Chính sách bảo mật website
Bảo mật website WordPress không phải là một hành động đơn lẻ, mà là một quy trình bảo mật nhiều lớp, được xây dựng theo mô hình “phòng thủ nhiều lớp” (Defense in Depth).
Chính sách bảo mật website dưới đây trình bày các cấp độ bảo mật theo tiêu chuẩn kỹ thuật, giúp Quý khách:
- Hiểu rõ phạm vi và mức độ bảo mật của dịch vụ đang sử dụng.
- Phân biệt rõ quyền lợi và trách nhiệm giữa dịch vụ website do Mắt Bão WS trực tiếp vận hành và website bàn giao mã nguồn, chạy trên hạ tầng bên ngoài.
- Chủ động lựa chọn giải pháp bảo mật phù hợp với nhu cầu sử dụng và mô hình vận hành website.
- Các hạng mục tùy chọn: Quý khách cần liên hệ đội ngũ tư vấn đăng ký bổ sung.
| Cấp độ bảo mật | Mục tiêu và biện pháp | Chi tiết | Mắt Bão WS | Bàn giao |
| 1. Server | Mục tiêu | Bảo mật từ gốc | ✅ | Kiểm tra với đơn vị Hosting |
| Nội dung bảo mật | – OS (Ubuntu / AlmaLinux / CloudLinux) | ✅ | Kiểm tra với đơn vị Hosting | |
| – Web server (Nginx / Apache / LiteSpeed) | ✅ | Kiểm tra với đơn vị Hosting | ||
| – PHP, MySQL/MariaDB | ✅ | Kiểm tra với đơn vị Hosting | ||
| – Control panel (Plesk / DirectAdmin / cPanel) | ✅ | Kiểm tra với đơn vị Hosting | ||
| Biện pháp | – Firewall (UFW, CSF) | ✅ | Kiểm tra với đơn vị Hosting | |
| – Fail2ban chống brute force | ✅ | Kiểm tra với đơn vị Hosting | ||
| – Tắt port không dùng | ✅ | Kiểm tra với đơn vị Hosting | ||
| – SSH key (không dùng password) | ✅ | Kiểm tra với đơn vị Hosting | ||
| – Phân quyền file đúng | ✅ | Kiểm tra với đơn vị Hosting | ||
| – Chạy PHP theo user (PHP-FPM, suPHP) | ✅ | Kiểm tra với đơn vị Hosting | ||
| – WAF ở server (ModSecurity) | ✅ | Kiểm tra với đơn vị Hosting | ||
| 2. DNS / Network | Mục tiêu | Chặn tấn công từ bên ngoài trước khi vào server | ✅ | Kiểm tra với đơn vị Hosting |
| Nội dung bảo mật | – DNS | ✅ | Kiểm tra với đơn vị Hosting | |
| – DDoS | ✅ | Kiểm tra với đơn vị Hosting | ||
| – Bot crawl | ✅ | Kiểm tra với đơn vị Hosting | ||
| – Request độc hại | ✅ | Kiểm tra với đơn vị Hosting | ||
| Biện pháp | – Cloudflare / DNS Firewall (tùy chọn) | ✅ | Kiểm tra với đơn vị Hosting | |
| – Rate limit request | ✅ | Kiểm tra với đơn vị Hosting | ||
| – Chặn quốc gia không cần thiết | ✅ | Kiểm tra với đơn vị Hosting | ||
| – Chặn đường dẫn đăng nhập trực tiếp mà mã độc thường vào. VD: wp-login.php | ✅ | Kiểm tra với đơn vị Hosting | ||
| – SSL/TLS chuẩn | ✅ | Kiểm tra với đơn vị Hosting | ||
| 3. Cấp độ File & Directory | Mục tiêu | Ngăn chặn truy cập, đọc, thực thi, sửa xóa file | ✅ | Kiểm tra với đơn vị Hosting |
| Biện pháp | – Thiết lập quyền file/folder đúng chuẩn (755 cho folder, 644 cho file) | ✅ | Kiểm tra với đơn vị Hosting | |
| – Bảo vệ file wp-config.php, index.php, thư mục mặc định của WordPress | ✅ | Kiểm tra với đơn vị Hosting | ||
| – Bảo vệ file .htaccess | ✅ | Kiểm tra với đơn vị Hosting | ||
| – Chặn truy cập vào các file/folder nhạy cảm | ✅ | Kiểm tra với đơn vị Hosting | ||
| 4. Backup | Mục tiêu | Phục hồi khi xấu nhất, mã độc xóa mất dữ liệu và mã nguồn | ✅ | Kiểm tra với đơn vị Hosting |
| Biện pháp | – Backup hằng ngày (tùy chọn), hàng tuần | ✅ | Kiểm tra với đơn vị Hosting | |
| – Có nhiều phương án backup: Backup tại hosting, tại local, tải lên cloud | ✅ | Kiểm tra với đơn vị Hosting | ||
| – Có ít nhất 7–14 bản gần nhất | ✅ | Kiểm tra với đơn vị Hosting | ||
| 5. WordPress Core | Mục tiêu | Vá lỗ hổng nền | ✅ | ✅ |
| Biện pháp | – Cập nhật WordPress core | ✅ | ✅ | |
| – Tắt XML-RPC nếu không dùng | ✅ | ✅ | ||
| – Disable file editing | ✅ | ✅ | ||
| 6. Plugin / Theme | Mục tiêu | Ngăn chặn các nguy cơ lỗ hổng từ plugin, theme, nguồn nguy hiểm nhất | ✅ | ✅ |
| Biện pháp | – Ít plugin nhưng chất lượng | ✅ | ✅ | |
| – Chỉ dùng plugin có: Update thường xuyên, Rating tốt, Hỗ trợ rõ ràng | ✅ | ✅ | ||
| – Xóa plugin/theme không dùng (không chỉ deactivate) | ✅ | ✅ | ||
| 7. Tài khoản | Mục tiêu | Ngăn chặn chiếm quyền, đăng bài trái phép, sửa xóa thông tin website | ✅ | ✅ |
| Biện pháp | Mật khẩu mạnh | ✅ | ✅ | |
| Giới hạn số lần đăng nhập (Tùy chọn) | ✅ | ✅ | ||
| Tích hợp OTP để ngăn chặn truy cập trái phép (Tùy chọn) | ✅ | ✅ | ||
| Bật xác thực 2 yếu tố – 2FA (Tùy chọn) | ✅ | ✅ | ||
| 8. Database | Mục tiêu | Bảo vệ thông tin cơ sở dữ liệu | ✅ | ✅ |
| Biện pháp | Thay đổi prefix mặc định | ✅ | ✅ | |
| User pass database không để thông mặc định | ✅ | ✅ | ||
| Bảo vệ file wp-config.php, nơi chứa thông tin database | ✅ | ✅ | ||
| 9. Sử dụng MBWS Dasboard | Mục tiêu | Chức năng bảo mật của MBWS Dasboard được phát triển dựa theo nhu cầu thực tế, truy lùng dấu vết của mã độc, phù hợp với các đợt tấn công đã từng gặp phải. | ✅ | Không bao gồm |
| Biện pháp | – Tự động khóa IP nghi ngờ | ✅ | Không bao gồm | |
| – Ngăn chặn truy cập trái phép | ✅ | Không bao gồm | ||
| – Ngăn chặn tự tắt mở plugin | ✅ | Không bao gồm | ||
| – Ngăn chặn đăng bài spam thông qua các API hoặc giao diện admin | ✅ | Không bao gồm | ||
| – Có sẵn chức năng OTP | ✅ | Không bao gồm | ||
| – Có sẵn chức năng chống spam Contact Form | ✅ | Không bao gồm |
Thông tin trong bài này được cập nhật mới nhất vào ngày 30/12/2025
