Kiểm tra bảo mật trang web: Bảo mật trang web của bạn trước phần mềm độc hại và thư rác

Không có gì ngạc nhiên khi bảo mật đã trở thành một mối quan tâm đáng kể đối với các nhà phát triển web và chủ sở hữu trang web. Khi internet bùng nổ phổ biến và trở thành phương thức giao tiếp, nghiên cứu và mua sắm mới, việc kiểm tra bảo mật trang web là rất quan trọng để ngăn chặn sự lây lan của phần mềm độc hại và thư rác.

Cho dù bạn điều hành một blog cá nhân nhỏ bé hay một cửa hàng trực tuyến đa quốc gia khổng lồ, thì nguy cơ bị tấn công vẫn luôn hiện hữu. Một số người sẽ phá hoại trang web của bạn và nhúng phần mềm độc hại vào đó, cố gắng lấy cắp dữ liệu của bạn hoặc khách hàng của bạn và xóa nội dung quan trọng trên máy chủ của bạn. Bạn cần phải bảo vệ bản thân và thông tin nhạy cảm của bạn.

Hãy tìm hiểu chính xác mức độ an toàn của trang web của bạn ngay bây giờ. Chúng tôi cũng sẽ cung cấp một số mẹo để loại bỏ các tác giả của phần mềm độc hại lợi dụng. WordPress được bảo mật hoàn toàn, nhưng sẽ mất một chút công việc để vá nó hoàn toàn.

Xem Hướng dẫn bằng Video của Chúng tôi để Thực hiện Kiểm tra Bảo mật Trang web

Kiểm tra bảo mật trang web: Tại sao nó lại quan trọng?

Bạn có thể nghĩ rằng trang web của mình quá nhỏ và không quan trọng đến mức không ai thèm nhắm mục tiêu vào nó. Hoặc có thể bạn chưa bao giờ nghĩ về bảo mật trước đây và cho rằng nó không đủ quan trọng để bận tâm.

Suy nghĩ như vậy là lý do tại sao vào năm 2013, hơn 70% cài đặt WordPress dễ bị tấn công. Nhiều cuộc tấn công trong số này là do phần mềm lỗi thời – vì hầu hết mọi người hoặc không đủ hiểu biết hoặc không đủ quan tâm đến việc bảo mật trang web của họ, điều này dẫn đến một làn sóng tin tặc lớn nhắm vào các bản cài đặt WordPress.

Vì vậy, điều gì có thể xảy ra nếu trang web của bạn gặp phải sự xâm nhập không mong muốn? Nó không chỉ là một sự khó chịu đơn giản có thể dễ dàng giải quyết bằng cách thay đổi mật khẩu của bạn.

• Trang web của bạn có thể bị chèn mã khiến khách truy cập tự lây nhiễm phần mềm độc hại, điều này có thể cực kỳ khó xác định và loại bỏ.
• Các trang quan trọng của bạn có thể bị xóa, bỏ trống hoặc được nhồi các liên kết đến các trang bất hợp pháp.
• Nó có thể dẫn đến việc xóa nội dung như các bài đăng trên blog và các trang.
• Thông tin nhạy cảm như thông tin đăng nhập hoặc thẻ tín dụng của bạn, người dùng của bạn hoặc khách hàng của bạn có thể bị đánh cắp và bán trực tuyến.
• Các cuộc tấn công có thể lây lan sang các trang web khác trên máy chủ của bạn.
• Nếu Google phát hiện bất kỳ phần mềm độc hại nào trên trang web của bạn, nó sẽ chặn quyền truy cập và xóa nó khỏi kết quả tìm kiếm, phá hủy nỗ lực tối ưu hóa công cụ tìm kiếm (SEO) của bạn.
• Tên người dùng và mật khẩu của tài khoản quản trị viên có thể bị thay đổi, ngăn bạn truy cập vào phần phụ trợ của mình.

Các trang web bị tấn công có thể là một vấn đề lớn nếu bạn điều hành một cửa hàng thương mại điện tử.

Và mặc dù bạn có thể nói rằng trang web của bạn không đủ quan trọng, nhưng không phải tất cả các cuộc tấn công đều được nhắm mục tiêu. Nhiều cuộc tấn công WordPress được tự động hóa – một bot thăm dò trang web của bạn để tìm các lỗ hổng và bắt đầu một cuộc tấn công mà không cần sự can thiệp của con người.

