Ngày nay, đã có rất nhiều tiến bộ mạnh mẽ về công nghệ thông tin (CNTT) với sự bùng nổ của Internet, của thương mại điện tử (TMĐT) đã tạo ra những cơ hội lớn cũng như nguy cơ, rủi ro cho nền kinh tế và xã hội hiện đại. Các dịch vụ trên mạng đã thâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội. Các vấn đề truy cập bất hợp pháp, virus, rò rỉ thông tin, lổ hổng trên hệ thống… đã trở thành mối lo ngại cho các nhà quản lý điều hành ở mọi cấp ở bất kỳ quốc gia nào. Từ cấp độ cao nhất đến các doanh nghiệp cụ thể và các thể nhân cấu thành xã hội. Vấn đề bảo mật và an toàn thông tin trở thành nhu cầu cấp thiết của mọi tầng lớp trong xã hội. Thời gian gần đây, nước ta đã và đang ngày càng phát triển và nhất là về mặt công nghệ thông tin. Đặc biệt là về ứng dụng Website, chúng ta hầu như ai cũng từng nghe và làm việc trên ứng dụng Website. Website đã trở nên phổ biến và cũng trở thành một phần quan trọng của chúng ta và nhất là các doanh nghiệp, công ty. Do đó, an toàn bảo mật cho ứng dụng Website đã trở thành vấn đề cần nan giải của chúng ta.Việc đi sâu tìm hiểu về các dạng tấn công vào các Website sẽ giúp cho chúng ta hiểu hơn về những lổ hổng trong công tác quản lý Website, qua đó đưa ra những giải pháp giúp các nhà quản lý có những biện pháp khắc phục, ngăn chặn sự thâm nhập từ bên ngoài, cũng như vai trò quan trọng trong việc triển khai ứng dụng những công nghệ mới an toàn và bảo mật hơn. Vì vậy, em đã hướng đến đề tài bài báo cáo của mình là: “Tìm hiểu và cài đặt các giải pháp để đảm bảo an toàn bảo mật một Website”. Em nghĩ đây là một đề tài mang tính thiết thực, nhằm giúp cho các nhà quản trị Website có thể làm tốt hơn công việc của mình, cũng như đảm bảo an toàn thông tin cho doanh nghiệp, công ty. Ngoài ra, cũng giúp ích cho em rất nhiều trong các công việc sau này.
TỔNG QUAN
Lý do chọn đề tài
Ngày nay, đã có rất nhiều tiến bộ mạnh mẽ về công nghệ thông tin (CNTT) với sự bùng nổ của Internet, của thương mại điện tử (TMĐT) đã tạo ra những cơ hội lớn cũng như nguy cơ, rủi ro cho nền kinh tế và xã hội hiện đại Các dịch vụ trên mạng đã thâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội Các vấn đề truy cập bất hợp pháp, virus, rò rỉ thông tin, lổ hổng trên hệ thống… đã trở thành mối lo ngại cho các nhà quản lý điều hành ở mọi cấp ở bất kỳ quốc gia nào Từ cấp độ cao nhất đến các doanh nghiệp cụ thể và các thể nhân cấu thành xã hội Vấn đề bảo mật và an toàn thông tin trở thành nhu cầu cấp thiết của mọi tầng lớp trong xã hội.
Thời gian gần đây, nước ta đã và đang ngày càng phát triển và nhất là về mặt công nghệ thông tin Đặc biệt là về ứng dụng Website, chúng ta hầu như ai cũng từng nghe và làm việc trên ứng dụng Website Website đã trở nên phổ biến và cũng trở thành một phần quan trọng của chúng ta và nhất là các doanh nghiệp, công ty Do đó, an toàn bảo mật cho ứng dụng Website đã trở thành vấn đề cần nan giải của chúng ta.Việc đi sâu tìm hiểu về các dạng tấn công vào các Website sẽ giúp cho chúng ta hiểu hơn về những lổ hổng trong công tác quản lý Website, qua đó đưa ra những giải pháp giúp các nhà quản lý có những biện pháp khắc phục, ngăn chặn sự thâm nhập từ bên ngoài, cũng như vai trò quan trọng trong việc triển khai ứng dụng những công nghệ mới an toàn và bảo mật hơn.
Vì vậy, em đã hướng đến đề tài bài báo cáo của mình là: “Tìm hiểu và cài đặt các giải pháp để đảm bảo an toàn bảo mật một Website” Em nghĩ đây là một đề tài mang tính thiết thực, nhằm giúp cho các nhà quản trị Website có thể làm tốt hơn công việc của mình, cũng như đảm bảo an toàn thông tin cho doanh nghiệp, công ty Ngoài ra, cũng giúp ích cho em rất nhiều trong các công việc sau này.
