77 mẹo "nhỏ nhưng có võ" giúp tối đa hóa bảo mật cho Web Server
Theo nhưBizfly Cloud tìm hiểu không phải một thiết kế web bảo mật là có thể bảo vệ website hay web server khỏi hacker. Người quản trị website cũng cần nẵm những thủ thuật, kinh nghiệm để có thể tối ưu hóa bảo mật cho server và website của mình. Tổng hợp kinh nghiệm bảo mật web server đơn giản dưới đây sẽ giúp bạn cải thiện bảo mật máy chủ web.
Chúng ta sẽ cùng điểm qua các bảo mật theo từng lớp rõ ràng: mật khẩu; giao thức truyền tải thông tin; ứng dụng website; máy chủ trong bài viết sau đây nhé!
Hãy tối đa hóa bảo mật từng chi tiết nhỏ nhặt một, bạn sẽ có một hàng rào bảo vệ cho web server của mình một cách hoàn hảo không ngờ.
Bảo mật mật khẩu
1. Sử dụng mật khẩu có ít nhất 8 ký tự.
Bảo mật mật khẩu
2. Sử dụng mật khẩu có độ phức tạp bao gồm số, chữ, ký hiệu …
3. Sử dụng nhiều mật khẩu cho các tài khoản khác nhau.
4. Kiểm tra độ mạnh mật khẩu bằng các công cụ hỗ trợ.
5. Không sử dụng các mật khẩu thông dụng. VD: 123456, toikhongbiet …
6. Không sử dụng mật khẩu lặp nhiều lần. VD: 1111111111, 1212121212…
7. Không sử dụng mật khẩu có chứa thông tin như ngày sinh của bạn, số điện thoại …
8. Không lưu trữ mật khẩu trên máy tính xách tay, điện thoại hoặc máy tính bảng.
9. Sử dụng hệ thống bảo vệ mật khẩu bởi một nhà cung cấp uy tín (Ví dụ: LastPass).
10. Thiết lập "Xác minh 2 bước" khi nhà cung cấp có dịch vụ.
11. Sử dụng chức năng kiểm tra mức độ mật khẩu.
An toàn các giao thức truyền tải thông tin
12. Sử dụng giao thức bảo mật FTP File Transfer Protocol.
13. Sử dụng SSH thay vì Telnet.
14. Sử dụng giao thức bảo mật cho Email (POP3S/IMAPS/SMTPS).
15. Bật tính năng bảo mật SSL (HTTPS).
16. Sử dụng VPN khi có sẵn.
17. Sử dụng tường lửa trên tất cả thiết bị endpoints, bao gồm Server và Client.
18. Sử dụng residential/office firewall/IPS trên hệ thống.
19. Mã hóa dữ liệu trên Email.
20. Không sử dụng máy tính công cộng để truy cập dữ liệu nhạy cảm.
Bảo mật ứng dụng Web
21. Đăng ký thông báo những bản cập nhật website.
22. Cập nhật các phiên bản website mới nhất.
Bảo mật ứng dụng Web
23. Sử dụng các công cụ quét bảo mật như Nessus.
24. Sử dụng tường lửa trình duyệt Web.
25. Kiểm tra tập tin tải lên đảm bảo mã nguồn không được upload lên.
26. Mã tùy chỉnh về bảo mật.
27. Sử dụng frameworks với hệ thống bảo mật tốt.
28. Bảo mật đường dẫn nhạy cảm 'directory/file'.
29. Hạn chế đăng nhập IP với mục dành cho "Quản trị viên".
30. Làm sạch khung nhập.
31. Ẩn các thư mục nhạy cảm hoặc hạn chế truy cập.
