Bảo mật Web Shared Hosting

Tác giả Network Engineer, T.Sáu 08, 2020, 03:16:16 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Bảo mật Web Shared Hosting


Trong tất cả các loại Hosting, Web Shared Hosting là phổ biến nhất và dễ bị tổn thương nhất đối với các vấn đề bảo mật.

Khi nói đến chủ đề bảo mật web, hầu hết chúng ta thích sống trong sự từ chối. Tôi không thể tin được, tôi không biết điều đó khi tôi có nhiều thời gian hơn - không có lý do gì để chúng tôi có thể trốn tránh công việc tẻ nhạt của việc tăng cường bảo mật trang web của bạn. Vâng, ngay cả ý nghĩ tạo bản sao lưu cũng đủ để đưa chúng ta vào giấc ngủ. Vì vậy, những gì có thể thúc đẩy chúng ta xem việc bảo mật website nghiêm trọng hơn?


Có thể dán chi tiết của những vụ đột nhập tàn khốc nhất thế giới lên tường của chúng ta? Nhưng sau đó, những dữ liệu của tôi quá nhỏ bé và tầm thường để bị hack và chiếm lấy. Ý tưởng của tôi là đếm tổng số giờ bạn đã đặt vào doanh nghiệp hoặc trang web này của bạn. Nếu đã được năm năm, giả sử bạn đặt trung bình 15 giờ mỗi ngày vào công việc kinh doanh thì đó sẽ là 15 x 30 x 12 x 5 = 27.000 giờ. Vì vậy nếu trang web của bạn bị hỏng, bị hack và tất cả các dữ liệu bị phá hủy thì bạn sẽ làm gì?

Mặc dù bài đăng này không phải là về thói quen và động lực, tôi nghĩ rằng một cuộc thảo luận nhanh là theo thứ tự. Nếu điều đó không làm bạn sợ và thúc đẩy bạn, tôi không biết điều gì sẽ xảy ra.

Dù sao, đối với những người đã đủ sợ hãi hoặc lo ngại về bảo mật của họ nói chung, hãy chuyển sang những gì bạn có thể làm để làm cho tài khoản web shared hosting của bạn an toàn hơn.

Chúng ta đang nói về bảo vệ tài khoản web shared hosting chứ không phải là máy chủ ảo hoặc vật lý. Các máy chủ độc lập dedicated server là một trò chơi bóng hoàn toàn khác nhau, trong khi trong bài này tôi đang nhắm mục tiêu vào đa số, những người không có kỹ thuật hoặc hiểu biết vào các thuộc tính kỹ thuật số.

1. Tạo các bản sao lưu thường xuyên

Thật khó để tin rằng các bản sao lưu có thể được kết nối với bảo mật, nhưng chúng thật sự rất quan trong.

Thông thường, các bản hack tệ đến mức chúng xóa sạch dữ liệu của bạn, đôi khi  mã độc chèn sâu trong các nền tảng và tiếp tục xuất hiện trở lại, tôi thậm chí không thể giải thích được nó đã xảy ra với tôi bao nhiêu lần trên trang web WordPress của khách hàng, mặc dù việc dọn dẹp thật chuyên nghiệp và tốt nhất.

Trong những trường hợp như vậy, không có gì để làm tốt hơn là nhấn nút khôi phục, đi đến bản sao lưu được sử dụng để làm việc cho bạn, xóa sạch bảng, thiết lập lại mọi thứ và nạp lại dữ liệu như ban đầu. Bạn mất gì? Các dữ liệu được thu thập kể từ khi sao lưu. Bạn đạt được gì? Cả doanh nghiệp.

Điều đó nói rằng, có một vài điều cần lưu ý về sao lưu.

2. Sự phục hồi

Sao lưu sẽ là vô nghĩa nếu chúng ta không có thể phục hồi chúng nhanh chóng. Có khả năng nhà cung cấp dịch vụ web shared hosting của bạn có tùy chọn khôi phục, nhưng bạn có chắc là nó hoạt động không? Và nếu không có nút khôi phục, bạn có biết cách thiết lập mọi thứ sao lưu không?

Chắc chắn sẽ rất ngạc nhiên, vì theo thời gian bạn có đươ j lượng dữ liệu khổng lồ, có thể là một nỗi đau trong việc phục hồi. Và sau đó, có những thứ khác để xem xét: phiên bản cơ sở dữ liệu, phiên bản phần mềm, phiên bản PHP (nếu bạn đang chạy một trang web PHP), tính tương thích của các phiên bản này, v.v. Nhiều khả năng, bạn không có kỹ năng hoặc năng lượng để lam được tất cả những điều này.

