Tuetamsolution2023
New Member
- Joined
- Apr 11, 2024
- Messages
- 2
- Reaction score
- 0
Không chỉ website doanh nghiệp nhỏ mà ngay cả website của nhiều tổ chức, doanh nghiệp lớn tại Việt Nam cũng đã từng bị xâm nhập. Thực hiện điều này dẫn đến câu hỏi: vì sao website Việt Nam dễ bị hacker tấn công như thế.
1. Thực trạng tấn công website tại Việt Nam
1.1. Xu hướng tấn công website tại Việt Nam những năm gần đây
Theo một báo cáo về an ninh website, có hơn 560.000 vụ tấn công vào các website trên toàn cầu trong năm 2019. Việt Nam xếp thứ 11 trong số các nước có nhiều website bị tấn công trên thế giới với hơn 9.300 website bị xâm phạm .
Báo cáo về trang web mạng ninh mạng trong 9 tháng đầu năm 2020 cũng chỉ ra rằng, WordPress vẫn là nền tảng quản trị nội dung (CMS) được sử dụng nhiều nhất bởi các trang web bị hack. Vì vậy, các website chủ WordPress nên cảnh giác và thực thi các biện pháp bảo mật cho website của mình.
1.2. Một số tấn công nổi bật
1.2.1. Tấn công vào website của Cơ quan Nhà nước
Theo một thống kê mạng lưới an ninh, trong 8 tháng đầu năm 2020 có tổng cộng 255 dịch vụ tới trang web có tên miền .gov.vn đã bị hack. Trong đó, có 4 dịch vụ là các trang bị thay đổi giao diện trang chủ, 202 dịch vụ là các trang bị tấn công hàng loạt, 36 dịch vụ là các trang bị tấn công lần thứ 2.
Website danhgia.tayho.gov có thể chèn game quảng cáo
Đặc biệt, có tới 4 trang bị hack tới 4 lần, cụ thể:
Năm 2018, website ngân hàng VCB đã bị tấn công xâm nhập. Cụ thể, trang web Vietcombank gặp sự cố ở trang con khi đăng ký email liên kết với tài khoản ngân hàng. Trong khi đó, các mục khác vẫn hoạt động bình thường. Khi truy cập, thấy nội dung thông báo dành cho chủ tài khoản, người xem chỉ thấy hai câu thơ chế độ: “Trăm năm Kiều vẫn là Kiều, sinh viên thi lại là điều tất nhiên”.
Tháng 3/2020, chuỗi website của Lotteria đã được thay đổi ảnh trang chủ thành logo nhóm hacker Anonymous, ảnh hưởng đến hình ảnh thương hiệu.
Lotteria bị tấn công bằng mã độc
2. Lý do website tại Việt Nam dễ bị xâm nhập
2.1. Lý do khách hàng
3.1. Các giải pháp bảo vệ cơ bản website và thực hiện
Mỗi công thức tấn công và vấn đề bảo mật sẽ được giải pháp bảo vệ tương ứng. Trong phần này, SecurityBox sẽ liệt kê các giải pháp được sử dụng nhiều và dễ áp dụng cho những người không có kiến thức kỹ thuật chuyên sâu.
3.1.1. Sử dụng tên đăng nhập và mật khẩu có bảo mật cao hơn
Theo SecurityBox, đây là giải pháp bảo vệ website đơn giản mà hiệu quả nhất. By tin tặc bình yên lợi dụng xâm nhập vào các tài khoản đặt mật khẩu yếu.
Đặt mật khẩu có cấp độ bảo mật cao để bảo vệ trang web
3.1.2. Phân quyền quản trị hợp lý trên website
Nếu trang web chỉ có một số thành viên thì tính năng bảo mật có thể vẫn được đảm bảo. Tuy nhiên, nếu website có ưu điểm tới hàng trăm người tham gia xây dựng thì sẽ phát hiện ra nhiều vấn đề. Hãy phân quyền cho từng người trên website theo đúng nhiệm vụ công việc của họ.