Mục tiêu nghiên cứu
Mục tiêu nghiên cứu đề tài là tổng hợp các cơ sở lý luận cơ bản về an toàn và bảo mật thông tin Xem xét và đánh giá thực trạng vấn đề an toàn bảo mật thông tin tạiWebsite để đưa ra những ưu nhược điểm Mục đích giúp chúng ta có thể hiểu hơn về các ứng dụng Website, các mối đe dọa về vấn đề an toàn thông tin khi chúng ta làm việc trên ứng dụng Website hàng ngày, hiểu rõ hơn về các kỹ thuật tấn công và bảo mậtWebsite.
Phạm vi của đề tài
Là một đề tài nghiên cứu báo cáo môn học nên phạm vi nghiên cứu của đề tài chỉ mang tầm vi mô, giới hạn chỉ trong phạm vi nhỏ và trong giới hạn khoảng thời gian ngắn hạn (30/05/2022 đến 23/08/2022).
Đối tượng nghiên cứu
- Tìm hiểu các cơ sở lý thuyết cơ bản về bảo mật an ninh mạng và Website, các kỹ thuật tấn công phổ biến như SQL Injection, Denial Of Service, Local Attack…
- Tìm hiểu, cài đặt một Website và đồng thời tìm hiểu các giải pháp an toàn bảo mật Website đó.
Phương pháp nghiên cứu
Phương pháp nghiên c ứu t ài li ệu:
- Dựa vào những tài liệu và thông tin thu thập trên các trang báo, trang web.
- Tham khảo tài liệu về cách bảo mật thông tin các nội dung khác nhau để học hỏi và phát triển nhằm đảm bảo an toàn bảo mật thông tin Website.
Phương pháp nghiên c ứu quan s át:
- Quan sát việc bảo mật an toàn thông tin tại Website thiết lập nói riêng, và một số Website đã được bảo mật khác nói chung, có thể tìm kiếm thông qua Internet hay các đường link quảng cáo.
Phương pháp nghiên c ứu thực nghiệm:
- Liên lạc lấy thông tin từ người dùng mạng xã hội chuyên làm về bảo mật thông tin để học hỏi kinh nghiệm.
Cấu trúc đề tài
Nội dung chính của báo cáo gồm 4 chương:
Chương 2: Cơ sở lý thuyết
Chương 3: Kết quả nghiên cứu
Chương 4: Kết luận và hướng phát triển
CƠ SỞ LÝ THUYẾT
Tổng quan về ứng dụng Website
Website là một “trang web” trên mạng Internet, đây là nơi giới thiệu những thông tin, hình ảnh về doanh nghiệp và sản phẩm, dịch vụ của doanh nghiệp (hay giới thiệu bất cứ thông tin gì) để khách hàng có thể truy cập ở bất cứ nơi đâu, bất cứ lúc nào.
Website là tập hợp nhiều trang Khi doanh nghiệp xây dựng Website nghĩa là đang xây dựng nhiều trang thông tin, catalog sản phẩm, dịch vụ…Để tạo nên một Website cần phải có 3 yếu tố cơ bản:
+ Cần phải có tên miền (domain)
+ Nơi lưu trữ Website (hosting)
+ Nội dung các trang thông tin Ứng dụng web thường có kiến trúc gồm:
Hình 2.1 Kiến trúc một Website
Mô hình hoạt động của ứng dụng:
Hình 2.2 Mô hình hoạt động
+ Trình khách (trình duyệt): Internet Explorer, FireFox, Chrome
+ Hệ quản trị cơ sở dữ liệu: SQL Server, MySQL, DB2, Access…
Bên cạnh đó, một giải pháp dùng để bảo vệ một hệ thống mạng thường được sử dụng là bức tường lửa, nó có vai trò như là lớp rào chắn bên ngoài một hệ thống mạng, vì chức năng chính của Firewall là kiểm soát luồng thông tin giữa các máy tính Có thể xem Firewall như một bộ lọc thông tin, nó xác định và cho phép một máy tính này có đươc truy xuất đến một máy tính khác hay không, hay một mạng này có được truy xuất đến mạng kia hay không Firewall thường được dùng cho mục đích:
+ Cho phép hoặc cấm những dịch vụ truy xuất ra ngoài.
+ Cho phép hoặc cấm những dịch vụ từ bên ngoài truy cập vào trong.
+ Kiểm soát địa chỉ truy cập, cấm địa chỉ truy cập.
Nhờ hoạt động dựa trên gói IP nên Firewall kiểm soát được việc truy cập của máy người sử dụng. Đầu tiên trình duyệt sẽ gửi một yêu cầu (request) đến trình chủ Website thông qua các lệnh cơ bản GET, POST…của giao thức HTTP, trình chủ lúc này cho thực thi một chương trình được xây dựng từ nhiều ngôn ngữ như C/C++, Perl…hoặc trình chủ yêu cầu bộ diễn dịch thực thi các trang ASP, JSP…theo yêu cầu của trình khách Tùy theo các tác vụ của chương trình được cài đặt mà nó xử lý, tính toán, kết nối đến cơ sở dữ liệu, lưu các thông tin do trình khách gửi đến…và từ đó trả về cho trình khách 1 luồng dữ liệu có định dạng theo giao thức HTTP, gồm 2 phần:
+ Header: mô tả các thông tin về gói dữ liệu và các thuộc tính, trạng thái trao đổi giữa trình duyệt và WebServer.