Nếu bạn không thể làm, tôi thực sự khuyên bạn nên tìm một dịch vụ quản lý sẽ lo mọi thứ cho bạn, ngay cả khi nó có vẻ đắt tiền. Mặt khác, nếu bạn cảm thấy tự tin rằng bạn có thể quản lý được nó, tôi phải yêu cầu bạn tập luyện thường xuyên, giả sử cứ sau sáu tháng - hãy tin tôi, cho dù là một chuyên gia giỏi bao nhiêu, vẫn luôn có một chuyến đi thực tế như trên.

Nếu bạn đang tìm kiếm một dịch vụ web shared hosting đáng tin cậy để xây dựng trang web WordPress, Joomla, Magento, cung cấp sao lưu hàng ngày thì hãy dùng thử SiteGround.

3. Tần số sao lưu

Bao lâu thì bạn nên sao lưu? Có hai điều cần xem xét ở đây: quy mô của dữ liệu của bạn và mức độ quan trọng của doanh nghiệp của bạn.

Giả sử bạn có tổng cộng 40 GB dữ liệu cần thiết để điều hành doanh nghiệp. Nếu bạn lên lịch sao lưu hàng ngày, bạn sẽ sử dụng 40 x 30 = 1200 GB hoặc 1,2 TB dữ liệu trong tháng đầu tiên.

Vào cuối quý đầu tiên, nó sẽ tăng lên 3,6 TB - bất kể bạn chọn lưu trữ lượng dữ liệu này ở đâu, một lỗ trong túi của bạn vẫn được đảm bảo.

4. Giải pháp?

Hủy dữ liệu cũ hơn một thời gian cụ thể. Bây giờ dung lượng này là bao nhiêu, phụ thuộc hoàn toàn vào doanh nghiệp của bạn, mặc dù trong hầu hết các trường hợp, các bản sao lưu hai lần một tuần được giữ trong một hoặc hai tháng trước là quá đủ.


Ngay cả khi đó, các hóa đơn cho các bản sao lưu sẽ tốn kém và bạn sẽ cần đảm bảo rằng đó là dữ liệu hữu ích được sao lưu và cũng ở dạng có thể sử dụng lại. Nếu không thì bạn biết những rủi ro rồi đó.

5. Xác thực hai yếu tố

Đối với những người không biết về ý tưởng xác thực hai yếu tố thì nó có nghĩa là sử dụng quy trình hai bước để xác minh người dùng trước khi đăng nhập và quản lý web shared hosting của bạn.
Tại sao, chỉ bởi vì nếu ai đó tình cờ đoán hoặc đánh cắp mật khẩu của bạn và cố gắng đăng nhập từ máy tính của họ, họ sẽ được thử thách để chứng minh danh tính của họ.

Hệ thống có thể yêu cầu họ trả lời một câu hỏi bí mật, nhập OTP được gửi qua SMS hoặc Email, yêu cầu họ chọn một hình ảnh yêu thích hoặc sử dụng một số phương pháp khác để xác định danh tính. Thành thực mà nói, một số người chọn mật khẩu quá dễ dàng như s1mpled00d, và  là cách dễ dàng để hacks dựa trên trình duyệt để lấy mật khẩu của bạn, tốt nhất là đặt chế độ xác thực hai yếu tố.

Đối với các trang web WordPress, có một số Plugin mà bạn có thể chọn, thực hiện công việc rất dễ dàng và nhanh chóng.

6. Tránh các mã nguồn không đáng tin cậy.

Bạn muốn triển khai một tính năng nhanh chóng và bạn bắt gặp một mã nguồn trên mạng cung cấp chính xác những gì bạn cần - thậm chí có thể miễn phí. Các bản demo thật tuyệt vời, trí tuệ UX - bạn còn cần gì nữa?

Mã nguồn của bên thứ ba có thể là nguồn gốc gây ra một số vấn đề khó chịu, chúng có thể chứa mã độc đánh cắp mật khẩu hoặc thông tin thẻ tín dụng của bạn hoặc chúng có thể được mã hóa kém, do đó trở thành một liên kết yếu trong bảo mật trang web của bạn sau khi được nhúng vào.

Và xin đừng lắng nghe nhà phát triển của bạn nếu họ nói rằng họ đã duyệt mã nguồn và phê duyệt nó - thế giới bảo mật vô cùng phức tạp, với các cuộc tấn công cực kỳ xảo quyệt được tiết lộ mỗi ngày, đây là một ví dụ về cách khiêm tốn serialize()unserialize() hoạt động trong PHP có thể được thao tác để cho phép thực thi mã từ xa.

Luôn luôn lấy plugin, theme, thư viện, v.v., từ các nguồn đáng tin cậy. Đối với người dùng WordPress, điều này có nghĩa là bám vào các Plugin có sẵn chính thức, vì chúng được kiểm tra nghiêm ngặt về chất lượng và an toàn mã, và điều tương tự cũng xảy ra với các nền tảng khác.

