Bảo mật website, sai lầm của các Admin

Việc thiết kế website không khó, nhưng giữ được website không bị các hacker đánh cắp không phải là dễ. Đặc biệt các website hiệu suất cao luôn là miếng mồi cho các “kẻ cắp internet” này. Thông thường, các hacker sẽ dựa vào những lỗ hổng của website để dễ dàng đáng cắp. Các lỗ hổng này một phần là không cẩn thận, và một phần là do quản trị websiet – hay còn gọi là admin – lơ là trong việc thiết kế bảo mật cho web.

top-website-content-mistakes

Trong quá trình thiết kế web, chúng tôi nhận ra rằng có 6 sai lầm cơ bản mà các admin hay mắc phải, từ việc đặt mật khẩu đơn giản, không xóa file chứa password… cho đến sử dụng những nguồn mở không đáng tin cậy. Hãy cùng apsara.vn chia sẽ kinh nghiệm và khắc phục ngay từ bây giờ:

Thứ 1: Sai lầm trong việc đặt password khá đơn giản

– Cách đặt password của các admin khá đơn giản, hacker có thể lợi dụng để đột nhập vào lấy cắp thông tin dữ liệu. Các password thường gặp có thể là: admin, 123456, là domain của site, username, phone, pass db, ngày tháng năm sinh, v.v…

– Ở đây gọi là kỹ thuật đoán password, một kỹ thuật tưởng là khó thành công nhưng đôi lúc cũng khá tốt. Nếu các bạn có kinh nghiệm hacking khi xem username + password database thì chắc có lẽ sẽ bất ngờ vì password.

– Cách giải quyết là các admin hãy đặt các mật khẩu có ký tự đặc biệt, nếu việc nhớ những mật khẩu này khó khăn, hãy sử dụng các ứng dụng quản lý password chẳng hạn như Lastpass.

Thứ 2: Sai lầm khi sử dụng cùng 1 username + password cho tất cả dịch vụ

– Việc này do admin thiếu kinh nghiệm đặt password diễn đàn trùng với password mail, hay password login vào cpanel dẫn đến việc dễ bị hack.

– Đây là 1 kỹ thuật khá hay, trước khi hack 1 site nào đó, hacker có thể tìm kiếm những thông tin về admin của victim, tìm xem admin này thường hay ra vào forum, blog nào, cố gắng hack 1 trong các site mà admin đó thường lui tới để có được password của admin, việc cuối cùng là crack password, thử xem admin có thiếu kinh nghiệm đến mức đặt password chung không.

– Nói ra thì dài dòng, nhưng các hacker có mặt trên các khắp diễn đàn, nên bạn an tâm việc hacker có vui lòng hack website của bạn hay không mà thôi (đừng để mình thành nạn nhân vì những việc này).

images (2)

Thứ 3: Sai lầm vì không xóa các file nhạy cảm có chứa thông tin liên quan đến password

– Các admin thường sơ xuất không xóa đi một số file nhạy cảm như: mysqldumper, bigdump,zip, databackup.php, unzip.php, caidat.php, zipcode.php hay có thể là tên của của chính website. Hacker có thể đoán và thử xem các file đó có tồn tại hay không?.

Dựa vào các file đó, hacker có thể xâm nhập vào trang quản trị, Cpanel hoặc ftp của bạn là điều không gì dễ hơn thế nữa.

 

Thứ 4: Sai lầm vì Phishing:

– Hacker thường làm là send cho victim (nạn nhân ) 1 con keylogger (thường là gởi qua mail hay send link qua Y!M), rồi ngồi chờ thôi. Tất nhiên có nhiều biến tướng từ Phishing: fake login…, nhớ là phòng hơn chống.

 

Thứ 5: Sai lầm khi trong social engineer

– Nhắc đến social thì mọi người thường nhắc đến Kevin Mitnick. Thực ra cái này cũng không phải là kỹ thuật cao siêu gì, vấn đề là tạo được lòng tin từ victim để từ đó khai thác.

– Có thể ví dụ như sau: thường thông qua lỗi sql injection được username + password, nhưng công việc khó khăn nhất là tìm link login, một cách social là contact nhân viên support cung cấp site đó, bảo site đó bị hack, login vào trang quản lý nhưng không được, “username + password của tôi nè, please help me!!!!!!”

Thứ 6: Sai lầm vì sử dụng open source, source share trên mạng

– Chúng ta vì sợ tốn tiền, chọn đại một [open source] nào đó đẹp đẹp trên mạng về sử dụng, nhưng họ đâu biết rằng chính source đó là mồi nhử của các hacker, thế là thêm 1 con mồi bị sập bẫy.

– Chắc chắn công việc bảo mật web là không hề dễ dàng. Nó đòi hỏi một thiết kế bảo mật web, các công cụ phòng chống hack, và cũng cần trách nhiệm, vai trò của cả admin. Dù sao đi nữa, các admin nên cẩn thận hơn, các bạn đừng để những lỗi ngớ ngẩn như trên làm chết website của mình nhé.

keylogger-2

Có rất nhiều sai lầm để website của mình trở nên báo động, trong đó 6 lỗi trên là thường gặp và phổ biến nhất. Hãy đến apsara.vn để được tư vấn thiết kế website một cách an toàn và hiệu quả bởi đội ngũ thiết kế chuyên nghiệp, nhiệt tình và có tâm với nghề.

Thông tin liên hệ:

Văn phòng kinh doanh Hồ Chí Minh

157 Nguyễn Phúc Chu, P.15, Q. Tân Bình, Tp.HCM
Holtine: 0949 30 40 (Mr Văn)

Văn phòng kinh doanh Đà Nẵng

303 Phan Châu Trinh, Q. Hải Châu, Tp. Đà Nẵng
Holtine: 0948 30 40 (Mr Hạnh)

Văn phòng kinh doanh Cần Thơ

1E Trần Quang Khải, Q. Ninh Kiều, Tp. Cần Thơ
Holtine: 0944 30 40 (Ms Mai)