9 bước để bảo vệ website thương mại điện tử

Với cửa hàng mặt phố, chỉ cần trang bị khoá, camera, hệ thống báo động là bạn có thể khá yên tâm với đạo chích, nhưng nếu bạn đang bán hàng trên website thương mại điện tử thì bạn phải luôn ý thức rằng hacker không phải là những kẻ trộm vặt, chúng là tội phạm công nghệ cao, luôn tìm các điểm yếu và những sơ hở trên website của bạn để khai thác. Hơn nữa, mục tiêu của hacker không phải là lấy cắp một vài món hàng để đem bán ở chợ đen, mà là – DỮ LIỆU. Ngày thông tin của khách hàng, dữ liệu thẻ thanh toán bị lộ từ websiste của bạn, cũng là ngày bạn bắt đầu đếm ngược thời điểm đóng cửa website. Hãy cùng chúng tôi, GlobalSignVN – đơn vị cung cấp dịch vụ SSL số 1 Việt Nam – điểm qua 9 mẹo để bảo vệ website của bạn. 

Lựa chọn nền tảng thương mại điện tử an toàn

Dù bạn tự lập trình website hay thuê ngoài, hãy chắc chắn rằng website của bạn đang được phát triển trên một nền tảng e-commerce có mức độ an ninh cao và có uy tín. Magento, WooCommercePrestaShop là những nền tảng thương mại điện tử rất phổ biến và tiện dụng. Chúng thân thiện với người dùng đến độ đôi khi chúng ta quên hẳn việc cập nhật và download các bản vá (patch), và điều đó đã tạo điều kiện để hacker khai thác các lỗ hổng an ninh của website, đặc biệt là các website có ứng dụng, webservice và các API kết nối nội bộ và các dịch vụ bên ngoài.

Sẽ là lý tưởng nhất nếu quản trị website là nhân sự nội bộ, còn nếu bạn thuê ngoài, hãy chắc chắn là mua thêm gói dịch vụ bảo trì từ đơn vị cung cấp.

Trang bị SSL

Chúng tôi xếp việc trang bị SSL vào vị trí thứ hai trong các lời khuyên của mình vì mức độ quan trọng của nó đối với website của bạn và cũng là để liền mạch với tip 1. Bạn hãy tìm hãng SSL có cung cấp thêm dịch vụ tích hợp rà quét (scanning) và cảnh báo các lỗ hổng an ninh (vulnerabilities), mã độc (malware). Đừng ngại việc rà quét này sẽ làm chậm website! Dịch vụ này được thực hiện định kỳ (thường là mỗi tuần/ lần) vào các giờ thấp điểm (downtime), khi phát sinh các lỗ hổng bảo mật như XSS, SQL Injection … các loại malwware, bạn sẽ nhận được thông báo qua email đăng ký để phối hợp với các bên liên quan khắc phục trước khi chúng bị khai thác. GlobalSignEntrust là 2 hãng chứng thư nổi tiếng về thương hiệu trên thế giới và tại Việt Nam và đều tích hợp dịch vụ rà soát và cảnh báo cho các khách hàng của mình. Bạn có thể tìm hiểu chi tiết về SSL, GlobalSign và Entrust thông qua đại diện của họ tại Việt Nam qua website https://globalsign.com.vn.

Đó là dịch vụ tích hợp. Còn về bản chất, SSL sẽ mang lại các lợi ích sau đây:

  • Công cụ bảo mật tất cả các giao dịch giữa người dùng đến website/ server: tất cả thông tin truyền dẫn từ máy tính người dùng đến website và máy chủ, giữa các API, webservice của bạn sẽ được bảo mật. Việc lộ thông tin, bị đánh cắp dữ liệu trong quá trình truyền dữ liệu bị loại bỏ.
  • Các website có SSL (giao thức HTTP chuyển thành HTTPS) sẽ được ưu tiên xếp hạng trên công cụ tìm kiếm của Google. Điều này cũng đồng nghĩa là các website không có SSL sẽ bị rớt hạng.
  • Các website có giao thức HTTPS sẽ không xuất hiện các cảnh báo bảo mật. Cả Mozilla Firefox và Google Chrome đều đã áp dụng một số thay đổi để cảnh báo người dùng về rủi ro khi truy cập các trang web không được trang bị SSL như đưa ra cảnh báo về kết nối không bảo mật/ dữ liệu có thể bị nghe lén, thay đổi, xâm nhập tại thanh địa chỉ hoặc tại trường nhập username/ password người dùng.
  • Trang bị SSL là tuyên bố với người dùng website của bạn không bị, không phải là giả mạo. Các hãng chứng thư chỉ cấp phát SSL cho bạn khi mọi thông tin về bạn đã được hãng kiểm duyệt qua các nguồn độc lập và đáng tin cậy. Là những hãng có uy tín toàn cầu được hàng trăm triệu người tin cậy, khi bạn nhận được SSL từ họ có thể so sánh như bạn đã có chứng minh/ hộ chiếu điện tử.
  • Chỉ các website có SSL mới kích hoạt được dịch vụ định vị người dùng. Đây là chính sách của Google Chrome và Mozilla Firefox nhằm bảo mật thông tin riêng tư của người duyệt web.

Lựa chọn dịch vụ hosting

Lựa chọn dịch vụ hosting hiệu quả cho website cũng giống như lắp đúng bánh cho xế hộp. Nếu bạn đã dành nhiều nguồn lực để thiết kế, xây dựng, tuỳ biến và quảng bá cho website của mình thì đừng ham những gói hosting siêu rẻ. Những quảng cáo như “dùng đến đâu trả tiền tới đó” đồng nghĩa với việc website của bạn đang nằm chung trong cùng một server với hàng nghìn website khác. Lựa chọn tốt nhất cho 1 website thương mại điện tử (tầm trung cao) là dịch vụ Virtual Private Server – máy chủ ảo dùng riêng. Gói dịch vụ này sẽ giúp bạn cân bằng được tất cả các yếu tố như an ninh – bảo mật, hiệu suất và chi phí.

Cô lập vùng quản trị

Nếu website của bạn sử dụng các nền tảng e-commerce phổ biến như Magento hoặc WooCommerce, bạn nên:

  • Thay đổi username và password mặc định: username của các nền tảng này thường là admin với mật khẩu rất dễ đoán. Một hacker cấp thấp cũng có thể đoán được qua vài lần thử sai. Hãy đổi ngay để không biến website của bạn trở thành một mục tiêu dễ dàng.
  • Tiếp đến là bạn cần cấp quyền cho phép (whitelist) những địa chỉ IP được phép truy cập vào vùng quản trị. Các IP không được cho phép sẽ không thể truy cập vào được.
  • Cuối cùng hãy đặt chính sách cảnh báo quản trị viên khi một số giới hạn bị vượt ngưỡng chẳng hạn như số lần cố gắng truy nhập thất bại, hoặc các truy nhập lặp lại nhiều lần từ các IP không được cho phép.

Biện pháp đơn giản, không tốn kém nhưng lại hiệu quả giúp bạn chống được các thủ thuật của tấn công đơn giản (basic) và thử sai (opportunity).

Thường xuyên sao lưu dữ liệu

Tin tặc tấn công, lỗi vô tình của con người, hệ thống bị trục trặc là những lý do để bạn nên sao lưu dữ liệu thường xuyên. Chúng tôi sẽ không nhấn mạnh vào phân tích sự cần thiết. Điều quan trọng là bạn cần có thói quen, có lịch định kỳ nếu thực hiện sao lưu thủ công. Nếu cloud không phải là vấn đề thì bạn hoàn toàn có thể tự động hoá dịch vụ.

