Bảo mật website

Xin chào tất cả mọi người!

Mình là Long.

Bên cạnh những chủ đề như du lịch, ẩm thực, âm nhạc mà mình đã trình bày trong những bài viết Staff Blog trước đây thì hôm nay mình sẽ trình bày về một chủ đề rất quan trọng trong công việc phát triển ứng dụng, website. Đó là chủ đề: “Làm thế nào để bảo mật website được tốt”.

Bảo mật thông tin, dữ liệu là điều rất quan trọng với tất cả mọi người trong thời kỳ công nghệ thông tin phát triển như hiện nay. Từ người dùng cá nhân đến các công ty, các tập đoàn, các tổ chức,... đều sử dụng các thiết bị máy tính. Nếu các hệ thống máy tính gặp phải sự cố thì sẽ ảnh hưởng lớn đến hoạt động của mọi người. Như những ngày vừa qua cả thế giới đều biết đến một loại mã độc nguy hiểm lây lan rất nhanh, những máy tính bị lây nhiễm sẽ bị mã hóa hết dữ liệu nhằm tống tiền người dùng. Đó là loại mã độc WannaCry. Đây chỉ là một trường hợp tiêu biểu trong số rất nhiều trường hợp khác, mong mọi người hiểu rõ hơn về tầm quan trọng của việc bảo mật. Vậy phải làm thế nào để bảo mật được tốt nhất? Thật sự đây là câu hỏi không phải đơn giản. Có rất nhiều việc phải làm, mình xin liệt kê những nguyên tắc cơ bản nhất để bảo mật được tốt.

1. Sử dụng mật khẩu mạnh

Mật khẩu an toàn phải được tích hợp giữa chữ, số và các ký tự đặc biệt nhưng phải đảm bảo dễ nhớ để không phải ghi chú lại mật khẩu này vào sổ hay máy tính, không sử dụng cùng một mật khẩu cho nhiều tài khoản khác nhau như email, tài khoản ngân hàng,..

2. Tạo các bản sao lưu

Một bản sao lưu tất cả các nội dung của máy chủ không bị "nhiễm độc" chắc chắn sẽ giúp người dùng tiết kiệm rất nhiều thời gian và công sức khi khôi phục. Một bản sao gần nhất sẽ rất hữu ích trong việc giải quyết các vấn đề phát sinh cũng như trong trường hợp máy chủ hoặc trang web bị nhiễm độc.

3. Tăng cường mức độ bảo mật của máy chủ

Hoạt động để tăng cường bảo mật máy chủ gồm những phần sau:

 - Loại bỏ tất cả các phần mềm không sử dụng

 - Vô hiệu hóa tất cả các dịch vụ và module không cần thiết

 - Thiết lập chính sách phù hợp cho người dùng và các nhóm

 - Thiết lập quyền truy cập/hạn chế truy cập vào các tập tin và thư mục nhất định. Phân quyền account khi truy cập cơ sở dữ liệu.

 - Vô hiệu hóa việc duyệt thư mục trực tiếp

 - Thu thập các tập tin ghi nhận hoạt động, thường xuyên kiểm tra các hoạt động đáng ngờ

- Sử dụng mã hóa và các giao thức an toàn. Các file nhạy cảm chứa các thông tin kết nối cơ sở dữ liệu như config cần được bảo vệ nghiêm mật. Các thông tin như password trong cơ sở dữ liệu cũng nên được mã hóa.

4. Sử dụng host chất lượng và mua thêm các gói bảo mật

Thông thường các gói host chất lượng, giá cao cũng giúp bảo mật và ngăn chặn phá hoại web rất tốt. Nếu site bạn có lượng truy cập đông, kiếm được nhiều tiền từ nó. Đừng tiếc tiền để mua các gói host chất lượng hoặc mua hẳn VPS. Ngoài ra các dịch vụ cung cấp host còn bán thêm các dịch vụ để bảo mật website cho bạn.

5. Thường xuyên quét mã độc trên website

Dù bạn không cài plugin hay theme trong 1 thời gian, nhưng cũng cần thường xuyên quét mã độc trên website của bạn. Có thể website của bạn đã bảo mật tốt nhưng bạn đã chắc gì website hàng xóm của bạn đã tốt, do dùng host share cùng ip (người ta truy cập vào website hàng xóm rồi leo rào qua website bạn).

6. Liên tục cập nhật

Để nâng cao mức độ bảo mật, người dùng cần phải cập nhật website của mình thường xuyên, đặc biệt theo dõi thông tin phiên bản mới nếu đang dùng các phần mềm web nguồn mở (CMS, portal, forum...). Luôn luôn cập nhật hệ điều hành và các bản vá lỗ hổng.

Rất mong mọi người hãy quan tâm hơn đến việc bảo mật thông tin. Xin tạm biệt và hẹn gặp lại mọi người trong những bài viết Staff Blog tiếp theo. Cảm ơn tất cả mọi người đã dành thời gian đọc bài viết.

 - Công nghệ