Lời khuyên để giúp website của bạn bảo mật hơn phần 1

Với mỗi ngày trôi qua, an toàn về thông tin ngày trở nên quan trọng hơn. Bài viết này đưa ra vài lời khuyên để giữ cho WordPress an toàn trong khi vẫn và nâng cao tính bảo mật tổng thể cho trang web WordPress. Hầu hết các mẹo được cung cấp ở đây là các bước bảo mật dựa trên thực tiễn không yêu cầu plugins hay hack. Bạn sẽ không cần phải thực hiện bất kỳ thay đổi nào về mã nguồn, hoặc sửa đổi WordPress dưới bất kỳ hình thức nào để duy trì tính bảo mật mạnh mẽ. Đây là những bước bảo mật mà bất kỳ người dùng WordPress nào cũng có thể sử dụng để giúp bảo vệ trang web của họ và giữ cho WordPress ngày càng an toàn hơn.

Giới thiệu

WordPress an toàn? Khi lỗ hổng được phát hiện, nhóm WordPress khắc phục chúng và tạo ra một phiên bản mới. Theo kinh nghiệm của tôi, hầu hết các vấn đề bảo mật được gây ra bởi các yếu tố bên ngoài, chẳng hạn như thiếu kinh nghiệm của người dùng, các máy chủ không an toàn, và các plugin và giao diện (theme) được mã hóa chưa tốt từ bên thứ ba. Phần lớn những lời khuyên đưa ra trong bài báo này nhằm giảm nguy cơ bằng cách kiểm soát các yếu tố bên ngoài.

Hãy nhớ rằng an ninh không phải là thiết lập xong rồi bỏ quên nó đi. Không có một . Không có một website nào an toàn tuyệt đối.Nếu website của bạn online, thì sẽ có nguy cơ bị tấn công bất cứ lúc nào. Vì vậy, an ninh tốt không phải là cố gắng để loại bỏ rủi ro, mà là giảm rủi ro càng nhiều càng tốt.

Và dưới đây là một số lời khuyên đơn giản để bảo mật website của bạn tốt hơn.

Sử dụng SFTP thay vì FTP

Nếu bạn vẫn sử dụng thường xuyên FTP, bạn nên chuyển sang SFTP càng sớm càng tốt. Thực tế, FTP gửi chứng chỉ và dữ liệu của bạn bằng văn bản thuần, điều này có nghĩa là mật khẩu và thông tin kết nối của bạn không được mã hóa. Nếu bạn chuyển các tệp của mình qua FTP, bất cứ ai đang sử dụng và lắng nghe chung mạng có thể lấy dữ liệu của bạn và sử dụng nó để khai thác trang web của bạn. Sử dụng SFTP cũng giống như sử dụng FTP, nhưng với SFTP tất cả các thông tin và dữ liệu của bạn đều được mã hóa, bảo vệ chúng khỏi những kẻ tấn công.

Bạn có thể tham khảo cách sử dụng SFTP tại đây.

lời khuyên đơn giản để bảo mật website tốt hơn

Sử dụng SSL/HTTPS

Điều này cũng giống như việc sử dụng SFTP thay vì FTP. Nếu trang web của bạn đang sử dụng giao thức HTTP, tất cả thông tin truyền được gửi đi mà không cần mã hóa. Vì vậy, tất cả các nhận xét, thông tin đăng nhập, mua hàng, và các giao dịch khác được gửi và nhận không được mã hóa và sẽ rất nguy hiểm.

Điều này có nghĩa là kẻ tấn công có thể đánh cắp mật khẩu và dữ liệu nhạy cảm khác để khai thác trang web và người dùng của bạn. Đây là một lý do khiến Google và các đối tác lớn khác đang nỗ lực hết sức để mọi người chuyển sang HTTPS. Với HTTPS, tất cả dữ liệu được truyền đi đều được mã hóa, giúp bảo vệ chống lại sự xâm nhập và khai thác.

Tất nhiên, chuyển đổi từ HTTP sang HTTPS đòi hỏi nhiều công sức hơn việc chuyển từ FTP sang SFTP. Để thiết lập HTTPS cho trang web của bạn, bạn cần chứng chỉ SSL, phải được triển khai đúng trên máy chủ của bạn. Nếu bạn quyết định nâng cấp lên SSL / HTTPS, hãy chắc chắn làm như vậy cho tất cả các trang trên trang web của bạn.

