Từ những hình ảnh nổi tiếng của các công ty lớn, để rò rỉ hình ảnh của những người nổi tiếng, đến những điều mặc khải rằng tin tặc Nga có thể ảnh hưởng đến cuộc bầu cử Tổng thống Mỹ năm 2016, thực tế là chúng ta đang sống trong một thời gian đáng sợ khi nói đến an ninh trực tuyến.
Nếu bạn là chủ sở hữu hoặc thậm chí chỉ là người chịu trách nhiệm về một trang web , bảo mật kỹ thuật số là điều mà bạn hoàn toàn phải có kiến thức về kế hoạch. Kiến thức này phải bao gồm hai lĩnh vực chính:
- Cách bạn bảo mật thông tin bạn nhận được từ khách hàng đến trang web của bạn
- Tính bảo mật của chính trang web và các máy chủ được lưu trữ trên máy chủ .
Cuối cùng, một số người sẽ cần phải đóng một vai trò trong an ninh trang web của bạn. Chúng ta hãy xem xét mức độ cao về những gì bạn cần biết về bảo mật trang web để bạn có thể đảm bảo rằng mọi thứ có thể được thực hiện để bảo đảm trang web đó đang được thực hiện một cách chính xác.
Bảo vệ thông tin của khách truy cập và khách hàng của bạn
Một trong những khía cạnh quan trọng nhất của bảo mật trang web là đảm bảo rằng dữ liệu của khách hàng của bạn được bảo mật và được bảo vệ. Điều này là đúng gấp đôi nếu trang web của bạn thu thập bất kỳ loại thông tin nhận dạng cá nhân nào hoặc PII. PII là gì? Thông thường, điều này có dạng số thẻ tín dụng, số an sinh xã hội và thậm chí cả thông tin địa chỉ. Bạn phải bảo mật thông tin nhạy cảm này trong quá trình chấp nhận và truyền thông tin từ khách hàng cho bạn. Bạn cũng phải bảo mật nó sau khi bạn nhận được nó liên quan đến cách bạn xử lý và lưu trữ thông tin đó cho tương lai.
Khi nói đến bảo mật trang web, ví dụ dễ nhất để xem xét là các trang web mua sắm / thương mại điện tử nline . Các trang web đó sẽ cần phải lấy thông tin thanh toán từ khách hàng dưới dạng số thẻ tín dụng (hoặc có thể là thông tin PayPal hoặc một số loại phương tiện thanh toán trực tuyến khác). Việc truyền tải thông tin đó từ khách hàng đến bạn phải được bảo đảm. Điều này được thực hiện thông qua việc sử dụng chứng chỉ “lớp cổng bảo mật” hoặc “SSL”. Giao thức bảo mật này cho phép thông tin được gửi đi được mã hóa khi nó đi từ khách hàng đến bạn để bất kỳ ai chặn những trao đổi đó sẽ không nhận được thông tin tài chính có thể sử dụng mà họ có thể ăn cắp hoặc bán cho người khác. Bất kỳ phần mềm giỏ hàng trực tuyến nào cũng sẽ bao gồm loại bảo mật này. Nó đã trở thành một tiêu chuẩn công nghiệp.
Vậy nếu trang web của bạn không bán sản phẩm trực tuyến thì sao? Bạn vẫn cần bảo mật để truyền? Vâng, nếu bạn thu thập bất kỳ loại thông tin nào từ khách truy cập, bao gồm tên, địa chỉ email, địa chỉ gửi thư, v.v., bạn nên cân nhắc kỹ lưỡng việc bảo mật những trao đổi đó bằng SSL. Có thực sự không có nhược điểm để làm điều này khác hơn là chi phí nhỏ mua chứng chỉ (giá khác nhau từ $ 149 / năm đến một ít hơn $ 600 / năm tùy thuộc vào loại chứng chỉ bạn cần).
Bảo vệ trang web của bạn bằng SSL cũng có thể mang lại lợi ích với thứ hạng công cụ tìm kiếm Google của bạn . Google muốn đảm bảo rằng các trang mà họ phân phối là xác thực và được duy trì bởi các công ty thực tế mà trang web được cho là. SSL giúp xác thực vị trí của trang. Đây là lý do Google khuyến nghị và thưởng cho các trang web có SSL.
