Bỏ qua để đến nội dung chính

Khuyến nghị bảo mật

Các khuyến nghị bảo mật thiết yếu cho website của bạn

Chúng tôi đã tổng hợp một số hướng dẫn bảo mật thiết yếu để giúp giảm nguy cơ xảy ra hoạt động độc hại trên các trang web của bạn. Việc tuân theo những thực hành này sẽ giúp bảo vệ dữ liệu của bạn và đảm bảo trang web vận hành trơn tru.

Sử dụng mật khẩu phức tạp để ngăn chặn các cuộc tấn công brute force

Hãy đảm bảo mật khẩu của bạn có ít nhất 8 ký tự, bao gồm kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt. Điều quan trọng là:

  • Sử dụng mật khẩu khác nhau cho từng tài khoản (người dùng FASTPANEL, tài khoản FTP/SFTP, hộp thư, bảng quản trị trang web).
  • Thường xuyên thay đổi mật khẩu để giảm nguy cơ bị lộ.

Lưu trữ các trang web trên các tài khoản người dùng FASTPANEL riêng biệt

Tránh lưu trữ nhiều trang web dưới cùng một tài khoản người dùng. Nếu một trang web bị xâm phạm, điều đó có thể ảnh hưởng đến tất cả các trang web dùng chung tài khoản đó. Việc lưu trữ trên các tài khoản riêng biệt ngăn các script độc hại lây lan giữa các trang web. Điều này განსაკუთრებით quan trọng đối với các agency hoặc người dùng quản lý website của nhiều khách hàng.

Thiết lập bản sao lưu

Bản sao lưu thường xuyên đảm bảo bạn có thể nhanh chóng khôi phục trang web trong trường hợp xảy ra sự cố hoặc bị tấn công. Dưới đây là lý do vì sao bản sao lưu rất thiết yếu:

  • Khôi phục trang web của bạn sau các bản cập nhật thất bại hoặc sự cố bảo mật.
  • Ngăn ngừa mất dữ liệu trong tình huống khẩn cấp.

Làm theo hướng dẫn này để thiết lập sao lưu tự động.

Cần thêm dung lượng cho bản sao lưu?
Thuê dung lượng lưu trữ sao lưu

Triển khai captcha để ngăn chặn spam và các cuộc tấn công brute force

Để giảm spam và các nỗ lực tấn công do bot thực hiện:

  • Cài đặt captcha trên tất cả các biểu mẫu web (đăng nhập, đăng ký, phần bình luận).
  • Kiểm tra CMS của bạn để tìm các plugin captcha tích hợp sẵn. Các nền tảng CMS phổ biến như WordPress và Joomla cung cấp các plugin dễ sử dụng như Google reCAPTCHA.

Captcha có thể giảm đáng kể các lượt gửi spam và các cuộc tấn công brute-force mật khẩu, từ đó bảo vệ tính toàn vẹn của trang web của bạn.

Luôn cập nhật hệ điều hành, CMS và plugin của bạn

Các lỗ hổng phần mềm thường xuyên được các nhà phát triển phát hiện, sau đó họ phát hành các bản vá để bảo mật chúng. Đây là những gì bạn nên làm:

  • Thường xuyên kiểm tra bản cập nhật cho CMS, hệ điều hành máy chủ và các plugin đã cài đặt.
  • Lên lịch cập nhật tự động khi có thể để đảm bảo các bản vá bảo mật quan trọng luôn được cài đặt.

Cần làm gì nếu website của bạn bị tấn công

Trong trường hợp không may bị tấn công, hãy làm theo các bước sau để giảm thiểu thiệt hại và khôi phục trang web của bạn:

Hạn chế truy cập:
Ngay lập tức đóng quyền truy cập vào trang web bị xâm phạm bằng cách sử dụng xác thực HTTP để ngăn các script độc hại lây lan. Bạn có thể quản lý việc này qua cài đặt trang web của FASTPANEL.

Kiểm tra cron jobs:
Các cron jobs độc hại thường được thêm vào trong quá trình tấn công. Để xem lại cron jobs cho người dùng bị xâm phạm, hãy chạy lệnh sau qua SSH (thay USER bằng tên người dùng thực tế của bạn):

crontab -l -u USER

Khởi động lại máy chủ:
Để dừng các tiến trình độc hại, hãy khởi động lại máy chủ qua "Settings" -> "Main" trong FASTPANEL.

Điều tra và làm sạch mã độc:

  • Sử dụng nhật ký máy chủ và dấu thời gian chỉnh sửa tệp để truy vết nguồn gốc cuộc tấn công.
  • Xóa mã độc theo cách thủ công hoặc khôi phục từ một bản sao lưu sạch được tạo trước khi bị tấn công.
  • Sử dụng tính năng Scan của FASTPANEL, nhưng lưu ý rằng không phải mọi mã độc đều có thể được phát hiện.

Cập nhật phần mềm:
Sau khi xác định được lỗ hổng, hãy cập nhật CMS, plugin và các thành phần máy chủ của bạn lên phiên bản mới nhất.

Sao lưu sau khi dọn dẹp:
Sau khi trang web đã sạch, hãy tạo một bản sao lưu mới.

Theo dõi hành vi của trang web:
Cho phép truy cập công khai vào trang web của bạn và theo dõi cẩn thận hoạt động của nó để đảm bảo không còn hoạt động độc hại nào xảy ra.

Bảo trì liên tục

Ngay cả sau khi đã khôi phục sau một cuộc tấn công, điều quan trọng là phải tiếp tục thực hiện các biện pháp bảo mật chủ động:

  • Thường xuyên kiểm tra nhật ký máy chủ để phát hiện hoạt động bất thường.
  • Thực hiện quét lỗ hổng định kỳ.
  • Đảm bảo tất cả các thành phần của trang web luôn được cập nhật.
  • Triển khai xác thực đa yếu tố (MFA) cho các tài khoản quan trọng.