Tham khảo: Cách chuyển đổi HTTP sang  HTTPS/ SSL 

Máy chủ an toàn

Có lẽ điều quan trọng nhất trong tất cả các mẹo bảo mật là lưu trữ các trang web của bạn trên một máy chủ an toàn. Máy chủ là nền tảng của website, vì vậy hãy đảm bảo rằng máy host bạn đang dùng phải có uy tín và cung cấp các máy chủ an toàn và ổn định.

Đặc biệt là với máy chủ web, bạn sẽ nhận được những gì mà bạn đã bỏ ra – “Tiền nào của đấy”, Hãy  tránh việc sử dụng host giá rẻ. Nếu bạn có thể đủ khả năng về tiền bạc, tìm kiếm dịch vụ nào tốt hơn Shared Hosting. Shared hosting có nghĩa là bạn đang chia sẻ không gian máy chủ với người dùng khác. Vì vậy, nếu một trang web khác trên máy chủ bị tấn công, thì tất cả các trang web trên máy chủ có thể bị xâm nhập. Giống như “lửa gần rơm lâu ngày cũng bén”.

Trái với sharing hosting là dedicated hosting(máy chủ dùng riêng), nơi mà toàn bộ máy chủ được dành riêng cho các trang web của bạn. Điều đó giúp bạn được an toàn như bạn muốn, mà không phải lo lắng về những gì “hàng xóm” của bạn đang làm (hoặc không làm). Tương tự như với VPS(máy chủ ảo), an ninh của các trang web của bạn không phụ thuộc vào an ninh của hàng xóm của bạn.

Một vài điểm mà bạn cần quan tâm khi muốn tìm kiếm một nhà cung cấp máy chủ tốt:

  • Danh tiếng vững chắc như : bảo mật, sự tin cậy, hỗ trợ nhanh,…
  • Cung cấp các phiên bản phần mềm mới nhất (Apache / Nginx, PHP, MySQL, v.v.)
  • Cung cấp các phương pháp đáng tin cậy để sao lưu và khôi phục dữ liệu của bạn.
  • Nhiệt tình giải đáp và thảo luận tất cả các chi tiết liên quan đến dịch vụ, an ninh, tính năng,…

Tuy nhiên, để tìm một nhà cung cấp máy chủ hiện tại không phải là việc dễ dàng. Hãy dành thời gian tự nghiên cứu các dịch vụ và tìm ra nhà cung cấp tốt nhất nhé.

Mật khẩu mạnh

Mọi người nên sử dụng mật khẩu mạnh cho bất kỳ tài khoản nào. Thật không may, vẫn còn có rất nhiều người vẫn chưa khám phá ra được niềm vui của việc bị tấn công(hacked). LoL. Hãy nói cho bạn bè của mình biết: Đặt mật khẩu mạnh là một nhiệm vụ quan trọng. Bạn phải sự dụng mật khẩu mạnh và thay đổi chúng liên lục.

Dưới đây là một vài lời khuyên để có được mật khẩu mạnh:

  • Đừng bao giờ chia sẻ với bất kỳ ai
  • Dài – Ngẫu nhiên – Có số
  • Nếu bạn cho phép người khác sử dụng mật khẩu của bạn để hỗ trợ kỹ thuật hoặc bất cứ điều gì, hãy thay đổi mật khẩu sau đó
  • Sử dụng công cụ tạo mật khẩu trực tuyến để tạo mật khẩu mạnh

Luôn cập nhật lên phiên bản mới nhất

Hãy luôn cập nhật khi có phiên bản wordpress mới được xuất bản. Việc này được thực hiện hết sức đơn giản, chỉ cần Click và nó sẽ tự động update cho bạn. Không có lý do gì để khiến bạn trở nên tụt hậu so với thời đại cả. Điều này không chỉ dành riêng cho wordpress mà còn với tất cả plugin hay giao diện (theme) được cài đặt trên trang web của bạn

Quét dọn những tập tin không cần thiết

Bảo mật tốt bao gồm hạn chế những mối nguy hiểm càng nhiều càng tốt. Những tập tin không được sử dụng  trên website của bạn có thể làm tăng nguy cơ bị xâm nhập. Hãy dành một vài phút để kiểm tra cấu trúc thư mục của bạn và xóa bất kỳ tệp nào không cần thiết. Để giúp bạn làm điều này tốt hơn tốt hơn, bạn nên xóa những thứ như:

  • Giao diện không sử dụng
  • Plugin không sử dụng
  • Các tập lệnh PHP không sử dụng
  • Các tệp JavaScript không sử dụng
  • Thông tin nhạy cảm hoặc ghi chú

Lời kết

Hôm nay mình viết đến đây, hi vọng có thể hoàn thành phần 2 sớm nhất có thể để gửi đến các bạn. Have Fun!

Viết một bình luận