WikiHow này hướng dẫn bạn cách đảm bảo rằng trang web của bạn được bảo vệ khỏi các cuộc tấn công. Sử dụng chứng chỉ SSL và HTTPS là cách dễ nhất để bảo mật địa chỉ, nhưng bạn có thể làm một số việc khác để ngăn tin tặc và phần mềm độc hại xâm phạm trang web của mình.
Các bước
Bước 1. Giữ cho trang web của bạn được cập nhật
Không cập nhật phần mềm, bảo mật và tập lệnh của trang web khi cần thiết là một cách chắc chắn để cho phép những kẻ xâm nhập và phần mềm độc hại lợi dụng trang web của bạn.
- Điều này cũng áp dụng cho các bản vá từ dịch vụ lưu trữ trên trang web của bạn (nếu có). Bất cứ khi nào có bản cập nhật cho trang web của bạn, hãy cài đặt bản cập nhật đó ngay lập tức.
- Bạn cũng nên cập nhật chứng chỉ trang web của mình. Mặc dù điều này sẽ không ảnh hưởng trực tiếp đến bảo mật trang web của bạn, nhưng nó sẽ đảm bảo rằng trang web của bạn tiếp tục hiển thị trong các công cụ tìm kiếm.
Bước 2. Sử dụng phần mềm hoặc plugin bảo mật
Có một số tường lửa trang web khác nhau mà bạn có thể đăng ký để được bảo vệ liên tục và các dịch vụ lưu trữ trang web như WordPress cũng thường cung cấp các plugin bảo mật. Cũng giống như bảo vệ máy tính của bạn bằng chương trình chống vi-rút, bạn nên bảo vệ trang web của mình bằng phần mềm bảo mật.
- Sucuri Firewall là một lựa chọn trả phí tốt và bạn sẽ có thể tìm thấy tường lửa hoặc plugin bảo mật miễn phí cho WordPress, Weebly, Wix và các dịch vụ lưu trữ khác.
- Tường lửa ứng dụng trang web (WAF) thường dựa trên đám mây, có nghĩa là bạn không cần phải tải bất kỳ phần mềm nào xuống máy tính của mình để sử dụng chúng.
Bước 3. Ngăn người dùng tải tệp lên
Việc cho phép mọi người tải tệp lên trang web của bạn sẽ tự động tạo ra lỗ hổng bảo mật. Nếu có thể, hãy xóa bất kỳ biểu mẫu hoặc khu vực nào mà người dùng trang web có thể tải tệp lên.
- Hạn chế các biểu mẫu cho phép tải lên chỉ hỗ trợ một loại tệp (ví dụ:-j.webp" />
- Điều này có thể phức tạp nếu trang web của bạn dựa trên biểu mẫu trang web cho những thứ như gửi thư xin việc. Bạn có thể khắc phục sự cố này bằng cách thiết lập địa chỉ email cho các bài gửi và thêm địa chỉ vào trang "Liên hệ" để người dùng có thể gửi tệp qua email thay vì tải chúng lên trang web của bạn.
Bước 4. Cài đặt chứng chỉ SSL
Chứng chỉ SSL về cơ bản xác nhận rằng trang web của bạn an toàn và có thể truyền thông tin được mã hóa qua lại giữa máy chủ của bạn và trình duyệt của một người. Thông thường, bạn sẽ phải trả một khoản phí hàng năm để duy trì chứng chỉ SSL của mình.
- Các tùy chọn phân phối SSL trả phí bao gồm GoGetSSL và SSLs.com.
- Một dịch vụ miễn phí có tên "Let's Encrypt" cũng sẽ cấp chứng chỉ SSL.
- Khi chọn chứng chỉ SSL, bạn có ba tùy chọn: xác thực miền, xác thực doanh nghiệp và xác thực mở rộng. Cả xác thực kinh doanh và xác thực mở rộng đều được Google yêu cầu để nhận được thanh "Bảo mật" màu xanh lục bên cạnh URL trang web của bạn.
Bước 5. Sử dụng mã hóa
Khi bạn đã cài đặt chứng chỉ SSL, trang web của bạn sẽ đủ điều kiện cho mã hóa HTTPS; bạn thường có thể kích hoạt mã hóa HTTPS bằng cách cài đặt chứng chỉ SSL vào phần "Chứng chỉ" trên trang web của bạn.
- Nếu bạn sử dụng nền tảng trang web như WordPress hoặc Weebly, có thể trang web của bạn đã sử dụng
- Chứng chỉ HTTPS phải được gia hạn hàng năm.
Bước 6. Tạo mật khẩu an toàn
Sử dụng mật khẩu duy nhất cho các khía cạnh trang web cấp quản trị của bạn là không đủ; bạn sẽ cần đưa ra các mật khẩu phức tạp, ngẫu nhiên không được sao chép ở bất kỳ nơi nào khác và lưu trữ khóa của chúng ở đâu đó bên ngoài thư mục của trang web.
Ví dụ: bạn có thể sử dụng một mớ hỗn độn gồm 16 chữ số và chữ số làm mật khẩu. Sau đó, bạn có thể lưu mật khẩu trong một tệp ngoại tuyến trên một máy tính hoặc ổ cứng khác
Bước 7. Ẩn các thư mục quản trị của bạn
Đặt tên cho thư mục tệp nhạy cảm của trang web của bạn là "admin" hoặc "root" là thuận tiện; Thật không may, điều này xảy ra với cả bạn và hacker. Việc thay đổi tên vị trí của các tệp này thành một thứ gì đó nhàm chán (ví dụ: "Thư mục mới (2)" hoặc "lịch sử") có thể khiến những kẻ tấn công khó định vị tệp của bạn hơn.
Bước 8. Giữ các thông báo lỗi đơn giản
Nếu thông báo lỗi của bạn cung cấp quá nhiều thông tin, tin tặc và phần mềm độc hại có thể khai thác thông tin để tìm và giành quyền truy cập vào những thứ như thư mục gốc của trang web của bạn. Thay vì thêm chi tiết rõ ràng vào thông báo lỗi trang web của bạn, hãy cân nhắc đưa ra lời xin lỗi ngắn gọn và liên kết trở lại trang web chính.
Điều này áp dụng cho bất kỳ lỗi nào từ lỗi 404 đến mã máy chủ loại 500
Bước 9. Luôn băm mật khẩu
Nếu bạn lưu trữ mật khẩu người dùng trên trang web của mình, hãy đảm bảo lưu trữ chúng ở định dạng băm. Một lỗi phổ biến ở các chủ sở hữu trang web mới là lưu trữ mật khẩu ở định dạng văn bản thuần túy, điều này khiến mật khẩu dễ bị đánh cắp nếu tin tặc tìm thấy tệp.
Ngay cả các trang web nổi tiếng như Twitter cũng đã từng mắc phải lỗi này trong quá khứ
Lời khuyên
- Thuê một nhà tư vấn bảo mật web để xem các tập lệnh của bạn là cách nhanh nhất (mặc dù là đắt nhất) để giải quyết các lỗ hổng tiềm ẩn trong trang web của bạn.
- Luôn kiểm tra trang web của bạn thông qua một công cụ bảo mật (ví dụ: Đài quan sát của Mozilla) trước khi xuất bản phiên bản mới nhất.
