Hướng dẫn Bảo mật website toàn diện từ A – Z

Internet ngày càng phát triển, mang lại nhiều lợi ích cho người dùng, nhưng cũng tiềm ẩn vô vàn rủi ro nguy hiểm. Song song với các công nghệ mới như AI, big data, blockchains, thì số lượng các vụ tấn công mạng cũng tăng với tốc độ chóng mặt, thủ thuật tấn công ngày càng tinh vi, khó đoán hơn. Đó là lí do mỗi người nên tự cập nhật cho mình những kiến thức mới nhất về an ninh mạng để tự bảo vệ mình khỏi các mối nguy hại. Trong bài viết này, CyStack sẽ hướng dẫn cho bạn các bước để bảo mật website của mình một cách toàn diện.

bảo vệ website toàn diện
Bảo vệ website toàn diện

A. Tại sao phải bảo mật website?

Giá trị của website

Mỗi website có một giá trị nhất định với chủ sở hữu, có thể là tinh thần hay vật chất. Đối với các doanh nghiệp, website có ý nghĩa đặc biệt quan trọng, nó là cầu nối giao tiếp giữa doanh nghiệp và khách hàng. Xem thêm: Giá trị của một website nằm ở đâu?

Đặc biệt, với các công ty công nghệ hay thương mại điện tử, website là một công cụ hữu ích giúp thu thập và lưu trữ thông tin khách hàng – mỏ vàng số trong thời đại 4.0 – giúp doanh nghiệp bứt phá vươn lên chinh phục thị trường.

Tuy nhiên, mặt trái của việc công nghệ phát triển là tội phạm mạng gia tăng, mà hầu hết những cuộc tấn công đều nhằm vào website của các doanh nghiệp để làm tê liệt hệ thống, đánh cắp dữ liệu khách hàng của doanh nghiệp.

Trước khi tìm hiểu Các bước bảo mật cho website, hãy cùng điểm qua tình hình an ninh mạng trên thế giới và tại Việt Nam trong năm 2018.

Tình hình an ninh mạng

Theo Synack, năm 2018 ghi nhận số lượng các vụ tấn công mạng có chủ đích trên toàn cầu đạt 220.000 vụ. Con số này được dự đoán sẽ tăng 50% vào 2019 và tiếp tục tăng theo cấp số nhân. Điều đó giải thích cho những vụ bê bối lộ dữ liệu lớn nhất lịch sử internet của các “ông lớn” như Yahoo!, Google+ và Facebook trong vài năm trở lại đây.

Bản đồ tấn công mạng theo thời gian thực - Bảo mật website với CyStack
Bản đồ tấn công mạng theo thời gian thực. Nguồn: CyStack Security

Tại Việt Nam, những lùm xùm xung quanh vụ bê bối lộ dữ liệu khách hàng của Thegioididong được cho là lí do chính khiến cổ phiếu của công ty sụt giảm tới hàng ngàn tỉ đồng vào giai đoạn cuối năm 2018. Bên cạnh đó, việc Hacker rao bán thông tin khách hàng của FPT Shop và hệ thống siêu thị Con Cưng trên một trang web đen cũng khiến nhiều chủ doanh nghiệp lo lắng.

Hacker tuyên bố có dữ liệu khách hàng của thegioididong
File dữ liệu khách hàng được cho là của Thegioididong. Nguồn: Baomoi

Trên thực tế, không chỉ những công ty lớn mới bị tin tặc “gõ cửa”. Chính những startup với lượng data dồi dào và hệ thống phòng thủ lỏng lẻo mới là miếng mồi béo bở dành cho hacker. Vì vậy, hãy bảo vệ trang web của mình khỏi những mối hiểm nguy với những phương pháp bảo mật sau đây.

B. Các bước bảo mật website

Bước 1: Bảo mật website với chứng chỉ SSL

Về cơ bản, SSL (Secure Socket Layer) là một lớp bảo mật giúp mã hóa những thông tin truyền tải từ người dùng qua trình duyệt (Chrome, Firefox, Edge) tới máy chủ web (web server) và ngược lại.

Bảo vệ website với chứng chỉ SSL
Lợi ích khi sử dụng chứng chỉ SSL.

Ngày nay, SSL đã trở thành một tiêu chuẩn an ninh trên toàn cầu, được tin dùng bởi hàng triệu trang web nhằm bảo vệ thông tin cá nhân & các giao dịch của người dùng. Nếu bạn là chủ của một website thương mại, việc sử dụng giao thức HTTPS là bắt buộc. (Xem thêm: so sánh HTTP và HTTPS)

Google đánh giá những trang web HTTP bảo mật kém
Google Chrome cảnh báo người dùng những trang web bảo mật kém. Nguồn: Kaspersky

Nếu bạn vẫn chưa thực hiện bảo mật cho website của mình với SSL: Xem hướng dẫn tại ĐÂY.