+ Body: là phần nội dung dữ liệu mà Server gửi về Client, nó có thể là một file HTML, một hình ảnh, một đoạn phim hay một văn bản bất kỳ.
Theo mô hình kiến trúc một ứng dụng Website, luồng thông tin giữa trình chủ và trình khách của Firewall là luồng thông tin hợp lệ Nếu hacker tìm thấy vài lỗ hổng trong ứng dụng Website thì Firewall không còn hữu dụng trong việc ngăn chặn hacker.
Do đó, các kỹ thuật tấn công vào một hệ thống ngày nay đang dần tập trung vào những sơ suất (lỗ hổng) trong quá trình tạo ứng dụng của những nhà phát triển Website hơn là tấn công trực tiếp vào hệ thống mạng, hệ điều hành Tuy nhiên, hacker cũng có thể lợi dụng lỗ hổng Website để mở rộng sự tấn công của mình vào các hệ thống không liên quan khác.
2.1.3 Các dịch vụ và ứng dụng trên nền tảng Website
Với thời đại công nghệ ngày nay, Website không chỉ đơn giản là một trang tin cung cấp các tin bài đơn giản Những ứng dụng viết trên nền Website không chỉ được gọi là một phần của Website nữa, giờ đây chúng được gọi là phần mềm viết trên nềnWebsite Có rất nhiều phần mềm chạy trên nền Website như Google Word (xử lý văn bản), Google Sheets (xử lý bảng tính), Gmail…Những ưu điểm của ứng dụng, phần mềm chạy trên nền web như:
+ Phần mềm luôn luôn được cập nhật vì chúng chạy trên server.
+ Mọi người đều có trình duyệt và chúng ta chỉ cần trình duyệt để chạy phần mềm.
+ Có thể truy cập mọi nơi, mọi lúc chỉ cần có Internet và dễ dàng backup dữ liệu thường xuyên.
+ Chi phí triển khai rẻ hơn nhiều so với phần mềm chạy trên desktop.
Tổng quan về an ninh mạng
2.2.1 Khái niệm về an toàn và an ninh mạng
Trong quá khứ, an ninh thông tin là một thuật ngữ được sử dụng để mô tả các biện pháp bảo mật vật lý được sử dụng để giữ cho chính phủ hay doanh nghiệp những thông tin quan trọng khỏi bị truy cập bởi công chúng và để bảo vệ nó chống lại thay đổi hoặc tiêu hủy Những biện pháp này bao gồm lưu trữ tài liệu có giá trị trong tủ hồ sơ đã bị khóa hoặc két và hạn chế truy cập vật lý đến các khu vực nơi mà các tài liệu đã được lưu giữ Với sự phổ biến của máy tính và các phương tiện truyền thông điện tử, cách truy cập dữ liệu cũ thay đổi Khi công nghệ tiếp tục phát triển, hệ thống máy tính được kết nối với nhau để tạo thành mạng máy tính, cho phép các hệ thống chia sẻ tài nguyên, bao gồm cả dữ liệu.
Các mạng máy tính cuối cùng, mà hầu hết các liên kết nối mạng máy tính truy cập công cộng, là Internet Mặc dù các phương pháp bảo vệ dữ liệu đã thay đổi đáng kể, khái niệm về an ninh mạng vẫn giống như là các thông tin bảo mật.
Bởi vì máy tính có thể thu hồi, và số tiền quá lớn của dữ liệu, chúng được sử dụng trong gần như mọi khía cạnh của cuộc sống Máy vi tính, mạng, và Internet là một phần không thể thiếu của nhiều doanh nghiệp Sự phụ thuộc của chúng trên các máy tính tiếp tục tăng khi các doanh nghiệp và cá nhân trở nên thoải mái hơn với công nghệ và tiến bộ công nghệ như là làm cho hệ thống thân thiện với người dùng hơn và dễ dàng hơn để kết nối.
Một hệ thống máy tính duy nhất yêu cầu các công cụ tự động để bảo vệ dữ liệu trên hệ thống từ những người dùng có quyền truy cập hệ thống Một hệ thống máy tính trên mạng (một hệ thống phân phối) đòi hỏi rằng dữ liệu vào hệ thống đó được bảo vệ không chỉ từ truy cập địa phương mà còn từ các truy cập từ xa trái phép và từ chặn hoặc thay đổi dữ liệu trong quá trình truyền giữa các hệ thống An ninh mạng không phải là một sản phẩm, quy trình, hay chính sách mà là sự kết hợp của các sản phẩm và quy trình có hỗ trợ một chính sách quy định Mạng lưới an ninh được thực hiện của các thiết bị an ninh, chính sách và quy trình để ngăn chặn truy cập trái phép vào tài nguyên mạng, thay đổi hoặc hủy hoại tài nguyên hoặc dữ liệu.
2.2.2 Sự cần thiết phải bảo vệ thông tin
Trong một doanh nghiệp hay một tổ chức nào đó, thì phải có các yếu tố cần được bảo vệ như: Dữ liệu; Tài nguyên: con người, hệ thống và đường truyền; Danh tiếng của công ty.
Nếu không đặt vấn đề an toàn thông tin lên hàng đầu thì khi gặp phải sự cố thì tác hại đến doanh nghiệp không nhỏ như: Tốn kém chi phí và thời gian, ảnh hưởng đến tài nguyên hệ thống, ảnh hưởng đến danh dự, uy tín của doanh nghiệp, mất cơ hội kinh doanh.
2.3 Các hình thức tấn công
2.3.1 Tấn công từ chối dịch vụ (DOS)
Tấn công kiểu DoS là kiểu tấn công làm cho các dịch vụ mạng bị tê liệt, không còn khả năng đáp ứng được yêu cầu nữa Loại tấn công này ảnh hưởng đến nhiều hệ thống, rất dễ thực hiện và lại rất khó bảo vệ hệ thống khỏi kiểu tấn công DoS Thông thường, kiểu tấn công DoS dựa trên những giao thức (protocol) Ví dụ với giao thức là ICMP, hacker có thể sử dụng bomb e-mail để gửi hàng ngàn thông điệp email với mục đích tiêu thụ băng thông để làm hao hụt tài nguyên hệ thống trên mail server Hoặc có thể dùng phần mềm gửi hàng loạt yêu cầu đến máy chủ khiến cho máy chủ không thể đáp ứng những yêu cầu chính đáng khác.
Những khả năng bị tấn công bằng DOS:
+ Tấn công trên SWAP SPACE: Hầu hết các hệ thống đều có vài trăm MB không gian chuyển đổi (swap space) để phục vụ cho những yêu cầu từ máy khách Swap space thường dùng cho các tiến trình con có thời gian ngắn nên DoS có thể được dựa trên phương thức làm tràn đầy swap space.
+ Tấn công trên BANDWIDTH: Phần băng thông dành cho mỗi hệ thống là giới hạn, vì thế nếu hacker cùng lúc gửi nhiều yêu cầu đến hệ thống thì phần băng thông không đủ đáp ứng cho một khối lượng dữ liệu lớn đó và dẫn đến hệ thống bị phá vỡ.
+ Tấn công vào RAM: Tấn công Dos chiếm 1 khoảng lớn của RAM cũng có thể gây ra các vấn đề phá hủy hệ thống Kiểu tấn công BufferOverflow là một ví dụ cho cách phá hủy này.
+ Tấn công vào DISKS: Một kiểu tấn công cổ điển là làm đầy đĩa cứng Đĩa cứng có thể bị tràn và không thể được sử dụng nữa.
SQL injection là một kĩ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng trong việc kiểm tra dữ liệu nhập trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu để “tiêm vào” (inject) và thi hành các câu lệnh SQL bất hợp pháp (không được người phát triển ứng dụng lường trước) Hậu quả của nó rất tai hại vì nó cho phép những kẻ tấn công có thể thực hiện các thao tác xóa, hiệu chỉnh,… do có toàn quyền trên cơ sở dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đó đang chạy Lỗi này thường xảy ra trên các ứng dụng web có dữ liệu được quản lí bằng các hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle, DB2, Sysbase.
Local attack là một trong những kiểu hack rất phổ biến và có mức độ nguy hiểm rất cao Đối một web server thông thường khi bạn đăng ký một tài khoản trên server nào đó bạn sẽ được cấp một tài khoản trên server đó và một thư mục để quản lý site của mình Ví dụ: tenserver/tentaikhoancuaban Và như vậy cũng có một tài khoản của người dùng khác tương tự như: tenserver/taikhoan1 Giả sử tài khoản 1 bị hacker chiếm được thì hacker có thể dùng các thủ thuật, các đoạn scrip, các đoạn mã lệnh để truy cập sang thư mục chứa site của bạn là tenserver/taikhoancuaban Và cũng theo cách này hacker có thể tấn công sang các site của người dùng khác và có thể lấy thông tin admin, database, các thông tin bảo mật khác hoặc chèn các đoạn mã độc vào trang index của site bạn Dạng tấn công trên gọi là Local Attack.
Thông thường nhất, Local Attack được sử dụng để đọc lấy thông tin config từ victim, sau đó dựa vào thông tin ở config và mục đích của hacker để phá hoại Website.
Phương pháp Cross Site Scripting (được viết tắt là XSS) là phương pháp tấn công bằng cách chèn thêm những đoạn mã có khả năng đánh cắp hay thiết lập được những thông tin quan trọng như cookies, mật khẩu,… vào mã nguồn ứng dụng web để từ đó chúng được chạy như là một phần của ứng dụng web và có chức năng cung cấp hoặc thực hiện những những điều hacker muốn.
Phương pháp này không nhằm vào máy chủ hệ thống mà chủ yếu tấn công trên chính máy người sử dụng Hacker sẽ lợi dụng sự kiểm tra lỏng lẻo từ ứng dụng và hiểu biết hạn chế của người dùng cũng như biết đánh vào sự tò mò của họ dẫn đến người dùng bị mất thông tin một cách dễ dàng.
Các thuật ngữ liên quan
HTTP header là phần đầu (header) của thông tin mà trình khách và trình chủ gửi cho nhau Những thông tin trình khách gửi cho trình chủ được gọi là HTTP requests (yêu cầu) còn trình chủ gửi cho trình khách là HTTP responses (trả lời) Thông thường, một HTTP header gồm nhiều dòng, mỗi dòng chứa tên tham số và giá trị Một số tham số có thể được dùng trong cả header yêu cầu và header trả lời, còn số khác thì chỉ được dùng riêng trong từng loại.
Cookie là những phần dữ liệu nhỏ có cấu trúc được chia sẻ giữa trình chủ và trình duyệt của người dùng Các cookie được lưu trữ dưới những file dữ liệu nhỏ dạng text, được ứng dụng tạo ra để lưu trữ, truy tìm, nhận biết các thông tin về người dùng đã ghé thăm trang Web và những vùng mà họ đi qua trong trang Những thông tin này có thể bao gồm tên, định danh người dùng, mật khẩu, sở thích, thói quen cookie được trình duyệt của người dùng chấp nhận lưu trên đĩa cứng của máy mình, tuy nhiên không phải lúc nào trình duyệt cũng hỗ trợ cookie, mà còn tùy thuộc vào người dùng có chấp nhận chuyện lưu trữ đó hay không. Ở những lần truy cập sau đến trang Website đó, ứng dụng có thể dùng lại những thong tin trong cookie (như thông tin liên quan đến việc đăng nhập vào Yahoo Messenger! ) mà người dùng không phải làm lại thao tác đăng nhập hay phải cũng cấp lại các thông tin khác.
Cookie được phân làm 2 loại secure/non-secure và persistent/non-persistent do đó ta sẽ có 4 kiểu cookie là:
+ Persistent cookies được lưu trữ dưới dạng tập tin txt (ví dụ trình duyệt Netscape Navigator sẽ lưu các cookie thành một tập tin cookie.txt còn Internet Explorer sẽ lưu thành nhiều tập tin *.txt trong đó mỗi tập tin là một cookie) trên máy khách trong một khoảng thời gian xác định.
+ Non-persistent cookie thì được lưu trữ trên bộ nhớ RAM của máy khách và sẽ bị hủy khi đóng trang web hay nhận được lệnh hủy từ trang web.
+ Secure cookies chỉ có thể được gửi thông qua HTTPS (SSL).
+ Non-Secure cookie có thể được gửi bằng cả hai giao thức HTTPS hay HTTP.
KẾT QUẢ NGHIÊN CỨU
Tạo Website WordPress trên Localhost
3.1.1 Cài đặt Localhost Để cài đặt WordPress vào Localhost, chúng ta cần cài đặt một Localhost hoàn chỉnh Có rất nhiều cách để cài Localhost, tuy nhiên chúng ta sẽ dùng phần mềm XAMPP để cài Localhost vì XAMPP là phần mềm được sử dụng hoàn toàn miễn phí và dễ sử dụng. Để tải XAMPP, ta truy cập vào https://www.apachefriends.org/download.html và chọn phiên bản XAMPP phù hợp với hệ điều hành của máy tính đang sử dụng.
Hình 3.3 Phiên bản tải XAMPP
Sau khi tải file cài đặt về xong, ta cho chạy file đó, sau đó chọn “Next”.
Hình 3.4 Setup XAMPP Ở phần “Select a folder”, hãy chọn đường dẫn cần lưu cài đặt của XAMPP Lưu ý rằng đường dẫn này ta cần phải nhớ vì khi cài đặt Website lên Localhost, ta phải truy cập vào thư mục này Lời khuyên ta nên để mặc định là c:\xampp Tiếp tục ấn “Next”.
Hình 3.5 Installation folder Ở trang kế tiếp, ta bỏ chọn phần “Learn more about Bitnami for XAMPP” Và ấn
“Next” 2 lần nữa để bắt đầu quá trình cài đặt XAMPP.
Sau khi cài xong, ấn nút “Finish” để kết thúc cài đặt và mở bảng điều khiển của XAMPP Tuy nhiên, hãy khởi động lại máy sau khi cài đặt xong để tránh tình trạng không khởi động được Localhost.
Hình 3.7 Completing the XAMPP Setup Wizard
Vào thư mục “c:\xampp” và mở file “xampp-panel.exe” lên để bật bảng điều khiển của XAMPP.
Hình 3.8 Bảng điều khiển XAMPP
Ta để ý sẽ thấy hai ứng dụng Apache và MySQL có nút “Start”, đó là dấu hiệu bảo 2 ứng dụng này chưa được khởi động, hãy ấn vào nút “Start” của từng ứng dụng để khởi động Webserver Apache và MySQL Server lên thì mới chạy được Localhost.
Nếu cả hai ứng dụng chuyển sang màu xanh như hình dưới là đã khởi động thành công.
Hình 3.9 Khởi động Webserver Apache và MySQL Server
Sau khi khởi động xong, tiếp tục truy cập vào Website với địa chỉ là “http://localhost” sẽ thấy nó hiển thị ra trang giới thiệu XAMPP như hình dưới.
Hình 3.10 Trang giới thiệu XAMPP
+ Làm việc với thư mục và tập tin :
Vào thư mục C:\xampp\htdocs\ và tạo một thư mục tên “thutrang”, thư mục này sẽ chứa Website.
Hình 3.11 Tạo một thư mục tên “thutrang”
Người dùng có thể sử dụng đường dẫn http://localhost/thutrang để chạy Có thể nói, thư mục “C:\xampp\htdocs\thutrang” chính là thư mục gốc của tên miền http://localhost/thutrang
Bước 1: Tải mã nguồn từ Website Wordpress.org
Trước tiên, người dùng hãy tải mã nguồn WordPress tại địa chỉ https://wordpress.org/latest.zip Sau đó, giải nén ra sẽ có được một thư mục có tên
Hình 3.12 Thư mục sau khi giải nén mã nguồn
Tiếp theo, truy cập vào thư mục “wordpress”, ta sẽ thấy có một số thư mục tên là wp-admin, wp-includes, wp-content và một số tập tin tên là index.php, wp-config- sample.php,…Tất cả tập tin và thư mục này được gọi là mã nguồn WordPress.
Hình 3.13 Các tập tin và thư mục mã nguồn của WordPress
Bước 2: Copy mã nguồn WordPress vào Localhost
Ta copy toàn bộ file và thư mục mã nguồn phía trên vào thư mục Website trong Localhost (Ví dụ: C:\xampp\htdocs\thutrang).
Hình 3.14 Copy toàn bộ file và thư mục mã nguồn
Bước 3: Tạo cơ sở dữ liệu MySQL
Truy cập vào localhost với đường dẫn http://localhost/phpmyadmin Sau đó nhấp vào menu “Databases” như hình dưới.
Sau đó ở phần “Create databsae”, nhập tên database cần tạo vào ô Database name, phần Collation hãy chọn là “utf8_unicode_ci” như hình dưới rồi ấn nút Create kế bên.
Tạo xong hãy nhìn bên menu tay trái, nếu nó xuất hiện tên database vừa tạo là thành công.
Vậy bây giờ, chúng ta sẽ tạm có một databse với các thông tin như sau:
Bước 4: Chạy Website để cài đặt
Sau khi copy xong, hãy mở bảng điều khiển XAMPP lên và khởi động Apache và MySQL Sau đó truy cập vào website với đường dẫn http://localhost/thutrang Lúc này, hiện ra bảng chọn ngôn ngữ cần cài đặt cho WordPress, chọn vào “English” và nhấn
Hình 3.18 Chọn ngôn ngữ khi cài đặt WordPress Ở bước tiếp theo, giao diện nhắc nhở ta là chưa tiến hành đổi file “wp-config- sample.php” thành “wp-config.php” và khai báo thông tin database vào đó Nhấn
“Let’s Go” để hệ thống tiến hành cài đặt.
Hình 3.19 Giao diện nhắc nhở
Bây giờ, chúng ta tiến hành nhập thông tin database Username của database là
“root”, mật khẩu để trống (có thể thiết lập những không cần thiết) và Database Host là Localhost Table Prefix nghĩa là tiền tố của database chưa dữ liệu WordPress, mặc định nó sẽ là “wp_”, chúng ta có thể đổi thành bất cứ tên gì những phải có dấu “_” đằng sau cùng.
Hình 3.20 Nhập thông tin database
Khi nhập xong thông tin database, hãy ấn nút “Submit” để làm bước kế tiếp Nếu bước kế tiếp hiện ra như hình phía dưới nghĩa là ta đã nhập thông tin database chính xác, nhấn vào “Run the installation” để bắt đầu cài đặt.
Hình 3.21 Run the installation Ở bước cài đặt này, ta cần phải thiết lập các thông tin quan trọng cho Website như tên của Website, tên tài khoản admin cùng mật khẩu,…Nhập xong hãy ấn nút “Install WordPress”.
Và nếu nó hiện chữ “Success!” như hình bên dưới là ta đã cài đặt thành công,click vào nút “Log in” để đăng nhập vào bảng quản trị WordPress.
Và đây là giao diện trang quản trị của WordPress.
Hình 3.24 Trang quản trị của WordPress sau khi cài đặt
Nếu truy cập vào tên miền chính như http://localhost/thutrang, trang chủ củaWebsite WordPress như hình dưới đây.
Hình 3.25 Trang chủ website sau khi cài WordPress
Cách bảo mật an toàn Website WordPress
3.2.1 Kiểm tra Website có đang nhiễm virus Để kiểm tra xem Website vừa được thiết lập có đang nhiễm virus hay không thì ta truy cập vào trang: https://sitecheck.sucuri.net/results Nhập Website của mình vào ô và bấm nút “Scan Website”.
Hình 3.26 Website security check & malware scanner
Nếu kết quả trả về là dấu tích xanh như hình dưới thì Website không nhiễm virus.
Hình 3.27 Website không nhiễm virus
3.2.2 Đặt mật khẩu phức tạp, khó đoán
Cũng giống như username, việc đặt password quá đơn giản cũng rất dễ bị hacker dò ra Trong quá trình tạo lập Website, khi đặt passwords ta nên tránh sử dụng ngày tháng năm sinh, số điện thoại, số CMND,…Mật khẩu an toàn sẽ bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt Ngoài ra, mật khẩu cũng cần có độ dài nhất định (khoảng từ 8 – 12 ký tự) Người dùng cần đổi password, thực hiện các bước như sau:
Truy cập đến trang quản trị, tìm đến Users -> Profile.
Hình 3.28 “Profile” tại mục Users
Sau đó kéo xuống gần khu vực bên dưới “Account Management” sẽ thấy mục “New Password”, nhấn “Set new Password” rồi nhập mật khẩu cần thay đổi.
Hình 3.29 Nhập mật khẩu cần thay đổi
Khi thực hiện xong ta nhấn “Update Profile”.
3.2.3 Cài plugin bảo mật WordPress đăng nhập 2 lớp
Vào trang quản trị tìm đến phần “Add new” tại mục Plugins.
Hình 3.31 “Add new” tại mục Plugins
Nhập “Two Factor” vào ô tìm kiếm và bấm nút “Install Now” plugin này.
Hình 3.32 Tìm kiếm Two-Factor
Cài xong thì bấm vào nút “Activate”.
Hình 3.33 Bấm vào nút “Activate”
Tiếp theo thì ta tìm đến mục “Profile” tại mục “Users”.
Hình 3.34 Mục “Profile” tại mục “Users”
Chọn vào “Email” để gửi mã xác thực qua email.
Hình 3.35 Chọn vào “Email” Ở dưới cùng ta chọn vào nút “Update Profile”.
Hình 3.36 Chọn vào nút “Update Profile”
Bây giờ mỗi lần đăng nhập trang quản trị sẽ hỏi mã xác nhận của bạn như hình dưới.
Hình 3.37 Hỏi mã xác nhận Để tiếp tục vào trang quản trị, người dùng phải đăng nhập vào tài khoản Gmail để lấy mã đăng nhập quản trị WordPress.
3.2.4 Giới hạn số lần đăng nhập
Trong mặc định, WordPress cho phép người dùng có thể nhập bao nhiêu lần tùy thích, và hacker có thể cố gắng khai thác điểm này bằng cách sử dụng tập lệnh để nhập các mật khẩu khác nhau cho đến khi xâm nhập được trang web. Để ngăn chặn việc này, ta có thể dùng cách giới hạn số lần đăng nhập không thành công Đầu tiên, người dùng vào trang quản trị tìm đến phần “Add new” tại mục Plugins.
Nhập “Login LockDown” vào ô tìm kiếm và bấm nút “Install Now” plugin này.Cài xong thì bấm vào nút “Activate”.
Hình 3.38 Cài đặt plugin Login LockDown
Sau khi khởi động, vào Setting -> nhấn LoginLockDown để thiết lập cài đặt plugin.
Hình 3.39 Nhấn LoginLockDown để thiết lập
Trước hết, ta cần phải xác định số lần có thể đăng nhập Sau đó là thiết lập thời gian mà người dùng phải chờ để thử đăng nhập lại nếu số lần đăng nhập không thành công vượt quá số lần đã quy định.
Cũng có thể cài đặt thời gian chặn địa chỉ IP, mặc định là 60 phút nhưng ta vẫn có thể điều chỉnh lại theo ý muốn của mình.
Plugin này sẽ cho phép người dùng tiếp tục thử các tên truy cập không hợp lệ khác Chọn đồng ý dưới tùy chọn khóa tên truy cập không hợp lệ để ngăn chặn hành động này.
Trong cài đặt mặc định, WordPress cho phép nguời dùng biết được là họ đã đăng nhập thất bại do lỗi nhập tên truy cập không hợp lệ hay sai mật khẩu Có thể ẩn thông tin này bằng cách chọn dưới tùy chọn ẩn lỗi đăng nhập.
