Tránh bị nhiễm phần mềm độc hại
Để không bị nhiễm phần mềm độc hại, bạn phải luôn cảnh giác. Bài viết này cung cấp các mẹo và gợi ý về cách tránh bị nhiễm phần mềm độc hại. Tuy nhiên, bài viết này chắc chắn là chưa đầy đủ và Google cũng khuyến khích các chủ sở hữu trang web tìm hiểu kỹ hơn về vấn đề này.
Theo dõi tình trạng trang web
Nhiều tính năng của Search Console có thể giúp bạn xác định các vấn đề tiềm ẩn. Ví dụ:
-
Hãy thử tìm kiếm trên Google bằng toán tử tìm kiếm
site:
để xem những trang mà Google đã tìm thấy trên trang web của bạn. Bạn nên làm việc này định kỳ để xem có ai lén chèn các trang hoặc nội dung không mong muốn lên trang web của bạn hay không. Nếu bạn thấy trên trang web của mình có những trang mà bạn không biết hoặc những chủ đề không phải do bạn viết, thì có thể bạn đã bị tấn công. Nếu bạn chưa quen dùng toán tử tìm kiếmsite:
thì đây là một cách để bạn giới hạn phạm vi tìm kiếm trong một trang web cụ thể. Ví dụ: Nội dung tìm kiếmsite:developers.google.com
sẽ chỉ trả về những kết quả lấy từ trang web Google Developers. - Báo cáo Vấn đề bảo mật hiển thị mọi trang bị tấn công mà Google đã xác định được trên trang web của bạn, kèm theo hướng dẫn về cách khắc phục vấn đề.
- Nếu Google phát hiện phần mềm độc hại trên trang web của bạn, bạn sẽ thấy thông báo tại bảng thông báo trong Search Console. Để đảm bảo nhanh chóng nhận được thông báo, bạn có thể chọn chế độ chuyển tiếp thông báo tới tài khoản email của bạn.
Danh sách kiểm tra bảo mật
Ngoài việc theo dõi trang web của mình thường xuyên, bạn cũng nên thực hiện các việc sau:
Đối với tất cả chủ sở hữu trang web
- Chọn mật khẩu mạnh. Các nguyên tắc về Tài khoản Google sẽ giúp bạn.
- Hết sức cẩn thận khi chọn nhà cung cấp nội dung bên thứ ba. Đảm bảo rằng các quảng cáo và ứng dụng bên thứ ba trên trang web của bạn đến từ những nguồn đáng tin cậy và hợp pháp. Các nguồn đáng tin cậy và hợp pháp sẽ cung cấp dịch vụ hỗ trợ và thông tin liên hệ trên trang web của họ.
- Liên hệ với công ty lưu trữ hoặc nền tảng xuất bản của bạn để được hỗ trợ. Hầu hết các công ty đều có các trang về vấn đề bảo mật và/hoặc các nhóm hỗ trợ hữu ích và phản hồi nhanh chóng. Nếu một trang hoặc trang web về vấn đề bảo mật có nguồn cấp dữ liệu RSS, hãy đăng ký nguồn cấp dữ liệu đó để đảm bảo bạn luôn được cập nhật.
- Giữ an toàn cho tất cả máy tính của bạn. Đặc biệt là khi làm việc trên một trang web, hãy đảm bảo rằng máy trạm cục bộ của bạn có phần mềm cập nhật, không nhiễm vi-rút, trojan hoặc phần mềm độc hại tương tự và đã cài đặt phần mềm diệt vi-rút cập nhật gần đây.
Đối với chủ sở hữu trang web có quyền truy cập máy chủ
- Kiểm tra cấu hình máy chủ. Trang web của Apache có một số mẹo về cấu hình bảo mật và trang web của Microsoft có một số tài liệu trong trung tâm công nghệ dành cho IIS. Một số mẹo trong đó đề cập đến thông tin về quyền truy cập thư mục, lệnh máy chủ (SSI), quy trình xác thực và mã hoá.
