Chúng ta đã biết đến các kiểu bảo mật website cơ bản như HTTPS, cài đặt plugin hay sử dụng mật khẩu mạnh,… Nhưng đối với một website chứa nhiều thông tin khách hàng như website du lịch thì chỉ như vậy thôi là chưa đủ mà cần phải thực hiện các bước phức tạp hơn nữa để có thể bảo vệ website của mình một cách tối đa. Sau đây, WEBTRAVEL sẽ đưa ra 5 bước nâng cao để bảo mật website du lịch của bạn khỏi tin tặc.
1. Hãy thận trọng khi chấp nhận tải lên tệp tin thông qua website du lịch của bạn
Khi bất cứ ai có tùy chọn tải một cái gì đó lên website du lịch của bạn, họ có thể sẽ lạm dụng đặc quyền bằng cách tải một tệp tin độc hại, ghi đè lên một trong các tệp hiện quan trọng đối với website của bạn hoặc tải lên một tệp lớn đến mức làm hỏng toàn bộ website của bạn.
Nếu có thể, chỉ cần không chấp nhận bất kỳ tệp tin tải lên thông qua website của bạn. Nhiều website du lịch của các doanh nghiệp nhỏ có thể nhận được mà không cần cung cấp tùy chọn tải lên tệp.
Nhưng loại bỏ phần tải lên tệp tin không phải làm một lựa chọn hoàn hảo cho tất cả các web du lịch chuyên nghiệp. Nếu bạn cần cho phép tải lên tệp tin, hãy thực hiện một vài bước để đảm bảo bạn có thể tự bảo vệ mình:
- Tạo một danh sách trắng các phần mở rộng tập tin được phép. Bằng cách chỉ định loại tệp nào bạn sẽ chấp nhận, loại tệp đáng ngờ nào bạn sẽ loại bỏ.
- Sử dụng xác minh loại tệp: Tin tặc cố gắng tìm kiếm các bộ lọc trong danh sách trắng bằng cách đổi tên các tài liệu có phần mở rộng khahcs với loại tài liệu thực sự hoặc thêm dấu chấm hoặc dấu cách vào tên tệp.
- Đặt kích thước tệp tối đa: Tránh các cuộc tấn công từ chối dịch vụ phân tán (DDoS) bằng cách từ chối bất kỳ tệp nào có kích thước nhất định.
- Quét các tập tin cho phần mềm độc hại: Sử dụng phần mềm chống vi-rút để kiểm tra tất cả các tập tin trước khi mở
- Tự động đổi tên tập tin khi tải lên: Tin tặc sẽ không thể truy cập lại tệp của họ nếu nó có tên khác khi họ tìm kiếm nó.
- Giữ thư mục tải lên bên ngoài webroot: điều này giúp tin tặc không thể truy cập website của bạn thông qua tệp họ tải lên.
Các bước này có thể loại bỏ hầu hết các lỗ hổng vốn có trong việc cho phép tải tệp lên trang.
2. Sử dụng truy vấn tham số
SQL hay ngôi ngữ truy vấn mang tính cấu trúc, là một loại ngôn ngữ máy tính phổ biến để tạo, sửa và lấy dữ liệu từ một hệ quản trị cơ sở dữ liệu quan hệ.
Việc tiêm SQL có thể phát huy tác dụng nếu bạn có một biểu mẫu website hoặc tham số URL cho phép người dùng bên ngoài cung cấp thông tin. Nếu bạn để các tham số quá rộng, tin tặc có thể chèn mã vào chúng. Điều quan trọng là bải vệ website của bạn tránh khỏi điều này vì lượng thông tin khách hàng nhạy cảm có thể lưu trữ trong cơ sở dữ liệu của bạn.
Có một số bước bạn có thể thực hiện để bảo vệ website du lịch của mình khỏi các bản hack SQL, một trong những điều quan trọng nhất và dễ thực hiện nhất là việc sử dụng các truy vấn được tham số hóa. Sử dụng các truy vấn được tham số hóa đảm bảo mã của bạn có các tham số đủ cụ thể để không có chỗ cho tin tặc gây rối với chúng.