Đó là lý do tại sao bạn cần thực hiện các bước để bảo mật trang web của mình, bất kể điều gì.

Tại sao WordPress bị tấn công?

Lấy cắp dữ liệu phổ biến, nhưng những lỗ hổng phổ biến nhất mà tin tặc tận dụng để xâm nhập vào trang web của bạn là gì?

Bạn có thể tưởng tượng rằng việc truy cập vào một trang web là một quá trình đầy thử thách đòi hỏi nhiều ngày hoặc nhiều tuần làm việc và kiến thức rộng lớn về máy tính, mã hóa và máy chủ. Tình huống này có thể đúng đối với những nỗ lực có mục tiêu nhằm vượt qua hàng rào của một trang web lớn, được bảo vệ tốt, nhưng câu chuyện lại rất khác khi nói đến các miền WordPress nhỏ.

Phần lớn các cuộc tấn công vào WordPress thành công do mọi người sử dụng mật khẩu dễ đoán và không cập nhật các chủ đề và plugin của họ. Tin tặc đột nhập vào hầu hết các trang web như vậy bằng các chương trình tự động.

Bẻ khóa mật khẩu là hình thức hack đơn giản nhất có thể, nhưng nó rất phổ biến vì nó hoạt động. Nhiều người để thông tin đăng nhập WordPress của họ ở chế độ “quản trị viên” mặc định, thực hiện một nửa phỏng đoán và sau đó sử dụng một mật khẩu đơn giản, dễ đoán bên cạnh đó.

Khi thất bại, tin tặc sẽ tận dụng các lỗ hổng phổ biến trong các plugin phổ biến hoặc các phiên bản lỗi thời của WordPress. Đó là lý do tại sao việc cập nhật mọi thứ là rất quan trọng.

Có nhiều cách phức tạp hơn, phức tạp hơn để đột nhập vào một trang web. Tuy nhiên, hầu hết các cuộc tấn công WordPress đều sử dụng mật khẩu không an toàn và phần mềm lỗi thời khiến việc truy cập vào một trang web trở nên vô cùng dễ dàng.

Cách thực hiện kiểm tra bảo mật trang web

Bước đầu tiên của việc bảo mật trang web của bạn: xác định mức độ an toàn của trang web của bạn. Có bất kỳ lỗ hổng nào rõ ràng trong phần phụ trợ của bạn mà bạn cần phải vá ngay lập tức hay bất kỳ bản sửa lỗi dễ dàng nào bạn có thể thực hiện ngay bây giờ không?

Sử dụng một công cụ trực tuyến

Một cách nhanh chóng và dễ dàng để kiểm tra phần mềm độc hại và lỗ hổng bảo mật trên trang web của bạn là sử dụng máy quét trực tuyến. Những điều này sẽ quét trang web của bạn từ xa và xác định các vấn đề thường gặp. Nó siêu tiện lợi vì nó không yêu cầu bất kỳ phần mềm hoặc plugin nào và chỉ mất vài giây.

Có hàng tá công cụ quét để lựa chọn trực tuyến và chúng tôi sẽ liệt kê một số công cụ khác trong phần công cụ của chúng tôi bên dưới, nhưng hiện tại, hãy chọn một công cụ phổ biến dễ sử dụng: Sucuri SiteCheck.

Công cụ này là một lựa chọn tốt vì bạn có thể cài đặt plugin Sucuri và có quyền sửa bất kỳ sự cố nào mà nó phát hiện.

Sau khi bạn quét trang web của mình, Sucuri sẽ kiểm tra nó dựa trên danh sách chặn, tìm kiếm các vấn đề rõ ràng như spam được đưa vào hoặc phần mềm lỗi thời và quét nhanh bất kỳ mã nào mà nó có thể truy cập để tìm phần mềm độc hại. Nó cũng đưa ra một số gợi ý để tăng cường khả năng chống lại các cuộc tấn công cho trang web của bạn.

Các công cụ như thế này là một điểm khởi động tuyệt vời để phát hiện phần mềm độc hại ẩn và các vấn đề khác.