-
Tạo một bản sao lưu của tệp
.htaccess
(hoặc các cơ chế kiểm soát quyền truy cập khác tuỳ thuộc vào nền tảng của trang web của bạn). Hãy dùng tệp sao lưu của bạn để khôi phục nếu những cách dưới đây không thành công. Hãy nhớ xóa tệp sao lưu này sau khi bạn hoàn tất. - Dùng các bản cập nhật và bản vá phần mềm mới nhất. Có rất nhiều công cụ giúp bạn dễ dàng xây dựng một trang web, nhưng công cụ nào cũng làm tăng thêm rủi ro bị lợi dụng. Một sai lầm phổ biến của nhiều chủ sở hữu trang web là cài đặt một diễn đàn hoặc blog trên trang web của mình rồi quên đi mất. Cũng giống như việc bảo dưỡng xe, bạn cần phải đảm bảo có được mọi bản cập nhật mới nhất cho tất cả chương trình phần mềm bạn đã cài đặt. Hãy tạo danh sách tất cả phần mềm và trình bổ trợ được dùng cho trang web của bạn và theo dõi số phiên bản cũng như bản cập nhật. Ngay cả khi đã thận trọng và liên tục cập nhật mọi thành phần trên trang web của mình, thì bạn vẫn có thể dễ bị tấn công nếu nhà cung cấp dịch vụ lưu trữ web của bạn chưa cài đặt các bản vá hệ điều hành mới nhất. Vấn đề này không chỉ ảnh hưởng đến các trang web nhỏ. Từng có những trang web của các ngân hàng, các đội thể thao cũng như trang web của các công ty và chính phủ nhận được cảnh báo.
-
Để mắt tới các tệp nhật ký của bạn.
Việc duy trì thói quen này có nhiều lợi ích to lớn, một trong số đó là tăng tính bảo mật. Ví dụ: Nếu bạn thấy những tham số URL không quen thuộc (như
=http:
hay=//
) hoặc lưu lượng truy cập vào các URL chuyển hướng trên trang web của mình tăng đột biến, đó có thể là dấu hiệu một tin tặc đang lợi dụng lỗ hổng chuyển hướng mở. Ngoài ra, hãy lưu ý rằng tin tặc thường cố gắng sửa đổi các tệp nhật ký. Hãy áp dụng các biện pháp để bảo vệ các tệp này khỏi bị tấn công. Ví dụ: Bạn có thể chuyển những tệp như vậy khỏi vị trí mặc định, khiến tin tặc khó tìm được. -
Kiểm tra trang web của bạn để tìm các lỗ hổng phổ biến.
Hãy tránh cấp quyền truy cập mở cho các thư mục. Hành động này cũng giống như việc để cửa nhà bạn mở toang.
Ngoài ra, hãy kiểm tra xem có lỗ hổng XSS (cross-site scripting) và SQL injection nào không.
- Dùng các giao thức có tính bảo mật. Google khuyến khích dùng SSH và SFTP để chuyển dữ liệu, thay vì dùng các giao thức văn bản thuần túy như telnet hoặc FTP. SSH và SFTP sử dụng phương thức mã hóa và vì vậy an toàn hơn rất nhiều.
- Cập nhật các tin tức mới nhất về bảo mật. Blog về bảo mật của Google cung cấp nhiều thông tin hữu ích về vấn đề bảo mật và an toàn trên mạng cũng như các chỉ dẫn sang một số tài nguyên khác. Trang web US-CERT (Trung tâm Ứng cứu Khẩn cấp Máy tính Hoa Kỳ) của chính phủ Hoa Kỳ cũng cung cấp các mẹo và cảnh báo về vấn đề bảo mật kỹ thuật.
Nếu là người dùng Search Console và đang gặp các vấn đề bảo mật kéo dài liên tục hoặc không thể khắc phục trên trang web của mình, bạn có thể cho chúng tôi biết.