Lưu ý cuối cùng về việc bảo vệ thông tin khách hàng - hãy nhớ rằng SSL sẽ chỉ mã hóa các tệp trong khi truyền. Bạn cũng chịu trách nhiệm về dữ liệu đó khi nó đến công ty của bạn. Cách bạn xử lý và lưu trữ dữ liệu khách hàng cũng quan trọng như bảo mật truyền dẫn. Nghe có vẻ điên rồ, nhưng tôi đã thực sự thấy các công ty in ra thông tin đặt hàng của khách hàng và lưu giữ các bản in ra giấy trong các trường hợp có bất kỳ vấn đề gì. Đó là một sự vi phạm rõ ràng các giao thức bảo mật và tùy thuộc vào trạng thái bạn đang kinh doanh, bạn có thể bị phạt một số tiền đáng kể cho loại vi phạm đó, đặc biệt nếu những tệp đó cuối cùng bị xâm phạm. Nó không có ý nghĩa để bảo vệ dữ liệu trong quá trình truyền, nhưng sau đó in ra dữ liệu đó và để nó dễ dàng có sẵn ở một vị trí văn phòng không an toàn!
Bảo vệ tệp trang web của bạn
Trong những năm qua, hầu hết các trang web và dữ liệu công khai hơn hacks có liên quan đến một người nào đó ăn cắp các tập tin từ một công ty. Điều này thường được thực hiện bằng cách tấn công một máy chủ web và truy cập vào cơ sở dữ liệu thông tin khách hàng. Đây là một khía cạnh khác của bảo mật trang web mà bạn cần phải quan tâm. Ngay cả khi bạn mã hóa đúng dữ liệu khách hàng trong quá trình truyền, nếu ai đó có thể xâm nhập vào máy chủ web của bạn và ăn cắp dữ liệu của bạn, bạn vẫn gặp rắc rối. Điều này có nghĩa rằng công ty nơi bạn lưu trữ các tệp trang web của mình cũng phải đóng một vai trò trong bảo mật trang web của bạn.
Các công ty thường xuyên mua trang web lưu trữ dựa trên giá hoặc thuận tiện. Hãy suy nghĩ về trang web lưu trữ của riêng bạn và công ty mà bạn làm việc cùng. Có lẽ bạn đã tổ chức với cùng một công ty này trong nhiều năm, vì vậy nó dễ dàng hơn để ở lại đó hơn để di chuyển ở nơi khác. Trong nhiều trường hợp, nhóm web mà bạn thuê cho một dự án trang web đề xuất nhà cung cấp dịch vụ lưu trữ và công ty chỉ đơn giản đồng ý với đề xuất đó vì họ không có bất kỳ ý kiến thực sự nào về vấn đề này. Đây không phải là cách bạn chọn lưu trữ trang web. Bạn nên yêu cầu đề xuất từ nhóm web của mình, nhưng hãy đảm bảo thực hiện thẩm định và hỏi về bảo mật trang web. Nếu bạn đang kiểm tra bảo mật trang web và thực tiễn kinh doanh của mình, hãy xem nhà cung cấp dịch vụ lưu trữ của bạn chắc chắn là một phần của đánh giá đó.
Cuối cùng, nếu trang web của bạn được xây dựng trên CMS ( hệ thống quản lý nội dung ), thì có tên người dùng và mật khẩu sẽ cấp quyền truy cập vào trang web và cho phép bạn thực hiện thay đổi cho trang web của mình. Hãy đảm bảo bảo mật quyền truy cập này bằng mật khẩu mạnh theo cách bạn thực hiện với bất kỳ tài khoản quan trọng nào khác mà bạn có. Trong những năm qua, tôi đã thấy nhiều công ty sử dụng mật khẩu yếu, dễ bị phá vỡ cho trang web của họ, nghĩ rằng không ai muốn hack vào trang của họ. Đây là suy nghĩ mơ ước. Nếu bạn muốn trang web của bạn được bảo vệ khỏi ai đó đang tìm cách thêm các chỉnh sửa trái phép (như một nhân viên cũ bất mãn hy vọng sẽ có được một biện pháp trả thù cho tổ chức), thì hãy đảm bảo rằng bạn khóa truy cập trang web tương ứng.