Quét trang web của bạn bằng một plugin WordPress

Mặc dù các máy quét trực tuyến hoạt động đủ tốt, nhưng tốt hơn hết là bạn nên cài đặt một plugin có khả năng đào sâu vào gốc mã của bạn và tìm ra các lỗ hổng hoặc phần mềm độc hại khó phát hiện.

Chúng tôi đã đề cập đến Sucuri như một tùy chọn. Ngoài ra còn có hai plugin bảo mật phổ biến hơn nữa: All in One WP Security & Firewall và được tải xuống nhiều nhất trên kho lưu trữ, Wordfence Security.

Khi bạn đã cài đặt plugin mà mình chọn, nó có thể sẽ hướng dẫn bạn chạy quét ngay lập tức. Ưu điểm của các plugin này so với máy quét từ xa là chúng có thể xóa phần mềm độc hại và tự động thực hiện các thay đổi.

Tìm kiếm những thay đổi kỳ lạ

Nếu bạn nghi ngờ hoặc biết rằng trang web của mình đã bị nhiễm phần mềm độc hại, việc xác định nguồn gốc đôi khi có thể là một thách thức. Dưới đây là một số thay đổi không giải thích được mà bạn có thể nhận thấy, cũng như các tệp mà tin tặc thường thu hút:

• Các liên kết đột ngột đến các trang web lạ mà bạn không tự thêm vào
• Các bài viết và trang mới bạn không tạo hoặc nội dung của các trang hiện có đột ngột thay đổi
• Các thay đổi đối với cài đặt bạn không thực hiện
• Một người dùng mới, đặc biệt là một người có đặc quyền cấp cao, bạn đã không thêm
• Các plugin hoặc chủ đề bạn không cài đặt
• Phần mềm độc hại thường có thể đưa mã độc hại vào tệp của bạn. Kiểm tra các tệp plugin và chủ đề, thư mục wp-content / uploads , các tệp lõi WordPress nằm trong một thư mục không chính xác, wp-config.php và .htaccess . Bạn nên sao lưu trang web của mình và hiểu rõ về mã trước khi thực hiện bất kỳ thay đổi nhạy cảm nào.

Nếu bạn kết nối với trang web của mình bằng FTP, bạn có thể sắp xếp theo các tệp được sửa đổi gần đây cho mã không nên có ở đó.

Nếu trang web của bạn bị nhiễm phần mềm độc hại theo định kỳ và bạn không thể tìm thấy bất kỳ nguyên nhân nào trong các tệp, thì vấn đề có thể là do máy chủ của bạn hoặc một trang web khác trên máy chủ của bạn.

Đảm bảo mọi thứ đều được cập nhật

Như chúng tôi đã đề cập, phần mềm lỗi thời cho đến nay là vectơ lây nhiễm phổ biến nhất trong WordPress. Nếu chỉ có một điều bạn có thể làm để giữ an toàn cho trang web của mình, thì bạn nên cập nhật WordPress.

Cách dễ nhất để kiểm tra trạng thái của tất cả phần mềm trên trang web của bạn là đi tới Trang tổng quan > Cập nhật , phần này sẽ thông báo cho bạn nếu lõi, chủ đề hoặc plugin của bạn đã lỗi thời.

Vì WordPress hiện thực hiện cập nhật tự động kể từ phiên bản 5.5, nên không có gì là lỗi thời trừ khi bạn có phiên bản WordPress lỗi thời. Nếu không, bạn có thể cập nhật mọi thứ từ màn hình này.

Nếu bạn biết có phiên bản mới của WordPress nhưng nó không hiển thị, hãy nhấp vào nút Kiểm tra lại bên dưới Phiên bản hiện tại .

Bạn cũng có thể kiểm tra các trang Plugin > Plugin đã cài đặt hoặc Giao diện > Chủ đề để biết các bản cập nhật.

Tài khoản và mật khẩu an toàn

Mật khẩu yếu trên tài khoản chính của bạn khiến mọi người dễ dàng xâm nhập vào trang web của bạn bằng các chương trình cưỡng bức, cấp cho họ quyền truy cập quản trị viên và khả năng thay đổi bất kỳ thứ gì.

Mặc dù một mật khẩu phức tạp có thể khó nhớ, khiến việc đăng nhập trở nên kém thuận tiện hơn, nhưng việc khôi phục trang web của bạn sau một cuộc tấn công thậm chí còn bất tiện hơn. Nó chắc chắn đáng để sử dụng một mật khẩu an toàn hơn, ngay cả khi bạn phải ghi nó ra giấy.

Mật khẩu của bạn nên sử dụng kết hợp chữ hoa và chữ thường, số và ký hiệu. Sẽ là tốt nhất nếu bạn không dựa vào các từ trong từ điển hoặc thông tin cá nhân, có thể đoán được như địa chỉ của bạn hoặc tên thành viên trong gia đình.

Trong trường hợp tốt nhất, mật khẩu của bạn sẽ là một chuỗi ký tự ngẫu nhiên dài, rối rắm. Chúng tôi thực sự khuyên bạn nên sử dụng trình quản lý mật khẩu. Sử dụng một trang web như 1Password hoặc LastPass để tạo mật khẩu an toàn, không thể xác nhận.

Bạn có thể cập nhật mật khẩu và email của mình trong WordPress bằng cách đi tới Người dùng > Tất cả người dùng hoặc chuyển thẳng đến Người dùng > Hồ sơ . Cuộn xuống và tìm Email trong Thông tin liên hệ và Mật khẩu mới trong Quản lý tài khoản .

Khi bạn đang ở trên trang Người dùng , hãy xem tất cả người dùng của bạn và đảm bảo rằng không có ai ở đó mà bạn không nhận ra hoặc có quyền không phù hợp. Bạn nên xóa ngay lập tức bất kỳ người dùng không xác định nào có quyền quản trị viên.

Chúng tôi cũng khuyến khích bạn xem hướng dẫn này về việc hạn chế quyền của người dùng để chỉ tài khoản của bạn mới có thể thay đổi các tệp nhạy cảm trên trang web của bạn.

Kiểm tra chứng chỉ SSL của bạn

Nếu chứng chỉ SSL của bạn đã hết hạn, bạn thường sẽ biết ngay lập tức; các trình duyệt như Google Chrome sẽ chặn quyền truy cập vào trang web của bạn với một cảnh báo rất lớn về chứng chỉ đã hết hạn. Nếu bạn không chắc chắn hoặc đã gặp lỗi này, hãy kiểm tra chứng chỉ SSL của bạn để xem liệu chứng chỉ này có được cập nhật hay không và liệu bạn có đang sử dụng phiên bản SSL / TLS mới nhất hay không.

Khi truy cập một trang web, bạn sẽ thấy biểu tượng ổ khóa trong thanh địa chỉ trên hầu hết các trình duyệt. Nếu chứng chỉ của bạn hết hạn, khóa này có thể có màu đỏ hoặc có dấu gạch chéo.

Nhấp vào biểu tượng khóa, sau đó nhấp lại để xem thông tin chứng chỉ, bao gồm cả ngày hết hạn của chứng chỉ.

Bạn cũng có thể sử dụng trình kiểm tra chứng chỉ SSL để quét trang web của mình để đảm bảo rằng chứng chỉ của bạn không hết hạn và không có lỗ hổng bảo mật nào trong giao thức SSL của bạn.

Các lỗ hổng phổ biến

Nhiều trang web WordPress chứa đầy các vectơ nhỏ cho các cuộc tấn công có vẻ vô hại nhưng có thể cung cấp nhiều thông tin hơn những gì bạn muốn chia sẻ.

Việc có một phiên bản WordPress hiển thị trong giao diện người dùng của bạn sẽ cho tin tặc biết chính xác những lỗ hổng nào hiện có trên trang web của bạn. Đặc biệt nếu bạn đang sử dụng phiên bản WordPress lỗi thời, bạn có thể muốn ẩn thông tin này.

Bạn sẽ thấy các trình chỉnh sửa tệp trong Giao diện > Trình chỉnh sửa chủ đề và Trình cắm > Trình chỉnh sửa trình cắm trong phần phụ trợ của bạn.

Mặc dù những công cụ này rất tiện lợi, nhưng nó cũng phù hợp cho bất kỳ ai hack trang web của bạn để phá vỡ điều gì đó, vì vậy bạn có thể muốn tắt chúng đi. Bạn có thể làm như vậy bằng cách thêm chức năng này vào wp-config.php :

define( 'DISALLOW_FILE_EDIT', true );

Chèn SQL là một cách phổ biến để xâm nhập vào một trang web. Nếu bạn có bất kỳ biểu mẫu nào hoặc thông tin người dùng nhập khác, hãy hạn chế sử dụng các ký tự đặc biệt và chỉ cho phép tải lên các loại tệp an toàn, phổ biến.

