Bảo mật website cơ bản cho chủ doanh nghiệp không biết IT: Checklist 10 điểm

Website bị hack không phải tin tức xa xôi. Mình đã giúp restore 8 website khách hàng bị tấn công trong năm 2024. Dưới đây là checklist để bảo vệ website của bạn.

1. HTTPS là bắt buộc

Nếu URL vẫn là http:// (không có "s"), dữ liệu của khách hàng đang được gửi không được mã hóa. Google cũng đánh dấu những site này là "Không bảo mật".

2. Mật khẩu mạnh cho admin

"admin/admin123" vẫn là combo phổ biến nhất bị brute force. Dùng password manager, tạo mật khẩu 20 ký tự ngẫu nhiên.

3. 2FA cho tài khoản admin

Xác thực 2 yếu tố. Dù ai đó có mật khẩu của bạn, họ vẫn cần điện thoại của bạn để đăng nhập.

4. Update thường xuyên

WordPress core, theme, plugin — update ngay khi có bản mới. 90% vụ hack khai thác lỗ hổng đã được vá trong các bản update.

5. Backup tự động

Backup hàng ngày, lưu ở nơi khác server chính (Google Drive, S3). Test restore mỗi tháng 1 lần.

6. Giới hạn login attempts

Sau 5 lần nhập sai, block IP đó 30 phút. Ngăn brute force attack.

7. Security headers

X-Frame-Options, Content-Security-Policy, X-XSS-Protection — những HTTP header này ngăn các loại tấn công phổ biến. Hosting tốt thường có sẵn, hoặc plugin bảo mật có thể set.

8. Không dùng "admin" làm username

Đây là điều tối thiểu nhất nhưng vẫn còn rất nhiều website dùng username "admin".

9. Xóa plugin/theme không dùng

Plugin cũ không được update là điểm yếu. Xóa hẳn, không chỉ deactivate.

10. Monitor activity log

Biết ai đã login, khi nào, làm gì. Nếu có điều bất thường, bạn muốn biết sớm.