Các nguyên nhân website bị hack và cách phòng tránh

Đây là bài viết số 1 / 1 của Series Bảo mật Website
Các nguyên nhân website bị hack và cách phòng tránh. Bài viết mang tính chất chia sẻ dành cho Beginer, các PRO vui lòng bỏ qua, hoặc đọc vui.
Mình không phải PRO, cũng ko chuyên hacking hay bảo mật, đơn giản là đọc mấy hướng dẫn trên mạng gom nhặt kiến thức thôi.
  • Website bị hack bởi source-code:
    • lỗ hỏng bảo mật của WordPress, của plugin — Thường xuyên kiểm các bản cập nhật của WP, plugin
    • Sử dụng hàng null, chợ trời theo kiểu tải về cài, ko kiểm tra ( hoặc kiểm tra không tói ) — Sử dụng hàng chính chủ, nguồn gốc rõ ràng
  • Bị hack bởi thói quen lười biếng
    • Mật khẩu đơn giản, bị dò pass — Bớt lười biếng, đặt pass phức tạp.
    • Không chống spam, tắt những kết nối ko cẩn thiết XML RPC.. — Gắn captcha các kiểu đồ vào, tắt những thứ ko cần thiết
  • Bị hack do hosting , do 1 website trong cùng Node bị hack, localattack hack qua site mình. cách đơn giản đổi nhà cung cấp
  • Bị hack khi sử dụng VPS :
    • Mở port lung tung — cái nào không dùng thì tắt. Nếu hiểu biết tốt một tí nên đổi port hoặc cấu hình phức tạp thêm tí mấy cái dịch vụ hay xài
    • Mật khẩu root đơn giản, dễ dùng — dùng SSH key để đảm bảo an toàn
    • Phân quyền (chmod) lung tung — xem các hướng dẫn về chmod file website hợp lý
    • Public database vô tội vạ — Database khá nhạy cảm, nên khóa port ko public, hoặc allow 1 ip/ dải ip an toàn thôi. Như mình hay chơi, là proxy hẳn mysql về port 80 nếu cần sử dụng từ xa. hoặc cài phpmyadmin, đặt thêm pass nginx, đổi port đi xa xa .
Năm mới vui vẻ, chúc các bạn thành công
Quà tặng đầu năm cho AE:
Gói VPS trong hình của AWS-LS 1 năm miễn phí. hoặc nâng cấp lên theo yêu cầu ( bù thêm sau khi trừ gói miễn phí)
RAM 2GB – SSD: 60GB – BW : 3TB
Yêu cầu :
Hack database website 2 ( source-code hoặc database) (WordPress ) DDOS không tính nhé.
Show kết qủa chứng mình hack source-code hoặc database cho AE group cùng học hỏi kiến thức
Timeline 1 tuần 14h-15/1/2020 hết hạn.
P/S: không mang ý định thách thức ai cả, chỉ muốn test cấu hình bảo mật cơ bản có ổn định hay không thôi.

Chú ý: Nội dung trong các bài viết chỉ có tính chất tham khảo. Độc giả vui lòng tham khảo ý kiến của bác sĩ trước bất cứ áp dụng nào! Vui lòng liên hệ để gỡ bài nếu bạn thấy sai và không đúng! Blog xin chân thành cảm ơn!