Đừng bao giờ lưu trữ dữ liệu thẻ

Một tính năng làm nên website thương mại điện tử là chấp nhận thanh toán điện tử. Rất nhiều website hiện nay đã tích hợp thanh toán trực tuyến để thuận tiện hoá thương mại. Điều bạn KHÔNG nên làm là ĐỪNG BAO GIỜ LƯU TRỮ DỮ LIỆU THẺ NGƯỜI DÙNG.

Chỉ những cổng thanh toán, ngân hàng, các merchant cực lớn mới thực hiện lưu trữ dữ liệu thẻ vì họ đủ năng lực để làm điều này, đồng thời đã được chứng nhận tuân thủ bởi các tiêu chuẩn ngành (PCI DSS, PA DSS …) ở cấp cao nhất, còn bạn hãy tích hợp thanh toán với cổng thanh toán, và như vậy là đủ.

Sử dụng phần mềm định vị và chống giả mạo

Nếu đã chấp nhận thanh toán online, bạn nên theo lời khuyên này vì tin tặc không hoạt động cục bộ, họ tương tác ở khắp mọi nơi. Điều đó cũng đồng nghĩa là dữ liệu thẻ có thể bị đánh cắp ở châu Âu và được đem xài ở châu Á. Bằng thủ công, bạn sẽ rất khó để xác định được dấu hiệu khả nghi của dữ liệu thẻ để chấp nhận thanh toán và bàn giao hàng hoá, dịch vụ. Tốt nhất là nên sử dụng phần mềm định vị và chống giả mạo để xác định mức độ logic của một giao dịch theo thời gian thực. Các phần mềm này sẽ bắt IP của giao dịch và tiến hành phân tích với mẫu của hàng tỷ giao dịch thành công trên toàn cầu. Bạn sẽ được cảnh báo nếu giao dịch nằm trong diện nghi vấn giả mạo.

Cần có các quy định nội bộ về hoạt động thương mại điện tử

Giả sử nếu phần mềm định vị và chống giả mạo nghi vấn về một giao dịch và cảnh báo đến bạn thì vấn đề kế tiếp sẽ là: bạn làm gì với cảnh báo đó. Chấp nhận hay từ chối? Cả hai đáp án đều không đúng và đều cực đoan. Điều chúng ta cần làm là tiếp tục phân tích giao dịch bằng các biện pháp thủ công và tuân thủ theo chính sách nội bộ đã được quy định. Nghe thì có vẻ to tát nhưng chỉ cần bạn gọi điện, email cho khách hàng có giao dịch nghi vấn và yêu cầu họ gửi lại một số thông tin logic hoặc định danh cá nhân để xác định sự trùng khớp của dữ liệu. Như vậy là có thể xác định được mức độ tin cậy của giao dịch. Đơn giản nhưng nếu không có quy định thì nhân viên của bạn sẽ không có được biện pháp tin cậy để đảm bảo an toàn cho chính bạn.

An ninh kiểu củ hành

Bạn cần có một hệ thống an ninh nhiều lớp và tin tặc khi vượt qua được một lớp “vỏ hành” thì sẽ phải đối mặt với một lớp khác. Chúng ta đã đi qua được 8 lớp rồi, và bây giờ bạn nên tính đến việc đầu tư bằng giải pháp mạnh hơn nếu điều kiện cho phép. Có rất nhiều giải pháp và lựa chọn như firewall (vật lý hoặc mềm), hệ thống phân phối nội dung (CDN) để phân tán và sao lưu website nhằm nhận diện các truy vấn độc hại, chống tấn công DdoS

 

An ninh – bảo mật không miễn phí, nhưng nó vẫn rẻ hơn rất nhiều so với việc bị tin tặc khai thác lỗ hổng và tấn công. Bạn không phải đầu tư ngay một lúc tất cả cho an ninh bảo mật, nhưng hãy luôn sẵn sàng phòng chống bằng việc tối ưu hoá các biện pháp nói trên.