Bước 2: Sử dụng Tường lửa website

Tường lửa Website, hay WAF (Web Appication Firewall) là một “lớp” phòng thủ hữu hiệu, giúp máy chủ web tránh khỏi những hình thức tấn công phổ biến như cross-site scripting (XSS) hay SQL injection.

Bảo vệ website bằng Tường lửa
Ứng dụng của Tường lửa Website (WAF)

Nói một cách dễ hiểu, nếu mỗi website là một ngôi nhà, thì tường lửa là cổng chính. Dĩ nhiên bạn muốn nhiều khách vào nhà chơi, nhưng bạn không muốn một tên trộm trà trộn trong đám đông và “cạy két” lấy hết tiền của mình. Nhiệm vụ của “cánh cổng” WAF là không cho những tên trộm đó vào “ngôi nhà website” của bạn. Tìm hiểu thêm tại bài viết WAF là gì? Những điều cần biết về Tường lửa Website.

Bước 3: Tìm kiếm và khắc phục lỗ hổng bảo mật

Lỗ hổng bảo mật (vulnerability) của website là những điểm yếu của hệ thống website có thể bị kẻ xấu lợi dụng và khai thác, thực hiện những hành vi trái phép gây hại tới website.

Có rất nhiều loại lỗ hổng bảo mật khác nhau, ví dụ: SQL injection, cross-site scripting, zero-day, v.v. Mỗi loại đều có tính chất và độ nguy hiểm khác nhau, vì thế hậu quả gây ra cũng đa dạng. Nhẹ thì bị hacker “vẽ bậy” lên website, nặng thì làm tê liệt toàn hệ thống, đánh cắp dữ liệu khách hàng, thông tin thẻ tín dụng, dữ liệu kế toán, bí mật kinh doanh, hay bất cứ thông tin gì website lưu trữ.

Vì vậy, việc tìm kiếm các điểm yếu về bảo mật trên hệ thống và khắc phục chúng là điều tối cần thiết trong quá trình bảo vệ trang web của bạn. Các phương án bao gồm: Sử dụng công cụ quét tự động và Tìm lỗ hổng bảo mật thủ công. Mỗi phương án lại có ưu, nhược điểm riêng sẽ được trình bày chi tiết sau đây.

3.1. Sử dụng công cụ quét tự động

Việc sử dụng công cụ quét tự động có lợi thế về mặt thời gian, thủ tục. Rất dễ để tìm được một phần mềm quét lỗ hổng website ở trên mạng, nhưng không phải phần mềm nào cũng đáng tin cậy. Dưới đây là một số phần mềm được chuyên gia khuyên dùng:

Khi sử dụng các công cụ quét tự động, doanh nghiệp cần cân nhắc về giá thành, hiệu quả, chức năng, điểm mạnh – điểm yếu, tính phù hợp của sản phẩm. Tham khảo chi tiết tại bài viết Top 10 ứng dụng scan lỗ hổng website tốt nhất.

3.2. Tìm kiếm lỗ hổng bảo mật thủ công

Thông thường, việc tìm kiếm các điểm yếu bảo mật thủ công tốn kém hơn các phương pháp tự động. Tuy nhiên, nên lưu ý rằng, công cụ tự động dù có lợi thế tiết kiệm thời gian và chi phí, nhưng vẫn không thể thay thế phương pháp thủ công. Vì tin tặc luôn luôn phát triển, sáng tạo, và tìm ra những phương thức tấn công mới nguy hiểm hơn, mà các công cụ tự động chưa thể phát hiện ra.

Vì vậy, lời khuyên của chúng tôi là sử dụng kết hợp 2 phương thức: tự độngthủ công để đạt được hiệu quả bảo mật cao nhất, mà vẫn giữ mức chi phí hợp lí.

3.2.1. Sử dụng nguồn lực có sẵn

Nếu bạn có kiến thức về IT, bạn hoàn toàn có thể bổ sung kiến thức về kiểm thử bảo mật (pentest) để tự mình tìm ra các điểm yếu của website. Một số kho kiến thức và tài liệu về pentest bao gồm:

Tiếng Việt:

Tiếng Anh:

Hoặc nhận tài liệu miễn phí từ chúng tôi bằng cách để lại email:

3.2.2. Thuê ngoài

Nếu bạn là CTO hay CISO của một tập đoàn lớn, chắc hẳn bạn đã có đội ngũ bảo mật riêng của mình. Nhưng nếu bạn là chủ doanh nghiệp vừa và nhỏ? Thuê ngoài là giải pháp cân đối tuyệt vời. Bạn sẽ không phải tốn 1 lượng lớn chi phí lương cho nhân viên bảo mật (thường rất cao), mà vẫn đảm bảo website của mình hoạt động ổn định, an toàn.