Lưu ý, chọn nút cập nhật cài đặt “Update Settings” để lưu lại những thay đổi của mình.
Hình 3.41 Cập nhật cài đặt “Update Settings”
3.2.5 Backup dữ liệu thường xuyên Đây là một công việc vô cùng quan trọng, việc backup (sao lưu dữ liệu) sẽ giúp người dùng khôi phục lại Website nhanh chóng nếu như bị tấn công và mất database.
Ví dụ như Website của người dùng gặp vấn đề gì, bị phá, bị hack mất database thì vẫn còn có bản sao lưu, nếu người dùng không sao lưu, khả năng cao Website của người dùng sẽ mất hoàn toàn dữ liệu Cách plugin backup WordPress bằng UpdraftPlus như sau: Đầu tiên, ta sẽ vào “Add New” tại Plugins, gõ tìm “UpdraftPlus” và nhấn “Install Now” để cài đặt UpdraftPlus.
Sau đó kích hoạt plugin bằng nút “Active” như hình dưới đây.
Hình 3.43 Kích hoạt plugin UpdraftPlus
Bây giờ, người dùng có thể tạo các bản backup cho Website của mình Trong phần “Settings”, ta sẽ thấy UpdraftPlus backups, nhấn vào nó.
Sau đó, ta sẽ thấy một giao diện màn hình với tất cả tùy chọn như hình dưới.
Trước khi tạo bản backup, ta có thể thay đổi các file backup Hãy nhấn vào tùy chọn cấu hình “Add changed files (incremental backup)…” ở bên dưới “Backup Now” như hình dưới đây.
Tại đây, người dùng có thể add/remove file trong file zip, để an toàn chúng ta nên thêm mọi file vào backup của mình.
Hình 3.47 Thêm mọi file vào backup
Khi thực hiện tất cả các thay đổi muốn đổi với cấu hình, hãy lưu cài đặt và nhấn nút “Backup Now”.
Quá trình sẽ bắt đầu và xuất hiện một thanh hiển thị tiến trình như hình dưới.
Hình 3.49 Quá trình backup file
Sau vài phút, quá trình backup sẽ hoàn tất, ta sẽ thấy ngày và giờ đã được tạo.
Hình 3.50 Màn hình hoàn tất backup file
Tại đây, ta sẽ thấy 5 phần mà mình có thể tải xuống riêng lẻ.
Hình 3.51 5 phần có thể tải xuống riêng lẻ
Thay vì giữ bản backup trong server, ta có thể tải xuống máy tính của mình Chỉ cần nhấp vào từng phần rồi nhấm “Dowload to your computer” như hình dưới đây:
3.2.6 Sử dụng giao thức HTTPS
SSL (Secure Sockets Layer) là một giao thức chuyển dữ liệu Website tới trình duyệt người dùng một cách bảo mật và an toàn Chứng chỉ SSL này sẽ giúp hạn chế được việc người khác tiếp cận và đánh cắp thông tin trên Website.
Việc cài đặt chứng chỉ SSL sẽ giúp bảo vệ việc bảo mật của phía Website và cũng như là bảo mật từ phía người dùng Bên cạnh đó, khi cài đặt chứng chỉ SSL cho Website thì Website sẽ chuyển từ giao thức HTTP sang HTTPS Để thực hiện chuyển hướng HTTP sang HTTPs, người dùng cài plugins Really Simple SSL
Cách thực hiện là đăng nhập vào phần quản trị WordPress, sau đó đến mục Plugins rồi nhấn “Add new” Nhập từ khóa “Really Simple SSL” vào thanh tìm kiếm và chọn kết quả như hình.
Hình 3.53 Hướng dẫn tải plugin Really Simple SSL
Chọn “Install Now” sau đó nhấn “Activate” để kích hoạt plugin.
Di chuyển chuột đến phần plugin Really Simple SSL và chọn cài đặt “Setting” để cài đặt plugin.
Hình 3.55 Chọn Setting tại phần plugin Really Simple SSL để cài plugin
Bấm chọn nút “Active SSL” như hình dưới để kích hoạt plugin cho trang web.
Hình 3.56 Kích hoạt plugin cho web bằng cách bấm nút Active SSL
Khi kích hoạt SSL, ta sẽ được gợi ý kích hoạt “Enable 301 htaccess redirect”, ta hãy chọn các nút như hình dưới đây Bấm nút “Save” để lưu lại phần cài đặt.
Hình 3.57 Chọn các nút như hình để hoàn tất quá trình cài đặt
3.2.7 Tắt chức năng sửa file plugin, theme trong admin
Việc này sẽ giúp Website tránh bị phá khi ai đó có thể truy cập được vào trang quản trị web.Có một số hacker khá tinh vi khi họ sẽ chèn rải rác 1 vài đoạn mã độc nào đó vào các file trong plugin, theme trên web.
