Phương pháp bảo mật trang web cho SEO
Bạn không thể làm được gì để ngăn chặn người khác khi họ đang cố gắng đột nhập vào trang web của bạn nhưng bạn có thể khóa nó lại để họ không thể vào nhưng các hacker vẫn có thể crack được mật khẩu để vào trong trang web của bạn. Bài viết dưới đây tôi đã thảo luận những vấn đề về lý thuyết SEO nâng cao để khắc phục khi trang web của bạn bị dính phải một phần mềm độc hại nào đó.
Chúng ta hãy cùng nhau thảo luận một số vấn đề kỹ thuật SEO nâng cao, đây sẽ là kinh nghiệm tốt cho hầu hết tất cả các SEO để làm chủ những kỹ năng này.
Khai thác máy chủ
- Có nhiều loại hacker: một số chỉ gây phiền nhiễu hoặc gây ra một số tổn thất về tiền bạc mà không để lại bất cứ mã độc hại nào trên máy chủ của bạn. Tuy nhiên, bạn cũng không thể tin tưởng họ bởi một số hacker được coi là “không tốt”, họ đang cố gắng để biến máy chủ của bạn thành trung tâm điều khiển và kiểm soát tất cả các máy tính khác trên Internet.
- Họ tìm kiếm tất cả các dịch vụ Internet mà có thể truy cập được như: FTP, Telnet và Web. Họ có thể vào bất cứ môi trường nào như UNIX hoặc Linux với quyền truy cập admin hoặc thậm chí họ chỉ cần truy cập để thực thi một đoạn mã nào đó mang lại cho họ nhiều lợi thế hơn bạn. Họ sẽ làm mọi thứ để có thể ẩn các theo dõi của họ. Và có một LOT trên hệ thống UNIX hoặc Linux. Một máy chủ có thể chạy chậm lại từ 200-300 tiến trình trong một ngày và có thể bạn sẽ không nhận ra tất cả hành động của họ.
- Một máy chủ khai thác có thể được sử dụng để gửi email spam hoặc định tuyến lại, thiết lập chuỗi remote-host, máy chủ lưu trữ toàn bộ một miền hoặc trang web không cần sự cho phép của bạn, tiến hành các cuộc tấn công trên các máy chủ khác, tải về phần mềm độc hại vào máy tính của khách truy cập web, tìm kiếm và lây lan sang các máy chủ khác, hoạt động như một cổng FTP hoặc điểm chuyển giao hoặc phá hủy các dịch vụ tên miền dữ liệu (DNS) được chuyển qua lại giữa các trang web để chiếm quyền điều khiển các trang web hoặc tấn công chúng.
Nếu một hacker muốn tìm hiểu bạn hoặc công ty bạn thì họ có thể đột nhập vào máy chủ của bạn để cung cấp cho họ quyền truy cập vào email và các tập tin nội bộ bí mật. Điều này sẽ khiến bạn gặp nguy hiểm hơn bởi nếu bạn đang lưu trữ thông tin của khách hàng trên máy chủ thì họ sẽ lấy cắp các thông tin cá nhân khách hàng chưa kể đến việc gửi email spam.
- Không được lưu email trên web: có nhiều công ty lưu lại email trên các máy chủ Internet có thể truy cập. Vì vậy, bạn cần phải lưu trữ thông tin trên các máy chủ nội bộ mà không thể truy cập được từ Internet. Nếu bạn không phải là một công ty lớn thì bạn và người dùng cần tải về email từ máy tính của bạn. Để lại email trên máy chủ có nghĩa là tất cả các email khôi phục mật khẩu được tiếp xúc mỗi khi có ai đó truy cập.
- Hạn chế truy cập từ máy chủ: máy chủ có thể giới hạn những người có thể được vào tài khoản quản trị trên máy chủ Internet có thể truy cập được. Điều này ít nhất có thể ngăn chặn các hacker khai thác lỗ hổng từ máy chủ ngay sau khi tải về.
