Plesk 12.5 hay Plesk Onyx 17.8 hiện tại là một trong những Web Host Controller phổ biến. Bảo mật cho Web Hosting Server rất quan trọng. Bảo mật giúp phòng chống bị hacker tấn công chiếm quyền điều khiển cả Server. Bảo mật sẽ hạn chế thiệt hại cho cả người thuê host và cả bên quản lý dịch vụ hosting.
Trong bài này tôi sẽ hướng dẫn các bạn cấu hình nâng cao bảo mật cho Server Plesk phòng chống việc Hacker tấn công server Plesk.
Nội dung bài viết
Phần 1: Cài đặt các extention bảo mật
Các phần mở rộng hỗ trợ bảo mật rất tốt như: Firewall, Security Advisor, VPN, Packman, Virus total check, SSH Key manager, WordPress toolkit, Let’s Enscrypt, Revisium Antivirus for Website, Google Authentication… Ngoài ra bạn nên cài Fail2ban và ModSecurity 2 module này hỗ trợ bảo mật rất tốt.
Phần 2: Cách triển khai cấu hình các extention và module
Cấu hình Firewall
Firewall bạn cấu hình đổi cổng SSH từ 22 thành cổng khác, ví dụ 2233. Cái này rất quan trọng, các trình scan lỗ hổng bảo mật sử dụng cổng mặc định để quét. Đa phần họ hiểu các server khi đã đổi cổng là đã được tăng cường bảo mật nên rất khó hack.
Cấu hình chặn tất cả các port ko dùng, vd: 3306 Mysql ko public ra ngoài internet, chỉ sử dụng localhost nội bộ thì ko cần mở.
Cấu hình chỉ 1 số IP được phép ssh vào server, dùng Firewall để đổi cổng của các service.
90% các cuộc tấn công là dò pass SSH, nên tôi khuyên các bạn hãy đổi cổng 22 ngay lập tức trước khi quá muộn.
Cấu hình SSH
Vào trong SSH bạn cấu hình disable root user, không cho ssh trực tiếp vào user root. Tạo 1 user mới của bạn và login qua user này rồi su – sang root. Ngoài ra có các cách khác như sử dụng ssh keys để login.
Cấu hình Security Advisor
Kiểm tra điểm Secure hiện tại và cài đặt các module được gợi ý
Cấu hình VPN
Việc này hơi phức tạp, tôi sẽ hướng dẫn trong các bài viết sau
Sử dụng phương thức bảo mật 2 lớp
Dùng Google Authentication để tăng cường bảo mật cho trang admin plesk cũng là để bảo mật cho server Plesk. Chú ý khi thời gian trên server bị lệch quá nhiều với thực tế thì cần phải đồng bộ lại thời gian hoặc vào trong dòng lệnh command line để gỡ google authen đi. Nếu là VPS thì yêu cầu bên cung cấp đồng bộ lại time. Còn nếu là server thật thì sử dụng NTP đồng bộ thời gian tự động.
Sử dụng WordPress toolkit kiểm tra website WP nào kém bảo mật để xử lý
WP Toolkit cung cấp giải pháp cho bạn kiểm tra và fix các lỗi bảo mật cơ bản của website WordPress. Hãy tận dùng điều này để tăng cường bảo mật cho khách hàng của bạn nhé.
Luôn update server thường xuyên
Nên để update Plesk tự động và thường xuyên kiểm tra update cả server. Kiểm tra các bản cài đặt lỗi thời với patchman hoặc có thể sử dụng yum update với server Centos.
Các server tuy đã chặn hoặc đổi các port thông thường nhưng vẫn tiềm ẩn rủi ro và bug. Do đó, cần update các bản vá cho ứng dụng và os để nâng cao độ bảo mật của cả server. Chú ý các server không sử dụng firewall sẽ rất dễ bị hack bằng các tool explore lỗ hổng bảo mật.
KernelCare rất tốt để chăm sóc kernel của bạn nhưng đây là sản phẩm trả phí. Nếu có điều kiện hãy dùng để tránh gặp những lỗi như tự dưng server down không rõ nguyên nhân.
Cài đặt SSH cho tất cả các website bằng Let’s Enscrypt. Đây là một dịch vụ hoàn toàn free rất hữu ích cho website.
Bật tất cả các jail trong Fail2ban
Chắc chắn Fail2ban của bạn đã active. Điều này giúp bạn hạn chế được các cuộc tấn công Brute Force (một hình thức dò pass tự động) và scanner. Chú ý mới mod_security thì hãy để chế độ detect only để test kiểm tra các website của bạn có hoạt động tốt ko nhé. Đây là module không thể thiếu để nâng cao bảo mật cho server plesk các bạn nhé.
Nhớ enable Enable HTTP/2
Điều này không những giúp website load nhanh hơn mà còn bảo mật hơn.
Trên đây tôi đã hướng dẫn bạn một số cách nâng cao bảo mật cho server Plesk và vps plesk. Hy vọng sẽ giúp ích cho các bạn. Nếu thấy hay, vui lòng đăng ký kênh để đón nhận các bài viết hay nữa.