• Thứ Sáu, 28/09/2012 15:13 (GMT+7)

    Một số quy tắc cơ bản về bảo mật website

    Đông Quân
    Dù không thể phòng tránh hoàn toàn các mối đe dọa từ tội phạm mạng nhưng bạn vẫn có thể tự bảo vệ để website an toàn hơn bằng những quy tắc bảo mật cơ bản bên dưới.

    Bảo mật là yêu cầu bắt buộc đối với một website. Là người quản trị website, bạn cần có những phương thức bảo vệ phù hợp. Dù vậy, một số quy tắc bảo mật website cơ bản bên dưới sẽ giúp bạn chủ động phòng tránh và giảm thiểu thiệt hại khi xảy ra sự cố.

    1. Đặt mật khẩu mạnh

    Thay đổi mật khẩu định kỳ là việc cần thực hiện trước tiên. Đây là quy tắc cơ bản giúp tăng cường bảo mật cho hệ thống máy chủ. Mật khẩu không chỉ bắt buộc thay đổi sau khi xảy ra sự cố mà cần phải thay đổi thường xuyên, tốt nhất là định kỳ mỗi tháng một lần. Một mật khẩu mạnh và có tính an toàn cao phải được kết hợp giữa chữ, số và các ký tự đặc biệt đồng thời phải dễ nhớ để không phải ghi chú vào sổ tay hoặc máy tính. Mỗi tài khoản nên có mật khẩu riêng và nếu dùng chung thông tin đăng nhập cho nhiều trang web khác nhau, bạn phải chắc chắn thay đổi cho tất cả chúng.

    Tham khảo thêm cách tạo và nhớ mật khẩu tại www.pcworld.com.vn/A1011_120 hoặc tại http://www.kaspersky.com/passwords

    2. Cập nhật bản sửa lỗi

    Các cuộc tấn công mạng thường có xu hướng khai thác lỗi hoặc lỗ hổng bảo mật trong các phần mềm để xâm nhập máy tính khi người dùng truy cập đến những website bị nhiễm virus hoặc mã độc (malware nói chung). Máy tính và website sẽ an toàn hơn khi hệ điều hành và các ứng dụng thường xuyên được cập nhật bản sửa lỗi, khắc phục lỗ hổng bảo mật. Điều này sẽ làm giảm nguy cơ tấn công nhằm vào việc khai thác dữ liệu.

    Tham khảo chi tiết các lỗ hổng bảo mật dễ bị tấn công tại http://cve.mitre.org/

    3. Sao lưu nội dung website

    Ngoài việc sao lưu (backup) cơ sở dữ liệu hàng ngày thì việc sao lưu các nội dung khác của website cũng là việc cần thực hiện thường xuyên. Một bản sao lưu website đầy đủ sẽ giúp bạn tiết kiệm rất nhiều thời gian và công sức để giải quyết các vấn đề phát sinh trong trường hợp máy tính hoặc website bị nhiễm malware.

    4. Chủ động kiểm tra malware

    Đừng phó mặc việc bảo vệ cho các bộ phần mềm bảo mật. Chủ động quét kiểm tra malware ngay cả khi máy tính (dường như) vẫn hoạt động bình thường theo định kỳ. Đây cũng là cách bảo vệ website và máy tính hiệu quả.

    5. Quan tâm bảo mật máy tính

    Rất nhiều malware sử dụng phương thức tấn công “drive-by download” thông qua website. Hầu hết các cuộc tấn công kiểu này đều “cắm” các khung nội dung (iframe) ẩn trên các website hợp pháp. Khi người dùng truy cập, họ sẽ bị chuyển hướng đến trang chứa malware và qua việc khai thác lỗ hổng, các thành phần plug-in của trình duyệt để từ đó lây nhiễm vào máy tính người dùng. Sử dụng phần mềm bảo mật, cập nhật các miếng vá, bản sửa lỗi HĐH và các ứng dụng thông qua tính năng auto update sẽ giữ máy tính luôn “khỏe mạnh”.

    6. Tăng cường bảo mật máy chủ

    Nếu đang quản trị máy chủ, bạn đọc cần chú ý đến cấu hình của máy để bảo đảm mức độ an toàn nhất có thể. Chẳng hạn loại bỏ những phần mềm không dùng đến. Tắt các dịch vụ (service) và module không cần thiết. Thiết lập chính sách phù hợp với từng người dùng hoặc nhóm người dùng. Thiết lập quyền truy cập/hạn chế truy cập vào các tập tin và thư mục nhất định. Cấm việc duyệt thư mục trực tiếp. Kiểm tra tập tin ghi nhận hoạt động và lưu ý các hành vi đáng ngờ. Dùng giao thức https thay cho giao thức mặc định http để bảo mật truy cập tới website. Chỉ sử dụng máy tính với tài khoản quản trị (administrator) khi cần thiết sẽ giảm thiểu thiệt hại khi có vấn đề xảy ra.