Bảo mật website mã nguồn mở trên hosting Linux

Website bị hack, bị local acktack, chèn mã độc hoặc bị fishing là vấn đề thường xảy ra đối với các website, qua quá trình xác minh, kiểm tra khi kiểm tra một lượt, chúng tôi đã nhận ra có rất nhiều lỗ hỏng trên các web hosting, mà hầu hết đều được xây dựng từ các mã nguồn mở như Joomla, Wordpress..

Nhiều vấn đề xảy ra trên web hosting

Dưới đây là một số trường hợp xảy ra, mà chúng tôi đã tổng hợp được:

1. Thứ nhất

Thư mục gốc của website (và các thư mục con bên trong) đang được phân quyền với chmod=750 và 755, các file php là chmod=644, với quyền trên các items này là rất kém bảo mật, các website khác hoàn toàn có thể thấy được và đọc được nội dung (code) của các file php.

2. Thứ hai

File config.php / configuration.php / wp-config.php có chmod=644 ngay cả các web "hàng xóm" khác cũng có thể đọc và biết được thông tin kết nối đến database. Nên việc hacker tấn công từ đây quá dễ dàng và một khi họ đã vào được database thì việc đăng nhập vào quản trị (admin của website) là điều không khó.

3. Thứ ba

Nhận diện và ngăn ngừa các thủ thuật hack

Sau khi đã vào được quản trị. Các hacker thường không để lại dấu tích gì trên log của hệ thống nên không thể xác định được, ngoài ra hacker sau khi xâm nhập vào admin thì ngay lập tức upload các công cụ, shell lên để vào một thư mục nào đó để dễ điều khiển cho lần sau. Chính vì lẽ đó mà một khi web đã bị hack thì khả năng tái diễn hack là rất cao.

4. Thứ tư

+ Các file trong Template / theme dễ bị điều chỉnh.

+ Tất cả các cấu hình đều để mặc định (VD: database vẫn để tiếp đầu ngữ là: jos_, file configuration.php vẫn để tại thư mục gốc và không mã hoá...).

+ Mật khẩu Backend (tức Administrator) quá đơn giản.

+ Các bugs của mã nguồn mở chưa được vá.

Các bạn nên tham khảo phương thức xử lý như sau :

- Download toàn bộ web về máy local (backup) và thực hiện rà soát một lượt trên các thư mục xem nếu có file nào "lạ" thì vui lòng xoá để làm sạch website. Hoặc vui lòng upload lại source code. Thường thì các backdoor này hacker dấu trong các thư mục được phân full quyền như : Upload, images, ...

- Vui lòng phân quyền cho tất cả thư mục (kể cả thư mục gốc website) với chmod=711. Các file là chmod=444 để an toàn bảo mật. Chức năng Change Permissions của CPanel có thể hỗ trợ nhanh chóng việc này.

- Reset lại toàn bộ mật khẩu, bảo gồm: mật khẩu database, mật khẩu quản trị web và mật khẩu của Hosting.

- Có thể mã hoá PHP Base64 cho file config.php / configuration.php / wp-config.php (hoặc các file cần bảo mật code).

- Sau khi thực hiện các thao tác trên,chúng tôi khuyến khích bạn: tạo password Protect cho thư mục admin để hạn chế tối đa tình trạng này tái diễn.

- Thường xuyên cập nhật phiên bản mới, các bản vá lỗi.

4 trường hợp xảy ra trên là những trường hợp điển hình được phát hiện trong quá trình xác minh và kiểm tra web hosting. Chú ý các lỗi và tham khảo một số cách thức xử lý trên để có thể bảo mật website của bạn một cách tốt hơn.

Mọi thắc mắc bạn có thể liên hệ với Stanford qua số hotline: (04) 6275.2212 - 0936.172.315 - 0963.723.236 để được gọi lại tư vấn miễn phí.

Stanford hân hạnh được đồng hành cùng bạn!