Last Updated on 12/11/2024
Sau khi cài đặt và thêm website và chạy trên VPS xong. Bạn nên làm các bước dưới đây để nâng cao bảo mật cho website cũng như tăng khả năng bảo mật cho website. Bạn thấy làm bước nào phù hợp với mình cũng như tùy theo phiên bản VPSSIM mà bạn sử dụng thì bạn làm tương tự.
1. Lưu ý về việc đặt mật khẩu
Trong thế kỉ 20, người ta quan niệm mật khẩu phải có các ký tự đặc biệt sẽ khó bị phá nhưng hiện tại là thế kỷ 21, quan niệm đó đã không còn đúng nữa.
Bây giờ, mật khẩu của bạn mạnh hay yếu phụ thuộc vào độ dài của mật khẩu. Một mật khẩu có 18 ký tự sẽ mất đến hàng trăm năm để giải mã, nhưng một mật khẩu với 8 ký tự với các ký tự đặc biệt thì thời gian đó chỉ tính bằng một vài ngày mà thôi.
Vì vậy, theo mình bạn nên đặt mật khẩu càng dài càng tốt, nếu nó “dễ nhớ” đối với bạn thì lại càng tốt hơn. Mình thường đặt mật khẩu có xu hướng dài và dễ nhớ như thế này: nhatoicoconcuntenlapiper – Nhà tôi có con cún tên là piper . Mật khẩu này có thể nói miễn hack luôn. Một mật khẩu 24 ký tự có thể nói gần như an toàn tuyệt đối – trừ khi dùng các siêu máy tính để phá mật khẩu này.
2. Bật Và Sử Dụng CSF Firewall
Mặc định CSF Firewall sau khi cài đặt xong sẽ bị tắt. Nhưng bạn nên bật nó lên để tăng cường bảo mật cho CSF Firewall.
CSF sẽ block IP bất kỳ nếu tiến hành scan port hoặc cố tình đăng nhập SSH vào VPS cũng như giảm thiểu được tác hại của các cuộc tấn công DOS với quy mộ nhỏ.
Đường dẫn chức năng VPSSIM Menu => Bảo Mật Server & Website ==> Quản Lý CSF Firewall ==> Restart (Enable) CSF Firewall
3. Upload Code lên xong thì phải chạy chức năng Fix Loi Chmod, Chown
Sau khi upload code lên xong, bạn phải chạy chức năng Fix Loi Chmod, Chown để quá trình cài đặt cũng như không gặp lỗi vặt trong quá trình sử dụng sau này.
Các lỗi có thể gặp: không upload được ảnh và các file lên website.
4. Đặt mật khẩu bảo vệ Folder (Admin …)
Nếu website của bạn có thư mục admin, bạn nên đặt mật khẩu bảo vệ thư mục này. Sau khi đặt mật khẩu bảo vệ, khi truy cập vào thư mục trên trình duyệt user bắt buộc phải nhập username và mật khẩu bảo vệ nếu không không thể truy cập được. Đây là tầng bảo vệ rất tốt.
Sử dụng chức năng Đặt Mật Khẩu Bảo Vệ Folder của VPSSIM trong Bảo Mật Server & Website để thực hiện điều này.
Nếu bạn cần bảo vệ bất kỳ folder nào khác, bạn cũng có thể sử dụng chức năng này.
Nếu muốn tắt hoặc đổi mật khẩu, bạn chỉ cần chạy lại chức năng này và lựa chọn theo nhu cầu của bạn.
5. Đặt mật khẩu bảo vệ wp-login.php cho WordPress Website
Đây là việc làm bạn nên làm đầu tiên sau khi thêm wordpress website vào VPS. Việc thêm một tầng bảo vệ nữa cho WordPress Admin sẽ giúp cho trang web của bạn an toàn và được bảo mật hơn rất nhiều.
Đường dẫn chức năng: VPSSIM Menu ==> WordPress Blog Tools ==> Password Bảo Vệ wp-login.php
Nếu muốn tắt hoặc đổi mật khẩu, bạn chỉ cần chạy lại chức năng này và lựa chọn theo nhu cầu của bạn.
6. Block Exploits, SQL Injections
Đây là config bạn nên bật cho bất kỳ website nào trừ trường hợp sau khi bật config này lên mà website bị lỗi thì bạn phải tắt nó đi.
Đường dẫn chức năng: VPSSIM Menu ==> Bảo Mật Server & Website ==> Block Exploits, SQL Injections
7. Block Bad Bots Scan Website (tuỳ chọn)
Đa số chúng ta chỉ cần các bot của google , bing, yahoo, baidu …
Còn các bot khác không cần thiết bạn có thể dùng chức năng này để block chúng, không cho chúng scan VPS của chúng ta nữa.
Bạn không nên coi thường các bot này nhé, đôi khi các bot “xấu” này nó scan website trên VPS liên tục làm cho server luôn trong tình trạng quá tải mặc dù visit thực tế không đáng bao nhiêu. Chính vì vậy, đây cũng là một chức năng mình khuyến khích sử dụng.
8. Run Script In Writable Folder
Đây là một chức năng cực kỳ nên bật cho bất kỳ website nào. Trong một website luôn cho các folder ta bật chế độ cho phép ghi, tức là cho phép một script php được upload file lên đây chẳng hạn. Ví dụ như folder upload của website.
Khi bật chức năng này lên, nếu một người upload đưa được một file php vào thư mục này thì cũng không thể chạy nó trên trình duyệt được. Khi chạy trên trình duyệt sẽ báo lỗi 403 ngay.
9. Chặn Quốc Gia Truy Cập Website (Tùy chọn)
Nếu bạn không muốn một quốc gia nào truy cập vào website của bạn, bạn có thể dùng chức năng Chặn Quốc Gia Truy Cập Website để chặn toàn bộ IP của nước đó truy cập vào Website.
10. Giới Hạn Quốc Gia Truy Cập Website (Tùy chọn)
Nếu bạn chỉ muốn duy nhất Việt Nam hoặc một vài nước truy cập vào website, bạn có thể dùng chức năng Giới hạn nước truy cập website để thực hiện config này.
11. Cấu Hình Zend Opcache
Tùy thuộc vào số lượng website và số lượng file PHP trên VPS mà bạn phải thực hiện config cấu hình Zend Opcache cho phù hợp.
Bạn không thể sử dụng cấu hình mặc định để sử dụng cho tất cả các VPS được.
Đường dẫn chức năng: VPSSIM Menu ==> Quản Lý Zend Opcache ==> Cấu Hình Zend Opcache
Lưu ý: Sau khi bạn edit code, bạn cần phải clear Zend Opcache để thay đổi trên code có tác dụng với website.
12. Tắt/Bật WP-Cron.php (cho wordpress website) (Tùy chọn)
Nếu bạn không có nhu cầu post các bài viết hẹn giờ cho website của mình thì bạn nên tắt wp-cron.php cho website để tăng hiệu suất phục vụ của VPS.
Mỗi một lần website có 1 visit thì wp-cron.php được chạy một lần để kiểm tra xem có bài viết nào đang được hẹn giờ để xuất hiện không. Với một website có lượng truy cập lớn thì lượng tài nguyên tiêu thụ cho tác vụ này là một con số không nhỏ.
Đường dẫn chức năng: VPSSIM Menu ==> WordPress Blog Tools ==> Tắt/Bật Wp-cron.php
13. Auto Backup Code – Tự Động Sao Lưu Code
Để code website được an toàn, bạn nên bật chức năng tự động sao lưu code của website.
Lưu ý: Chức năng này chỉ tự động sao lưu code, còn database bạn phải dùng chức năng dưới:
Đường dẫn chức năng: VPSSIM Menu ==> Backup & Restore Code ==> Tự Động Backup Website
14. Auto Backup Database – Tự Động Sao Lưu Database
Database rất nhạy cảm, nó có thể hỏng hoặc bị mất dữ liệu nếu bị lộ mật khẩu admin trên trình duyệt. Để đảm bảo an toàn database, bạn “nên” – hay bắt buộc phải bật chế độ sao lưu tự động database. Khi website có sự cố, đây chính là chiếc phao cứu sinh của bạn.
Đường dẫn chức năng: VPSSIM Menu ==> Quản Lý Database ==> Auto Backup Database
Chúc các bạn thành công.
