An toàn thông tin

Checklist bảo mật cho website có cổng web công

Posted on by Đoàn Trình Dục
04
Th4

Có một kiểu sự cố mà rất nhiều doanh nghiệp chỉ phát hiện khi đã muộn:

Website vẫn chạy.
Giao diện vẫn vào được.
Nhân viên vẫn tưởng mọi thứ bình thường.

Nhưng phía sau, web đã bị chèn mã lạ, bị redirect sang trang khác, bị gài backdoor, hoặc dữ liệu đã bị truy cập trái phép từ lúc nào không ai biết.

Nghe thì có vẻ nghiêm trọng. Nhưng phần lớn các vụ việc kiểu này không bắt đầu từ một cuộc tấn công “cao siêu”. Nó thường bắt đầu từ những lỗ hổng rất cơ bản:

  • tài khoản admin dùng chung;
  • mật khẩu yếu;
  • plugin cũ không cập nhật;
  • server mở quá nhiều cổng;
  • backup có nhưng chưa từng test restore;
  • có log nhưng không ai đọc.

Và đó là lý do bài viết này ra đời.

Nếu website của bạn có cổng web công, thì đây gần như luôn là điểm dễ bị tấn công nhất trong toàn bộ hệ thống. Không phải vì website “xấu” hơn các phần khác. Mà vì nó là nơi public ra internet, ai cũng có thể truy cập, ai cũng có thể dò, ai cũng có thể thử khai thác.

Bài viết này sẽ không nói kiểu quá kỹ thuật. Mình sẽ đi theo hướng thực chiến: chia thành từng lớp bảo mật, từng nhóm checklist rõ ràng, để bạn chỉ cần đọc là biết website doanh nghiệp mình đang ổn thật hay mới chỉ “trông có vẻ ổn”.

Hướng dẫn khác:

  1. Làm Gì Khi Website Bị Hack, Lỗi Hoặc Bị Tấn Công?
  2. Tiêu chuẩn kiến trúc bảo mật cho hệ thống thông tin cấp độ 2
  3. Checklist đạt chuẩn cấp độ 2 (chi tiết từng hạng mục)
  4. Quy trình triển khai bảo mật hệ thống từ A–Z cho doanh nghiệp
  5. Giải pháp hạ tầng bảo mật toàn diện cho hệ thống máy chủ cấp độ 2 và 3
  6. Tường lửa ứng dụng web (WAF) là gì? Tại sao quan trọng ở hệ thống có cổng web?

Vì sao website có cổng web công luôn là điểm yếu nhất?

Hãy hình dung hệ thống doanh nghiệp như một tòa nhà.

Database là kho dữ liệu.
Server là phòng điều khiển.
Tài khoản admin là chìa khóa tổng.
Còn website public chính là cửa ra vào.

Cửa đó càng mở ra internet, càng có nhiều người nhìn thấy, càng dễ trở thành điểm bị thử tấn công đầu tiên.

Vấn đề là website public thường không đứng một mình. Nó kết nối với:

  • cơ sở dữ liệu;
  • máy chủ ứng dụng;
  • API;
  • tài khoản quản trị;
  • hệ thống gửi mail;
  • hệ thống nội bộ;
  • đôi khi cả thanh toán và dữ liệu khách hàng.

Nghĩa là chỉ cần web công bị hở một điểm đủ sâu, rủi ro không còn dừng ở “trang web bị lỗi giao diện”. Nó có thể kéo theo:

  • lộ dữ liệu;
  • bị chiếm quyền quản trị;
  • chèn mã độc;
  • phát tán link lừa đảo;
  • mất uy tín thương hiệu;
  • ảnh hưởng SEO;
  • ảnh hưởng vận hành.

Nói ngắn gọn:

Web công không chỉ là website. Nó là cửa vào của toàn hệ thống.

Một câu chuyện rất quen: web vẫn sống, nhưng doanh nghiệp đã mất kiểm soát

Một doanh nghiệp SME có website giới thiệu dịch vụ kèm form thu lead và khu vực quản trị nội dung. Họ nghĩ web này khá đơn giản, không có gì đáng lo.

