Những cách phổ biến nhất khiến trang web bị người gửi nội dung không liên quan tấn công

Để bảo vệ trang web của bạn khỏi các cuộc tấn công trong tương lai, bạn cần hiểu được lý do trang web của mình bị xâm phạm. Tài liệu này trình bày một số lỗ hổng bảo mật có thể khiến trang web của bạn bị xâm phạm.

Video sau đây trình bày các loại hành vi xâm nhập và cách tin tặc kiểm soát trang web của bạn.

Mật khẩu bị xâm phạm

Kẻ tấn công có thể lấy mật khẩu của bạn bằng cách đoán nhiều mật khẩu cho đến khi đoán đúng. Các cuộc tấn công đoán mật khẩu sử dụng nhiều phương thức, chẳng hạn như thử các mật khẩu phổ biến hoặc quét các tổ hợp chữ cái và số ngẫu nhiên. Để ngăn chặn điều này, hãy tạo một mật khẩu mạnh và khó đoán. Bạn có thể xem các mẹo tạo mật khẩu mạnh trong bài viết trên trung tâm trợ giúp của Google.

Hãy nhớ hai điểm sau.

  1. Tránh sử dụng lại mật khẩu trên các dịch vụ. Sau khi xác định được một tổ hợp tên người dùng và mật khẩu hoạt động, kẻ tấn công sẽ thử thông tin đăng nhập đó trên càng nhiều dịch vụ càng tốt. Hãy dùng mật khẩu riêng biệt để ngăn các tài khoản khác bị xâm phạm.
  2. Sử dụng tính năng xác thực hai yếu tố (2FA), chẳng hạn như tính năng Xác minh 2 bước của Google. Tính năng 2FA sẽ thêm một lớp thông tin đăng nhập thứ hai (thông qua mã trong tin nhắn văn bản hoặc mã PIN được tạo động) để ngăn kẻ tấn công truy cập vào tài khoản của bạn. Một số nhà cung cấp CMS có hướng dẫn về cách định cấu hình tính năng 2FA:

Bỏ lỡ bản cập nhật bảo mật

Các phiên bản phần mềm cũ hơn có thể có các lỗ hổng bảo mật có rủi ro cao, cho phép kẻ tấn công xâm phạm toàn bộ trang web. Kẻ tấn công chủ động tìm kiếm phần mềm cũ có lỗ hổng. Việc bỏ qua các lỗ hổng sẽ làm tăng nguy cơ bị tấn công.

Ví dụ:

  • Phần mềm máy chủ web (nếu bạn tự lưu trữ máy chủ của mình).
  • Hệ thống quản lý nội dung (CMS). Ví dụ: các bản phát hành bảo mật của Wordpress, DrupalJoomla!.
  • Tất cả các trình bổ trợ và tiện ích bổ sung mà bạn sử dụng trên trang web của mình.

Giao diện và trình bổ trợ không an toàn

Trình bổ trợ và giao diện CMS bổ sung các tính năng có giá trị. Tuy nhiên, các giao diện và trình bổ trợ lỗi thời hoặc chưa được vá là nguồn gốc chính của các lỗ hổng. Hãy luôn cập nhật giao diện và trình bổ trợ. Xoá các giao diện hoặc trình bổ trợ không còn được duy trì nữa.

Hãy cẩn thận với các trình bổ trợ hoặc giao diện miễn phí từ các trang web không đáng tin cậy. Đây là một chiến thuật phổ biến của kẻ tấn công để thêm mã độc vào các phiên bản miễn phí của trình bổ trợ hoặc giao diện trả phí. Khi xoá một trình bổ trợ, hãy nhớ xoá tất cả các tệp của trình bổ trợ đó khỏi máy chủ của bạn thay vì chỉ tắt trình bổ trợ đó.

Tấn công phi kỹ thuật

Tấn công phi kỹ thuật khai thác bản chất con người để vượt qua hệ thống bảo mật. Các cuộc tấn công này đánh lừa người dùng cung cấp thông tin bí mật, chẳng hạn như mật khẩu. Một hình thức tấn công phi kỹ thuật phổ biến là lừa đảo. Trong một cuộc tấn công lừa đảo, kẻ tấn công sẽ gửi một email giả mạo một tổ chức hợp pháp để yêu cầu thông tin bí mật.

Đừng bao giờ chia sẻ thông tin nhạy cảm (ví dụ: mật khẩu, số thẻ tín dụng, thông tin ngân hàng hoặc thậm chí là ngày sinh của bạn) trừ phi bạn chắc chắn về danh tính của người yêu cầu. Nếu có nhiều người quản lý trang web của bạn, hãy cung cấp khoá đào tạo để nâng cao nhận thức về tấn công phi kỹ thuật. Để biết các mẹo cơ bản về cách bảo vệ khỏi hành vi lừa đảo, hãy tham khảo Trung tâm trợ giúp Gmail.

Lỗ hổng chính sách bảo mật

Nếu bạn là quản trị viên hệ thống hoặc tự lưu trữ trang web của mình, thì các chính sách bảo mật kém có thể cho phép kẻ tấn công xâm phạm trang web của bạn. Ví dụ:

  • Cho phép người dùng tạo mật khẩu yếu.
  • Cấp quyền quản trị cho những người dùng không cần quyền này.
  • Không bật giao thức HTTPS và cho phép người dùng đăng nhập bằng giao thức HTTP.
  • Cho phép tải tệp lên từ những người dùng chưa xác thực mà không kiểm tra loại tệp.

Sau đây là một số mẹo giúp bảo vệ trang web của bạn:

  • Định cấu hình trang web của bạn bằng các chế độ kiểm soát bảo mật cao bằng cách tắt các dịch vụ không cần thiết.
  • Kiểm thử các chế độ kiểm soát quyền truy cập và đặc quyền của người dùng.
  • Sử dụng tính năng mã hoá cho các trang xử lý thông tin nhạy cảm, chẳng hạn như trang đăng nhập.
  • Thường xuyên kiểm tra nhật ký để phát hiện hoạt động đáng ngờ.

Rò rỉ dữ liệu

Rò rỉ dữ liệu xảy ra khi dữ liệu bí mật được tải lên và định cấu hình sai để công khai. Ví dụ: thông báo lỗi ứng dụng web có thể làm rò rỉ thông tin cấu hình. Bằng cách sử dụng một phương thức được gọi là "dorking", các tác nhân độc hại có thể khai thác chức năng của công cụ tìm kiếm để tìm dữ liệu này.

Đảm bảo trang web của bạn không tiết lộ thông tin nhạy cảm bằng cách định kỳ kiểm tra và hạn chế dữ liệu bí mật. Nếu bạn phát hiện thấy thông tin nhạy cảm trên trang web của mình cần được xoá khẩn cấp khỏi Google Tìm kiếm, hãy sử dụng công cụ xoá URL.