Share Code Web - Chia sẻ niềm đam mê bất tận > Lập trình > Thủ thuật tăng cường bảo mật cho website nguồn mở.
Thủ thuật tăng cường bảo mật cho website nguồn mở.
Phạm Tiến Đạt
Share Code Web Company 2014

Thủ thuật tăng cường bảo mật cho website nguồn mở.

Hiện nay các hệ quản trị nội dung CMS được dùng khá phổ biến tại việt nam và thế giới . Tuy nhiên chính vì tính phổ biến của nó dẫn đến phát sinh những vấn đề về bảo mật. Bài viết này mình sẽ hướng dẫn các bạn sử dụng một dịch vụ vừa tăng tốc load cho website đồng thời tăng hiệu quả bảo mật cho web.

CDN là gì?

CDN hay Content Delivery Network là mạng lưới máy chủ giúp lưu trữ bản sao website và cung cấp nội cung tĩnh đó cho người dùng theo vị trí địa lý khi họ truy cập vào website kia. Ví dụ, website của bạn chạy trên máy chủ ở Mỹ, và có sử dụng dịch vụ CDN. Khi người dùng tại Việt Nam truy cập vào site của bạn thì những dữ liệu người dùng nhận được là bản sao của máy chủ gốc được lưu trữ tại máy chủ gần nhất, tại Singapore chẳng hạn. Hiểu đơn giản, CDN giúp rút ngắn khoảng cách giữa người dùng và website của bạn như mô tả ở hình dưới:

Sự khác biệt khi sử dụng và không sử dụng CDN

CDN Tại sao nó lại giúp tăng cường bảo mật website.

Mình đã thử nghiệm trên một số website của mình và mình thấy :

  • Khi sử dụng dịch vụ CDN website của bạn sẽ được lưu chữ trong cache của máy chủ CND  dữ liệu này sẽ được cập nhật hàng ngày và cung cấp dữ liệu tới người dùng.
  • Do được lưu trữ dưới dạng bộ nhớ tạm thời ở máy chủ CDN do vậy việc 1 hacker tấn công website theo các phương pháp cũ như local attack , hay khai thác lỗi SQL injection là hoàn toàn không thể vì  đây là  trung gian giữa website và máy chủ thật, việc tìm ra máy chủ thật sẽ vô cùng khó khăn.
  • Một lơi thế nữa là CDN giúp tăng tốc độ load site cho bạn theo tính toán của mình chênh lệch đó vào khoảng 10 đến 15%.

Hướng dẫn sử dụng dịch vụ CDN miễn phí

Với những lợi ích to lớn mà CDN mang lại, hẳn bạn cũng muốn dùng ngay cho website của mình, nhưng giá của dịch vụ này không hề rẻ. Rất may, bạn vẫn có thể dùng CDN miễn phí từ một vài nhà cung cấp như Cloudflare, Incapsula, hay Google’s PageSpeed Service (hiện đang cho phép dùng thử miễn phí, chưa biết tới bao giờ sẽ thu phí). Với blog cá nhân hay website nhỏ thì những gói miễn phí này là quá đủ. Và trong bài viết này, mình sẽ hướng dẫn các bạn đăng ký và sử dụng dịch vụ từ Cloudflare và Google’s PageSpeed Service. Lưu ý, chỉ dùng được 1 trong hai dịch vụ trên.

1. Tăng tốc website với Cloudflare

Tăng tốc website tối đa với cloudflare

Trước tiên, bạn truy cập vào Cloudflare, chọn free plan và thực hiện tuần tự theo các bước sau:

a) Đăng ký tài khoản tại Cloudflare. Tương tự như đăng ký ở các trang khác, mình sẽ không hướng dẫn chi tiết mục này;

b) Thêm tên miền – nhập địa chỉ website bạn cần tăng tốc với Cloudflare, ví dụ,www.ngoctu.net, và nhấn add và chuyển sang bước kế tiếp;

c) Thiết lập DNS  – sau khi add tên miền vào, cloudflare tự động scan các bản ghi trong DNS của tên miền, và bạn có thể sửa đổi các record DNS ở đây. Thường thì không cần làm gì, chỉ cần nhấn continue để tiếp tục;

d) Cài đặt cho tên miền của bạn – Tại đây có các thiết lập cho Plan, Performance, Security. Bạn chỉ cần thiết lập như trong hình.

Tăng tốc website tối đa với cloudflare

Khi sử dụng Cloudflare với tính năng bảo mật, thi thoảng gặp tình trạng bị chặn khiến website của bạn mất traffic, do đó mình đã thiết lập Security off như hình trên, và chúng ta sử dụng Cloudflare như một CDN tăng tốc website tối đa. Nhấn Continue để chuyển tới bước cuối;

e) Update name servers – tại đây, Cloudflare cung cấp cho chúng ta nameservers tương tự như “greg.ns.cloudflare.com”, “kara.ns.cloudflare.com”. Đến lúc này, việc bạn cần làm là truy cập vào trang quản lý domain và thay Nameserver hiện có bằng Nameservers do Cloudflare cung cấp. Hoàn tất việc này, quay lại cloudflare nhấn I’ve updated my nameserver, continue và đợi domain của bạn update nameserver (tầm 10p tại godaddy). Mọi công việc đến đây là xong.

Nếu bạn sử dụng WordPress, Cloudflare khuyến cáo nên cài đặt plugin này giúp bạn theo dõi IP thực từ comment, bảo vệ blog tốt hơn trước những spammers.

2. Tăng tốc website tối đa với Google’s PageSpeed Service (GPSS)

Tăng tốc website tối đa với google Pagespeed service

Việc đăng ký Google’s PageSpeed Service cũng hết sức dễ dàng, bạn chỉ cần 1 địa chỉ Gmail (cái này chắc ai cũng có, chưa có thì đăng ký nhé :D), truy cập vào Google’s PageSpeed Service, nhập gmail và tên miền dạng full (có www) và nhấn submit

Đăng ký Google’s PageSpeed Service

Đợi tầm một vài giờ, hoặc 1 ngày (khá lâu :D) Google sẽ gửi email cho bạn, trong đó có link tới Google Cloud Console. Tai đây, bạn tiến hành add tên miền dạng full (có www) vào, chọn Regular Setup và nhấn Add.

Như hình trên là mình chưa xác thực tên miền, nhấn Claim Ownership để add và xác thực tên miền vào Google Webmaster Tools (nếu bạn đã xác thực trước rồi thì sẽ không có thông báo trên). Sau đó, Google’s PageSpeed Service yêu cầu bạn thay đổi CNAME của domain, bạn truy cập vào cPanel hosting, theme 1 CNAME mới với mục ở host là www và point to pagespeed.googlehosted.com. Đợi tầm 10-15p để DNS tên miền cập nhật, sau đó bạn kiểm tra tốc độ website sẽ thấy sự khác biệt.

Lưu ý:

    • Google’s PageSpeed Service chỉ hộ trợ domain dạng full (có www), nếu bạn đang sử dụng bare-domain (non-www), hãy xem hai videos bên dưới để hiểu tại sao khi sử dụng dạng non-www website của bạn không đạt được tốc độ tối đa, và video thứ hai hướng dẫn các bạn thiết lập google’s Page Speed Service cho website dạng non-www.

Leave a comment

Bạn phải Đăng nhập để tham gia bình luận.

https://sharecodeweb.net/?s={search_term_string}

Blog Stats

  • 4.005 hits
%d bloggers like this: