Lọc IP, lọc luôn cả IP khách sạn làm mình không vào được

Bảo mật cho website và vài điều chia sẻ

Bảo mật cho website là công việc phức tạp và đòi hỏi nhiều kiến thức lập trình cũng như sử dụng các thủ thuật khác nhau, Bảo mật cho website là việc chưa bao giờ dừng lại !

Mình đang nâng cấp cho một dự án website, yêu cầu của người này là bảo mật cho website tới mức tối đa có thể nhất, mình cười :d vì khách hàng họ không am hiểu gì nên cứ yêu cầu thế cũng đúng, nhưng nếu quá bảo mật cũng có các vấn đề phát sinh nhất định, gây khó dễ cho hacker cũng có thể gây khó dễ cho chính chủ website, các vấn đề đó có thể là như sau:

Check IP hợp lệ

Hiện tại có rất nhiều phương pháp để thanh lọc địa chỉ IP, nhưng tôi vẫn chưa hiểu tại sao mình cần phải thanh lọc địa chỉ IP làm gì ? Thay bằng việc mình thanh lọc yêu cầu ( Query ) của trình duyệt còn hay hơn, hiện tại có rất nhiều phương pháp thanh lọc IP để tránh các IP chuyên làm Spam bot, chuyên tìm kiếm các lỗi bảo mật và chuyên đánh cắp thông tin, nhưng việc chặn các IP này sẽ hoàn toàn là vô nghĩa khi hacker thay đổi địa chỉ IP liên tục. Hậu quả có thể như hình bên dưới:

Lọc IP, lọc luôn cả IP khách sạn làm mình không vào được
Lọc IP, lọc luôn cả IP khách sạn làm mình không vào được

Hình trên là do khách sạn này đã sử dụng một Firewall để vào các website, nhưng website được bảo mật bằng cách thanh lọc IP sẽ chặn các yêu cầu này dẫn tới có thể nhiều hơn 1 khách hàng bị không vào được website của bạn.

Làm chậm trang web

Nếu lắp ghép nhiều các layer bảo mật trong một website sẽ làm chậm trang rất nhiều, các query chạy qua hàng loạt bộ lọc rồi mới trả về kết quả sẽ làm chậm đi đáng kể các respone của máy chủ về client làm cho nặng web và code cồng kềnh, tôi có test WordPress và Drupal với cùng một giao diện, cơ sở dữ liệu mặc định, tôi thấy WordPress load nhanh hơn Drupal nhiều là đằng khác, nhưng hãy thử độ bảo mật trong cả hai CMS mà xem, Drupal có rất nhiều lớp bảo mật trong core.

Xem thêm nguyên nhân làm website bị chậm và làm thế nào để tăng tốc website !

Đấy là lý do tôi khuyên khách hàng nên và chỉ nên lắp các module cần thiết nhất cho website như bộ lọc query tránh SQL Injection là đủ, còn server chỉ cần thay cổng FTP hoặc chống DDos là đã thoải mái chạy, không nhất thiết phải lọc cái lọ cái kia, phương án thứ hai là chỉ lọc kỹ những gì mà người dùng tải lên như form thông tin, file … Các hành động bảo mật chỉ hoạt động khi người dùng đăng tải thông tin lên mà thôi.

Sử dụng SSL

Sử dụng đường hầm hay kết nối an toàn sẽ giúp người dùng cùng nhân viên của bạn không bị nghe lén mật khẩu dẫn tới website của bạn bị hack mà khỏi tìm được lý do luôn.

Các kết nối an toàn tuy chậm chạp nhưng đó là cách tốt nhất để bảo vệ các tài khoản của bạn và người dùng tránh khỏi các phiền phức không đáng có, hiện nay các dịch vụ ssl có rất nhiều nhà cung cấp với các mức giá khác nhau, và bạn dễ dàng chọn cho mình một gói cước phù hợp nhất …

Fixed IP cho FTP

Đây là bước can thiệp vào Server, còn nếu bạn đang không có server riêng thì khỏi bàn, đó là chỉ một IP duy nhất được vào FTP còn lại không thể vào được, không có cửa sau nào được mở, chắc chắn sẽ tránh được việc các hacker chui lòng vòng vào FTP và khó kiểm soát được các hành động …

Xin mời các bạn xem thêm cách bảo mật WordPress căn bản và các plugin giúp bảo mật WordPress !

Chúc các bạn thành công !

TÁC GIẢ:

Tôi là Jam, thâm niên 7 năm thiết kế website và làm SEO. Hãy theo dõi blog của tôi để nhận được nhiều chia sẻ thú vị xung quanh chủ đề công nghệ.
Bạn có thấy bài viết về Bảo mật cho website thú vị ? Chia sẻ ngay tới mọi người, hoặc tham gia bình luận thật sôi nổi nhé !

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *