Không chỉ website của doanh nghiệp nhỏ mà ngay cả website của nhiều tổ chức, doanh nghiệp lớn tại Việt Nam cũng đã từng bị xâm nhập. Thực trạng này dẫn đến câu hỏi: vì sao website Việt Nam dễ bị tin tặc tấn công như thế.
1. Thực trạng tấn công website tại Việt Nam
1.1. Xu hướng tấn công website tại Việt Nam những năm gần đây
Theo một báo cáo về an ninh website, có hơn 560.000 vụ tấn công vào các website trên toàn cầu trong năm 2019. Việt Nam xếp thứ 11 trong số các nước có nhiều website bị tấn công trên thế giới với hơn 9.300 website bị xâm phạm.
Báo cáo an ninh mạng website trong 9 tháng đầu năm 2020 cũng chỉ ra rằng, WordPress vẫn là nền tảng quản trị nội dung (CMS) được sử dụng nhiều nhất bởi các trang web bị hack. Vì vậy, các chủ website WordPress nên cảnh giác và thực hiện các biện pháp bảo mật cho website của mình.
1.2. Một vài vụ tấn công website nổi bật
1.2.1. Các vụ tấn công vào website của Cơ quan Nhà nước
Theo một thống kê an ninh mạng, trong 8 tháng đầu năm 2020 có tới tổng số 255 vụ website có tên miền .gov.vn bị hack. Trong đó, có 4 vụ là các trang bị thay đổi giao diện trang chủ, 202 vụ là các trang bị tấn công hàng loạt, 36 vụ là các trang bị tấn công lại lần thứ 2.
Đặc biệt, có tới 4 trang bị hack tới 4 lần, cụ thể:
- business.gov.vn – từ 2009 đến nay bị hack 4 lần.
- hungyenbusiness.gov.vn – từ 2008 đến nay bị hack 4 lần.
- vienngonnguhoc.gov.vn – từ 2015 đến nay bị hack 4 lần.
- www.tongcucthuyloi.gov.vn – từ 2016 đến nay bị hack 4 lần.
1.2.2. Các vụ tấn công vào website của doanh nghiệp
Năm 2018, website của ngân hàng Vietcombank đã bị tin tặc xâm nhập. Cụ thể, trang web Vietcombank gặp sự cố ở trang con khi đăng ký email liên kết với tài khoản ngân hàng. Trong khi đó, các mục khác vẫn hoạt động bình thường. Khi truy cập, thay vì thấy nội dung thông báo dành cho chủ tài khoản, người xem chỉ còn thấy hai câu thơ chế: “Trăm năm Kiều vẫn là Kiều, sinh viên thi lại là điều tất nhiên”.
Tháng 3/2020, website của chuỗi Lotteria bị thay đổi ảnh trang chủ thành logo nhóm hacker Anonymous, ảnh hưởng đến hình ảnh thương hiệu.
2. Lý do website tại Việt Nam dễ bị xâm nhập
2.1. Lý do khách quan
- Hosting được sử dụng để xây dựng website có bảo mật kém.
- Bản thân các theme và plugin cài trên website tồn tại lỗ hổng. Hầu hết các theme, plugin không rõ nguồn gốc đều tại lỗ hổng an ninh mạng. Thậm chí, còn có trường hợp các theme, plugin uy tín cũng tồn tại lỗ hổng mạng. Ví dụ: lỗ hổng tồn tại trong plugin Elementor đã ảnh hưởng tới 1 triệu website sử dụng nó.
2.2. Lý do chủ quan
- Sử dụng tên đăng nhập mặc định và mật khẩu yếu.
- Người dùng vô tình click vào các đường link lạ, tải xuống các tệp tin chứa mã độc.
- Không cập nhật các phiên bản ứng dụng/ website mới nhất. Bên cạnh việc cung cấp thêm các tính năng mới giúp tăng trải nghiệm người dùng, các phiên bản mới còn khắc phục các lỗ hổng trong phiên bản trước đó.
- Do doanh nghiệp chưa chú trọng việc bảo vệ website. Rất nhiều doanh nghiệp sử dụng website cho mục đích kinh doanh. Tuy nhiên, họ lại xem nhẹ việc bảo vệ website. Họ không kiểm tra an ninh website định kỳ và cũng không thực hiện các biện pháp bảo vệ chuyên sâu. Đây là một trong những lý do khiến website không có bảo mật tốt, dễ bị xâm nhập nếu hacker tấn công.
3. Các giải pháp bảo vệ website
3.1. Các giải pháp bảo vệ website cơ bản và dễ thực hiện
Mỗi hình thức tấn công và vấn đề bảo mật sẽ có giải pháp bảo vệ tương ứng. Trong phần này, SecurityBox sẽ liệt kê các giải pháp được sử dụng nhiều và dễ áp dụng đối với những người không có kiến thức kỹ thuật chuyên sâu.
3.1.1. Sử dụng tên đăng nhập và mật khẩu có độ bảo mật cao hơn
Theo SecurityBox, đây là giải pháp bảo vệ website đơn giản mà hiệu quả nhất. Bởi tin tặc thường lợi dụng xâm nhập vào các tài khoản đặt mật khẩu yếu.
3.1.2. Phân quyền quản trị hợp lý trên website
Nếu website chỉ có một vài thành viên thì tính bảo mật có thể vẫn được đảm bảo. Tuy nhiên, nếu website có hàng chục tới hàng trăm người tham gia xây dựng thì sẽ phát sinh nhiều vấn đề. Hãy phân quyền cho từng người trên website theo đúng nhiệm vụ công việc của họ.
3.1.3. Sử dụng theme, plugin có nguồn gốc rõ ràng
Không ít trường hợp vì lý do kinh tế mà sử dụng các theme, plugin không rõ nguồn gốc. Qua đó, họ đã gián tiếp tải các mã độc lên website của mình. Vì vậy, doanh nghiệp cần lựa chọn theme, plugin từ các nguồn uy tín để tránh các sự cố tấn công không đáng có xảy ra.
3.1.4. Sử dụng các phiên bản WordPress, PHP, theme, plugin mới nhất
Các bản cập nhật thường có hai chức năng chính. Bên cạnh việc cung cấp thêm các tính năng mới nhằm nâng cao trải nghiệm người dùng, các bản cập nhật còn khắc phục các lỗ hổng phiên bản trước đó gặp phải. Đây cũng là một giải pháp dễ áp dụng mà mang lại hiệu quả cao.
3.1.5. Bảo mật với HTTPS
HTTPS là một giao thức bảo mật, đảm bảo người dùng đang tương tác với máy chủ và không ai khác có thể chặn hoặc thay đổi nội dung mà họ đang xem.
3.1.6. Lựa chọn nhà cung cấp hosting tốt
Bên cạnh lý do bảo mật tốt hơn, một hosting tốt còn cung cấp cho khách hàng trải nghiệm website tốt hơn, đề phòng tấn công DDoS.
3.1.7. Sao lưu code và dữ liệu
Website có thể bị đánh sập hoặc nhiễm mã độc bất cứ lúc nào. Trong trường hợp này thì một bản backup của website sẽ rất có ích trong việc khôi phục lại.
3.2. Giải pháp bảo vệ website từ SecurityBox
Doanh nghiệp hiện đang phải đối mặt với rất nhiều nguy cơ tấn công website từ tin tặc. Dựa theo những quan sát từ SecurityBox, nguyên nhân khiến website dễ bị đánh sập đó là bản thân website tồn tại rất nhiều lỗ hổng nghiêm trọng. Đây chính là lý do SecurityBox phát triển dịch vụ bảo vệ an ninh website cho doanh nghiệp.
Khi doanh nghiệp sử dụng dịch vụ, các chuyên gia của SecurityBox sẽ kiểm tra và đánh giá tình hình website theo kế hoạch dài hạn. Cụ thể, các chuyên gia sẽ cho doanh nghiệp biết hệ thống website đang ở trạng thái an toàn hay nguy hiểm, gửi cảnh báo tức thời về các mối đe dọa bảo mật. Nhờ đó, doanh nghiệp mới có thể đối phó kịp thời để tránh hậu quả nặng nề. Ưu điểm của dịch vụ bảo vệ an ninh website của SecurityBox:
- Sử dụng dịch vụ dài hạn với chi phí tối ưu
- Giám sát, bảo vệ an ninh website và mạng nội bộ thường xuyên, liên tục
- Cảnh báo tức thời mọi nguy cơ và lỗ hổng nghiêm trọng
- Gửi báo cáo định kỳ về tình hình an ninh hệ thống
- Đội ngũ chuyên gia an ninh mạng giàu kinh nghiệm hỗ trợ
- Tư vấn khắc phục lỗ hổng qua email, OTT, điện thoại
- Hướng dẫn cách phản ứng khi xảy ra sự cố bị tấn công
- Sử dụng hệ thống Quản trị Nguy cơ An ninh mạng SecurityBox 4Website
Tìm hiểu thêm về dịch vụ bảo vệ an ninh website tại đây.
Nếu doanh nghiệp còn thắc mắc về dịch vụ, hãy để lại thông tin để nhận tư vấn miễn phí.