Khai thác ứng dụng web
Bất kỳ blog, diễn đàn hay hệ thống quản lý nội dung nào đều có thể bị tấn công. Ngay từ lúc này, WordPress đã gây được rất nhiều sự chú ý bởi gần đây hacker đã tạo ra một botnet phát triển nhanh và nó được dự kiến sẽ lây lan sang hàng triệu trang web trong vài tháng hoặc chậm nhất có thể là một năm. Botnet được sử dụng để tấn công hàng chục, hàng trăm ngàn các máy chủ trên Internet. Các máy chủ bị nhiễm đang sử dụng Brute Force Dictionary (BFD) để tấn công thử và tìm ra mật khẩu quản trị các blog, diễn đàn và các hệ thống quản lý nội dung.
Nếu một hacker có khả năng vào được phần mềm này thì họ có thể không có khả năng quản trị trên máy chủ của bạn nhưng họ có thể thăm dò cơ sở dữ liệu SQL cho mã HTML độc hại và thay đổi trang web của bạn. Một số kẻ spam có thể hack liên kết trên trang web để họ có thể thả các liên kết ngẫu nhiên trên trang web của bạn. Tất cả các cuộc tấn công trên các blog và các diễn đàn tạo ra một số lượng truy cập lớn làm ảnh hưởng đến máy chủ của bạn.
Những vấn đề được ẩn chứa bên trong
Nếu bạn sử dụng plugin cache cho blog hoặc diễn đàn thì bạn có thể không nhận thấy các cuộc tấn công tàn bạo bởi các máy chủ có thể dành nhiều tài nguyên để đáp ứng cho họ. Nơi lưu trữ plugin lấy ảnh chụp hình ảnh của trang đươc cung ứng vào cửa hàng hình ảnh. Bất cứ khi nào có người yêu cầu trang của họ được phục vụ hình ảnh thay vì phải chờ máy chủ thực hiện tất cả các kịch bản cần thiết để ghép lại thành một trang.
Tôi đã sử dụng công cụ caching và trong khi cải thiện hiệu suất là thực sự tốt đẹp thì cuối cùng họ nhận được là một máy chủ quản lý tốt. Thậm chí bạn có thể sử dụng Content Delivery Network để làm phức tạp chức năng quản lý nội dung của bạn. Ví dụ đơn giản như “cập nhật trang web” lâu hơn.
Nếu bạn đang nhân bản tên miền trên khắp thế giới bạn có thể phải chờ tất cả các bản sao địa phương của trang web được cập nhật. Bạn cũng đang phụ thuộc vào các máy chủ CDN để xử lý bảo mật trang web, quản trị và quản lý để bạn bảo vệ máy chủ của bạn. Tất nhiên, bạn có thể thuê nhiều kỹ thuật viên để họ có thể đảm bảo rằng trang web của bạn sẽ không bị xóa ngay cả khi ngành công nghiệp CDN bị thách thức bởi những trục trặc về kỹ thuật. Bạn đừng nghĩ rằng tất cả các dịch vụ là hoàn toàn an toàn.
Bất kỳ server nào cũng được bảo vệ hoàn toàn?
Không có máy chủ nào có thể tránh khỏi bị tấn công. Có thể bạn có một máy chủ và chôn nó dưới mặt đất và có quân đội Mỹ bảo mật nhưng bạn cũng không thể tránh khỏi bởi những cuộc tấn công từ phía các hacker.
Và các máy chủ có khả năng kết nối với nhau mặc dù chúng chỉ là máy cục bộ trong một máy chủ NOC tạo ra một lỗ hổng tiềm năng. Tất cả có thể bị các hacker tấn công và họ có thể sẽ khám phá ra các mạng. Có lẽ không có bất cứ một điều gì có thể khẳng định rằng các máy chủ không bị tấn công.
Các biện pháp SEO nên làm
Khi bạn làm việc với khách hàng, hãy hỏi họ về lịch sử lưu trữ web chẳng hạn như: trang web của họ đã bao giờ bị hack chưa? Nếu đã bị hack thì ai là người chịu trách nhiệm làm sạch các trang web bị hack? Quá trình theo dõi là gì? Đó là trách nhiệm của bạn để đảm bảo bạn và công ty của bạn không bị trang web của khách hàng lây nhiễm sang máy tính của bạn.
- Nếu bạn được quyền truy cập vào máy chủ của khách hàng thì bạn nên rà soát lại cẩn thận đặc biệt là nếu bạn đang kiểm toán trang web – điều này sẽ bao gồm cả các dịch vụ email.
- Nếu bạn không biết làm thế nào thì hãy tìm một người đáng tin cậy coi như bạn mang lại cho họ như một nhà cung cấp phụ cho dự án. Đây không phải là công việc mà bạn có thể làm một cách an toàn.
- Nếu bạn đang sử dụng Screaming Frog hoặc Xenu Link Sleuth để kiểm tra cấu trúc liên kết của một trang web thì hãy chắc chắn đối mặt với tất cả các liên kết ở bên ngoài. Bạn phải sử dụng bất cứ một phần mềm nào miễn là bạn tìm ra các tài liệu tham khảo iFrame. Ngay cả khi trang web của khách hàng đã được xác định là không lưu trữ các phần mềm độc hại nhưng cũng có thể lưu trữ các liên kết đáng ngờ và chúng ta đều biết Google và Bing nghĩ gì về liên kết đáng ngờ.
Và hãy tìm hiểu xem liệu khách hàng đang vô tình lưu trữ trang web khác mà họ không biết. Một vài SEO đã sử dụng tài khoản để lưu trữ trang web của người khác thậm chí nếu đó là một thỏa thuận trong ngày thì chắc hẳn tất cả mọi người đã quên về nó.
Bạn không nhất thiết phải sửa chữa các vấn đề bảo mật của khách hàng. Tuy nhiên, bạn phải hiểu những rủi ro có thể mang lại và bạn có thể chỉ ra những lổ hổng. Điều này đặc biệt đúng nếu bạn giới thiệu các nền tảng cụ thể cho khách hàng, họ sẽ hiểu và muốn được yên tâm rằng những nền tảng đó sẽ không thể bị tấn công. Bạn có nhiệm vụ giải thích với họ rằng, có những nền tảng này có thể và sẽ bị tấn công nhưng có một số điều mà họ có thể làm và nên làm để tự bảo vệ mình.
Nếu bạn đang làm việc với khách hàng trong lĩnh vực thương mại điện tử thì rất có thể giỏ mua hàng chính là mục tiêu tấn công của các hacker.
Nếu bạn đang làm việc trong các chiến dịch truyền thông xã hội thì bạn có thể bị hack tài khoản truyền thông xã hội. Điều này cũng giống như nhiều người sử dung Twitter đã học được cách nhấp vào liên kết tin nhắn có thể sẽ gặp rắc rồi. Khi bạn giúp khách hàng thiết lập một chiến dịch truyền thông xã hội bạn nên kiểm tra danh sách và các thủ tục cần thiết để đảm bảo vấn đề bảo mật cho trang web của họ.
Vấn đề về mật khẩu
Khi nói đến bảo mật tài khoản người dùng chúng tôi sử dụng một trong những ý tưởng ngớ ngẩn nhất trong lịch sử đó là mật khẩu tài khoản.
Mật khẩu đã dần trở nên lỗi thời và chẳng có gì lạ khi hàng triệu máy tính bị tấn công hàng năm thông qua con đường này.
Che giấu mật khẩu bằng một hàng dấu hoa thị khi bạn gõ mật khẩu liệu có an toàn? Mật khẩu sẽ được truyền một cách an toàn nhưng nếu bạn tắt các dấu sao và mọi người sẽ nhìn thấy mật khẩu của họ. Một số người chỉ cần lưu mật khẩu của họ trong một bảng tính và sử dụng copy và paste khi họ cần phải đăng nhập. Vì vậy, dấu hoa thị không đảm bảo được vấn đề bảo mật, chúng có nguy cơ bị tấn công nhiều nhất.
