Cách secure cho một forum VBB

Hôm qua có một người hỏi tôi về việc đảm bảo security cho một forum VBB. Dưới đây là trích thư tôi trả lời cho bạn ấy. Nếu bạn kỳ vọng sẽ có các trick, tip, or technique guide line như vẫn thường gặp thì rất tiếc là không phải. Đây chỉ là những quan điểm chung về việc làm security cho một forum VBB dựa trên kinh nghiệm và ý kiến chủ quan của tôi, được viết dưới dạng dễ hiểu nhất cho những người non-IT có thể hiểu. Hi vọng chúng giúp ích cho các bạn.


I - Bạn cần bảo vệ cái gì?
Về việc secure cho VBB forum thì nguyên lý nó thế này. Để secure cho một website nói chung, và forum VBB nói riêng bạn cần để ý tới 3 yếu tố cơ bản:
1. Bản thân ứng dụng website. Cụ thể ở đây là Vbulletin forum. Ở chỗ khác có thể là wordpress, joomla. Vbulletin là 1 sản phẩm thương mại lâu năm nên có khá ít lỗi. Bạn chỉ cần:
- Mua license của VBB (tầm 160$ - 180$ / năm). Và thường xuyên login vào admincp, để ý xem vbulletin có bản mới thì update ngay.

- Nếu bạn không muốn mua license thì hãy chịu khó tự crack, hoặc tìm bản null "sạch". Rủi ro ở đây là khi Vbulletin có lỗi thì bạn sẽ không fix sớm được do phải đợi người ta crack bản mới ... Năm vừa rồi VBB có ít nhất 2 lỗi nghiêm trọng.

- Tự hack mod hoặc check security cẩn thận các mod. Đa số forum bị lỗi là do dùng mod có lỗi.

- Có một số thủ thuật như ẩn version, giả admincp, thay đổi cấu trúc vbb, cài webapp nhưng không cơ bản và không phù hợp với bạn lắm.

2. Server, máy chủ, database:

Cần secure cho máy chủ:
- Không dùng share-hosting (~95% forum bị hack thông qua local attack trên share hosting). Nếu chưa đủ tiền xài server riêng ( tầm 2,5 - 3 triệu /tháng) bạn có thể sử dụng VPS (tầm 500k - 1,5 triệu/ tháng)
- Phân quyền máy chủ, chặt chẽ, principle of least privilege

Để ý đền phần quyền cho user của database để tránh bị nâng quyền khi bị tấn công.

3. Người dùng:
Có 02 loại người dùng là end-user (khách hàng), và admin. Ở trong trường hợp này thì chủ yếu cần quan tâm tới secure cho admin.
Có rất nhiều việc cần làm nhưng mình xin gạch vài ý:
+ Cài Anti Virus
+ Tránh phishing từ mail.
..

II - Cái đó chịu rủi ro gì?

Đấy là các tài nguyên cần bảo vệ. Còn về rủi ro thì có nhiều, nhưng các rủi ro sau là cơ bản, mà 1 hệ thống forum thường gặp phải đó là:

- Bị hack. Thường nhất là qua local attack (90-95%), tiếp đến là lỗi mod vbb, sau đó là lỗi VBB mới chưa được cập nhật.
Thứ đến là admin bị lừa đảo, có thể là chiếm session hoặc lừa đảo chiếm mail. Và admin bị keyloger.

- Bị DDoS. Gần như forum nào có rank alexa < 500k cũng đã từng bị DDoS ít hay nhiều. Giải pháp: nâng cấp server, tối thiểu là VPS. Có config firewall chống ddos. Admin nên hòa nhã, tránh xung đột ^^!

III - Vậy nên làm gì?

1. Bạn quan tâm tới security là điều rất đáng quý. Nhưng cái khó nhất của security đó là security nó gắn liền với business. Vì thế việc đầu tiên là bạn phải hiểu muốn làm security thì phải tốn kém. Vì thế bạn phải cân đối giữa business và security để đầu tư cho hợp lý.

2. Chịu khó học hành, đọc báo, tìm hiểu sơ bộ về security. Bạn là admin, bảo vệ chính bạn là bảo vệ cho site của bạn :D

3. Thường xuyên backup hệ thống.

4. Thường xuyên tìm hiểu xem có bản VBB mới ko thì update lên. Hoặc là chọn 1 bản thật ổn định, và ko bao giờ update nhưng phải theo dõi tin tức security xem có lỗi vbb mới ko thì tự vá.

IV - Lộ trình

1. Đầu tư $ để chuyển qua VPS. Cần tư vấn VPS thì hỏi mình :D, nói chung là tiền nào của nấy thôi :)) . Qua cái này là giảm đc > 90% rủi ro rồi
2. Mua license VBB
3. Thuê, nhờ người chuyên nghiệp audit hoặc viết các mod cho forum.
4.  Thuê, nhờ người quản trị chuyên nghiệp cho forum:
+ Config server, user, database, fpt ... chỉnh sử, hardening vbb ..
+ Monitor log, phát hiện tấn công, xử lý sự cố
+ Update, backup ...


Enjoy!