Khi mọi người hỏi tôi làm thế nào để bảo mật một trang web với độ chắc chắn 100%, tôi nói với họ rằng điều đó thật đơn giản: chỉ cần giữ nó ở chế độ ngoại tuyến.
Khi họ ngừng la mắng tôi, họ thường sẽ chuyển cuộc trò chuyện sang các nhà xây dựng trang web và hệ thống quản lý nội dung (CMS) để tìm ra tùy chọn nào có bảo mật tốt nhất.
Những gì họ không hiểu là, không quan trọng bạn sử dụng trình tạo trang web cho blog của mình hay CMS để cung cấp năng lượng cho doanh nghiệp của bạn; sẽ luôn có một yếu tố rủi ro.
Vấn đề thực sự với điều đó là, trách nhiệm quản lý rủi ro đó là của bạn. Nếu điều đó không đủ tệ, mọi thứ có thể trở nên tồi tệ nếu bạn cố gắng tự làm tất cả. Thực sự nhanh chóng.
Đó là lý do tại sao, trong bài viết này, tôi đang chia sẻ các mẹo ngăn kéo hàng đầu của mình để giữ an toàn cho một trang web. Đừng lo lắng; đây không phải là loại mẹo bạn cần có bằng tiến sĩ để thực hiện.
Chúng là những chiến lược đơn giản, có giá trị mà bạn có thể thực hiện trong suốt một buổi chiều. Tốt hơn nữa, họ làm việc. Bất kể bạn thực hiện cách tiếp cận nào, mỗi tùy chọn đã giành được sọc của nó trong các trận chiến trong thế giới thực chống lại tin tặc và bot.
Hãy bắt đầu nào!
Mục lục
- 1 Cách bảo mật trang web: Các chiến lược giảm thiểu rủi ro hàng đầu
- 1.1 1. Cài đặt chứng chỉ SSL và sử dụng HTTPS ở mọi nơi
- 1.2 2. Bảo mật trang đăng nhập và quy trình của bạn
- 1.3 3. Sao lưu trang web của bạn thường xuyên
- 1.4 4. Luôn cập nhật tất cả phần mềm
- 1.5 5. Sử dụng tường lửa ứng dụng web (WAF) để bảo vệ chủ động
- 1.6 6. Hãy là một quản trị viên trang web hiệu quả
- 1.7 7. Luôn cảnh giác
- 2 Bảo mật trang web của bạn ngay hôm nay!
Cách bảo mật trang web: Các chiến lược giảm thiểu rủi ro hàng đầu
Không có nhiều đảm bảo khi nói đến việc bảo mật một trang web. Không có cách khắc phục đơn giản nào để giữ cho bạn an toàn trước tin tặc mãi mãi, cách tốt nhất của bạn là thực hiện các chiến lược này để giảm lỗ hổng trong khi tăng cơ hội phục hồi nhanh chóng.
- Cài đặt chứng chỉ SSL
- Triển khai bảo mật đăng nhập đa cấp
- Duy trì lịch trình sao lưu thường xuyên
- Luôn cập nhật tất cả phần mềm
- Sử dụng tường lửa ứng dụng web (WAF)
- Hãy là người quản trị trang web hiệu quả
- Luôn cảnh giác
1. Cài đặt chứng chỉ SSL và sử dụng HTTPS ở mọi nơi
Nếu bạn đang trong quá trình xây dựng trang web đầu tiên của bạn, bạn có thể nghĩ rằng mã hóa dữ liệu là 007 thứ mà chỉ các doanh nghiệp lớn hoặc nhà báo điều tra mới cần.
Tuy nhiên, nếu bạn có kế hoạch nhận lưu lượng truy cập từ Google, bạn cũng sẽ cần chứng chỉ SSL để có được thứ hạng tốt. Heck, bạn thậm chí sẽ cần một để thu thập email cho một bản tin.