Đội kỹ thuật có cài SSL.
Hosting vẫn chạy.
CMS vẫn vào được.
Thỉnh thoảng có backup.

Mọi thứ nghe có vẻ ổn.

Cho đến một ngày, bộ phận marketing phát hiện traffic tụt mạnh. Một vài khách phản ánh bấm vào link web thì bị chuyển sang trang lạ. Kiểm tra thêm mới thấy website đã bị chèn script độc, một số trang bị tạo nội dung spam ẩn, và tài khoản admin phụ cũ vẫn còn tồn tại từ nhiều tháng trước.

Điều đáng nói là không có “cuộc tấn công Hollywood” nào cả. Chỉ là:

  • web chưa update plugin;
  • admin cũ chưa xóa;
  • không có cảnh báo bất thường;
  • không ai theo dõi log;
  • backup có nhưng không biết bản sạch ở đâu.

Đây là kiểu sự cố rất thực tế. Và cũng là lý do doanh nghiệp không thể bảo mật website bằng cảm giác.

Bạn cần một checklist.

Cách dùng checklist này để không đọc cho biết

Đừng cố đọc bài này như một bài lý thuyết.

Hãy dùng nó như một bảng tự rà nhanh theo 3 mức:

  • Có nhưng chưa chắc
  • Chưa có

Chỉ cần bạn thành thật với 3 mức đó, bài này sẽ giúp bạn thấy ngay website doanh nghiệp đang hở ở lớp nào.

Checklist bảo mật cho website có cổng web công

Mình chia theo 8 lớp. Đây là cách dễ hiểu nhất cho chủ doanh nghiệp và cũng là cách dễ triển khai nhất cho đội kỹ thuật.

Nhóm 1: Kiểm soát truy cập và tài khoản

Đây là lớp bị xem nhẹ nhất nhưng lại là nơi “toang” rất nhiều.

Rất nhiều website không bị hack vì lỗ hổng kỹ thuật quá phức tạp. Chúng bị vào bằng đường đơn giản hơn nhiều: tài khoản admin yếu hoặc quản lý admin quá lỏng.

Bạn cần kiểm tra:

  • Website đã có phân quyền admin rõ ràng chưa?
  • Có đang dùng chung một tài khoản admin cho nhiều người không?
  • Đã bật xác thực hai lớp cho tài khoản quản trị chưa?
  • Có giới hạn IP truy cập khu vực admin không?
  • Có khóa tạm hoặc giới hạn số lần login sai không?
  • Mật khẩu quản trị có đủ mạnh và được thay đổi định kỳ không?
  • Có log lại hoạt động đăng nhập và thao tác của admin không?
  • Có rà soát định kỳ tài khoản cũ, tài khoản không còn dùng không?

Lỗi rất thường gặp:

  • một tài khoản admin dùng cho cả team;
  • người đã nghỉ vẫn còn quyền;
  • tài khoản editor nhưng thực chất có quyền quá rộng;
  • không ai biết có bao nhiêu admin thật sự đang tồn tại.

Điều cần nhớ:

Nếu khu vực admin lỏng, thì mọi lớp bảo mật phía sau gần như đều mất ý nghĩa.

Nhóm 2: Bảo mật web server

Đây là lớp nền hạ tầng. Nhiều doanh nghiệp dùng server riêng hoặc VPS nhưng cấu hình theo kiểu “chạy được là được”.

Đó là cách rất dễ để web công thành mục tiêu.

Bạn cần kiểm tra:

  • Server đã hardening cơ bản chưa?
  • Đã tắt các dịch vụ và port không cần thiết chưa?
  • Có firewall hoặc lớp kiểm soát truy cập mạng chưa?
  • SSH hoặc RDP có đang mở ra internet quá rộng không?
  • Có giới hạn IP được phép truy cập quản trị server không?
  • HTTPS đã cấu hình chuẩn chưa?
  • Có chặn directory listing không?
  • Có ẩn thông tin phiên bản server, framework hoặc công nghệ đang dùng không?

