Bảo mật

Những điều cơ bản về bảo mật trang web cho doanh nghiệp nhỏ

9 phút đọc
Web Workmen
Những điều cơ bản về bảo mật trang web cho doanh nghiệp nhỏ

Bạn khóa xe tải vào ban đêm. Bạn khóa cửa hàng. Bạn khóa rơ-moóc tại công trường. Nhưng còn trang web của bạn thì sao? Hầu hết các thợ thủ công không bao giờ nghĩ về bảo mật trang web cho đến khi có sự cố xảy ra — và đến lúc đó, việc khắc phục sẽ tốn kém, đáng xấu hổ và mất thời gian.

Bảo mật trang web không cần phải phức tạp. Dưới đây là những điều cần thiết mà mọi trang web doanh nghiệp nhỏ cần, được giải thích rõ ràng.

Tại sao tin tặc nhắm mục tiêu vào các trang web doanh nghiệp nhỏ

Bạn có thể nghĩ, "Tại sao ai đó lại tấn công trang web của thợ sửa ống nước của tôi? Tôi đâu phải là ngân hàng." Câu hỏi hợp lý. Nhưng tin tặc không nhắm mục tiêu vào trang web của bạn vì những gì bạn có — họ nhắm mục tiêu vào nó vì những gì nó có thể làm cho họ.

Theo Báo cáo điều tra vi phạm dữ liệu năm 2023 của Verizon, 43% các cuộc tấn công mạng nhắm vào các doanh nghiệp nhỏ. Các trang web bị tấn công được sử dụng để:

  • Phân phối phần mềm độc hại cho khách truy cập của bạn (khách hàng của bạn bị nhiễm)
  • Gửi email rác từ tên miền của bạn (danh tiếng email của bạn bị hủy hoại)
  • Chuyển hướng khách truy cập đến các trang web lừa đảo, trang cờ bạc hoặc tệ hơn
  • Lưu trữ các trang lừa đảo (phishing) để đánh cắp số thẻ tín dụng
  • Đào tiền điện tử sử dụng tài nguyên máy chủ của bạn (và trình duyệt của khách truy cập)

Các trang web của doanh nghiệp nhỏ là mục tiêu dễ dàng vì chúng thường có phần mềm lỗi thời, mật khẩu yếu và không có ai giám sát. Một hacker với các công cụ tự động có thể quét hàng nghìn trang web mỗi giờ để tìm kiếm các lỗ hổng đã biết.

Những Điều Cần Có: Yếu Tố An Ninh Thiết Yếu

1. Chứng chỉ SSL (HTTPS)

Nếu URL trang web của bạn bắt đầu bằng "http://" thay vì "https://," bạn đang gặp vấn đề. Chữ "S" là viết tắt của "secure" (an toàn), và nó có nghĩa là kết nối giữa trình duyệt của khách truy cập và trang web của bạn được mã hóa.

Tại sao điều này quan trọng:

  • Google Chrome (được 65% người dùng web sử dụng) đánh dấu các trang HTTP là "Không An Toàn" với một cảnh báo rõ ràng. Chỉ riêng cảnh báo đó cũng sẽ khiến khách hàng sợ hãi bỏ đi.
  • Google đã xác nhận rằng HTTPS là một yếu tố xếp hạng. Các trang HTTP bị phạt trong kết quả tìm kiếm.
  • Nếu bạn có một biểu mẫu liên hệ trên một trang HTTP, thông tin khách hàng (tên, điện thoại, email) được truyền đi dưới dạng văn bản thuần túy mà bất kỳ ai trên cùng mạng đều có thể đọc được.

Cách khắc phục: Chứng chỉ SSL miễn phí thông qua các dịch vụ như Let's Encrypt, và hầu hết các nhà cung cấp dịch vụ lưu trữ hiện đại đều tự động bao gồm chúng. Nếu nhà cung cấp của bạn tính thêm phí cho SSL, đó là một dấu hiệu đáng ngờ về nhà cung cấp của bạn. Hãy yêu cầu nhà phát triển web của bạn thiết lập — việc này mất khoảng 15 phút.

