Local Attack là gì? Nguyên nhân và giải pháp bảo vệ website

Trong thời gian qua, số lượng các cuộc tấn công trên mạng Internet ngày càng gia tăng, trong đó nhiều vụ việc liên quan đến vấn đề bảo mật gây thiệt hại lớn đến nhiều doanh nghiệp trong và ngoài nước. Việc làm thế nào để ngăn chặn triệt để những cuộc tấn công này đã trở thành bài toán học búa, khiến nhiều chuyên gia và nhà nghiên cứu trăn trở. Hacker thường xuyên tìm kiếm những “lỗ hủng” trong hệ thống bảo mật để xâm nhập, đánh cắp thông tin, hoặc gây thiệt hại nghiêm trọng.

Trong đó, một trong những lý do khiến hacker dễ thực hiện được các cuộc tấn công này là do 80% người dùng vẫn chưa biết cách bảo mật hệ thống hiệu quả. Trong số các hình thức tấn công phổ biến nhất hiện nay, Local Attack là một ví dụ điển hình. Vậy Local Attack là gì? Tại sao chúng lại nguy hiểm và cách phòng chống như thế nào? Hãy cùng HTH Digi tìm hiểu chi tiết qua bài viết này.

Local Attack là gì?

Local Attack là hình thức tấn công phổ biến đối với các website được lưu trữ trên cùng một server. Hacker thường sử dụng các đoạn mã khai thác viết bằng ngôn ngữ lập trình như PHP, ASP.Net, hoặc Python. Những đoạn mã này được gọi là Shell, cho phép hacker xâm nhập vào các tài khoản hosting cùng server để thực hiện các hành vi nguy hiểm.

Nguy cơ tăng cao khi website có hosting chia sẻ với nhiều trang khác. Nếu một trong số các website bị tấn công, những trang web còn lại trên cùng server đều có nguy cơ gọp chung số phận.

Các hình thức tấn công Local Attack phổ biến

1. Tìm lỗi lỗ trong server

Hacker thường bắt đầu bằng việc thu thập thông tin từ domain và IP hosting. Họ dựa vào ngôn ngữ lập trình hoặc plugin mà trang web sử dụng để tìm lỗi khai thác như SQL Injection, XSS hay các lỗi bảo mật khác. Khi xác định được mục tiêu, họ sẽ dễ dàng tấn công và chiếm quyền truy cập.

2. Reverse IP Hosting

Nếu trang web không bị lỗi, hacker sẽ sử dụng kỹ thuật Reverse IP để quét tìm các trang web cùng server. Khi tìm thấy “website hàng xóm” có lỗi, họ sẽ tấn công trang web đó, upload Shell và đánh chiếm quyền admin.

3. Brute Force

Brute Force là hình thức đoán mật khẩu bằng cách thử nhiều tổ hợp khác nhau. Đối với những website dùng mật khẩu yếu như “123456” hoặc “admin”, hacker dễ dàng xâm nhập và upload Shell.

Các biện pháp phòng chống Local Attack

1. Bảo mật hosting

  • KHÔNG sử dụng mã nguồn không rõ ngồc gốc.
  • Liên tục cập nhật phiên bản mới.
  • Sử dụng mật khẩu phức tạp: ký tự hoa, số và ký tự đặc biệt.
  • KHÔNG tái sử dụng một mật khẩu cho nhiều tài khoản.

2. Sử dụng VPS thay vì hosting chia sẻ

Sử dụng VPS giúp loại bỏ nguy cơ tấn công qua Local Attack.

3. Back-up và quét mã độc

Thường xuyên sao lưu dữ liệu và kiểm tra mã nguồn để phát hiện Shell hoặc mã độc.

4. Bảo mật CentOS

  • Vô hiệu hóa các hàm nguy hiểm trong file /etc/php.ini: SYSTEM, SHELL_EXEC, EXEC…
  • Bật Safe Mode: SAFE_MODE=ON.

5. Tối ưu WordPress

  • Đổi database prefix, security key, và CHMOD file wp-config.php.
  • Chặn truy cập bất hợp pháp vào wp-admin bằng IP.
  • Sử dụng plugin quét mã độc: Wordfence Scan, Sucuri Premium.

Một số cách để hạn chế Local Attack trong WordPress

Ẩn tệp wp-config.php

Thông thường, các tệp của website sẽ nằm trong thư mục public_html với đường dẫn mặc định là /home/username/public_html/wp-config.php. Để ẩn tệp cấu hình wp-config.php một cách an toàn, bạn cần thực hiện như sau:

  1. Đưa tệp wp-config.php ra khỏi thư mục public_html.
  2. Đăng nhập vào máy chủ thông qua FTP và tạo một thư mục mới ngang hàng với public_html. Ví dụ: tạo thư mục tên leti.
  3. Tải tệp wp-config.php từ thư mục public_html về máy tính và sau đó tải lên thư mục mới tạo.
  4. Sửa tệp wp-config.php trong thư mục public_html thành nội dung sau:
<?php
if (!defined('ABSPATH'))
    define('ABSPATH', dirname(__FILE__) . '/');
require_once(ABSPATH . '../leti/wp-config.php');

Thay “leti” bằng tên của thư mục bạn vừa tạo.

