76 mẹo bảo mật Web Server Dưới đây là 76 lời khuyên để giúp bạn cải thiện bảo mật trên máy chủ web server. Bảo mật web có thể được cải thiện với một số bước đơn giản, các bạn kiểm tra làm theo các lời khuyên sẽ cải thiện bảo mật máy chủ của các bạn hơn. Bảo vệ 'Mật khẩu' Sử dụng mật khẩu có ít nhất 8 ký tự Sử dụng mật khẩu có độ phức tạp bao gồm số, chữ, ký hiệu ... Sử dụng nhiều mật khẩu cho các tài khoản khác nhau. Kiểm tra độ mạnh mật khẩu bằng các công cụ hỗ trợ. Không sử dụng các mật khẩu thông dụng. VD : 123456, toikhongbiet ... Không sử dụng mật khẩu lặp nhiều lần VD : 1111111111, 1212121212... Không sử dụng mật khẩu có chứa thông tin như ngày sinh của bạn, số điện thoại ... Không lưu trữ mật khẩu trên máy tính xách tay, điện thoại hoặc máy tính bảng. Sử dụng hệ thống bảo vệ mật khẩu bởi một nhà cung cấp uy tín (Ví dụ :LastPass). Thiết lập 'Xác minh 2 bước' khi nhà cung cấp có dịch vụ. Sử dụng chức năng kiểm tra mức độ mật khẩu An toàn các giao thức truyền tải thông tin Sử dụng giao thức bảo mật FTP Sử dụng SSH thay vì Telnet Sử dụng giao thức bảo mật cho Email (POP3S/IMAPS/SMTPS). Bật tính năng bảo mật SSL (HTTPS). Sử dụng VPN khi có sẵn. Sử dụng tường lửa trên tất cả thiết bị endpoints, bao gồm Server và Client. Sử dụng residential/office firewall/IPS trên hệ thống. Mã hóa dữ liệu trên Email. Không sử dụng máy tính công cộng để truy cập dữ liệu nhạy cảm. Bảo mật ứng dụng Web Đăng ký thông báo những bản cập nhật website. Cập nhật các phiên bản website mới nhất. Sử dụng các công cụ quét bảo mật như Nessus. Sử dụng tường lửa trình duyệt Web. Kiểm tra tập tin tải lên đảm bảo mã nguồn không được upload lên. Mã tùy chỉnh về bảo mật. Sử dụng frameworks với hệ thống bảo mật tốt. Bảo mật đường dẫn nhạy cảm 'directory/file'. Hạn chế đăng nhập IP với mục dành cho "Quản trị viên". Làm sạch khung nhập. Ẩn các thư mục nhạy cảm hoặc hạn chế truy cập. Sử dụng các lệnh Shell trong mã. Không tin vào những đường dẫn HTTP bởi những người giới thiệu, rất có thể nó được giả mạo. Sử dụng POT thay cho GET để gửi những dữ liệu nhạy cảm trên đường dẫn. Xác nhận dữ liệu từ máy chủ. Không dựa vào các tập tin tương đối và tên đường dẫn. Xác định quyền truy cập từng file. Giới hạn đăng tải tệp tin, cho những tệp tin được phép (.zip, .jpg, .png...) Tạo các lỗi an toàn, không tiêt lộ thông tin nhạy cảm. Cẩn thận xử lý với các tệp tin Cookie, nó có thể được chỉnh sửa. Mã hóa các tệp tin cấu hình (config.php). Bảo vệ các cuộc tấn công DDOS. Vô hiệu hóa url fopen nếu có thể. Kích hoạt chế độ Safe mode trong hệ thống Apache nếu có thể. Vô hiệu hóa các hàm PHP nguy hiểm. Cẩn thận với các tệp tin nhạy cảm ".bak, .txt, ,sql" trong thư mục web. Cẩn thận sử dụng các phiên bản mặc định trên root. Thiết lập mặc định trả lời và theo dõi email trả lại. Luôn cập nhật phiên bản mới nhấ. Luôn kiểm tra các lỗi và log trên hệ thống. Bảo mật máy chủ Cập nhật các phiên bản hệ điều hành thường xuyên. Cập nhật Control thường xuyên. Giảm thông báo thông tin (VD: Đổi ServerTokens trong Apache). Không cài đặt phần mềm không được sử dụng. Không sao lưu hoặc phần mêm các phiên bản cũ. Hạn chế quyền truy cập vào các tài khoản nhạy cảm. Chắc chắn rằng hệ thông Logs hoạt động. Chắc chắn rằng máy chủ đã cài đặt tường lửa. Xóa các thông tin mặc định trên Database. Vô hiệu hóa quyền truy cập root trong SSH. Sử dụng quyền đăng nhập có SSH key. Vô hiệu hóa các dịch vụ không sử dụng. Luôn có hệ thống tự sao lưu hệ thống. Kiểm tra hệ thống sao lưu. Không phát triển hệ thống chưa được công bố. Luôn cập nhật hệ thống dịch vụ thông báo bảo mật. Theo dõi lưu lượng web kiểm tra những hoạt động bất thường. Thường xuyên quét, kiểm tra bảo mật. Thiết lập các dịch vụ mặc định trong Apache, SSH và dịch vụ khác. Sử dụng tài khoản root khi cần thiết. Sử dụng "sudo" để cấp quyền tài khoản. Kích hoạt "SELinux". Sử dụng mạng riêng thông với mạng chính. Sử dụng mã khóa thích hợp. Thực hiện kiểm tra mật khẩu. Thực hiện các mật khẩu mạnh và thay đổi mật khẩu hàng tháng. Quang Vinh Trang Công Nghệ TỪ KHÓA Apache bảo mật thủ thuât máy chủ tường lửa mật khẩu hacker Đang xử lý. Xin vui lòng chờ... Theo Trang Công Nghệ