Cuối cùng, để có thêm một lớp bảo vệ, bạn có thể bảo vệ thư mục tệp bằng mật khẩu.

Cách bảo mật trang web của bạn: Mẹo và công cụ

Nếu trang web của bạn có phần mềm độc hại, một plugin bảo mật tốt sẽ thực hiện thủ thuật xóa nó. Và chúng tôi đã đề cập ở trên một số lỗ hổng bảo mật mà bạn muốn kiểm tra.

Kiểm tra Hướng dẫn bằng video của chúng tôi để bảo mật trang web của bạn

Chúng tôi có một số mẹo nhanh khác để bảo mật trang web của bạn và ngăn ngừa lây nhiễm trước khi nó có thể xảy ra. Bạn có thể áp dụng hầu hết các mẹo này trong vài phút, vì vậy chúng sẽ dễ dàng thiết lập ngay cả khi bạn không quen với WordPress và bảo mật web.

Chọn một máy chủ an toàn

Khi tin tặc đang thăm dò tìm đường vào trang web của bạn, chúng thường sẽ quay sang máy chủ để tìm kiếm các hành vi khai thác. Có rất nhiều dịch vụ lưu trữ giá rẻ, nhưng không phải lúc nào họ cũng đầu tư vào các máy chủ an toàn nhất.

Chia sẻ lưu trữ có thể là một vector lây nhiễm. Nếu một trang web bị nhiễm phần mềm độc hại, nó có thể lây lan sang mọi trang web trên máy chủ. Vì vậy, bạn có thể kết thúc với một trang web đầy vi rút và spam SEO, và đó thậm chí không phải lỗi của bạn.

Đó là lý do tại sao điều quan trọng là phải thực hiện nghiên cứu của bạn và chọn một máy chủ quan tâm đến bảo mật và đầu tư vào các máy chủ an toàn. Bạn vẫn cần thực hiện công việc để bảo mật trang web của mình, nhưng ở cấp máy chủ, dữ liệu của bạn được an toàn.

Bật Xác thực hai bước (2FA)

Xác thực hai bước (còn được gọi là xác thực hai yếu tố hoặc 2FA) thêm một bước đăng nhập khác. Bên cạnh tên người dùng và mật khẩu, bạn hoặc bất kỳ ai giả danh bạn cũng sẽ cần một thông tin khác: một mã bổ sung duy nhất.

Nó có thể là một mã số được gửi đến điện thoại của bạn, điều này có thể khiến tài khoản WordPress của bạn gần như không thể theo dõi thông qua vũ lực. Ngoài ra, nó có thể yêu cầu xác minh email hoặc một phần thông tin chỉ bạn biết.

Mặc dù không có cách tích hợp nào để kích hoạt xác thực hai yếu tố, nhưng nhiều plugin bổ sung chức năng cho WordPress.

Kinsta cung cấp xác thực hai yếu tố cho tất cả khách hàng. Tuy nhiên, nếu bạn không phải là người dùng Kinsta, thì plugin bảo mật Wordfence mà chúng tôi đã đề cập trước đó được tích hợp sẵn 2FA. Bạn cũng có thể thử các công cụ bảo mật trang web khác, như plugin Hai yếu tố cho mã email hoặc Duo để thiết lập xác thực điện thoại hai yếu tố thông qua một ứng dụng.

Sao lưu mỗi ngày

Việc sao lưu trang web của bạn không thể cứu nó khỏi những người cố gắng đột nhập, nhưng nếu có điều gì đó xảy ra, việc có một bản sao lưu sẽ là vô giá. Nó có thể có nghĩa là sự khác biệt giữa việc mất hàng tuần hoặc thậm chí hàng năm làm việc và chỉ cần khôi phục lại bản sao lưu từ trước khi bị hack.