3. Sử dụng CSP
Các cuộc tấn công XSS là một hack khác bạn cần phải đề phòng. Tin tặc sẽ tìm cách đưa mã JavaScript độc hại và website của bạn, từ đó có thể lây nhiễm vào thiết bị của bất kì khách truy cập nào tiếp xúc với mã này.
Chính sách bảo mật nội dung (CSP) là một công cụ tiện dụng có thể giúp bảo về website của bạn khỏi XSS. CSP cho phép bạn chỉ định miền nào mà trình duyệt nên xem xét các nguồn tập lệnh thực thi hợp lệ khi ở trên trang của bạn. Trình duyệt sau đó sẽ chú ý đến bất kì tập lệnh độc hại hoặc phần mềm độc hại nào có thể lây nhiễm vào máy tính của khách truy cập website du lịch chuyên nghiệp của bạn.
4. Khóa quyền truy cập thư mục
Tất cả các website du lịch có thể được đưa vào một loạt các tệp và thư mục được lưu trữ trên tài khoản lưu trữ website của bạn. Bên cạnh việc chứa tất cả các tập lệnh và dữ liệu cần thiết để làm cho website du lịch hoạt động, mỗi tệp và thư mục này sẽ được gắn một bộ quyền kiểm soát những người có thể đọc, viết và thực thi cho bất kỳ tệp hoặc thư mục cụ thể nào.
Trên hệ điều hành Linux, các quyền có thể xem được dưới dạng mã ba chữ số, trong đó mỗi chữ số là một số nguyên trong khoảng 0-7. Chữ chố đầu tiên thể hiện quyền chp chủ sở hữu tệp, thứ hai cho bất kỳ ai được gán cho nhóm sở hữu tệp và thứ ba cho người khác:
- 4 bằng đọc
- 2 bằng viết
- 1 bằng thực thi
- 0 bằng không có quyền cho người dùng đó
Ví dụ: lấy mã cấp phép CẠNH 644. Trong trường hợp này, một 6 (4 hoặc 2) ở vị trí đầu tiên cung cấp cho chủ sở hữu tệp khả năng đọc và ghi tệp. Số 4 ở vị trí thứ hai và thứ ba có nghĩa là cả người dùng nhóm và người dùng internet nói chung chỉ có thể đọc tệp – bảo vệ tệp khỏi các thao tác không mong muốn.
Một tệp được gắn mã cấp phép cung cấp cho bất kì ai trên website khả năng viết và thực thi nó sẽ kém an toàn hơn nhiều só với tệp đã bị khóa để chỉ bảo lưu tất cả các quyền cho chủ sở hữu. Tất nhiên, có những lý do hợp lệ để mở ra quyền truy cập vào các nhóm người dùng khác nhưng những trường hợp này phải được xem xét cẩn thận để tránh tạo ra rủi ro bảo mậ website.
Vì lý do này, một nguyên tắc nhỏ là đặt quyền của bạn như sau:
- Thư mục và thư mục = 755
- Các tệp riêng lẻ = 644
5. Thông báo lỗi của bạn phải đơn giản nhưng hữu ích
Thông báo lỗi chi tiết có thể sẽ hữu ích trong nội bộ, giúp bạn xác định những gì đang xảy ra để bạn biết cách khắc phục. Nhưng khi những thông báo lỗi đó được hiển thị cho khách truy cập bên ngoài, họ có thể tiết lộ thông tin nhạy cảm cho biết một hacker tấn công chính xác vào các lỗ hổng của website.
Hãy cẩn thận những thông tin bạn cung cấp trong thông báo lỗi, vì vậy bạn không nên cung cấp thông tin chi tiết để tạo điều kiện cho hacker tấn công mình. Thông báo lỗi của bạn đủ đơn giản để không tiết lộ quá nhiều nhưng cũng tránh sự mơ hồ, vì vậy khách truy cập của bạn vẫn có thể tìm hiểu đủ thông tin từ thông báo lỗi để biết phải làm gì tiếp theo.
Bảo vệ website du lịch của bạn và học cách bảo vệ chống lại tin tặc là một phần quan trọng trong việc giữ cho các website của bạn an toàn trong thời gian dài. Trên đây là các bước nâng cao để bảo vệ website du lịch khỏi tin tặc mà WEBTRAVEL đưa ra. Hy vọng bài viết này hữu ích với bạn.
.png)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
(1).jpg)
.png)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