32. Sử dụng các lệnh Shell trong mã.
33. Không tin vào những đường dẫn HTTP bởi những người giới thiệu, rất có thể nó được giả mạo.
34. Sử dụng POT thay cho GET để gửi những dữ liệu nhạy cảm trên đường dẫn.
35. Xác nhận dữ liệu từ máy chủ.
36. Không dựa vào các tập tin tương đối và tên đường dẫn.
37. Xác định quyền truy cập từng file.
38. Giới hạn đăng tải tệp tin, cho những tệp tin được phép (.zip, .jpg, .png…)
39. Tạo các lỗi an toàn, không tiết lộ thông tin nhạy cảm.
40. Cẩn thận xử lý với các tệp tin Cookie, nó có thể được chỉnh sửa.
41. Mã hóa các tệp tin cấu hình (config.php).
42. Bảo vệ các cuộc tấn công DDOS.
43. Vô hiệu hóa url fopen nếu có thể.
44. Kích hoạt chế độ Safe mode trong hệ thống Apache nếu có thể.
45. Vô hiệu hóa các hàm Apache nguy hiểm.
46. Cẩn thận với các tệp tin nhạy cảm ".bak, .txt, ,sql" trong thư mục web.
47. Cẩn thận sử dụng các phiên bản mặc định trên root.
48. Thiết lập mặc định trả lời và theo dõi email trả lại.
49. Luôn cập nhật phiên bản mới nhất.
50. Luôn kiểm tra các lỗi và log trên hệ thống.
Bảo mật máy chủ
51. Cập nhật các phiên bản hệ điều hành thường xuyên.
52. Cập nhật Control thường xuyên.
Bảo mật máy chủ
53. Giảm thông báo thông tin (VD: Đổi ServerTokens trong Apache).
54. Không cài đặt phần mềm không được sử dụng.
55. Không sao lưu hoặc phần mềm các phiên bản cũ.
56. Hạn chế quyền truy cập vào các tài khoản nhạy cảm.
57. Chắc chắn rằng hệ thống Logs hoạt động.
58. Chắc chắn rằng máy chủ đã cài đặt tường lửa.
60. 59. Xóa các thông tin mặc định trên Database.
61. Vô hiệu hóa quyền truy cập root trong SSH.
62. Sử dụng quyền đăng nhập có SSH key.
63. Vô hiệu hóa các dịch vụ không sử dụng.
64. Luôn có hệ thống tự sao lưu hệ thống.
65. Kiểm tra hệ thống sao lưu.
66. Không phát triển hệ thống chưa được công bố.
67. Luôn cập nhật hệ thống dịch vụ thông báo bảo mật.
68. Theo dõi lưu lượng web kiểm tra những hoạt động bất thường.
69. Thường xuyên quét, kiểm tra bảo mật.
70. Thiết lập các dịch vụ mặc định trong Apache, SSH và dịch vụ khác.
71. Sử dụng tài khoản root khi cần thiết.
72. Sử dụng "sudo" để cấp quyền tài khoản.
73. Kích hoạt "SELinux".
74. Sử dụng mạng riêng thông với mạng chính.
75. Sử dụng mã khóa thích hợp.
76. Thực hiện kiểm tra mật khẩu.
77. Thực hiện các mật khẩu mạnh và thay đổi mật khẩu hàng tháng.
Chúc các bạn luôn an toàn và bảo mật. Cảm ơn các bạn đã theo dõi!
Theo: bloghosting.vn
>> Có thể bạn quan tâm: 9 phương pháp ngăn chặn quá tải Web Server
BizFly Cloud là nhà cung cấp dịch vụ điện toán đám mây với chi phí thấp, được vận hành bởi VCCorp.
BizFly Cloud là một trong 4 doanh nghiệp nòng cốt trong "Chiến dịch thúc đẩy chuyển đổi số bằng công nghệ điện toán đám mây Việt Nam" của Bộ TT&TT; đáp ứng đầy đủ toàn bộ tiêu chí, chỉ tiêu kỹ thuật của nền tảng điện toán đám mây phục vụ Chính phủ điện tử/chính quyền điện tử.
Độc giả quan tâm đến các giải pháp của BizFly Cloud có thể truy cập tại đây.
DÙNG THỬ MIỄN PHÍ và NHẬN ƯU ĐÃI 3 THÁNG tại: Manage.bizflycloud