Khi quyết định thuê ngoài, nên:

  • Chọn các đơn vị có uy tín, kinh nghiệm
  • Tìm hiểu rõ các điều khoản bảo mật, cũng như hợp đồng
  • Chọn phương án phù hợp với tình hình tài chính và giai đoạn phát triển của doanh nghiệp.
3.2.3. Sử dụng phương pháp Bảo Mật Cộng Đồng

Bảo Mật Cộng Đồng (Crowdsourced Security) là phương pháp tận dụng sức mạnh của hacker mũ trắng và các nhà nghiên cứu bảo mật tự do để bảo mật cho website. Về cơ bản, bạn sẽ thực hiện một chương trình Trao Thưởng Săn Lỗi (Bug Bounty): thưởng tiền mặt cho những ai tìm ra lỗ hổng trên website của mình.

Tìm hiểu chi tiết về Bảo Mật Cộng Đồng và Bug Bounty.

Phương pháp này được ứng dụng rộng rãi ở Mỹ & châu Âu vì tính thực tiễn của nó. Các doanh nghiệp sẽ không phải “đốt tiền” một cách vô tội vạ, mà họ sẽ chỉ phải tốn một khoản phí làm tiền thưởng cho hacker mũ trắng hoặc chuyên gia bảo mật từ xa. Những tập đoàn lớn đều áp dụng phương pháp này: Google, Facebook, HP, hay cả Bộ Quốc Phòng Mỹ cũng đã khởi chạy chương trình Bug Bounty để bảo vệ hệ thống mạng lưới an ninh.

Các đơn vị uy tín cung cấp nền tảng Bug Bounty ứng dụng Bảo Mật Cộng Đồng gồm có:

Tại Việt Nam, Vntrip là doanh nghiệp nổi bật thực hiện thành công chương trình Bug Bounty, qua đó khắc phục được rủi ro bị hack thông tin của 200,000 khách hàng, và giúp bảo vệ website an toàn, ổn định hơn. Tham khảo câu chuyện bảo mật của Vntrip.

Bước 4: Bảo mật web server và những thành phần khác

4.1. Tắt những tính năng “thừa”

Phải chấp nhận một sự thật rằng, website càng nhiều tính năng thì nguy cơ xuất hiện những điểm yếu cho tin tặc khai thác càng cao. Vì vậy, việc cần làm là tắt tất cả những tính năng không cần thiết, hoặc chưa cần thiết. Quản trị viên website cần hiểu rõ về công việc kinh doanh của mình, mục đích sử dụng của website, từ đó tạo ra một hệ thống đủ dùng, tối giản mà vẫn hiệu quả (streamline website).

4.2. Giới hạn IP đăng nhập

Nếu website của bạn có nhiều hơn 1 quản trị viên, việc giới hạn IP được phép đăng nhập vào hệ thống quản trị website là cần thiết. Thông thường, phần lớn công việc của một quản trị viên sẽ được thực hiện ngay tại công ty & trong giờ hành chính, vì thế nên cân nhắc giới hạn IP đăng nhập. Tuy nhiên, nếu công việc đòi hỏi đăng nhập từ xa, hãy đảm bảo mã hóa đăng nhập để tăng cường bảo mật.

4.3. Giới hạn & Phân quyền tài khoản

Nếu bạn có thói quen cấp đầy đủ quyền admin cho mọi quản trị viên thì có lẽ bạn nên suy nghĩ lại. Bởi đó là một trong những thói quen rất xấu khi quản trị website, có thể gây ra hậu quả khôn lường. Với tài khoản quản trị viên, mỗi nhiệm vụ khác nhau nên được phân quyền khác nhau. Ví dụ: người viết bài sẽ được cấp tài khoản Editor, chỉ có chức năng quản trị nội dung, bài viết. Việc này giúp tránh được nhiều rủi ro tai hại từ cả bên trong và bên ngoài. Và cũng đừng quên xóa tài khoản admin khi nhân sự nghỉ việc!

