mật tài khoản đăng nhập sẽ đều giúp cho hacker sử dụng brute force attack để tấn công.
Cách phòng chống Brute Force Attack
Để phòng chống brute force attack thì bạn cần làm các công việc sau:
- Đặt tên đăng nhập khó đoán ra.
- Mật khẩu dài, mạnh, có ký tự đặc biệt và không liên quan đến các thông tin cá nhân.
- Hạn chế số lần đăng nhập sai.
- Bảo mật đường dẫn đăng nhập.
- Thường xuyên thay đổi mật khẩu.
Vậy thì nếu bạn cần chống brute force attack, mình khuyến khích bạn nên sử dụng plugin sau:
Better WP Security – Đây là một trong những plugin bảo mật cho wordpress tốt nhất hiện nay, nó cung cấp đầy đủ các chức năng để hạn chế được việc hacker tấn công website qua phương thức brute force attack. Bạn hãy tìm hiểu cách cấu hình plugin này tại đây nhé.
Hãy chắc chắn rằng website bạn đã được bảo vệ trước Brute Force Attack để hạn chế khả năng bị lấy cắp tài khoản quản trị nhé.
Phương pháp bảo mật chống local attack ở hosting/VPS/Database
Để hack qua hosting theo phương pháp force attack là khó, thông thường hacker sẽ chọn cách hack thông qua các lỗ hỏng bảo mật mà đặc biệt là sử dụng phương pháp local attack dùng malware để gửi các câu lệnh và từ đó khai thác thông tin database.
Để hạn chế được việc này bạn cần phải:
- Sử dụng hosting do các nhà cung cấp uy tín, có bảo mật cao (namecheap hosting, upcloud)
- Nếu có tiền, nên sử dụng VPS độc lập để tránh bị họa lây từ thằng bên cạnh
- CHMOD file/folder đúng và đủ, bên cạnh đó cần giấu file config đi
- Không sử dụng theme/plugin null, bản null là bản cracked hay chứa trojan
- Backup database thường xuyên, 15 ngày/ lần
- Update các bản vá lỗi thường xuyên để tránh lỗi phát sinh từ nhà cung cấp
Xem thêm 10 cách hạn chế local attack cho website wordpress tại đây.
Câu chuyện giữa hacking và security là một câu chuyện muôn thuở, nó giống như chuyện nắng mưa vậy thôi. Cái cần làm của một admin là luôn luôn tìm tòi học hỏi để nâng cao kiến thức bảo mật, từ đó áp dụng cho website của mình. Chia sẽ những gì bạn biết và nhận lại những gì bạn chưa biết cũng là cách hay để cập nhật thông tin mỗi ngày.
Bài viết khá dài, hi vọng bạn có thể đọc hiểu và áp dụng ngay nhé.
Hẹn bạn ở bài viết tiếp theo.