Lỗi phổ biến:

  • mở quá nhiều cổng;
  • SSH để toàn internet truy cập;
  • server cài thêm nhiều dịch vụ không dùng nhưng vẫn mở;
  • cấu hình SSL/HTTPS chỉ “có” chứ chưa chắc “ổn”.

Insight quan trọng:

Nhiều doanh nghiệp nghĩ web bị hack là do ứng dụng. Thực tế, có không ít case bị vào từ cấu hình server yếu hơn là từ source code.

Nhóm 3: Bảo mật ứng dụng web

Đây là lớp bị khai thác nhiều nhất, đặc biệt với web có form, login, upload file, tìm kiếm, giỏ hàng, API hoặc khu vực quản trị.

Bạn cần kiểm tra:

  • Website đã từng được kiểm tra các lỗ hổng ứng dụng phổ biến chưa?
  • Có kiểm soát SQL Injection không?
  • Có kiểm soát XSS không?
  • Có chống CSRF cho các thao tác quan trọng không?
  • Input từ người dùng có được validate đúng cách không?
  • Output hiển thị có được escape đúng không?
  • Chức năng upload file có kiểm tra định dạng, kích thước và nội dung không?
  • Session đăng nhập có timeout hợp lý không?
  • Cookie có cấu hình an toàn không?
  • Có cơ chế chống brute force hoặc abuse ở các form quan trọng không?

Những chỗ dễ bị bỏ sót:

  • form liên hệ;
  • form đăng nhập;
  • tìm kiếm nội bộ;
  • upload avatar, file đính kèm;
  • tham số URL;
  • API cho mobile/web app.

Điều cần nhớ:

Website public càng nhiều chức năng, bề mặt tấn công càng rộng.

Nhóm 4: Bảo vệ dữ liệu

Doanh nghiệp thường chỉ lo website có vào được hay không, mà quên rằng thứ giá trị nhất đôi khi nằm sau website: dữ liệu.

Bạn cần kiểm tra:

  • Dữ liệu khách hàng có được bảo vệ ở mức phù hợp không?
  • Database có bị lộ trực tiếp ra internet không?
  • Có phân quyền truy cập cơ sở dữ liệu theo nguyên tắc tối thiểu không?
  • Dữ liệu nhạy cảm có được mã hóa hoặc che giấu khi cần không?
  • Có tách môi trường test và môi trường production không?
  • Có giới hạn ai được truy cập bản backup dữ liệu không?
  • Có log truy cập vào dữ liệu quan trọng không?

Lỗi cực nguy hiểm:

  • DB mở public;
  • tài khoản ứng dụng dùng quyền quá cao;
  • backup nằm lộ ở thư mục web;
  • dữ liệu test dùng dữ liệu thật mà không kiểm soát.

Điều cần nhớ:

Website là bề mặt nhìn thấy. Dữ liệu mới là thứ bị nhắm tới nhiều nhất.

Nhóm 5: Mạng và kết nối

Nhiều website bị rủi ro không phải vì web yếu, mà vì kết nối giữa các thành phần đang quá thoáng.

Bạn cần kiểm tra:

  • Có firewall kiểm soát kết nối vào/ra không?
  • Có phân vùng mạng giữa web, app, database không?
  • Các dịch vụ backend có bị expose trực tiếp ra internet không?
  • API có bắt buộc xác thực không?
  • Có rate limit cho request bất thường không?
  • Có chặn các IP hoặc khu vực địa lý đáng ngờ khi cần không?
  • Có giới hạn truy cập giữa các thành phần theo đúng nhu cầu thực tế không?

Lỗi thường gặp:

  • web server và DB nằm cùng mặt phẳng truy cập;
  • API nội bộ lại mở public;
  • không có giới hạn request;
  • không có lớp chặn request bất thường.

Điều cần nhớ:

Kết nối càng thoáng, đường đi của tấn công càng ngắn.

Nhóm 6: Logging và giám sát

Đây là nhóm mà rất nhiều doanh nghiệp “có rồi”, nhưng gần như vẫn thiếu.