Nếu tất cả điều này có vẻ hơi nhiều, hãy nhớ rằng có những lý do chính đáng cho tất cả các áo choàng và dao găm. Trước đây, bất kỳ thông tin nhạy cảm nào mà người dùng của bạn gửi đến máy chủ của bạn đều ở dạng văn bản thuần túy. Nếu ai đó sà vào thông tin đó, họ sẽ có thể đọc mọi thứ. Điều đó có nghĩa là mật khẩu, chi tiết ngân hàng, địa chỉ email, mọi vật.
Chứng chỉ SSL bao bọc tất cả thông tin nhạy cảm đó trong một lớp mã hóa để khiến nó không thể đọc được. Sử dụng chứng chỉ SSL là điểm khởi đầu để có một trang web an toàn. Nếu không, khách truy cập của bạn sẽ thấy cảnh báo này:
Đó là lý do tại sao tất cả các công cụ xây dựng trang web lớn, như Wix và Squarespace, bật HTTPS theo mặc định cho mọi trang web trên mạng của họ.
Đối với phần còn lại của chúng ta, việc nhận được chứng chỉ SSL rất dễ dàng.
Hầu hết các máy chủ web ngày nay đều cung cấp các công cụ đơn giản để cho phép bạn cài đặt chứng chỉ SSL chỉ với một vài cú nhấp chuột. Nếu vậy, hãy hỏi họ cách thiết lập nó. Tôi chắc chắn rằng nó đơn giản. Bluehost, ví dụ, cung cấp chứng chỉ Let’s Encrypt có sẵn ngay trong bảng điều khiển.
Nếu máy chủ của bạn không cung cấp một công cụ đơn giản vì lý do nào đó, bạn cũng có thể tạo chứng chỉ xác thực miền miễn phí từ Hãy mã hóa bằng cách làm theo hướng dẫn của họ. Khi bạn đã hoàn tất, hãy đi tới Bảng điều khiển cPanel hoặc trang tổng quan tùy chỉnh của máy chủ lưu trữ của bạn để cài đặt nó.
Nếu bạn đang sử dụng WordPress, bạn có thể sử dụng plugin SSL thực sự đơn giản để định cấu hình đúng trang web của bạn để sử dụng chứng chỉ SSL sau khi bạn đã cài đặt nó:
2. Bảo mật trang đăng nhập và quy trình của bạn
Khi nói đến bảo mật đăng nhập, có rất nhiều cơ sở để trang trải. Nhưng bạn có thể đi một chặng đường dài chỉ với hai cách triển khai đơn giản: mật khẩu mạnh và xác thực đa yếu tố.
Đó là bởi vì bảo mật đăng nhập mạnh mẽ được xây dựng trên ít nhất, hai lớp. Đối với chúng tôi, nó sẽ là một cái gì đó bạn biết (mật khẩu mạnh) và một cái gì đó bạn có (mã gửi đến email, điện thoại hoặc cuộc gọi).
Mật khẩu mạnh thật tuyệt vời; hiệu quả là không thểe để vũ phu và gần như không thể đoán được.
Nhưng trước tiên, hãy tự giúp mình và nắm lấy một trình quản lý mật khẩu. Trong ba năm qua, tôi đã sử dụng 1 Mật khẩu, và nó đã thay đổi cuộc chơi. Tại sao? Hai lý do:
- Trình tạo mật khẩu và cụm mật khẩu giúp bạn dễ dàng tạo (và thường xuyên thay đổi) Mật khẩu.
- Với cơ sở dữ liệu mật khẩu, tôi đã có thể dừng lại với tất cả “nhớ mật khẩu này” và kinh doanh đăng nhập tự động.
Trong khi tất cả những điều trên là tuyệt vời để chăm sóc mật khẩu của bạn, còn người dùng của bạn thì sao? Tôi khuyên bạn nên sử dụng Trình quản lý chính sách mật khẩu cho WordPress để tạo chính sách mật khẩu mạnh có thể thực thi trên các trang web WordPress.
