DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Lời khuyên hàng đầu trong việc bảo vệ hệ thống quản lý nội dung (WordPress, Joomla, ...)
Đối với bất kỳ ai quản lý nội dung trang web, việc có một hệ thống quản lý nội dung (CMS) là điều gần như cần thiết. Một CMS cho phép quản lý nội dung nhanh chóng và dễ dàng, cho dù đó là một blog, trang web cập nhật các sự kiện hoặc tin tức.
Nhiều giải pháp CMS nguồn mở có sẵn rộng rãi và có thể chỉnh sửa hoàn toàn, nhưng chúng có một nhược điểm về mặt bảo mật và có thể gặp rủi ro do những điểm yếu có thể tìm thấy trong mã nguồn. Nghiên cứu được thực hiện bởi EnableSecurity cho thấy trong số khoảng 40.000 trang web WordPress, khoảng 30.000 trang web dễ bị khai thác bảo mật và tất cả đều bị phát hiện sử dụng các công cụ tự động miễn phí. Nghiên cứu cũng nhấn mạnh rằng 75% các trang web WordPress dễ bị tổn thương và cần chú ý đến việc cần nâng cấp đáng kể các khía cạnh bảo mật của một hệ thống quản lý nội dung.
Lời khuyên để bảo vệ hệ thống quản trị nội dung
Cập nhật và vá lỗi: nhận thông báo về một bản vá hoặc cập nhật? Hành động ngay lập tức! Không còn nghi ngờ gì nữa đối với CMS của bạn hoặc bất kỳ phần mềm nào khác, đây là một điều tuyệt đối phải làm. Tương tự, đối với các trang web như WordPress có sử dụng plugin, luôn đảm bảo phiên bản mới nhất đang được sử dụng. Để bảo mật hơn, hãy tiến hành phân tích rủi ro trên bất kỳ phần mềm và plugin nào.
Các bản vá cần phải được áp dụng ngay khi chúng được phát hành để phòng ngừa với bất kỳ kẻ tấn công mạng tiềm năng nào nhắm vào hệ thống không cập nhật của bạn thông qua các lỗ hổng được công khai. Hãy đặc biệt thận trọng và cẩn thận hơn khi thực hiện cập nhật vì một số tính năng có thể ảnh hưởng đến hiệu suất của trang web và thậm chí có thể tạo ra một loạt các lỗ hổng mới.
Một phương pháp tốt là áp dụng các bản cập nhật trong môi trường thử nghiệm, chẳng hạn như bản sao lưu ngoại tuyến của trang web, quá trình này có thể sẽ tiết lộ bất kỳ tác động tiêu cực tiềm ẩn nào gây ra bởi các bản cập nhật và bản vá có thể ảnh hưởng đến trang web.
Thực hiện sao lưu thường xuyên: nếu tất cả dữ liệu trang web bị mất, kết quả sẽ ra sao? Nếu không có bản sao lưu, đặc biệt là với các hệ thống quản lý nội dung, dữ liệu đó sẽ bị mất vĩnh viễn. Sao lưu là cực kỳ quan trọng vì hai lý do chính. Thứ nhất, trong trường hợp bị tấn công mạng, việc sao lưu cho phép khôi phục nhanh chóng và an toàn trang web và dữ liệu của nó. Trang web càng thường xuyên được sao lưu, dữ liệu càng ít có nguy cơ bị mất. Thứ hai, giữ một bản sao lưu dữ liệu trước khi cập nhật bất kỳ plugin hoặc chính CMS. Nếu bản cập nhật không tương thích với một số thành phần của trang web của bạn và không sử dụng môi trường thử nghiệm, có khả năng mất tất cả dữ liệu. Một bản sao lưu trước bản vá sẽ tránh mọi hỏng hóc hoặc mất dữ liệu. Ngoài ra, nếu kẻ tấn công có quyền truy cập vào trang web của bạn, nhúng mã ẩn trong trang web làm cửa hậu, bản sao lưu trước khi bị xâm nhập sẽ tiết kiệm nhiều giờ thủ công để kiểm tra từng dòng mã để phát hiện bất kỳ lỗi nào. Nếu các cuộc tấn công vào trang web; chúng ta chỉ cần tải lên bản sao lưu.
