Cách bảo vệ website khỏi hacker
Ngôn ngữ PHP được ứng dụng để thiết kế website theo nhiều nhu cầu khác nhau, từ những website đơn giản giới thiệu công ty, cho đến những website lớn như : website thương mại điện tử, website bán hàng trực tuyến, website chính phủ… Chính vì mức độ phổ biến như vậy nên các hacker thường tập trung nghiên cứu và khai thác lỗi trên các website sử ngôn ngữ PHP hơn các website sử dụng ngôn ngữ khác. Kéo theo đó chính là những cuộc tấn công vào các website nhằm mục đích phá hoại, cạnh tranh kinh doanh không lành mạnh, thậm chí là khai thác thông tin khách hàng, thông tin tài khoản ngân hàng để trục lợi…Dưới đây là 1 số biện pháp ngăn chặn việc tấn công vào website của bạn:
CHMOD File và thư mục
Nói đến Linux, hệ điều hành này là hệ điều hành mã nguồn mở, cơ cấu quản lý và phân quyền cũng khác hẳn hệ điều hành Windows. Nếu như với windows bạn biết đến chức năng Permisson phân quyền truy cập tập tin hoặc thư mục cho user (người dùng) group (nhóm người dùng)… , thì đối với Linux, chức năng này là CHMOD. Đối tượng được phân quyền của CHMOD bao gồm Owner (chủ sở hữu – có quyền cao nhất), Group (nhóm người dùng) và Public (là tất cả mọi người)
– Với các file và thư mục quan trọng dùng để khai báo thông tin truy cập đến máy chủ. Bạn nên CHMOD 404 cho file và 101 cho thư mục, với cách phân quyền như vậy, tất cả các file chỉ cho phép đọc (đối với cả nhóm Owner). Khi cần bạn có thể CHMOD lại để chỉnh sửa. Còn đối với thư mục CHMOD 101 tương ứng các nhóm chỉ được xem chứ không thể thay đổi.
– Tuy nhiên không phải toàn bộ các web hosting đều cho phép phân quyền như vậy. Vì vậy đối với các máy chủ đó ta phải phân quyền 644 cho file. và 755 cho thư mục.
Sau khi đã phân quyền hợp lý bạn mới chỉ bảo mật được khoảng 30% cho website, việc tiếp theo bạn cần phải làm đó là thay đổi các đường dẫn mặc định của website.
Vấn đề Tập tin tải lên
Cho phép người dùng tải lên các tập tin trên thiết kế web tiềm ẩn một nguy cơ bảo mật web cao, thậm chí đơn giản chỉ là việc thay đổi avatar. Các rủi ro đó là bất kỳ tập tin được tải lên có thể chứa một kịch bản khi thực hiện trên máy chủ của bạn có thể khiến website bị tấn công.
Vì vậy, những gì bạn có thể làm để ngăn chặn điều này? Bạn muốn ngăn chặn người dùng tải tập tin lên web? Theo mặc định, máy chủ web sẽ không chạy các file có phần mở rộng hình ảnh, nhưng nó cũng không được khuyến khích để chỉ dựa vào kiểm tra phần mở rộng tập tin với các tên image.jpg.php đều được thông qua.
Đặt mật khẩu với độ phức tạp cao
Mọi người đều biết rằng nên sử dụng một mật khẩu phức tạp, nhưng không có nghĩa là tất cả đều thực hiện. Yêu cầu mật khẩu tối thiểu 8 ký tự bao gồm ký tự hoa và số sẽ giúp bảo vệ thông tin tốt. Sử dụng mật khẩu mạnh là rất quan trọng trong việc bảo mật server và website. Bên cạnh đó, bạn có thể đưa ra các yêu cầu để tăng độ mạnh cho mật khẩu của người dùng trên website để bảo mật thông tin của họ.
Thay đổi tên các thư mục quan trọng
– Đối với các máy chủ web dùng Direct Admin, thư mục chứa website thường là /public_html/ bạn nên thay đổi sang tên khác. Đây là một hình thức ẩn mình để phòng chống bị tấn công, Vì đơn giản lúc này các hacker sẽ không biết website của bạn nằm ở đâu.
– Tương tự với máy chủ web dùng Cpanel. Thư mục chứa web là /httpdocs/.
– Ngoài ra đối với một số mã nguồn mở như Joomla, NukeViet… hoặc tốn phí như VBB, Drupal… các đường dẫn mặc định cho thư mục quản trị thường là /administrator, /admincp, … bạn cũng nên thay đổi đường dẫn mặc định này.
Thay đổi tiền tố bảng trong database
Hạn chế sử dụng tiền tố (prefix) mặc định trong bảng dữ liệu của các mã nguồn phổ biến, ví dụ Wordpress sẽ dùng tiền tố wp_ mặc định khi khai báo thông tin trong các bảng của database MySQL. Bạn nên đổi thành tiền tố khác như : sitecuaban_ chẳng hạn.
Một website vì một lý do nào đó, có thể bị mất file index.php, config.php …dùng để hiện thị nội dung trang chủ. Nếu xảy ra trường hợp này. Khi truy cập đến website, toàn bộ các file khác và thư mục con… sẽ bị hiển thị ra, và dễ dàng bị hacker tải mã nguồn của bạn.