Đây là bài đăng thứ hai của loạt bài về các bước để giữ site luôn sạch và an toàn. Trong bài đăng đầu tiên, chúng ta đã nói về Các điểm truy cập; ở đây chúng tôi sẽ cung cấp thông tin chi tiết hơn về Cập nhật.
Cập nhật
Nhiều lần chúng tôi thấy các trang web bị nhiễm hoặc tái nhiễm khi các cập nhật bảo mật quan trọng không được xem xét nghiêm túc. Hầu hết các bản cập nhật phần mềm được tạo do vi phạm bảo mật đã được khắc phục. Cập nhật lên phiên bản mới giúp trang web của bạn tránh khỏi sự khai thác các lỗ hổng có khả năng gây ảnh hưởng đến trang web của bạn. Nếu những lỗ hổng này không được cập nhật, trang web của bạn vẫn có nguy cơ bị nhiễm nhiều loại phần mềm độc hại. Cập nhật phiên bản mới nhất sẽ giúp bạn giảm bớt nhiều rủi ro và nguy cơ tiểm ẩn trong tương lai khi tin tặc muốn tận dụng lợi thế lỗ hổng mới của họ trên trang web của bạn.
Trang web nhỏ là mục tiêu tấn công
Lỗ hổng phần mềm và kiểm soát truy cập làm cho các trang web nhỏ trở thành mục tiêu lớn trong mắt của hacker. Báo cáo xu hướng trang web bị tấn công mới nhất của Sucuri cho thấy rằng phần mềm lỗi thời gây ảnh hưởng đáng kể đến khả năng trang web bị tấn công. Mặc dù số lượng trang web lỗi thời đã giảm từ Quý 3 năm 2016 đến cả năm 2017 nhưng chúng vẫn còn tồn tại khá nhiều.
Nội dung cập nhật
Dưới đây là một số gợi ý về những gì bạn nên cập nhật:
- Hệ thống quản lý nội dung
- Plugin
- Chủ đề
- Tiện ích mở rộng
- Máy chủ
- Hệ thống quản lý nội dung (Content Management Systems-CMS)
Bao gồm WordPress, Magento, Joomla, Drupal và bất kỳ nền tảng nào khác mà bạn có thể sử dụng để xây dựng trang web của mình. Báo cáo trang web bị tấn công cho thấy WordPress là CMS được làm sạch nhiều nhất (tất cả các trang web được làm sạch ở mức 83% vào năm 2017). Điều này không có nghĩa là WordPress an toàn hơn các nền tảng CMS khác.
Lựa chọn CMS của bạn sẽ cảnh báo bạn về mọi bản cập nhật có sẵn cần được triển khai. Xin đừng bỏ qua những cảnh báo này!
1- Plugin
Bất kỳ plugin nào bạn thêm vào trang web của mình đều phải được kiểm tra. Không phải tất cả plugin đều tốt cho trang web của bạn hoặc không có chứa phần mềm độc hại. Một số plugin được tạo ra là độc hại, trong khi các plugin khác không như vậy. Thông qua việc thiếu quản lý hoặc sự bất cẩn của người dùng thì plugin có thể trở nên độc hại. Dưới đây là một số điều cần lưu ý khi thêm plugin mới vào trang web của bạn:
- Chỉ tải xuống plugin từ tác giả và trang web mà bạn tin tưởng.
- Kiểm tra các bản cập nhật trên plugin và xem khoảng thời gian trước mà nhà phát triển đã vá bất kỳ vấn đề bảo mật nào.
- Nếu plugin không miễn phí thì hãy mua trực tiếp từ nhà phát triển thay vì tìm kiếm phiên bản miễn phí.
- Đọc các bài đánh giá để xem liệu có phản hồi không tốt về sự an toàn của plugin hay không.
Đôi khi ít lại hơn. Bạn có thực sự cần plugin này không? Hãy suy nghĩ về những rủi ro so với những lợi ích bạn có được từ của các plugin. Nhiều plugin hơn có nghĩa là nhiều rủi ro bảo mật hơn trong hầu hết các trường hợp.
2- Chủ đề
Cùng với plugin, các chủ đề cũng cần phải được cập nhật và “xem xét”. Bất cứ nơi nào một hacker cũng có thể khai thác trang web của bạn và họ sẽ làm như vậy. Như với các plugin, có một vài điều cần cân nhắc khi thêm phần mềm chủ đề vào trang web của bạn:
- Chủ đề có cần thiết cho trang web của bạn không?
- Bạn có thể tin tưởng nguồn nơi bạn tìm thấy chủ đề không?
- Nhà phát triển có vá và sửa bất kỳ lỗ hổng nào không?
Chủ đề có thể trở thành một phần của malware đi kèm với những hứa hẹn từ Blackhat SEO, malvertising và backdoors. Nếu bạn tìm thấy chủ đề “miễn phí” chưa được cập nhật trong 6 tháng qua, nó có thể không miễn phí như bạn nghĩ. Hãy nghĩ đến số tiền mà bạn có thể tiêu tốn vì lỗ hổng khiến trang web của bạn bị nhiễm.
3- Tiện ích mở rộng
Một cách khác để giữ cho trang web của bạn luôn sạch sẽ và an toàn là đảm bảo rằng máy tính của bạn không có phần mềm độc hại. Đảm bảo trình duyệt của bạn và tiện ích của trình duyệt được cập nhật là rất quan trọng. Trong những trường hợp hiếm hơn, máy tính của riêng bạn là vectơ tấn công. Chỉ cài đặt các tiện ích mở rộng trình duyệt và trình duyệt từ một nguồn đáng tin cậy và đảm bảo cập nhật ngay lập tức khi bạn được cảnh báo.
4- Server
Như với phần mềm khác mà chúng ta nói đến trong bài viết này, bản thân máy chủ cũng là chìa khóa để duy trì một trang web an toàn. Các máy chủ web như NGINX, Apache, IIS, v.v. có thể không quá quen thuộc với bạn trừ khi bạn là nhà phát triển hoặc rất quen thuộc với thiết lập trang web của bạn. Cho dù bạn có quen thuộc hay không, trang web của bạn có máy chủ để kết nối với internet và máy chủ của bạn cũng có thể dễ bị tấn công. Việc cập nhật sẽ ngăn chặn điều đó xảy ra.
Pro Tip
Bản cập nhật tự động có sẵn cho hầu hết các CMS và plugin, nhưng có thể không phải là ý tưởng tốt nhất. Đôi khi các bản cập nhật có thể gây ra các vấn đề về chức năng cho trang web của bạn. Chúng tôi khuyên bạn nên tạo bản sao lưu đầy đủ của trang web và tranh thủ sự trợ giúp của nhà phát triển để hỗ trợ cập nhật.
Phần kết luận
Làm một phần để giữ cho trang web của bạn luôn sạch sẽ quan trọng trong việc tạo môi trường duyệt web an toàn cho mọi người. Đảm bảo cập nhật và cảnh giác với các mối đe dọa tiềm ẩn đối với các dịch vụ mà bạn đang tận dụng. Nếu bạn muốn vượt qua các mối đe dọa mới nổi, hãy đăng ký để nhận thông báo mới nhất về các bản tin của chúng tôi trong email của bạn.