Sau khi bạn có mật khẩu an toàn, hãy thiết lập xác thực đa yếu tố Đăng nhập. Tất cả điều này có nghĩa là ai đó sẽ cần nhập mã, thường được gửi đến một thiết bị, bất cứ khi nào họ muốn đăng nhập vào trang web của bạn.
Cả Google Authenticator và Authy đều dễ dàng thiết lập trên hầu hết các trình tạo trang web. Ví dụ: với Squarespace, bạn có thể tìm thấy tùy chọn trong Cài đặt.
Đối với WordPress, tôi có thể giới thiệu Wordfence (bằng tiếng Anh), nhưng bạn cũng có thể sử dụng Google Authenticator của miniOrange plugin (bằng tiếng Anh).
Chúng tôi cũng có một hướng dẫn trên xác thực hai yếu tố cho WordPress.
Nếu bạn xây dựng một cái gì đó từ đầu, bạn có thể sử dụng Nền tảng nhận dạng của Google để tích hợp Google Authenticator với trang web của bạn.
3. Sao lưu trang web của bạn thường xuyên
Học cách bảo mật một trang web có thể đơn giản như tạo một lịch trình sao lưu.
Bạn có thể nghĩ rằng không có tin tặc nào từng sợ hãi bởi một bản sao lưu. Và, bạn đã đúng; sao lưu là một biện pháp phòng ngừa. Tuy nhiên, chúng cũng cung cấp cho bạn một nơi an toàn để phục hồi sau khủng hoảng. Mỗi công cụ xây dựng trang web phổ biến có một cách tiếp cận khác nhau:
- Wix cung cấp sao lưu tự động hàng tuần của trang web của bạn.
- Shopify phổ biến Tua lại ứng dụng là một trong số ít các ứng dụng sao lưu.
- Squarespace có các tùy chọn sao lưu hạn chế, từ tạo một trang web trùng lặp đến xuất tệp XML.
- Người dùng WordPress có thể tận dụng bất kỳ số lượng plugin nào được thiết kế để tạo bản sao lưu an toàn.
Đối với người dùng WordPress, tôi đề xuất (và sử dụng) UpdraftPlus. Với phiên bản miễn phí, bạn có thể sao lưu trực tiếp lên đám mây, bao gồm Google Drive, Dropbox, Amazon S3, v.v. mà không bị giới hạn. UpdraftPlus thậm chí có thể giúp bạn khôi phục trang web của mình trong một cuộc khủng hoảng.
4. Luôn cập nhật tất cả phần mềm
Tôi sẽ thành thật mà nói; Tôi thích các công cụ như WordPress vì các chủ đề và plugin giúp mọi thứ trở nên dễ dàng. Bạn có muốn giới thiệu công thức nấu ăn trên trang web của bạn? Có lẽ có vài trăm plugin được xây dựng đặc biệt cho mục đích đó. Nó không chỉ là WordPress; trong Wix và Shopify, ứng dụng giúp bạn đạt được rất nhiều mà không cần gõ một dòng mã nào. Nghe có vẻ tuyệt vời, phải không? Kinda.
Chúng cũng gây khó khăn cho việc bảo mật mã của bạn. Chỉ cần một sản phẩm của bên thứ ba được mã hóa kém có thể làm tăng bề mặt tấn công của trang web của bạn. Và, nếu bạn không cập nhật thường xuyên, bạn đang tạo ra rất nhiều lỗ hổng.
Tuy nhiên, bạn có thể giảm các lỗ hổng nếu bạn:
- Xóa các chương trình bạn không sử dụng.
- Liên tục cập nhật các chương trình bạn sử dụng.
- Chỉ sử dụng các chương trình, plugin và chủ đề từ các nhà phát triển đã chứng minh rằng họ có thể duy trì sản phẩm của mình.
- Nghiên cứu bất kỳ mạng nào bạn định tích hợp.