Bảo mật tài khoản quản trị CMS: một số lượng lớn các trang web trên toàn thế giới sử dụng các nền tảng CMS phổ biến, như WordPress và Joomla, với giao diện quản trị dễ sử dụng, nhưng chúng cũng có thể dễ bị tấn công. Trong khi đường dẫn đến các giao diện quản trị có thể được thay đổi để bảo mật dữ liệu hơn nữa, có những chương trình tự động, miễn phí được gọi là trình thu thập thông tin và trình thu thập dữ liệu có thể dễ dàng tìm thấy đường dẫn của giao diện quản trị viên đó.
Đối với các nền tảng CMS sẽ được nhiều người sử dụng để quản lý nội dung, các chiến lược quản lý truy cập và quyền của người dùng theo những gì họ có thể và không thể truy cập trên CMS nên được đặt để tránh bất kỳ điểm yếu nào trong hệ thống mở cho các cuộc tấn công được nhắm mục tiêu. Đó là một thực tiễn tốt để thực hiện chiến lược quản lý truy cập: nên thực hiện đánh giá rủi ro cho từng cấp của tài khoản đặc quyền sẽ cho biết các khu vực mà người dùng đã được cấp quyền truy cập và đảm bảo rằng người dùng không được ủy quyền không được phép truy cập vào một số khu vực nhất định, không nên trao quá nhiều quyền cho người dùng.
Ví dụ: một tạp chí có thể tạo tài khoản quản trị viên CMS để các nhà báo tải lên các bài báo, nhưng không được phép cho phép họ chỉnh sửa bất kỳ nội dung nào khác. Tương tự, để tránh bị chiếm đoạt tài khoản, mật khẩu quản trị viên CMS phải mạnh nhất có thể. Các từ trong từ điển không nên được sử dụng trong mật khẩu và một loạt các ký tự và số đặc biệt nên được bao gồm trong mật khẩu.
Việc triển khai xác thực hai yếu tố (2FA) vào các trang đăng nhập CMS của bạn sẽ thêm một lớp bảo mật khác. Bất cứ ai có quyền truy cập vào nền tảng CMS thông qua bất kỳ thiết bị nào cũng sẽ yêu cầu mã để vào CMS, khiến việc truy cập vào một khu vực trái phép gần như không thể, trừ khi nhận mã xác thực hai yêu tôi bị đã bị hack.
Chứng chỉ SSL: có chứng chỉ SSL cho thấy trang web này an toàn và bảo mật. Chứng chỉ SSL có thể bảo vệ bất kỳ dữ liệu nào di chuyển giữa trình duyệt của máy khách và máy chủ web, tránh các cuộc tấn công mạng trung gian (MITM) hoặc đánh cắp thông tin đăng nhập bằng văn bản thuần túy.
Nhiều giải pháp CMS nguồn mở có sẵn rộng rãi và có thể chỉnh sửa hoàn toàn, nhưng chúng có một nhược điểm về mặt bảo mật và có thể gặp rủi ro do những điểm yếu có thể tìm thấy trong mã nguồn. Nghiên cứu được thực hiện bởi EnableSecurity cho thấy trong số khoảng 40.000 trang web WordPress, khoảng 30.000 trang web dễ bị khai thác bảo mật và tất cả đều bị phát hiện sử dụng các công cụ tự động miễn phí. Nghiên cứu cũng nhấn mạnh rằng 75% các trang web WordPress dễ bị tổn thương và cần chú ý đến việc cần nâng cấp đáng kể các khía cạnh bảo mật của một hệ thống quản lý nội dung.
Lời khuyên để bảo vệ hệ thống quản trị nội dung
Cập nhật và vá lỗi: nhận thông báo về một bản vá hoặc cập nhật? Hành động ngay lập tức! Không còn nghi ngờ gì nữa đối với CMS của bạn hoặc bất kỳ phần mềm nào khác, đây là một điều tuyệt đối phải làm. Tương tự, đối với các trang web như WordPress có sử dụng plugin, luôn đảm bảo phiên bản mới nhất đang được sử dụng. Để bảo mật hơn, hãy tiến hành phân tích rủi ro trên bất kỳ phần mềm và plugin nào.
Các bản vá cần phải được áp dụng ngay khi chúng được phát hành để phòng ngừa với bất kỳ kẻ tấn công mạng tiềm năng nào nhắm vào hệ thống không cập nhật của bạn thông qua các lỗ hổng được công khai. Hãy đặc biệt thận trọng và cẩn thận hơn khi thực hiện cập nhật vì một số tính năng có thể ảnh hưởng đến hiệu suất của trang web và thậm chí có thể tạo ra một loạt các lỗ hổng mới.
Một phương pháp tốt là áp dụng các bản cập nhật trong môi trường thử nghiệm, chẳng hạn như bản sao lưu ngoại tuyến của trang web, quá trình này có thể sẽ tiết lộ bất kỳ tác động tiêu cực tiềm ẩn nào gây ra bởi các bản cập nhật và bản vá có thể ảnh hưởng đến trang web.
Thực hiện sao lưu thường xuyên: nếu tất cả dữ liệu trang web bị mất, kết quả sẽ ra sao? Nếu không có bản sao lưu, đặc biệt là với các hệ thống quản lý nội dung, dữ liệu đó sẽ bị mất vĩnh viễn. Sao lưu là cực kỳ quan trọng vì hai lý do chính. Thứ nhất, trong trường hợp bị tấn công mạng, việc sao lưu cho phép khôi phục nhanh chóng và an toàn trang web và dữ liệu của nó. Trang web càng thường xuyên được sao lưu, dữ liệu càng ít có nguy cơ bị mất. Thứ hai, giữ một bản sao lưu dữ liệu trước khi cập nhật bất kỳ plugin hoặc chính CMS. Nếu bản cập nhật không tương thích với một số thành phần của trang web của bạn và không sử dụng môi trường thử nghiệm, có khả năng mất tất cả dữ liệu. Một bản sao lưu trước bản vá sẽ tránh mọi hỏng hóc hoặc mất dữ liệu. Ngoài ra, nếu kẻ tấn công có quyền truy cập vào trang web của bạn, nhúng mã ẩn trong trang web làm cửa hậu, bản sao lưu trước khi bị xâm nhập sẽ tiết kiệm nhiều giờ thủ công để kiểm tra từng dòng mã để phát hiện bất kỳ lỗi nào. Nếu các cuộc tấn công vào trang web; chúng ta chỉ cần tải lên bản sao lưu.
Bảo mật tài khoản quản trị CMS: một số lượng lớn các trang web trên toàn thế giới sử dụng các nền tảng CMS phổ biến, như WordPress và Joomla, với giao diện quản trị dễ sử dụng, nhưng chúng cũng có thể dễ bị tấn công. Trong khi đường dẫn đến các giao diện quản trị có thể được thay đổi để bảo mật dữ liệu hơn nữa, có những chương trình tự động, miễn phí được gọi là trình thu thập thông tin và trình thu thập dữ liệu có thể dễ dàng tìm thấy đường dẫn của giao diện quản trị viên đó.
Đối với các nền tảng CMS sẽ được nhiều người sử dụng để quản lý nội dung, các chiến lược quản lý truy cập và quyền của người dùng theo những gì họ có thể và không thể truy cập trên CMS nên được đặt để tránh bất kỳ điểm yếu nào trong hệ thống mở cho các cuộc tấn công được nhắm mục tiêu. Đó là một thực tiễn tốt để thực hiện chiến lược quản lý truy cập: nên thực hiện đánh giá rủi ro cho từng cấp của tài khoản đặc quyền sẽ cho biết các khu vực mà người dùng đã được cấp quyền truy cập và đảm bảo rằng người dùng không được ủy quyền không được phép truy cập vào một số khu vực nhất định, không nên trao quá nhiều quyền cho người dùng.
Ví dụ: một tạp chí có thể tạo tài khoản quản trị viên CMS để các nhà báo tải lên các bài báo, nhưng không được phép cho phép họ chỉnh sửa bất kỳ nội dung nào khác. Tương tự, để tránh bị chiếm đoạt tài khoản, mật khẩu quản trị viên CMS phải mạnh nhất có thể. Các từ trong từ điển không nên được sử dụng trong mật khẩu và một loạt các ký tự và số đặc biệt nên được bao gồm trong mật khẩu.
Việc triển khai xác thực hai yếu tố (2FA) vào các trang đăng nhập CMS của bạn sẽ thêm một lớp bảo mật khác. Bất cứ ai có quyền truy cập vào nền tảng CMS thông qua bất kỳ thiết bị nào cũng sẽ yêu cầu mã để vào CMS, khiến việc truy cập vào một khu vực trái phép gần như không thể, trừ khi nhận mã xác thực hai yêu tôi bị đã bị hack.
Chứng chỉ SSL: có chứng chỉ SSL cho thấy trang web này an toàn và bảo mật. Chứng chỉ SSL có thể bảo vệ bất kỳ dữ liệu nào di chuyển giữa trình duyệt của máy khách và máy chủ web, tránh các cuộc tấn công mạng trung gian (MITM) hoặc đánh cắp thông tin đăng nhập bằng văn bản thuần túy.