Với tài khoản khách, người dùng web: thông thường tài khoản khách chỉ cần tính năng cơ bản như gửi và nhận dữ liệu từ máy chủ. Điều này thay đổi tùy vào mục đích website của bạn, nhưng quy tắc bất di bất dịch là: không bao giờ trao “thừa” quyền hạn cho bất kì một tài khoản nào.

4.4. Sử dụng tài khoản có quyền giới hạn

Điều này nghe có vẻ nực cười, nhưng chính quản trị viên cấp cao nhất cũng nên sử dụng tài khoản giới hạn quyền. Là một quản trị viên website, ai cũng muốn tích hợp tất cả các quyền hạn có thể vào một tài khoản admin, vì nó tiện lợi! Tuy nhiên, đây sẽ là một rủi ro lớn nếu tài khoản duy nhất đó bị hack.

Lời khuyên của chúng tôi là sử dụng các tài khoản các nhau cho mục đích khác nhau. Ví dụ: 1 tài khoản cho việc backup dữ liệu, 1 tài khoản cho việc vận hành chung, 1 tài khoản thiết lập cấu hình server, v.v. Điều này có thể gây phần nào bất tiện, nhưng hiệu quả bảo mật cao hơn và rủi ro bảo mật được giảm thiểu.

4.5. Phân chia môi trường làm việc

Một yếu tố cực kì quan trọng không nên bỏ qua là luôn phân chia môi trường trường làm việc, bao gồm phát triển web, thử nghiệm web, debug web.

Đừng bao giờ thực hiện thử nghiêm/phát triển/debug ngay trên website đang hoạt động. Các hoạt động đó dễ dàng để lại “dấu chân” là các log files chứa các thông tin nhạy cảm về cấu trúc server. Đó quả thực là miếng mồi ngon cho tin tặc khai thác.

Bước 5: Thường xuyên sao lưu dữ liệu

Data backup, hay sao lưu dữ liệu, là một công đoạn tối quan trọng trong việc quản trị, bảo mật và phát triển website. Đây cũng là công đoạn hay bị bỏ qua nhất vì sự chủ quan của các webmaster. Về bản chất, sao lưu dữ liệu là hành động tạo một bản copy dữ liệu của website, để sử dụng bản copy đó khi website gặp vấn đề.

Hiện tại có 2 hướng sao lưu dữ liệu chính: offline và on-cloud. Với phương án sao lưu offline, các chủ web sẽ tải toàn bộ dữ liệu cần thiết của website về máy tính cá nhân hoặc USB, ổ cứng, v.v. Với cách này, bản copy có an toàn hay không nằm ở việc bạn bảo vệ ổ cứng máy tính như thế nào.

Phương án 2 là lưu trữ “trên mây” – sử dụng dịch vụ của bên thứ 3. Theo đó, toàn bộ dữu liệu cần thiết sẽ được tải lên không gian lưu trữ đám mây. Khi cần thiết, chủ web có thể truy xuất dữ liệu tùy ý, từ bất kì đâu, chỉ cần có internet. Do việc bảo mật hoàn toàn phụ thuộc vào bên cung cấp dịch vụ, chúng tôi khuyên chọn những nhà cung cấp uy tín, điền hình là AWS của Amazon.

Bước 6: Luôn cập nhật các bản vá bảo mật cho Website

Những bản cập nhật có lúc gây cảm giác phiền toái, nhưng đôi khi chúng là “phao cứu sinh” giúp bạn tránh khỏi những cuộc tấn công mạng nguy hiểm. Nếu bạn sử dụng Joomla hay WordPress, hãy luôn đảm bảo cập nhật các phiên bản mới nhất cho website của mình để đề phòng rủi ro. Xem thêm: Lỗ hổng bảo mật WordPress phiên bản 4.9.6

Tham khảo thêm Bảo mật WordPress toàn tập để trang bị những kiến thức cần thiết để bảo vệ website wordpress.

C. Hãy hành động

Bài viết trên đã giúp bạn đọc trang bị thêm kiến thức về các phương pháp nâng cao bảo mật website của mình. Tuy nhiên, nếu bạn vẫn phân vân chưa biết bắt đầu từ đâu, chọn phương pháp nào, thì hãy kết nối với chúng tôi để được tư vấn MIỄN PHÍ giải pháp phù hợp nhất cho doanh nghiệp của bạn.

Việc trang bị đầy đủ kiến thức sẽ giúp bảo vệ doanh nghiệp khỏi những rủi ro nguy hiểm. Hãy đăng ký email để chúng tôi có thể chia sẻ các tài liệu hay về an ninh mạng, kiến thức về bảo mật doanh nghiệp tới bạn nhé.

Nhận những bài viết
chất lượng do chúng tôi chọn lọc