Việc hiểu cách trang web của bạn bị xâm phạm là một phần quan trọng trong việc bảo vệ trang web khỏi các cuộc tấn công. Trang này trình bày một số lỗ hổng bảo mật có thể khiến trang web của bạn bị xâm phạm.
Video sau đây trình bày các loại hình tấn công và cách tin tặc có thể kiểm soát trang web của bạn.
Mật khẩu bị xâm phạm
Kẻ tấn công có thể sử dụng các kỹ thuật đoán mật khẩu bằng cách thử các mật khẩu khác nhau cho đến khi đoán đúng. Các cuộc tấn công đoán mật khẩu có thể được thực hiện thông qua các phương pháp khác nhau, chẳng hạn như thử các mật khẩu phổ biến hoặc quét qua các tổ hợp chữ cái và số ngẫu nhiên cho đến khi tìm thấy mật khẩu. Để ngăn chặn điều này, hãy tạo một mật khẩu mạnh và khó đoán. Bạn có thể tìm các mẹo tạo mật khẩu mạnh trong bài viết trên trung tâm trợ giúp của Google.
Có hai điểm quan trọng cần nhớ. Trước tiên, điều quan trọng là tránh sử dụng lại mật khẩu trên các dịch vụ. Khi kẻ tấn công có thể xác định được tổ hợp tên người dùng và mật khẩu đang hoạt động, chúng sẽ cố gắng sử dụng tổ hợp tên người dùng và mật khẩu đó trên nhiều dịch vụ nhất có thể. Do đó, việc sử dụng mật khẩu khác nhau trên các dịch vụ khác nhau có thể giúp các tài khoản khác trên các dịch vụ khác không bị xâm phạm.
Thứ hai, hãy tận dụng tính năng xác thực hai yếu tố (2FA) như Xác minh 2 bước của Google nếu có. Tính năng 2FA cho phép một lớp thông tin đăng nhập thứ hai, thường là thông qua mã tin nhắn văn bản hoặc mã PIN được tạo động khác, giúp kẻ tấn công giảm khả năng truy cập vào tài khoản của bạn chỉ bằng mật khẩu bị đánh cắp. Một số nhà cung cấp CMS có hướng dẫn về cách định cấu hình 2FA: xem tài liệu về Joomla!, WordPress hay Drupal.
Thiếu bản cập nhật bảo mật
Các phiên bản phần mềm cũ hơn có thể bị ảnh hưởng bởi các lỗ hổng bảo mật rủi ro cao. Các lỗ hổng bảo mật này cho phép kẻ tấn công xâm phạm toàn bộ trang web. Kẻ tấn công chủ động tìm kiếm phần mềm cũ có lỗ hổng. Việc bỏ qua một lỗ hổng trên trang web sẽ làm tăng nguy cơ trang web của bạn bị tấn công.
Một số ví dụ về phần mềm bạn cần cập nhật bao gồm:
- Phần mềm máy chủ web, nếu bạn chạy máy chủ của riêng mình.
- Hệ thống quản lý nội dung (CMS). Ví dụ: bản phát hành bảo mật từ Wordpress, Drupal và Joomla!.
- Tất cả trình bổ trợ và tiện ích mà bạn sử dụng trên trang web của mình.
Chủ đề và trình bổ trợ không an toàn
Trình bổ trợ và giao diện trên một CMS bổ sung các tính năng nâng cao, có giá trị. Tuy nhiên, các giao diện và trình bổ trợ đã lỗi thời hoặc chưa được sửa lỗi là một nguồn chính gây ra lỗ hổng bảo mật trên các trang web. Nếu bạn sử dụng giao diện hoặc trình bổ trợ trên trang web của mình, hãy nhớ cập nhật chúng. Xoá các giao diện hoặc trình bổ trợ không còn được nhà phát triển duy trì.
