Bảo mật web, những vấn đề cần lưu ý và hướng dẫn chống DDos sử dụng Cloudflare
Blog

Hướng dẫn chống DDos sử dụng Cloudflare, hướng dẫn và lưu ý với SEO

Posted on by megadon

Bảo mật web, là một vấn đề bắt buộc đối với các quản trị web, thậm chí nếu bạn đang sở hữu một website cá nhân việc này cũng rất quan trọng, trong bài viết này hãy cùng Megadon tìm hiểu bảo mật web cần lưu ý điều gì, và ở phần cuối chúng tôi sẽ hướng dẫn bạn sử dụng Cloudflare để giúp bảo mật web tốt hơn.

Bảo mật web những việc cần thực hiện

Ở bài viết trước chúng tôi đã đề cập về mức độ an toàn của WordPress, một CMS phổ biến nhất hiện nay mời bạn tham khảo, WordPress nhìn chung khá an toàn tuy nhiên một website được gọi là an toàn cần đáp ứng những yêu cầu gì, dưới đây là một vài tiêu chí bạn cần lưu ý:

Bảo mật web những việc cần thực hiện
Bảo mật web những việc cần thực hiện
  1. HTTPS và Chứng Chỉ SSL/TLS: Như đã đề cập, sử dụng HTTPS với chứng chỉ SSL/TLS là cơ bản để bảo vệ dữ liệu truyền tải giữa người dùng và website.
  2. Cập Nhật Phần Mềm: Đảm bảo rằng tất cả phần mềm liên quan đến website của bạn, bao gồm hệ thống quản lý nội dung (CMS), plugin, và script, luôn được cập nhật để vá các lỗ hổng bảo mật.
  3. Bảo Vệ Chống SQL Injection: Sử dụng các biện pháp như truy vấn tham số hóa để ngăn chặn cuộc tấn công SQL injection, một phương thức phổ biến để tấn công vào cơ sở dữ liệu.
  4. Chống Cross-Site Scripting (XSS): Sử dụng các biện pháp như Content Security Policy (CSP) để ngăn chặn cuộc tấn công XSS, nơi kẻ tấn công có thể chèn script hại vào trang web.
  5. Xác Thực và Quản Lý Quyền Truy Cập: Sử dụng mật khẩu mạnh, cân nhắc áp dụng xác thực đa yếu tố (MFA) và hạn chế quyền truy cập chỉ cho những người dùng cần thiết.
  6. Backup Dữ Liệu: Thường xuyên sao lưu dữ liệu website để có thể khôi phục nhanh chóng trong trường hợp sự cố hoặc tấn công mạng.
  7. Bảo Vệ Chống DDoS: Nếu website của bạn phải đối mặt với nguy cơ tấn công DDoS, bạn có thể xem xét sử dụng dịch vụ chống DDoS.
  8. Firewall Ứng Dụng Web (WAF): Sử dụng WAF để bảo vệ website khỏi các cuộc tấn công như SQL injection, XSS, và các mối đe dọa khác.
  9. Kiểm Thử Bảo Mật: Thực hiện kiểm thử bảo mật định kỳ như kiểm thử xâm nhập để phát hiện và sửa chữa các lỗ hổng bảo mật.
  10. Chính Sách Bảo Mật: Xây dựng một chính sách bảo mật rõ ràng, bao gồm cả hướng dẫn sử dụng và quản lý website an toàn.
  11. Giáo Dục và Ý Thức Bảo Mật: Tăng cường nhận thức bảo mật cho chính bạn và những người quản lý website, để phòng ngừa các rủi ro do lỗi con người.

Các biện pháp này không chỉ giúp bảo vệ website của bạn khỏi các mối đe dọa trực tuyến mà còn tạo niềm tin cho người dùng khi họ truy cập và tương tác với website của bạn.

1. Sử dụng Cloudflare bảo mật web

Cloudflare là một công ty Mỹ cung cấp một loạt các dịch vụ mạng, bao gồm Content Delivery Network (CDN), DDoS mitigation, Internet security, và distributed domain name server services. Được thành lập vào năm 2009, Cloudflare đóng vai trò quan trọng trong việc giúp bảo vệ và tăng tốc các website trên internet.

sử dụng Cloudflare bảo mật web
Sử dụng Cloudflare bảo mật web

Cloudflare có một mạng lưới CDN rộng lớn, giúp phân phối nội dung của các website đến người dùng cuối một cách nhanh chóng và hiệu quả. CDN của Cloudflare lưu trữ các bản sao tĩnh của nội dung trang web trên các máy chủ khắp thế giới, giúp giảm độ trễ và cải thiện tốc độ tải trang.