Vì có log chưa bao giờ đồng nghĩa với có giám sát.

Bạn cần kiểm tra:

  • Có log truy cập website không?
  • Có log cho khu vực admin không?
  • Có log lỗi ứng dụng không?
  • Có log truy cập server không?
  • Có cảnh báo cho hành vi bất thường không?
  • Có ai thật sự theo dõi các cảnh báo đó không?
  • Có lưu log đủ lâu để phục vụ điều tra khi sự cố xảy ra không?
  • Có biết lúc nào web bị login thất bại bất thường, tăng request đột biến hoặc có thay đổi file lạ không?

Lỗi phổ biến nhất:

  • có log nhưng không ai đọc;
  • có cảnh báo nhưng gửi vào chỗ không ai xem;
  • log bị ghi đè quá nhanh;
  • chỉ log lỗi kỹ thuật, không log hành vi quản trị.

Điều cần nhớ:

Không có giám sát, doanh nghiệp thường chỉ biết mình bị tấn công sau khi hậu quả đã lộ ra ngoài.

Nhóm 7: Backup và khôi phục

Đây là lớp “cứu mạng” khi mọi lớp trước thất bại.

Nhưng cũng là lớp bị làm hình thức nhiều nhất.

Bạn cần kiểm tra:

  • Có backup tự động không?
  • Backup theo chu kỳ nào?
  • Backup gồm source code, database hay cả cấu hình hệ thống?
  • Backup được lưu ở đâu?
  • Có bản backup tách biệt khỏi hệ thống đang chạy không?
  • Có backup offline hoặc ít nhất là backup không bị truy cập trực tiếp từ web công không?
  • Đã từng test restore chưa?
  • Có biết mất bao lâu để khôi phục website khi có sự cố không?

Sai lầm rất phổ biến:

  • có backup nhưng chưa từng khôi phục thử;
  • backup nằm cùng server đang chạy;
  • không biết bản backup nào là bản sạch;
  • khôi phục được DB nhưng không khôi phục được cấu hình app.

Điều cần nhớ:

Backup không cứu được bạn nếu chưa từng restore thử.

Nhóm 8: Cập nhật và vá lỗi

Nhiều website bị hack vì lý do rất buồn: dùng phiên bản cũ quá lâu.

Bạn cần kiểm tra:

  • CMS hoặc framework có được cập nhật định kỳ không?
  • Plugin, theme, module bên thứ ba có được rà và cập nhật không?
  • Máy chủ có được vá lỗi hệ điều hành không?
  • Các thư viện phụ thuộc có được rà phiên bản lỗi thời không?
  • Có quy trình kiểm tra trước khi update không?
  • Có biết thành phần nào đã quá cũ nhưng vẫn đang vận hành không?

Lỗi thường gặp:

  • web chạy ổn nên ngại update;
  • plugin cài cho nhanh rồi quên;
  • không ai chịu trách nhiệm theo dõi vòng đời công nghệ.

Điều cần nhớ:

Web công không được update đều thì gần như sớm hay muộn cũng thành mục tiêu dễ khai thác.

Checklist nhanh 20 câu để tự rà website trong 5 phút

Bạn có thể dùng ngay 20 câu này.

  • Có 2FA cho admin không?
  • Có phân quyền user rõ không?
  • Có tài khoản admin dùng chung không?
  • Có firewall không?
  • Có HTTPS cấu hình chuẩn không?
  • Có giới hạn IP cho admin/server không?
  • Có backup không?
  • Có test restore chưa?
  • Có log truy cập web không?
  • Có log admin không?
  • Có monitoring không?
  • Có scan lỗ hổng định kỳ không?
  • Có update CMS/framework/plugin định kỳ không?
  • Có WAF hoặc lớp bảo vệ web cơ bản không?
  • Có rate limit không?
  • Có kiểm soát upload file không?
  • Có session timeout không?
  • Có DB mở internet không?
  • Có quy trình xử lý sự cố không?
  • Có audit bảo mật định kỳ không?

