Tăng bảo mật website


Tăng bảo mật website

Ngôn ngữ PHP ứng dụng để thiết kế website theo nhiều nhu cầu khác nhau, từ  website đơn giản không cần database dùng để làm trang web giới thiệu công ty, cho tới những website lớn với database chứa  thông tin quan trọng : web thương mại điện tử, website bán hàng trực tuyến hay website chính phủ… Có đến hơn 50% số lượng trang web trên thế giới dùng ngôn ngữ PHP.

 

Tuy vậy cũng chính vì mức độ phổ biến như vậy nên hacker thường tập trung nghiên cứu khai thác lỗi trên các website sử dụng ngôn ngữ PHP hơn các web sử dụng ngôn ngữ khác. Kéo theo đấy chính là những cuộc tấn công vào những website nhằm mục đích phá hoại hay cạnh tranh kinh doanh không lành mạnh và  thậm chí là khai thác thông tin khách hàng hay thông tin tài khoản ngân hàng để trục lợi…

 

Vậy cần phải làm như thế nào để tự bảo vệ mình trước những nguy cơ đó? Chúng tôi sẽ hướng dẫn các bạn những thủ thuật nhỏ nhưng đem lại hiệu quả cao trong việc bảo mật web trước các hacker.

 

Nhưng để thực hiện được các thủ thuật này bạn nên biết những đặc điểm của ngôn ngữ PHP :

 

CHMOD File và thư mục

 

Linux hệ điều hành này là hệ điều hành mã nguồn mở với cơ cấu quản lý và phân quyền khác hẳn hệ điều hành Windows. Nếu với windows bạn biết tới chức năng Permisson phân quyền truy cập tập tin hay thư mục cho user (người dùng) group (hay nhóm người dùng)… , thì đối với Linux, đây là chức năng CHMOD. Đối tượng phân quyền của CHMOD bao gồm Owner (chủ sở hữu , có quyền cao nhất), Group (hay nhóm người dùng) và Public (tất cả mọi người)

 

Vậy web chạy trên Linux ta phải CHMOD thế nào cho bảo mật :

 

– Với file và thư mục quan trọng dùng khai báo thông tin truy cập tới máy chủ. Bạn nên sử dụng CHMOD 404 cho file và 101 cho thư mục, với các cách phân quyền như vậy, tất cả những file chỉ cho phép đọc (đối với cả nhóm Owner). Khi cần thì bạn có thể CHMOD lại để chỉnh sửa. Còn với thư mục CHMOD 101 tương ứng nhóm chỉ được xem chứ không thể thay đổi.

– Tuy vậy không phải toàn bộ các web hosting đều cho phép bạn phân quyền như vậy. Vì đối với các máy chủ đó ta phải phân quyền 644 cho file., 755 cho thư mục.

Sau khi phân quyền hợp lý bạn mới chỉ bảo mật được khoảng 30% cho web, việc tiếp theo bạn cần làm đó là thay đổi đường dẫn mặc định của website.

 

Thay đổi tên cho các thư mục quan trọng

 

– Đối với máy chủ web dùng Direct Admin, thư mục chứa web thường là /public_html/ bạn cũng nên thay đổi sang tên khác. Đây là hình thức ẩn mình để phòng chống bị tấn công, Vì thế đơn giản lúc này các hacker sẽ không biết web của bạn nằm ở đâu.

– Tương tự với máy chủ website dùng Cpanel. Thư mục chứa web là /httpdocs/.

– Bên cạnh đó đối với một số mã nguồn mở như Joomla, NukeViet… hay tốn phí như VBB, Drupal… những đường dẫn mặc định cho thư mục quản trị là /administrator, /admincp, … bạn nên thay đổi đường dẫn cho các mặc định này.

 

Mã hóa file chứa thông tin quan trọng

 

Tiếp theo là mã hóa các file chứa thông tin nhạy cảm (thường là config.php, libs.php hay configuration.php.. ) để mã hóa file hosting bạn phải hỗ trợ trình giải mã ngược, để server website hiểu được nội dung đã bị mã hóa (ví dụ như website phải hỗ trợ ionCubeloader)

 

Thay đổi tiền tố bảng dữ liệu:

 

Hạn chế dùng tiền tố (prefix) mặc định trong bảng dữ liệu của mã nguồn phổ biến, ví dụ  như Joomla sẽ dùng tiền tố jos_ mặc định để khai báo thông tin trong các bảng của database MySQL. Bạn cũng nên đổi thành tiền tố khác ví dụ như : sitecuaban_ chẳng hạn.

Website vì một lý do nào đó, có thể mất file index.php, default.php …dùng hiện thị nội dung trang chủ. Nếu như xảy ra trường hợp này. Khi bạn truy cập đến website, toàn bộ file khác và thư mục con… sẽ hiển thị ra, dễ dàng bị hacker tải mã nguồn của bạn.

Cách xử lý: bạn tạo một file index.html đặt ngang hàng file index.php (trình duyệt sẽ ưu tiên file PHP. nên việc tạo ra file HTML sẽ không ảnh hưởng gì cả). Nội dung của file index.html có thể để trống hay thêm gì tùy bạn. Sau đấy CHMOD cho file này là 404 hoặc 704. Tức là bạn chỉ cho phép đọc. Khi file index.php mất, nếu gõ địa chỉ website, trình duyệt website sẽ dùng file index.html để thay thế.

Thực hiện tới đây, bạn đã bảo mật được website đến 90%. Tuy vậy vẫn còn điểm phải chú ý. Đó là trên giao diện trang website, bạn nên tránh các dạng Submit Form (khung gửi thông tin) hay công cụ đính kèm file lên web. Nếu như không thể hạn chế thì nên tạo chế độ để quản lý phần mở rộng. (Ưu tiên cấm phần mở rộng là vbs, js, html, php… – Phần mở rộng này thường dễ dàng tích hợp mã độc. Vô tình lại chính là cánh cửa giúp hacker đánh sập web của bạn)

 

Nói tóm lại để bảo mật website bạn cũng nên làm qua các bước sau là cần chủ ý

 

1. CHMOD file cho hợp lý.

2. Đổi đường dẫn mặc định đến thư mục chứa website hoặc thư mục chứa trang quản trị

3. Mã hóa file chứa thông tin quan trọng

4. Tránh sử dụng tiền tố dữ liệu mặc định của mã nguồn.

5. Tạo file index.html thư mục gốc và các thư mục khác để hạn chế việc hiện ra toàn bộ file  thư mục con.

6. Hạn chế dùng công cụ gửi thông tin, công cụ đính kèm hay tải lên tập tin.

By: w24.vn



Bài Viết Liên Quan

Đối Tác

Lời Cảm Ơn

Cám ơn quý khách hàng đã tin tưởng và sử dụng dịch vụ cũng như tên miền w24.vn. Chúng tôi sẽ cố gắn hỗ trợ nhiệt tình, xây dựng thương hiệu uy tính, lâu dài với khách hàng.

DỊCH VỤ THIẾT KẾ WEBSITE WEB24

Địa chỉ: 891. Trán phú, Cẩm Phả
Hotline: 096.335.1128
Email: [email protected]
Website: W24.vn
Sơ đồ website: Sitemap

  • Hôm nay: 579 - Hôm qua: 165 - Tháng nay: 5088 - Tháng trước: 3010 - Năm nay: 8098 - Năm trước: 0