Nếu bạn sử dụng Kinsta, chúng tôi sẽ hỗ trợ bạn bằng các bản sao lưu tự động hàng ngày được lưu trữ trong hai tuần (30 ngày đối với những người sử dụng Chương trình đối tác đại lý của Kinsta). Ngoài ra, bạn có thể tạo năm bản sao lưu thủ công và một bản sao lưu có thể tải xuống mỗi tuần và có các tiện ích bổ sung tùy chọn để sao lưu hàng giờ hoặc xuất lên đám mây.

Các plugin như UpdraftPlus cũng có thể giúp ích. Tốt nhất bạn nên chọn dịch vụ sao lưu hàng ngày ở mức tối thiểu để giảm thiểu mất mát dữ liệu.

Sử dụng tường lửa ứng dụng web

Tường lửa ứng dụng web, hoặc WAF, sử dụng các quy tắc nghiêm ngặt để lọc lưu lượng đến, chặn các IP được biết là có liên quan đến các cuộc tấn công hack hoặc DDoS. Nó ngăn chặn nhiều cuộc tấn công đến máy chủ của bạn.

Mặc dù bạn có thể áp dụng WAF ở cấp máy chủ, nhưng dễ nhất là mua một dịch vụ dựa trên đám mây, chẳng hạn như dịch vụ do Cloudflare hoặc Sucuri cung cấp.

Kết nối qua SSH hoặc SFTP

Đôi khi bạn cần kết nối với trang web của mình bằng FTP để thêm hoặc sửa đổi các tệp ở đó. Sử dụng SFTP qua FTP luôn tốt hơn; sự khác biệt rất đơn giản: SFTP là an toàn, còn FTP thì không.

Với FTP, dữ liệu của bạn không được mã hóa. Nếu ai đó quản lý để chặn kết nối giữa bạn và máy chủ của bạn, họ có thể thấy mọi thứ từ thông tin xác thực đăng nhập FTP của bạn đến bất kỳ tệp nào bạn tải lên. Luôn kết nối với SFTP.

Bạn cũng có thể cân nhắc sử dụng quyền truy cập SSH, cho phép bạn kết nối với dấu nhắc lệnh và quản lý trang web của mình trực tiếp hơn. Nó an toàn, bảo mật và có thể xử lý từ xa các tác vụ đơn giản. Hướng dẫn của chúng tôi về SSH có thể giúp ích nếu bạn gặp khó khăn.

Ngăn chặn các cuộc tấn công DDoS

Các cuộc tấn công DDoS làm chậm quá trình thu thập dữ liệu trang web của bạn bằng cách gửi thư rác vào máy chủ của bạn với hàng nghìn yêu cầu không có thật, ngăn không cho người đọc hoặc khách hàng tiềm năng truy cập vào nó. Dưới đây là một số mẹo để ngăn chặn chúng trước khi chúng xảy ra:

• Chuẩn bị sẵn kế hoạch cho thời điểm xảy ra cuộc tấn công DDoS. Bạn không muốn phải hoảng sợ khi cần thông báo cho máy chủ web của mình và dừng cuộc tấn công.
• Sử dụng tường lửa ứng dụng web có thể phát hiện lưu lượng truy cập giả mạo.
• Sử dụng phần mềm chống DDoS được thiết kế riêng.
• Tắt xmlrpc.php để ngăn các ứng dụng của bên thứ ba sử dụng máy chủ của bạn.
• Tắt API REST cho người dùng thông thường.

Ngăn chặn các cuộc tấn công vũ phu

Các cuộc tấn công Brute force có thể tương tự như các cuộc tấn công DDoS, nhưng mục đích là để đoán mật khẩu quản trị của bạn và đột nhập vào trang web chứ không phải đưa máy chủ của bạn xuống. Điều đó nói rằng, những điều này cũng có thể làm chậm trang web của bạn.

• Một lần nữa, WAF có thể lọc ra lưu lượng truy cập của bot và các nỗ lực vũ phu trắng trợn.
• Sử dụng xác thực hai bước trên tài khoản quản trị của bạn.
• Thiết lập nhật ký hoạt động và theo dõi các nỗ lực đăng nhập trái phép.
• Thay đổi URL trang đăng nhập và giới hạn số lần đăng nhập.
• Bảo vệ bằng mật khẩu trang đăng nhập của bạn.
• Sử dụng một mật khẩu dài, được tạo ngẫu nhiên và thay đổi nó hàng năm hoặc lâu hơn.

Các công cụ bảo mật trang web bạn cần biết

Bên cạnh những công cụ chúng tôi đã đề cập, đây là một số công cụ bảo mật trực tuyến khác sẽ giúp bạn khóa trang web của mình:

• Intruder.io: Quét các lỗ hổng bảo mật mới nhất.
• Kiểm tra máy chủ SSL: Công cụ dành cho nhà phát triển phân tích chứng chỉ SSL của bạn và xác định các điểm yếu.
• HTML Purifier: Lọc ra mã độc hại / XSS, tuyệt vời nếu bạn có mã bị nhiễm mà bạn cần phải dọn dẹp.
• Đài quan sát Mozilla: Lời khuyên hữu ích để xóa mã của bạn về các lỗ hổng phổ biến.
• sqlmap: Một công cụ kiểm tra thâm nhập để xác định các khai thác trong mã SQL của bạn.
• Phát hiện: Quét các ứng dụng web của bạn với sự trợ giúp của các tin tặc có đạo đức.
• WPScan: Một trình quét WordPress dựa trên CLI.
• SonarQube: Viết mã tuân thủ tiêu chuẩn không có lỗ hổng bảo mật.

Danh sách kiểm tra bảo mật trang web

Trang web của bạn có an toàn khỏi bị tấn công không? Đảm bảo rằng bạn đã đánh dấu hầu hết mọi thứ trong danh sách kiểm tra này:

• Bạn có đang sử dụng một môi trường lưu trữ an toàn, chất lượng cao không?
• Bạn đã quét trang web của mình bằng plugin hoặc trình quét trực tuyến để kiểm tra vi rút chưa?
• Bạn đã cài đặt nhật ký hoạt động chưa và bạn có đang theo dõi nó để phát hiện những thay đổi bất thường không?
• Bạn và bất kỳ người dùng nào có đặc quyền cấp cao sử dụng mật khẩu an toàn và xác thực hai yếu tố? Tất cả các email có đúng không?
• WordPress, các chủ đề và plugin của nó cũng như các hệ thống cơ bản như PHP có được cập nhật không?
• Chứng chỉ SSL của bạn có an toàn và cập nhật không?
• Bạn đã kiểm tra các thay đổi không thể giải thích được, việc xóa hoặc bổ sung nội dung hoặc các liên kết mà bạn không thêm vào các trang web, cài đặt hoặc tệp của mình chưa?
• Trang đăng nhập của bạn có được bảo vệ bằng mật khẩu và số lần đăng nhập hạn chế không?
• Bạn đã kiểm tra những người dùng mới mà bạn không thêm vào chưa?
• Biểu mẫu, hộp nhận xét và các nguồn nhập liệu khác của người dùng có được bảo mật không? (Không cho phép các ký tự đặc biệt và hạn chế tải tệp lên đối với các loại tệp đã biết.)
• Bạn đã tắt xmlrpc.php và API REST để ngăn chặn các cuộc tấn công DDoS chưa?
• Bạn đã tắt chỉnh sửa chủ đề và plugin trong trang tổng quan chưa?
• Bạn có dịch vụ sao lưu hàng ngày tại chỗ không?
• Bạn đã thiết lập tường lửa ứng dụng web chưa?

Bản tóm tắt

Bảo mật trang web không phải là vấn đề nhỏ, vì vậy nếu bạn vẫn chưa quan tâm đến nó, thì bây giờ là lúc ưu tiên nó. Bị tấn công không chỉ gây khó chịu – nó có thể kết thúc bằng SEO bị hỏng, mất dữ liệu nghiêm trọng, mất lòng tin của người dùng và phần mềm độc hại quay lại nhiều lần.

Bạn không cần phải là một nhà phát triển dày dạn kinh nghiệm để thực hiện thêm một số bước để bảo mật trang web của mình. Và điều đó bắt đầu với việc kiểm tra bảo mật trang web thích hợp. Ngay cả những điều đơn giản như chọn một mật khẩu tốt hơn hoặc chuyển sang một máy chủ an toàn hơn cũng có thể tạo nên sự khác biệt.

Cần thêm các mẹo bảo mật? Tìm hiểu thêm về 19 cách để bảo mật trang web của bạn. Và hãy chia sẻ đề xuất của bạn trong phần bình luận bên dưới!