1. Hạn chế tối đa thông báo lỗi
Khi đăng nhập thất bại hay có vấn đề xảy ra thường website sẽ trả về những thông tin, hầu hết là các thông báo lỗi. Thông báo lỗi bạn cần đặc biệt chú ý vì nó có thể chứa các thông tin nhạy cảm về đường dẫn, dữ liệu RAM, tài khoản….
Bạn nên sử dụng hình thức thông báo nào đó như sử dụng ngôn ngữ để báo cho khách hàng, hay quản trị viên biết vấn đề đang gặp phải chứ không phải các thông báo lỗi mặc định.
Hơn hết, nếu website thông báo quá nhiều lỗi, Google sẽ đánh giá thấp website bán hàng của bạn và tất nhiên hậu quả là web tụt hạng thảm trên trang tìm kiếm.
2. Bảo vệ các form File Upload
Một điểm yếu của website là cho phép người dùng tải lên các tệp tin, nếu các form này không kiểm soát chặt chẽ các tin tặc có thể dễ dàng vượt qua và tải lên các tệp tin độc hại. Đó là rủi ro không hề nhỏ đối với website.
Biện pháp đưa ra là không cho phép người thực thư tệp tin trong các thư mục chứa tài liệu upload. Các form phải được kiểm duyệt kỹ càng và chặt chẽ trước khi ghi file vào ổ cứng máy chủ.
Bất cứ file nào tải lên website đều được lưu trữ trong một thư mục ngoài webroot hoặc trong cơ sở dữ liệu dưới dạng blob. Nếu tệp tin của bạn không thể truy cập trực tiếp, bạn cần tạo ra một script lấy file từ thư mục riêng (hoặc một HTTP xử lý trong .NET) và chuyển chúng đến trình duyệt.
3. Chống tấn công XSS
Các đoạn mã độc sẽ bị các tin tặc cố gắng đưa vào trong website gây hại đến website và người dùng. Chống tấn công XSS cũng khá phức tạp, các bạn có thể tham khảo thêm về những biện pháp chống tấn công XSS trên các tài liệu trên internet.
Dù làm gì bạn cũng luôn phải chắc chắn rằng ứng dụng web đã được kiểm duyệt chặt chẽ các tham số đầu vào cũng như ứng dụng web kiểm soát được các dữ liệu hiển thị trên trình duyệt web.
4. Cập nhật phiên bản ứng dụng thường xuyên để chống hack website
Điều này là cơ bản và đơn giản nhất nhưng lại không được chú ý. Để giữ cho website được an toàn bạn cần đảm bảo tất hệ điều hành máy chủ hoặc bất cứ ứng dụng nào đang chạy trên website đều được cập nhật phiên bản mới.
Nếu bạn sử dụng hosting mà website của bạn không được cập nhật thường xuyên, bạn phải nhanh chóng yêu cầu nhà cung cấp dịch vụ để thực hiện.
5. Mật khẩu mạnh
Những gì mình có thể làm thì hãy làm cho tốt, ví dụ đơn giản là việc đặt mật khẩu. Hãy đặt mật khẩu theo chỉ dẫn có chữ, số và ký hiệu đặc biệt. Những tin tặc có thể phá mật khẩu của bạn ngay sau khi bạn hoàn tất cài đặt đấy.
Chống hack có thể bạn nghĩ sẽ không bao giờ xảy ra với mình, nhưng nếu nó xảy ra thì thật không thể lường hậu quả. Phòng chống vẫn tốt hơn, kiểm soát mọi thông tin một cách kỹ càng, cập nhật phiên bản chống hack…những thiết kế web cá nhân là điểm mà tin tặc rất thích ghé đến, để làm xấu hình tượng hay tuyên truyền những thông tin sai sự thật để bạo động…nên những website này cần thận trọng giữ an toàn.
Theo webico.com
Japan IT Works