3.1.3. Sử dụng theme, plugin có nguồn gốc rõ ràng
Không có ít trường hợp lý do kinh tế sử dụng các chủ đề, plugin không rõ nguồn gốc. Qua đó, họ đã gián tiếp tải các trang web mã độc lên của mình. Vì vậy, doanh nghiệp cần lựa chọn theme, plugin từ các nguồn uy tín để tránh sự cố tấn công không đáng xảy ra.
Sử dụng chủ đề, plugin có nguồn gốc rõ ràng để hạn chế nguy cơ tồn tại lỗi
3.1.4. Sử dụng các phiên bản WordPress, PHP, theme, plugin mới nhất
Bản cập nhật thường có hai chức năng chính. Cạnh viền cung cấp thêm các tính năng nâng cao trải nghiệm mới cho người dùng, các bản cập nhật còn giải quyết được các lỗ hổng phiên bản trước đó phải gặp. Đây cũng là một giải pháp dễ áp dụng mang lại hiệu quả cao.
3.1.5. Bảo mật với HTTPS
HTTPS là một giao thức bảo mật, đảm bảo người dùng đang tương tác với máy chủ và không ai khác có thể chặn hoặc thay đổi nội dung mà họ đang xem.
HTTPS là giao thức bảo mật mà mọi trang web cần có
3.1.6. Lựa chọn nhà cung cấp hosting tốt
Bên cạnh lý do bảo mật tốt hơn, một hosting tốt còn cung cấp cho khách hàng trải nghiệm trang web tốt hơn, đề phòng tấn công DDoS.
3.1.7. Sao lưu mã và dữ liệu
Trang web có thể được đánh cắp hoặc nhiễm mã độc bất cứ lúc nào. Trong trường hợp này, một bản sao lưu của trang web sẽ rất hữu ích khi khôi phục lại.
3.2. Giải pháp bảo vệ website từ SecurityBox
Doanh nghiệp hiện phải đối mặt với rất nhiều website nguy hiểm tấn công từ kẻ cướp. Dựa theo những quan sát từ SecurityBox, nguyên nhân tạo ra website rất dễ bị đánh lừa là bản thân website tồn tại rất nhiều ổ béo. Đây chính là lý do SecurityBox phát triển dịch vụ bảo vệ website cho doanh nghiệp.
Khi doanh nghiệp sử dụng dịch vụ, các chuyên gia của SecurityBox sẽ kiểm tra và đánh giá tình hình trang web theo kế hoạch dài hạn. Cụ thể, các chuyên gia sẽ cho doanh nghiệp biết hệ thống website đang ở trạng thái an toàn hay nguy hiểm, gửi cảnh báo thời gian về các mối đe dọa bảo mật. Nhờ đó, doanh nghiệp mới có thể đối phó kịp thời để tránh hậu quả nặng nề. Ưu điểm của trang web bảo vệ dịch vụ của SecurityBox:
1. Thực trạng tấn công website tại Việt Nam
1.1. Xu hướng tấn công website tại Việt Nam những năm gần đây
Theo một báo cáo về an ninh website, có hơn 560.000 vụ tấn công vào các website trên toàn cầu trong năm 2019. Việt Nam xếp thứ 11 trong số các nước có nhiều website bị tấn công trên thế giới với hơn 9.300 website bị xâm phạm .
Báo cáo về trang web mạng ninh mạng trong 9 tháng đầu năm 2020 cũng chỉ ra rằng, WordPress vẫn là nền tảng quản trị nội dung (CMS) được sử dụng nhiều nhất bởi các trang web bị hack. Vì vậy, các website chủ WordPress nên cảnh giác và thực thi các biện pháp bảo mật cho website của mình.
1.2. Một số tấn công nổi bật
1.2.1. Tấn công vào website của Cơ quan Nhà nước
Theo một thống kê mạng lưới an ninh, trong 8 tháng đầu năm 2020 có tổng cộng 255 dịch vụ tới trang web có tên miền .gov.vn đã bị hack. Trong đó, có 4 dịch vụ là các trang bị thay đổi giao diện trang chủ, 202 dịch vụ là các trang bị tấn công hàng loạt, 36 dịch vụ là các trang bị tấn công lần thứ 2.
Website danhgia.tayho.gov có thể chèn game quảng cáo
Đặc biệt, có tới 4 trang bị hack tới 4 lần, cụ thể:
- business.gov.vn – từ 2009 đến nay đã bị hack 4 lần.
- hungyenbusiness.gov.vn – từ 2008 đến nay đã bị hack 4 lần.
- vienngonnguhoc.gov.vn – từ 2015 đến nay đã bị hack 4 lần.
- www.tongcucthuyloi.gov.vn – từ 2016 đến nay đã bị hack 4 lần.
Năm 2018, website ngân hàng VCB đã bị tấn công xâm nhập. Cụ thể, trang web Vietcombank gặp sự cố ở trang con khi đăng ký email liên kết với tài khoản ngân hàng. Trong khi đó, các mục khác vẫn hoạt động bình thường. Khi truy cập, thấy nội dung thông báo dành cho chủ tài khoản, người xem chỉ thấy hai câu thơ chế độ: “Trăm năm Kiều vẫn là Kiều, sinh viên thi lại là điều tất nhiên”.
Tháng 3/2020, chuỗi website của Lotteria đã được thay đổi ảnh trang chủ thành logo nhóm hacker Anonymous, ảnh hưởng đến hình ảnh thương hiệu.
Lotteria bị tấn công bằng mã độc
2. Lý do website tại Việt Nam dễ bị xâm nhập
2.1. Lý do khách hàng
- Hosting được sử dụng để xây dựng trang web có bảo mật.
- Bản thân các chủ đề và cài đặt plugin trên trang web tồn tại ở lỗi ổ đĩa. Hầu hết các theme, plugin không rõ nguồn gốc đều tại ổ an ninh. Ít chí, còn có các trường hợp chủ đề, plugin uy tín cũng tồn tại tại ổ gà. Ví dụ: drive tồn tại trong plugin Elementor đã ảnh hưởng tới việc sử dụng nó trên 1 triệu trang web.
- Sử dụng tên đăng nhập mặc định và mật khẩu yếu.
- Người dùng vô cùng nhấp chuột vào các đường liên kết không xác định, tải xuống các tệp tệp chứa độc tố.
- Không cập nhật phiên bản mới nhất của ứng dụng/trang web. Edge Edge cung cấp thêm các tính năng mới giúp tăng trải nghiệm cho người dùng, các phiên bản mới còn giải quyết được các lỗ hổng ở phiên bản trước đó.
- Doanh nghiệp chưa có chú ý bảo vệ website. Rất nhiều doanh nghiệp sử dụng website cho mục tiêu kinh doanh. Tuy nhiên, họ lại xem nhẹ việc bảo vệ website. Họ không kiểm tra một trang web định kỳ và cũng không thực hiện các biện pháp bảo vệ chuyên sâu. Đây là một trong những lý do khiến website không có bảo mật tốt, dễ bị xâm nhập nếu bị hacker tấn công.
3.1. Các giải pháp bảo vệ cơ bản website và thực hiện
Mỗi công thức tấn công và vấn đề bảo mật sẽ được giải pháp bảo vệ tương ứng. Trong phần này, SecurityBox sẽ liệt kê các giải pháp được sử dụng nhiều và dễ áp dụng cho những người không có kiến thức kỹ thuật chuyên sâu.
3.1.1. Sử dụng tên đăng nhập và mật khẩu có bảo mật cao hơn
Theo SecurityBox, đây là giải pháp bảo vệ website đơn giản mà hiệu quả nhất. By tin tặc bình yên lợi dụng xâm nhập vào các tài khoản đặt mật khẩu yếu.
Đặt mật khẩu có cấp độ bảo mật cao để bảo vệ trang web
3.1.2. Phân quyền quản trị hợp lý trên website
Nếu trang web chỉ có một số thành viên thì tính năng bảo mật có thể vẫn được đảm bảo. Tuy nhiên, nếu website có ưu điểm tới hàng trăm người tham gia xây dựng thì sẽ phát hiện ra nhiều vấn đề. Hãy phân quyền cho từng người trên website theo đúng nhiệm vụ công việc của họ.
3.1.3. Sử dụng theme, plugin có nguồn gốc rõ ràng
Không có ít trường hợp lý do kinh tế sử dụng các chủ đề, plugin không rõ nguồn gốc. Qua đó, họ đã gián tiếp tải các trang web mã độc lên của mình. Vì vậy, doanh nghiệp cần lựa chọn theme, plugin từ các nguồn uy tín để tránh sự cố tấn công không đáng xảy ra.
Sử dụng chủ đề, plugin có nguồn gốc rõ ràng để hạn chế nguy cơ tồn tại lỗi
3.1.4. Sử dụng các phiên bản WordPress, PHP, theme, plugin mới nhất
Bản cập nhật thường có hai chức năng chính. Cạnh viền cung cấp thêm các tính năng nâng cao trải nghiệm mới cho người dùng, các bản cập nhật còn giải quyết được các lỗ hổng phiên bản trước đó phải gặp. Đây cũng là một giải pháp dễ áp dụng mang lại hiệu quả cao.
3.1.5. Bảo mật với HTTPS
HTTPS là một giao thức bảo mật, đảm bảo người dùng đang tương tác với máy chủ và không ai khác có thể chặn hoặc thay đổi nội dung mà họ đang xem.
HTTPS là giao thức bảo mật mà mọi trang web cần có
3.1.6. Lựa chọn nhà cung cấp hosting tốt
Bên cạnh lý do bảo mật tốt hơn, một hosting tốt còn cung cấp cho khách hàng trải nghiệm trang web tốt hơn, đề phòng tấn công DDoS.
3.1.7. Sao lưu mã và dữ liệu
Trang web có thể được đánh cắp hoặc nhiễm mã độc bất cứ lúc nào. Trong trường hợp này, một bản sao lưu của trang web sẽ rất hữu ích khi khôi phục lại.
3.2. Giải pháp bảo vệ website từ SecurityBox
Doanh nghiệp hiện phải đối mặt với rất nhiều website nguy hiểm tấn công từ kẻ cướp. Dựa theo những quan sát từ SecurityBox, nguyên nhân tạo ra website rất dễ bị đánh lừa là bản thân website tồn tại rất nhiều ổ béo. Đây chính là lý do SecurityBox phát triển dịch vụ bảo vệ website cho doanh nghiệp.
Khi doanh nghiệp sử dụng dịch vụ, các chuyên gia của SecurityBox sẽ kiểm tra và đánh giá tình hình trang web theo kế hoạch dài hạn. Cụ thể, các chuyên gia sẽ cho doanh nghiệp biết hệ thống website đang ở trạng thái an toàn hay nguy hiểm, gửi cảnh báo thời gian về các mối đe dọa bảo mật. Nhờ đó, doanh nghiệp mới có thể đối phó kịp thời để tránh hậu quả nặng nề. Ưu điểm của trang web bảo vệ dịch vụ của SecurityBox:
- Sử dụng giới hạn dịch vụ với mức độ ưu tiên
- Giám sát, bảo vệ website an ninh và mạng nội bộ thường xuyên, liên tục
- Cảnh báo thời điểm mọi nguy cơ và lỗi nghiêm trọng
- Gửi báo cáo định nghĩa về hệ thống màn hình
- Đội ngũ chuyên gia an ninh mạng hỗ trợ kinh nghiệm phong phú
- Tư vấn giải quyết vấn đề email, OTT, điện thoại
- Hướng dẫn phản ứng khi xảy ra sự cố bị tấn công
- Sử dụng hệ thống Quản trị Nguy cơ An ninh mạng SecurityBox 4Website