Mật khẩu phức tạp sẽ Không an toàn để ngăn chặn các hacker tấn công. Nếu hacker sử dụng phần mềm để lặp lặp lại những khả năng có thể xảy ra và nó chỉ mất một vài phút để các thuật toán có thể tìm ra tất cả các biến thể chỉ trong 35-36 lần cho mỗi khi thay đổi vị trí (phần lớn thời gian cần thiết cho một cuộc tấn công BFD bao gồm truyền tên người dùng và mật khẩu, sau đó chờ để được máy chủ đáp ứng và đánh giá phản hồi).
Mật khẩu dài thường an toàn hơn ví dụ như “12345678901234567890” là an toàn hơn so với “#PappySays!” bởi “12345678901234567890″ dài hơn so với “#PappySays!”. Nếu bạn đang sử dụng mật khẩu phức tạp bởi máy chủ của bạn yêu cầu thì bạn nên suy nghĩ lại. Nếu bạn đang sử dụng mật khẩu do bộ sinh mật khẩu ngẫu nhiên sinh ra thì tôi khuyên bạn không nên sử dụng loại mật khẩu đó.
Thêm vào các ký tự trong mật khẩu: người dùng sẽ không bao giờ nhìn thấy chúng nhưng khi một hacker đột nhập vào máy chủ của bạn và tải về các tập tin mật khẩu và anh ta thấy mật khẩu quá dài. Vì vậy, ngay cả khi anh ta có thể giải mã được các mật khẩu đó (phần mềm mã nguồn mở sẽ làm điều này) thì anh ta vẫn nhận được mật khẩu sai. Hầu hết các hướng dẫn đều khuyên bạn nên thêm 2 ký tự cho mật khẩu. Khi bạn làm điều này thì bạn không được sử dụng phương pháp được đề nghị nếu bạn có thể thay đổi các thông số bởi bất kỳ hacker nào có thể tải về tài liệu đó (hoặc ăn cắp nó).
SEO cần phải biết
Công việc bảo mật là vô cùng khó khăn và việc đầu tư của khách hàng trong việc tiếp thị tìm kiếm hữu cơ là rất quan trọng cho cả bạn và khách hàng của bạn. Bạn không muốn họ tiếp xúc hoặc sử dụng các liên kết spam, phần mềm độc hại hoặc phát triển các botnet. Quan trọng hơn, bạn không muốn tự đẩy mình mắc kẹt trong một bãi mìn kỳ công trên máy chủ của khách hàng. Một khi máy bạn đã bị tấn công trên Internet thì rất có thể bạn được tiếp xúc với một số hacker nổi tiếng trên thế giới.
Bất kỳ trang web nào bị tấn công sẽ lãng phí rất nhiều tiền bạc, không những thế chúng sẽ biến mất khỏi bảng xếp hạng trong kết quả tìm kiếm. Công cụ tìm kiếm luôn tìm cách để bảo vệ người dùng của họ như loại bỏ các trang web từ kết quả tìm kiếm của họ nếu họ phát hiện ra trang web của bạn bị tấn công. Đường ranh giới giữa SEO và bảo mật trang web có thể dễ dàng vượt qua và bạn cần phải thận trọng để không phải nhận quá nhiều trách nhiệm nhưng ít nhất bạn cũng phải nhận thức được những gì đang diễn ra và có một số kiến nghị có sẵn trong trường hợp bạn không thể hoặc không muốn đảm nhận thêm công việc vệ sinh hoặc bảo mật trang web.
- Ghi rõ nguồn www.thegioiseo.com khi đăng tải lại bài viết này.
- Bài viết có tham khảo nội dung của tác giả Michael Martinez (SEO...)
Thủ thuật Seo - Seo tips Phương pháp bảo mật trang web cho SEO