Lưu ý: Cách này chỉ áp dụng cho các website có tệp cài đặt nằm trong thư mục public_html. Đối với các cấu trúc thư mục khác, cách này có thể không hoạt động.

Thay đổi tiền tố cơ sở dữ liệu

Theo mặc định, tiền tố cơ sở dữ liệu (database prefix) của WordPress là wp_. Điều này giúp hacker dễ dàng đoán được tên bảng cơ sở dữ liệu của bạn. Để tăng cường bảo mật, bạn nên thay đổi tiền tố này khi cài đặt hoặc chỉnh sửa trong tệp wp-config.php và cơ sở dữ liệu.

Đổi khóa bảo mật

Các khóa bảo mật (security keys) giúp mã hóa thông tin nhạy cảm trong WordPress. Để thay đổi khóa bảo mật:

  1. Mở tệp wp-config.php và tìm các dòng sau:
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');
  1. Truy cập trang WordPress Secret Key Generator để lấy khóa mới.
  2. Thay toàn bộ đoạn mã trên bằng mã khóa được cung cấp.

Cấm sửa đổi tệp (plugins, theme) trong wp-admin

Để ngăn chặn việc chỉnh sửa trực tiếp plugin hoặc theme từ bảng điều khiển WordPress, thêm dòng sau vào cuối tệp wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Cấm cài đặt plugin và theme

Nếu bạn muốn ngăn người dùng cài đặt plugin và theme, hãy thêm đoạn mã sau vào tệp wp-config.php:

define('DISALLOW_FILE_MODS', true);

Chmod tệp wp-config.php

Đặt quyền truy cập cho tệp wp-config.php thành 400 hoặc 404 để chỉ cho phép chủ sở hữu đọc tệp. Điều này giúp tăng cường bảo mật.

Bảo mật wp-config.php với .htaccess

Thêm đoạn mã sau vào cuối tệp .htaccess để ngăn chặn truy cập trái phép:

# protect wpconfig.php
<files wp-config.php>
    order allow,deny
    deny from all
</files>

Bảo vệ thư mục wp-content

Tạo tệp .htaccess trong thư mục wp-content và thêm mã sau:

Order deny,allow
Deny from all
<Files ~ "\.(xml|css|jpe?g|png|gif|js)$">
    Allow from all
</Files>

Lưu ý: Nếu thư mục wp-content chứa các tệp mở rộng khác, bạn cần thêm định dạng của chúng vào danh sách trên (ví dụ: .woff).

Khóa truy cập wp-admin

Thư mục wp-admin và tệp wp-login.php là mục tiêu tiêu tấn công. Để hạn chế truy cập:

  1. Tạo một tệp .htaccess trong thư mục wp-admin.
  2. Thêm mã sau:
<FilesMatch ".*">
    Order Deny,Allow
    Deny from all
    Allow from 123.456.789
</FilesMatch>

Thay 123.456.789 bằng địa chỉ IP của bạn.

Sử dụng plugin quét mã độc

Những plugin quét mã độc hữu ích bao gồm:

  • Wordfence Scan
  • Anti-Malware (Get Off Malicious Scripts)
  • 6Scan Security

Nếu bạn có điều kiện, hãy sử dụng Sucuri Premium.

Dịch vụ tối ưu website tại HTH DIGI

HTH DIGI cung cấp gói dịch vụ tối ưu và nâng cấp website theo yêu cầu, giúp bạn:

  • Thiết kế chuẩn đến từng pixel.
  • Lập trình các tính năng thu hút người dùng.
  • Tối ưu tốc độ và bảo mật.
  • Đáp ứng hoàn hảo các tiêu chí SEO.

Kết luận

Những biện pháp nêu trên giúp bạn bảo vệ website hiệu quả trước Local Attack. Hy vọng kiến thức này sẽ mang đến nhiều thông tin hữu ích. Chúc bạn thành công!

 

Bài Viết Nổi Bật

HTH DIGI: Viết tắt của từ Happy To Happy hỗ trợ khách hàng là niềm vui của chúng tôi, “Bạn có ý tưởng? đừng làm gì cả chúng tôi làm mọi thứ cho bạn”

Địa chỉ

  • Địa chỉ: 7 Đ. Hoàng Diệu 2, Phường Linh Trung, Thủ Đức, Thành phố Hồ Chí Minh
  • Điện thoại: 0945 297 311
  • Mail: hthdigi@gmail.com

Liên hệ

Để chúng tôi thực hiện ý tưởng của bạn

    Thiết kế bởi HTH DIGI

    .
    .
    .
    .