Cloudflare cung cấp một số tính năng và công cụ có thể giúp cải thiện hiệu suất và tốc độ tải trang, điều này gián tiếp hỗ trợ cho trang web sử dụng SSR – Chi tiết về SSR xem tại: “SSR là gì, tầm quan trọng của SSR trong SEO và triển khai SSR trên website”

Hướng dẫn bảo mật web sử dụng Cloudflare

Đầu tiên để thực hiện việc bảo mật website sử dụng Cloudflare bạn cần đăng ký một tài khoản, việc này có thể thực hiện dễ dàng bằng mail cá nhân.

Bước 1: Đăng ký Tài khoản Cloudflare: Truy cập website Cloudflare và đăng ký tài khoản.

Bước 2: Thêm Website: Trong Dashboard, chọn ‘Add a Site’ và nhập tên miền của bạn.

Thêm website của bạn vào cloudflare
Thêm website của bạn vào cloudflare

Bước 3: Thay đổi Nameservers: Cloudflare sẽ cung cấp cho bạn hai nameservers. Bạn cần thay đổi nameservers hiện tại của mình sang nameservers mà Cloudflare cung cấp tại nhà cung cấp tên miền của bạn.

Cấu hình DNS và thêm NS vào tên miền
Cấu hình DNS và thêm NS vào tên miền

Bước 4: Đợi quá trình Xác minh: Cloudflare sẽ xác minh việc thay đổi nameservers. Quá trình này có thể mất vài giờ.

Hoàn tất cài đặt
Hoàn tất cài đặt

Bước 5: Thiết lập SSL/TLS

Lưu ý: Hầu hết các hosting chất lượng – đều cung cấp tùy chọn SSL/TLS kèm theo, trong bài viết: Danh sách top hosting giá rẻ, đề xuất sử dụng năm 2024 – Chúng tôi đã nói chi tiết về vấn đề này bạn có thể tham khảo thêm.

Cloudflare cung cấp nhiều tùy chọn SSL/TLS cho phép người dùng tùy chỉnh cấp độ bảo mật và cách thức mã hóa cho website. Dưới đây là một số tùy chọn SSL/TLS chính mà Cloudflare cung cấp:

  • Off (Không Mã hóa): Không sử dụng SSL; lưu lượng truy cập không được mã hóa.
  • Flexible SSL: Mã hóa lưu lượng truy cập giữa trình duyệt của người dùng và Cloudflare, nhưng không mã hóa lưu lượng giữa Cloudflare và máy chủ của bạn.
  • Full : Mã hóa toàn bộ lưu lượng truy cập giữa trình duyệt của người dùng và máy chủ của bạn. Yêu cầu máy chủ có cài đặt SSL, nhưng không yêu cầu chứng chỉ SSL hợp lệ.
  • Full SSL (strict): Tương tự như Full SSL, nhưng yêu cầu chứng chỉ SSL hợp lệ và được ký bởi một Authority đáng tin cậy.
Thiết lập SSL/TLS
Thiết lập SSL/TLS

2. Chống DDos sử dụng Cloudflare

Chống DDos sử dụng Cloudflare chúng ta làm từng bước để đạt hiệu quả tốt, dựa vào kinh nghiệm của mình tôi sẽ đề xuất một số giải pháp để chống ddos Cloudflare hiệu quả và không ảnh hưởng tới các yếu tố SEO website, dưới đây là một số hoạt động chính.

  1. Thiết lập chế độ Under Attack Mode
  2. Cache toàn bộ dữ liệu website lên CloudFlare
  3. Thiết lập Security WAF
  4. Thiết lập Security Bots

Ngoài các liệt kê trên bạn có thể thiết lập nhiều giải pháp chống ddos khác, tuy nhiên nên nhớ rằng Cloudflare là một giải pháp tốt nhưng không phải là tốt nhất, cơ sở của việc chống ddos là một hosting tốt hoặc sử dụng VPS chất lượng cao.