Hãy cẩn thận với các plugin hoặc chủ đề miễn phí từ các trang web không đáng tin cậy. Đây là một thủ thuật phổ biến để kẻ tấn công thêm mã độc vào các phiên bản miễn phí của các trình bổ trợ hoặc giao diện có tính phí. Khi xoá một trình bổ trợ, hãy nhớ xoá tất cả các tệp của trình bổ trợ đó khỏi máy chủ thay vì chỉ vô hiệu hoá trình bổ trợ đó.
Kỹ nghệ xã hội
Tấn công phi kỹ thuật là hành vi khai thác bản chất con người để né tránh cơ sở hạ tầng bảo mật tinh vi. Những kiểu tấn công này lừa người dùng được uỷ quyền cung cấp thông tin mật, chẳng hạn như mật khẩu. Một hình thức phổ biến của kỹ thuật xã hội là lừa đảo. Trong một hành vi lừa đảo, kẻ tấn công sẽ gửi một email giả mạo một tổ chức hợp pháp và yêu cầu thông tin mật.
Hãy nhớ không bao giờ cung cấp bất kỳ thông tin nhạy cảm nào (ví dụ: mật khẩu, số thẻ tín dụng, thông tin ngân hàng hoặc thậm chí là ngày sinh của bạn), trừ phi bạn biết chắc về danh tính của người yêu cầu. Nếu trang web của bạn do nhiều người quản lý, hãy cân nhắc việc cung cấp chương trình đào tạo để nâng cao nhận thức về bảo mật trước các cuộc tấn công tấn công phi kỹ thuật. Để biết các mẹo cơ bản về tính năng chống lừa đảo, hãy tham khảo Trung tâm trợ giúp của Gmail.
Lỗ hổng chính sách bảo mật
Nếu bạn là quản trị viên hệ thống hoặc điều hành trang web của riêng mình, hãy nhớ rằng các chính sách bảo mật kém có thể cho phép kẻ tấn công xâm phạm trang web của bạn. Một số ví dụ bao gồm:
- Cho phép người dùng tạo mật khẩu yếu.
- Cấp quyền quản trị cho những người dùng không cần đến quyền đó.
- Không bật HTTPS trên trang web của bạn và cho phép người dùng đăng nhập bằng HTTP.
- Cho phép tải tệp lên từ người dùng chưa được xác thực hoặc không kiểm tra loại.
Một vài mẹo cơ bản để bảo vệ trang web của bạn:
- Hãy đảm bảo trang web của bạn được định cấu hình với các chế độ kiểm soát bảo mật cao bằng cách tắt các dịch vụ không cần thiết.
- Kiểm tra các biện pháp kiểm soát quyền truy cập và đặc quyền của người dùng.
- Sử dụng phương thức mã hoá cho các trang xử lý thông tin nhạy cảm, chẳng hạn như trang đăng nhập.
- Thường xuyên kiểm tra nhật ký của bạn để xem có bất kỳ hoạt động đáng ngờ nào không.
Rò rỉ dữ liệu
Rò rỉ dữ liệu có thể xảy ra khi dữ liệu mật được tải lên và cấu hình sai khiến thông tin mật được công khai. Ví dụ: việc xử lý lỗi và thông báo trong một ứng dụng web có khả năng làm rò rỉ thông tin cấu hình trong một thông báo lỗi không được xử lý. Bằng cách sử dụng một phương thức được gọi là "dorking", các đối tượng độc hại có thể khai thác chức năng của công cụ tìm kiếm để tìm ra dữ liệu này.
Hãy đảm bảo trang web của bạn không tiết lộ thông tin nhạy cảm cho người dùng chưa được uỷ quyền bằng cách kiểm tra định kỳ và chỉ cung cấp dữ liệu bí mật cho những thực thể đáng tin cậy thông qua các chính sách bảo mật. Nếu phát hiện bất kỳ thông tin nhạy cảm nào hiển thị trên trang web của mình và cần được xoá ngay khỏi kết quả của Google Tìm kiếm, thì bạn có thể sử dụng Công cụ xoá URL để xoá từng URL khỏi Google Tìm kiếm.