Nếu bạn đang sử dụng WordPress, bạn sẽ nhận được thông báo trong bảng điều khiển khi có bản cập nhật cho chính phần mềm và bất kỳ chủ đề và plugin nào bạn sử dụng. Bạn cũng có thể tận dụng lợi thế của tính năng tự động cập nhật, bao gồm tất cả những điều trên.
Để có tùy chọn an toàn nhất, hãy xem gói lưu trữ được quản lý. Bạn không chỉ được hưởng bảo mật cứng mà còn có người xử lý các bản cập nhật cho toàn bộ trang web WordPress của mình. Bạn có thể tìm hiểu thêm về dịch vụ lưu trữ WordPress được quản lý bất cứ lúc nào bạn sẵn sàng cho bước nhảy vọt.
5. Sử dụng tường lửa ứng dụng web (WAF) để bảo vệ chủ động
Nếu bạn muốn bảo mật một trang web với sức mạnh của Arnold Schwarzenegger, hãy tải tường lửa ứng dụng web (WAF).
Nếu bạn đã sử dụng Internet trong 25 năm qua, thì bạn đã quen thuộc với tường lửa. Tường lửa ứng dụng web tương tự như tường lửa trên máy tính của bạn vì nó sử dụng các quy tắc được xác định trước để xác định và chặn các cuộc tấn công. Điều này làm cho chúng đặc biệt tốt để loại bỏ các cuộc tấn công phổ biến như cross-site-scripting (XSS), giả mạo trang web chéo, và Chèn SQL, trong số những người khác.
Ngay cả với chân trời mối đe dọa luôn thay đổi, WAF là một công cụ thiết yếu. Một điều bạn sẽ nhận thấy, hầu hết các WAF hiện đại có thể sửa đổi và triển khai các quy tắc nhanh chóng khi các lỗ hổng mới được phát hiện.
Là tuyến phòng thủ đầu tiên, WAF có ba dạng chính:
- Dựa trên mạng được hỗ trợ bởi tường lửa phần cứng – Dễ dàng tường lửa mạnh nhất mà bạn nhận được từ giới thượng lưu máy chủ như Kinsta và các nhà xây dựng trang web như Hình vuông.
- Dựa trên máy chủ lưu trữ – Bao gồm bất kỳ WAF nào được tích hợp vào chính ứng dụng thông qua plugin hoặc ứng dụng.
- Dựa trên đám mây – tùy chọn bảo mật phổ biến và dễ tích hợp nhất.
Đối với người dùng WordPress, Wordfence, một lần nữa, có lẽ là giải pháp tốt nhất.
6. Hãy là một quản trị viên trang web hiệu quả
Là quản trị viên của một trang web, có rất nhiều điều khó theo dõi, nhưng việc cập nhật chúng sẽ có tác động đáng kể đến mức độ an toàn của một trang web.
Chúng ta hãy có một cái nhìn nhanh qua tất cả chúng:
- Vai trò của người dùng: Theo dõi vai trò người dùng vì vậy bạn biết ai có quyền truy cập vào dữ liệu, ai có thể thực hiện thay đổi và họ có những đặc quyền nào khác. Chỉ cung cấp cho người dùng những vai trò họ cần để hoàn thành nhiệm vụ của mình. Bất cứ điều gì hơn thế nữa là một lỗ hổng.
- Giám sát những gì người dùng đang làm và dọn dẹp những người dùng không hoạt động: Nhật ký hoạt động WP có thể giúp bạn theo dõi hành vi của người dùng của bạn để đề phòng hoạt động độc hại.
- Kiểm duyệt tất cả nhận xét theo cách thủ công bằng cách xóa phê duyệt tự động.
- Từ chối bất kỳ nhận xét nào có chứa liên kết hoặc mã. Mặc dù không còn phổ biến nữa, nhưng mã độc trong các phần bình luận đã từng là một thứ.
- Hạn chế các loại tệp có thể được tải lên cho dù trong nhận xét hoặc hình thức.