  • Bài viết – Danh sách top hosting giá rẻ, tốt hàng đầu năm 2023, đề xuất sử dụng năm 2024 – Đề xuất các dịch vụ lưu trữ web tốt mời bạn đón đọc.

2.1. Thiết lập chế độ Under Attack Mode

Nếu website của bạn đang bị tấn công bằng lưu lượng truy cập lớn và bạn đang sử dụng Cloudflare, có một số bước bạn có thể thực hiện ngay lập tức để bảo vệ trang web của mình:

Kích hoạt Chế Độ “I’m Under Attack”

Truy cập vào dashboard của Cloudflare – kích hoạt chế độ “I’m Under Attack“.

Chế độ này sẽ thực hiện một kiểm tra JavaScript đơn giản để phân biệt giữa lưu lượng truy cập hợp lệ và không hợp lệ. Điều này có thể giúp chặn lưu lượng độc hại ngay lập tức.

Cách hoạt động của “Under Attack Mode”:

  1. Kiểm Tra JavaScript: Khi một người dùng truy cập website, Cloudflare sẽ hiển thị một trang kiểm tra JavaScript trong vài giây. Trang này kiểm tra xem người dùng có phải là người thực hay một bot độc hại. Điều này giúp ngăn chặn các yêu cầu tự động từ bot mà không ảnh hưởng đến người dùng thực sự.
  2. Thời gian chờ: Người dùng hợp lệ sẽ thấy một trang với thông điệp cho biết website đang kiểm tra bảo mật và sẽ được chuyển tiếp sau vài giây.
  3. Truy cập được cấp: Sau khi kiểm tra thành công, người dùng sẽ được chuyển hướng đến trang web như bình thường.

Khi nào nên sử dụng “Under Attack Mode”:

  • Khi website của bạn đang bị tấn công DDoS.
  • Khi bạn nhận thấy một lượng lớn lưu lượng truy cập bất thường mà bạn nghi ngờ là độc hại.
  • Khi bạn muốn tăng cường bảo vệ cho một sự kiện quan trọng hoặc khi đang thực hiện bảo trì mà muốn giảm thiểu rủi ro.

Lưu ý khi dùng Under Attack Mode

  • Đây là một chế độ giúp bạn hạn chế ngay lập tức các cuộc tấn công nhưng đối với SEO khi bật chế độ này website của bạn sẽ bị 403 khi kiểm tra website trên Seach control chính vì thế – hãy tắt khi không còn sử dụng để tránh rớt hạng website.

2.2 Cache toàn bộ dữ liệu website lên CloudFlare

Mục tiêu là tối ưu hóa tốc độ tải trang và giảm tải cho server gốc bằng cách lưu trữ bản sao của nội dung tĩnh và động trên mạng lưới của Cloudflare.

Trong một cuộc tấn công – khi hosting của bạn bị khóa hoặc bị sập khi Cache website lên CloudFlare chế độ always online giúp website của bạn luôn hiển thị các phiên bản tránh việc truy cập web bị gián đoạn.

CloudFlare tích hợp cùng Internet Archive hiển thị phiên bản mới nhất của bạn khi truy cập.

Việc Cache toàn bộ dữ liệu website lên CloudFlare – cần thực hiện qua nhiều bước, chính vì thế chúng tôi đã có một bài viết dưới dẫn chi tiết mời bạn tham khảo chi tiết tại bài viết: “Hướng dẫn Cache toàn bộ dữ liệu website lên CloudFlare” để tham khảo chi tiết các bước làm.

2.3. Thiết lập Security WAF

  • Mục Đích: WAF của Cloudflare được thiết kế để bảo vệ website của bạn khỏi một loạt các cuộc tấn công web phổ biến như SQL Injection, Cross-Site Scripting (XSS), và các lỗ hổng bảo mật khác.
  • Cách Hoạt Động: WAF hoạt động bằng cách kiểm tra và lọc lưu lượng truy cập đến website của bạn, loại bỏ các yêu cầu độc hại trước khi chúng có thể gây hại.
  • Tùy Chỉnh Luật: Bạn có thể tùy chỉnh các luật của WAF để phù hợp với nhu cầu cụ thể của website của bạn. Cloudflare cũng cung cấp một tập hợp các luật bảo vệ tiêu chuẩn được cập nhật liên tục.

Đối với cách sử dụng chế độ Security WAF phổ biến nhất – chúng ta có thể dùng để chặn các IP và truy cập từ các quốc gia không mong muốn.

Lưu ý: Một vài minh họa dưới đây chỉ áp dụng với bản trả phí, đối với tình trạng website bị tấn công lớn bạn hãy cân nhắc sử dụng các gói cao cấp hơn để đạt hiệu quả tốt.

Bước 1: Theo dõi truy cập bất thường thông qua tính năng Security – Events

Tính năng Security - Events
Tính năng Security – Events

Như bạn có thể thấy tính năng Security – Events – Cung cấp chi tiết các sự kiện đang diễn ra trên website của bạn, dưới đây là một số thông số cơ bản bạn cần theo dõi. Trong phạm vi bài viết chúng tôi chỉ viết những giải pháp cơ bản, các giải pháp nâng cao hoặc cần hỗ trợ riêng hãy liên hệ hoặc bình luận để chúng tôi có thể giải đáp cho bạn:

  1. Thời Gian và Ngày: Thời gian và ngày xảy ra sự kiện bảo mật, giúp bạn xác định khi nào website của bạn bị tấn công hoặc khi nào có hành vi đáng ngờ.
  2. Loại Sự Kiện:Loại sự kiện bảo mật được ghi lại, như tấn công DDoS, thử đăng nhập không thành công, hoặc các quy tắc tường lửa được kích hoạt.
  3. Địa chỉ IP: Địa chỉ IP của nguồn gây ra sự kiện, cho phép bạn xác định nguồn gốc của các hành động đáng ngờ hoặc tấn công.
  4. Quốc Gia: Quốc gia của địa chỉ IP, giúp bạn nhận diện nếu có một khu vực địa lý cụ thể đang cố gắng tấn công hoặc truy cập trái phép vào trang web của bạn.
  5. URI: Đường dẫn URI của yêu cầu gây ra sự kiện, cung cấp thông tin về trang hoặc tài nguyên cụ thể mà kẻ tấn công đang cố gắng truy cập hoặc tấn công.

Bước 2: Triển khai WAF

Triển khai WAF chúng ta căn cứ vào thông tin ở Events – tiếp theo đó lọc ra các ip truy cập bất thường hoặc các quốc gia có nhiều truy cập bất thường để tiến hành chặn.

Chặn các quốc gia có truy cập bất thường dựa vào Events hoặc chặn tất cả quốc gia ngoại trừ quốc gia là thị trường mục tiêu của bạn.

  • Đối với việc chặn ở 1 số quốc gia cụ thể chúng ta làm như hình.
chặn ở 1 số quốc gia cụ thể
Chặn ở 1 số quốc gia cụ thể
  • Ngoài chặn ở 1 số quốc gia cụ thể bạn có thể chặn tất cả các quốc gia ngoại trừ quốc gia là thị trường mục tiêu của bạn.
Chặn tất cả các quốc gia truy cập bất thường
Chặn tất cả các quốc gia truy cập bất thường

Chặn các các địa chỉ IP bất thường dựa vào Events, Chặn các IP truy cập bất thường giúp bạn chặn các gây ra truy cập lớn trong 1 thời gian nhất định, dưới đây là cách làm.

Chặn các các địa chỉ IP bất thường
Chặn các các địa chỉ IP bất thường
  • Hiệu quả của việc thực hiện
Hiệu quả của việc thực hiện
Hiệu quả của việc thực hiện

2.4. Thiết lập Security Bots

Tính năng Bot Management của Cloudflare là một công cụ mạnh mẽ giúp phân biệt và quản lý lưu lượng truy cập từ các bot có hại và bot có ích. Tính năng này sử dụng các thuật toán học máy tiên tiến để phân tích đặc điểm của lưu lượng truy cập và xác định xem nó có phải là người dùng thực hay bot. Dưới đây là hướng dẫn về cách sử dụng tính năng Bot Management trên Cloudflare:

Bước 1: Kích Hoạt Bot Management

  1. Đăng nhập vào Dashboard Cloudflare của bạn.
  2. Chọn tài khoản và website mà bạn muốn kích hoạt Bot Management.
  3. Trong Dashboard, tìm đến phần “Security” và chọn “Bots”.
  4. Nếu bạn chưa kích hoạt Bot Management, bạn sẽ thấy tùy chọn để kích hoạt nó. Lưu ý rằng tính năng này có thể yêu cầu một gói dịch vụ cao cấp.
Kích Hoạt Bot Management
Kích Hoạt Bot Management

Bước 2: Cấu Hình Bot Management

  1. Tùy chỉnh Cài đặt: Trong mục Bots, bạn có thể cấu hình các thiết lập để xác định cách Cloudflare xử lý lưu lượng bot. Bạn có thể chọn chặn, thách thức, hoặc cho phép các loại bot dựa trên đặc điểm nhận dạng của chúng.
  2. Xem và Phân tích Bot Score: Cloudflare cung cấp một điểm số (Bot Score) dựa trên khả năng một yêu cầu được tạo ra bởi bot. Bạn có thể sử dụng điểm số này để tạo các quy tắc cụ thể trong Firewall Rules.
  3. Tạo Firewall Rules Để Quản Lý Bot: Dựa trên Bot Score, bạn có thể tạo các luật trong phần Firewall để tinh chỉnh cách xử lý lưu lượng từ các bot khác nhau. Ví dụ, bạn có thể chặn hoặc thách thức các yêu cầu từ bot có điểm số thấp.
  4. Các tính năng bạn cần lưu ý:
  • Definitely automated: Tùy chọn này cho phép bạn chặn hoặc thực hiện hành động khác đối với lưu lượng được xác định chắc chắn là tự động – thường là do “bad bots”. Bạn có thể chọn để “Block” (Chặn) hoặc áp dụng các hành động khác như thách thức (Challenge) hoặc cho phép (Allow).
  • Verified bots: Đây là lựa chọn cho phép bạn đối xử với các bot đã được Cloudflare xác minh là tốt và hữu ích. Bạn có thể cho phép hoạt động của chúng bằng cách chọn “Allow” hoặc có thể chặn chúng nếu cần.
  • Static resource protection: Tính năng này khi được kích hoạt sẽ bảo vệ các tài nguyên tĩnh trên ứng dụng của bạn khỏi bot. Tuy nhiên, cần lưu ý rằng việc bảo vệ tài nguyên tĩnh cũng có thể dẫn đến việc chặn lưu lượng truy cập hợp lệ.
  • Optimize For WordPress: Nếu trang web của bạn sử dụng WordPress, bạn có thể kích hoạt tùy chọn này để tối ưu hóa cho các đặc tính của WordPress có thể xung đột với Super Bot Fight Mode. Điều này đảm bảo rằng các tính năng của WordPress vẫn hoạt động tốt ngay cả khi các biện pháp bảo vệ bot đang được áp dụng. Tuy nhiên, điều này yêu cầu phải cho phép các bot đã được xác minh.
  • JavaScript Detections: Tính năng này sử dụng các phát hiện JavaScript nhẹ và không hiển thị để cải thiện quản lý bot. Khi được kích hoạt, nó giúp Cloudflare phát hiện một cách chính xác hơn liệu có phải là lưu lượng từ bot hay không thông qua việc triển khai script.

Tất cả các tính năng này đều được thiết kế để cung cấp cho bạn khả năng kiểm soát tốt hơn đối với lưu lượng bot đến website của bạn, cho phép bạn tăng cường bảo mật và hiệu suất của trang web mà không làm ảnh hưởng đến trải nghiệm người dùng hợp lệ.

Cấu Hình Bot Management
Cấu Hình Bot Management

Lưu ý

  • Bot Management là một tính năng mạnh mẽ nhưng cũng phức tạp. Cần phải cân nhắc kỹ lưỡng khi cấu hình để tránh chặn lưu lượng truy cập hợp lệ hoặc làm ảnh hưởng đến hiệu suất của trang web.
  • Tính năng này có thể không có sẵn trên tất cả các gói dịch vụ của Cloudflare. Kiểm tra gói dịch vụ của bạn để đảm bảo rằng bạn có quyền truy cập vào Bot Management.

Trên đây chúng tôi đã mang đến khái quát bảo mật web sử dụng Cloudflare – Hy vọng là hữu ích đối với bạn, hẹn bạn ở các bài viết tiếp theo.

megadon

Leave a Reply