Cách đọc kết quả nhanh:

Nếu bạn trả lời “chưa” từ 5 câu trở lên, website đang có khoảng trống đáng kể.

Nếu “chưa” rơi vào các nhóm admin, backup, logging, update và lỗ hổng ứng dụng, nên xem đó là mức ưu tiên cao.

Những sai lầm khiến website dễ bị hack nhất

Có vài sai lầm lặp đi lặp lại ở rất nhiều doanh nghiệp.

Nghĩ rằng web nhỏ thì không ai hack

Web nhỏ không khiến bạn an toàn hơn. Nó chỉ khiến bạn ít cảnh giác hơn.

Chỉ xử lý khi đã có sự cố

Lúc đó chi phí sửa thường lớn hơn rất nhiều so với chi phí phòng ngừa.

Có backup nhưng không test

Đây là lỗi kinh điển.

Không update hệ thống

Càng dùng lâu, càng nhiều nguy cơ tích tụ.

Có log nhưng không monitoring

Tức là bạn có camera, nhưng không ai nhìn màn hình.

Quản lý admin quá cảm tính

Dùng chung tài khoản, cấp quyền quá rộng, không thu hồi tài khoản cũ.

Khi nào doanh nghiệp nên audit bảo mật website ngay?

Bạn không cần đợi đến lúc bị hack mới audit.

Nên audit sớm nếu website của bạn có một trong các dấu hiệu sau:

  • có dữ liệu khách hàng;
  • có login hoặc khu vực thành viên;
  • có thanh toán, gửi biểu mẫu, upload file;
  • có traffic lớn;
  • dùng nhiều plugin/module;
  • sắp chạy chiến dịch lớn;
  • sắp audit, đấu thầu hoặc làm việc với đối tác;
  • đã từng bị hack hoặc nghi ngờ có dấu hiệu bất thường.

Nói đơn giản: càng nhiều kết nối, càng nhiều dữ liệu, càng nên audit sớm.

Kết luận

Website có cổng web công không chỉ là một trang để khách xem thông tin.

Nó là cửa ngõ đi vào dữ liệu, tài khoản quản trị, hạ tầng và đôi khi là cả quy trình vận hành của doanh nghiệp.

Vì vậy, bảo mật website không phải là cài một tool rồi yên tâm.
Nó là một hệ thống nhiều lớp:

  • lớp tài khoản;
  • lớp server;
  • lớp ứng dụng;
  • lớp dữ liệu;
  • lớp mạng;
  • lớp log và giám sát;
  • lớp backup;
  • lớp cập nhật.

Nếu chỉ cần nhớ một ý, hãy nhớ ý này:

Website public càng quan trọng, checklist bảo mật càng không được làm theo cảm giác.

FAQ

Website nhỏ có cần bảo mật kỹ không?

Có. Website nhỏ vẫn có thể bị chèn mã, redirect, spam SEO, lấy tài khoản admin hoặc bị dùng làm điểm phát tán mã độc.

Bao lâu nên audit website một lần?

Tùy mức độ thay đổi và mức độ quan trọng, nhưng tối thiểu nên rà định kỳ và rà ngay sau các thay đổi lớn như update hệ thống, thêm chức năng, thêm tích hợp.

Có thể tự check nội bộ không?

Có, với các hạng mục cơ bản. Nhưng để nhìn sâu vào lỗ hổng ứng dụng, cấu hình và rủi ro thực tế, audit chuyên sâu vẫn cần thiết.

Dùng WordPress có an toàn không?

Có thể an toàn nếu được cấu hình đúng, update đều, kiểm soát plugin chặt và có lớp bảo vệ phù hợp. Không an toàn hay không thường không nằm ở tên nền tảng, mà nằm ở cách vận hành.

Chi phí bảo mật website có đắt không?

Không có một mức cố định. Chi phí phụ thuộc vào hiện trạng, độ phức tạp, dữ liệu và phạm vi cần xử lý. Nhưng gần như luôn rẻ hơn nhiều so với xử lý hậu quả sau khi bị tấn công.

💬 Chat Zalo ☎️ Hotline: 0346 844 259