2. Luôn Cập Nhật Phần Mềm

Nếu trang web của bạn chạy trên WordPress (khoảng 43% tổng số trang web, theo W3Techs), việc cập nhật nó là rất quan trọng. Lõi WordPress, giao diện (themes) và plugin đều nhận được các bản vá bảo mật thường xuyên. Chạy các phiên bản lỗi thời giống như để cửa trước nhà bạn không khóa.

Nghiên cứu của Sucuri cho thấy 39% các trang WordPress bị tấn công đang chạy phần mềm lỗi thời tại thời điểm xảy ra vi phạm. Các bản cập nhật tồn tại đặc biệt vì các lỗ hổng bảo mật đã được phát hiện — không cập nhật có nghĩa là bạn đang cố ý chạy phần mềm với các lỗ hổng đã biết.

Cách khắc phục: Đăng nhập vào bảng điều khiển WordPress của bạn ít nhất hàng tháng và cài đặt tất cả các bản cập nhật có sẵn. Hoặc tốt hơn nữa, bật cập nhật tự động cho các bản vá bảo mật. Nếu bạn không thoải mái tự mình làm điều này, hãy đảm bảo người quản lý trang web của bạn thực hiện nó thường xuyên.

3. Mật Khẩu Mạnh

Điều này nghe có vẻ cơ bản vì nó thực sự cơ bản, nhưng "password123" và "admin" vẫn nằm trong số các mật khẩu phổ biến nhất được tìm thấy trên các trang web bị tấn công. Nếu mật khẩu đăng nhập WordPress của bạn là tên doanh nghiệp, tên con chó của bạn, hoặc bất cứ thứ gì mà một người có thể đoán được trong năm lần thử, hãy thay đổi nó ngay hôm nay.

Cách khắc phục: Sử dụng mật khẩu dài ít nhất 12 ký tự với sự kết hợp của chữ cái, số và ký hiệu. Tốt hơn nữa, hãy sử dụng trình quản lý mật khẩu như Bitwarden (miễn phí) hoặc 1Password để tạo và lưu trữ các mật khẩu phức tạp. Và đừng bao giờ sử dụng cùng một mật khẩu cho trang web của bạn như bạn dùng cho email hoặc ngân hàng của mình.

4. Sao Lưu Thường Xuyên

Nếu trang web của bạn bị tấn công hoặc hỏng hóc, một bản sao lưu gần đây là sự khác biệt giữa việc sửa chữa trong 30 phút và việc xây dựng lại mọi thứ từ đầu.

Cách khắc phục: Hãy đảm bảo trang web của bạn được sao lưu ít nhất hàng tuần. Nhiều nhà cung cấp dịch vụ lưu trữ bao gồm sao lưu tự động. Nếu của bạn không có, các plugin WordPress như UpdraftPlus (miễn phí) có thể sao lưu trang web của bạn lên Google Drive hoặc Dropbox tự động. Xác minh rằng các bản sao lưu của bạn thực sự hoạt động bằng cách khôi phục một bản vào môi trường thử nghiệm ít nhất mỗi năm một lần.

5. Xóa Plugin và Giao Diện Không Sử Dụng

Mỗi plugin và giao diện (theme) WordPress được cài đặt trên trang web của bạn — ngay cả khi nó không hoạt động — đều là một điểm vào tiềm năng cho hacker. Các plugin chưa được nhà phát triển cập nhật trong hơn một năm đặc biệt rủi ro.

Cách khắc phục: Vào bảng điều khiển WordPress của bạn, xem các plugin và giao diện đã cài đặt. Xóa bất cứ thứ gì bạn không sử dụng tích cực. Nếu bạn có 20 plugin và chỉ sử dụng 8, 12 plugin còn lại chỉ đang thêm rủi ro mà không mang lại lợi ích nào.

Dấu hiệu cảnh báo trang web của bạn đã bị tấn công

Đôi khi các cuộc tấn công rất rõ ràng — trang chủ của bạn bị thay thế bằng một thông báo bằng ngôn ngữ bạn không đọc được. Nhưng thường thì, các cuộc tấn công rất tinh vi và bạn có thể không nhận ra trong nhiều tuần. Hãy chú ý đến:

  • Cảnh báo tìm kiếm của Google: Danh sách của bạn hiển thị "Trang web này có thể đã bị tấn công" hoặc "Trang web này có thể gây hại cho máy tính của bạn"
  • Chuyển hướng lạ: Khách truy cập nhấp vào liên kết của bạn lại chuyển đến một trang web khác
  • Người dùng quản trị mới: Bạn thấy các tài khoản người dùng trong bảng điều khiển WordPress của mình mà bạn không tạo
  • Hiệu suất chậm: Sự chậm lại đột ngột, không giải thích được có thể cho thấy máy chủ của bạn đang bị sử dụng để đào tiền mã hóa hoặc gửi thư rác
  • Khiếu nại của khách hàng: Mọi người nói với bạn rằng trang web của bạn "trông lạ" hoặc phần mềm diệt virus của họ đã gắn cờ nó
  • Email rác từ tên miền của bạn: Bạn bắt đầu nhận được thông báo trả lại cho các email mà bạn không gửi

Nếu bạn nghi ngờ trang web của mình đã bị tấn công, hãy hành động ngay lập tức. Đưa trang web ngoại tuyến, liên hệ với nhà cung cấp dịch vụ lưu trữ của bạn và nhờ một chuyên gia bảo mật can thiệp. Trang web bị tấn công càng tồn tại lâu, nó càng gây hại cho danh tiếng và thứ hạng Google của bạn.

Lợi thế của trang web tĩnh

Đây là điều mà hầu hết mọi người không biết: trang web an toàn nhất là trang không có bất kỳ mã phía máy chủ nào. Các trang web tĩnh — các trang được xây dựng bằng các công cụ hiện đại tạo ra các tệp HTML thuần túy — hầu như không có bề mặt tấn công. Không có cơ sở dữ liệu để tấn công, không có trang đăng nhập để tấn công vét cạn, không có plugin để khai thác.

Một trang web tĩnh được phân phát từ một CDN như Cloudflare về cơ bản là không thể bị tấn công bằng các phương pháp truyền thống. Đây là cách tiếp cận tương tự được các công ty lớn sử dụng cho các trang web tiếp thị của họ, và nó hoạt động rất hiệu quả cho các trang web kinh doanh dịch vụ. Không có lỗ hổng WordPress, không cần cập nhật plugin, không cần lo lắng về các bản vá bảo mật.

Đây là một trong những lý do chúng tôi xây dựng các trang web tĩnh cho khách hàng của mình — chúng không chỉ nhanh hơn mà còn an toàn hơn đáng kể so với WordPress. Tìm hiểu thêm về cách chúng tôi xây dựng các trang web nhanh chóng và an toàn ngay từ thiết kế.

Danh sách kiểm tra bảo mật của bạn

Đây là những điều tối thiểu mà mọi trang web doanh nghiệp nhỏ nên có:

  1. Chứng chỉ SSL (HTTPS) — miễn phí và không thể thương lượng
  2. Tất cả phần mềm được cập nhật lên phiên bản mới nhất
  3. Mật khẩu mạnh, duy nhất cho mỗi tài khoản
  4. Sao lưu thường xuyên được lưu trữ ngoài trang web
  5. Các plugin và giao diện không sử dụng đã được gỡ bỏ
  6. Xác thực hai yếu tố trên đăng nhập quản trị của bạn
  7. Dịch vụ giám sát cảnh báo bạn về thời gian ngừng hoạt động hoặc thay đổi

Không có gì trong số này là đắt đỏ. Không có gì phức tạp cả. Nhưng bỏ qua nó là một canh bạc ngày càng rủi ro hơn mỗi năm. Hãy bảo vệ trang web của bạn giống như cách bạn bảo vệ công cụ và xe tải của mình. Liên hệ với chúng tôi nếu bạn muốn một trang web được xây dựng với bảo mật làm nền tảng, chứ không phải là một yếu tố được thêm vào sau.

Cần một trang web thực sự hiệu quả cho ngành nghề của bạn?

Ngừng mất khách hàng vì một trang web kém. Nhận báo giá miễn phí, không ràng buộc và xem một trang web hiện đại có thể làm gì cho doanh nghiệp của bạn.

Nhận báo giá miễn phí của bạn