Một lần nữa, trước khi bạn cảm thấy sự thôi thúc không thể kiểm soát được để lấy plugin đó và chạy đi, hãy nghĩ về tổng số giờ mà bạn đang gặp rủi ro.

7. Đặt mật khẩu mạnh hơn.

Vấn đề với mật khẩu mạnh mẽ mà chúng tôi đưa ra là bất cứ thứ gì an toàn. Với một chút kiến thức về cuộc sống cá nhân của bạn và sự trợ giúp của tấn công kiểu dò theo từ điển dictionary attack, khả năng phá được mật khẩu là rất cao.


Tôi khuyên bạn nên sử dụng một dịch vụ miễn phí và đáng tin cậy như trình tạo mật khẩu của LastPass, nó cho phép bạn chọn mức độ phức tạp và dài của mật khẩu. Đặt mật khẩu kéo dài đến mức tối đa.

Về việc có một mật khẩu mà bạn có thể nhớ - không, những ngày đó đã qua lâu rồi. Mật khẩu có thể được ghi nhớ rất dễ bị bẻ khóa. Dưới đây là một số đề xuất mà tôi nhận được với độ dài mật khẩu được đặt thành 20 ký tự:

Mã nguồn [Chọn]
    rfg $ t ^ cvwBg @ Z0lj0Oxu
    1sNYhBXrYJ2IW ^ J $ f @ Sq
    Plg6 # YicW% bh & UzVpp # Z
    f95 ^ * sMm592OwQcg & QZi

Xấu xí? Nhưng chúng rất an toàn. Cuối cùng nếu bạn có một trang web nơi người khác được phép tạo tài khoản, vui lòng đảm bảo bạn thực thi xác thực mật khẩu và từ chối chấp nhận bất cứ điều gì khác.

8. Cập nhật phần mềm thường xuyên

Nếu tài khoản Web Shared Hosting của bạn cung cấp cho bạn bảng quản trị cho phép bạn nâng cấp phần mềm đã cài đặt, tôi khuyên bạn nên làm như vậy.

Tại sao? Không phải vì cảm thấy hay khi làm như vậy mà bởi vì phần mềm mới được phát hành là để khắc phục phần lớn các lỗ hổng bảo mật được phát hiện trong các bản phát hành trước. Bây giờ bạn biết tại sao hệ điều hành Windows của bạn rất muốn bạn tiếp tục cập nhật.

Xin đừng xem nhẹ điều này hoặc thực tế bất kỳ đề xuất nào trong bài viết này. Không cần biết có bao nhiêu cài đặt, ứng dụng, máy chủ và thiết bị vì chúng đang chạy phần mềm cũ.

Nếu bạn đang tròn mắt vì điều này, không có gì cực nhỏ hơn việc phải liên tục kiểm tra, kiểm tra, cập nhật và loại bỏ những thứ không hoạt động. Nhưng đây là tiền mà chúng ta phải trả cho cơ sở hạ tầng kỹ thuật số - các thuộc tính kỹ thuật số của chúng ta nhạy cảm hơn và mạnh hơn nhiều so với các công cụ khác mà chúng ta đã sử dụng và vì vậy chúng cần được chú ý đặc biệt.

9. Chọn nhà cung cấp dịch vụ Web Shared Hosting an toàn hơn.

Không phải tất cả các nhà cung cấp dịch vụ Web Shared Hosting đều được tạo ra như nhau, và trong thế giới quảng cáo rầm rộ và tiếp thị này, thật khó để nói những điều tốt từ những người xấu.

Vì vậy, làm thế nào để bạn quyết định nhà cung cấp dịch vụ Web Shared Hosting nào là tốt hơn? Chà, tôi ước mình có một cây thước ma thuật, nhưng tôi thì không.

Cơ sở hạ tầng web shared hosting là những con số phức tạp và không có cách nào xếp hạng, đánh giá, thiết kế trang web hoặc thân thiện với khách hàng có thể cung cấp một chỉ số tốt. Nhưng tôi sẽ nói điều này: nếu bạn gặp vấn đề, đừng ngại thử một cái gì đó mới. Nếu có bất cứ điều gì, tôi khuyên bạn nên tránh xa các công ty rất lớn, rất lớn bán tên miền và web shared hosting, bạn biết tôi đang chỉ vào ai, và thay vào đó hãy trao cơ hội cho một số người trẻ hơn, công ty khao khát hơn.

Chuyển sang một nhà cung cấp dịch vụ hiệu quả hơn, an toàn hơn có thể tiết kiệm hàng giờ đau đầu và mất ngủ hàng tháng.

Tôi có một vài người bạn điều hành các trang web WordPress hướng nội dung, những vấn đề về trang web đã biến mất ngay sau khi họ thực hiện bước chuyển đổi táo bạo và đau đớn, và đã không có một vấn đề nào trong nhiều năm. Họ nói những thứ nhỏ nhặt như trang web chậm và thời gian ngừng hoạt động không đáng để họ mất thời gian và tôi nghĩ họ đã đúng.

10. Sử dụng tính năng bảo vệ DDoS.

Điều thú vị với Web là đó là có thể truy cập trên thế giới. Bất cứ ai từ bất cứ nơi nào cũng có thể truy cập trang web của bạn, hoặc cố gắng đột nhập, ngay cả bot.


Bây giờ, nếu trong số vài nghìn lượt truy cập trang web của bạn nhận được mỗi giờ, 99% là các bot đang cố gắng tìm đường vào, bạn gặp vấn đề ngay trong tay, không chỉ những yêu cầu vô dụng này sẽ ăn hết tài nguyên hệ thống, chúng cũng sẽ tiêu thụ băng thông từ việc giới hạn của nhà cung cấp của bạn.

Tôi biết các nhà cung cấp Web Shared Hosting cho phép băng thông không giới hạn, nhưng tin tôi đi, không có gì là không giới hạn.

Ngay cả khi chúng ta giả định rằng họ cung cấp băng thông dữ liệu không giới hạn mỗi tháng, chúng ta đừng quên rằng các mạng vật lý kết nối mọi thứ đều có dung lượng hạn chế. Nói cách khác, số lượng người dùng mà trang web của bạn có thể phục vụ cùng một lúc bị hạn chế, do đó mặc dù bạn có thể có lượng băng thông sử dụng hàng tháng vô hạn, trang web của bạn sẽ luôn rất chậm hoặc chậm cho người dùng.

Và ai muốn ghé thăm một trang web như vậy?

Thông thường một cuộc tấn công như vậy được kẻ tấn công dàn dựng bằng cách điều khiển một số máy tính và khiến chúng truy cập trang web mục tiêu, với tất cả những gì bạn biết, máy tính nhiễm virus là những người tham gia một cuộc tấn công như thế này.

Kịch bản mà tôi vừa mô tả là về mặt kỹ thuật được gọi là cuộc tấn công từ chối dịch vụ phân tán DDoS và nó vẫn là một trong những hình thức tấn công gây khó chịu nhất vì nó hầu như không thể phân biệt được với số lượng lớn người dùng yêu cầu trang website.

Điều đó nói rằng, một số công ty như Cloudflare, SUCURI đã xây dựng các hệ thống phòng thủ tuyệt vời xung quanh nó, có thể phân tích thông minh và chặn các cuộc tấn công DDoS dựa trên các mẫu lưu lượng truy cập trong quá khứ.

Một lần nữa, điều này sẽ trở nên đắt đỏ đối với nhiều người, nhưng sau đó bạn phải tự quyết định nếu rủi ro mất tất cả doanh nghiệp của bạn là xứng đáng.

11. Tường lửa đám mây.

Đối với những người không biết, tường lửa chỉ là một phần mềm chạy trên máy tính và mạng của bạn, chặn hoặc cho phép lưu lượng truy cập dựa trên các quy tắc cụ thể.

Nếu bạn hỏi tôi, một tường lửa được cấu hình đúng sẽ bảo vệ các thuộc tính kỹ thuật của bạn nhiều hơn tất cả các biện pháp khác cộng lại. Nếu mạng máy tính của những gã khổng lồ công nghệ là không thể xuyên thủng, lưu lượng sẽ đi vào tường lửa đáng sợ của họ mạnh mẽ lọc tất cả lưu lượng truy cập đến và đi. Nếu kẻ tấn công thậm chí cố gắng thăm dò các lỗ hổng, kết quả là ngay lập tức bị liệt vào danh sách đen, khiến cho việc xâm nhập hoặc phá vỡ mạng rất khó khăn.


Đây là khuyến nghị của chúng tôi về tường lửa tốt nhất hiện có. Có rất nhiều điều khác bạn có thể làm để làm cho mọi thứ trở nên an toàn hơn, nhưng tôi nghĩ rằng nếu bạn thực hiện các điều trong bài viết này một cách nghiêm túc, bạn sẽ được cứu khỏi 99,9% các vụ tấn công và hack đáng xấu hổ.

Điều này đặc biệt phù hợp với người dùng WordPress, vì nó không phải là một nền tảng rất an toàn theo thiết kế. Ngay cả khi bạn có một trang web HTML đơn giản, hãy nhớ rằng các cuộc tấn công DDoS có thể làm hỏng khả năng truy cập website cho người dùng, nhà cung cấp dịch vụ Web Shared Hosting của bạn và bạn cùng một lúc.