- Triển khai quét và xác minh bất kỳ video tải lên nào. Sucuri là lựa chọn tốt nhất cho việc này.
7. Luôn cảnh giác
Nếu bạn đã triển khai các giải pháp trên, bạn đã giảm đáng kể bề mặt tấn công mà tin tặc có thể sử dụng để chiếm lấy trang web của bạn.
Tuy nhiên, nếu bạn định giữ nó theo cách đó, bạn cần thực hiện quét thường xuyên trang web của mình và bất kỳ nội dung bên ngoài nào bạn xuất bản trên đó, chẳng hạn như quảng cáo.
Ví dụ: hãy bảo vệ chống lại hành vi quảng cáo độc hại bằng cách làm việc với các mạng quảng cáo đáng tin cậy và quét và thử nghiệm tất cả các quảng cáo trước khi chúng hiển thị trên trang web của bạn.
Một trong những công ty dẫn đầu thị trường, Sucuri SiteKiểm tra, cũng miễn phí và sẽ gắn cờ mọi vi-rút, phần mềm độc hại và mã độc hại đang ảnh hưởng đến giao diện người dùng của trang web của bạn.
Đối với các trang web quan trọng, sẽ là tốt nhất nếu bạn cũng tạo một cuộc kiểm tra bảo mật thường xuyên kết hợp cách tiếp cận hai lớp:
Dùng kiểm tra thâm nhập các công cụ như Pentest Công cụ quét trang web để tiết lộ kích thước bề mặt tấn công của bạn. Với hơn 25 công cụ quét khác nhau, bạn sẽ phát hiện ra các vấn đề với mạng của mình, các trang nhạy cảm được Google lập chỉ mục và thậm chí cả sức mạnh của kết nối SSL của bạn.
Diễn đánh giá lỗ hổng bảo mật được kiểm tra chéo vào danh sách kiểm tra bao gồm các điểm yếu bảo mật phổ biến:
- Thường xuyên kiểm tra các plugin, chủ đề không hoạt động hoặc các sản phẩm của bên thứ ba khác.
- Các công cụ xác nhận được cập nhật với bản cập nhật gần đây.
- Lọc người dùng theo hoạt động gần đây và xem xét xóa người dùng không hoạt động.
- Xây dựng danh sách người dùng có quyền truy cập đặc biệt như truy cập FTP và truy cập SSH, đồng thời xác định xem họ có cần không và trong bao lâu.
Những chiến thuật này có thể là quá mức cần thiết cho một blog sở thích đơn giản, nhưng chúng có thể giúp bạn ngăn chặn các vấn đề trên các trang web quan trọng.
Bảo mật trang web của bạn ngay hôm nay!
Nếu bạn đang chạy một trang web, bạn không chỉ chịu trách nhiệm về bảo mật dữ liệu của mình mà còn chịu trách nhiệm về dữ liệu của khách truy cập, khách hàng và đồng nghiệp của bạn. Nhưng, không có áp lực.
Trong quá khứ, có vẻ như quá sức để cung cấp một trang web an toàn. Nhưng hôm nay? Bạn không cần một ngân sách lớn hoặc nhiều năm kinh nghiệm viết mã để bảo mật một trang web và giữ an toàn cho người dùng của bạn.
Trên thực tế, với phương pháp giảm thiểu rủi ro bảy bước của chúng tôi, bạn đã biết cách bảo mật một trang web hiệu quả:
- Cài đặt chứng chỉ SSL
- Triển khai bảo mật đăng nhập đa cấp
- Duy trì lịch trình sao lưu thường xuyên
- Luôn cập nhật tất cả phần mềm
- Sử dụng tường lửa ứng dụng web (WAF)
- Hãy là người quản trị trang web hiệu quả
- Luôn cảnh giác
Bạn vẫn còn bất kỳ câu hỏi nào về cách bảo mật một trang web? Hãy cho chúng tôi biết trong các ý kiến!