Tự kiểm tra bảo mật website: 10 bước không cần kỹ sư bảo mật

Kiểm tra bảo mật website nghe có vẻ là công việc của chuyên gia bảo mật với mức lương 50-100 triệu/tháng. Nhưng thực tế, 80% lỗ hổng bảo mật phổ biến có thể được phát hiện bằng 10 bước kiểm tra đơn giản — không cần kỹ năng lập trình, không cần tool đắt tiền. Bài viết này hướng dẫn chủ doanh nghiệp và quản lý website tự kiểm tra bảo mật, kèm công cụ miễn phí và checklist có thể tải về.

Tại sao phải kiểm tra bảo mật website?

Thống kê đáng lo ngại tại Việt Nam

• Hơn 12,000 website Việt Nam bị hack năm 2025 (VNCERT)
• 70% website SME có ít nhất 1 lỗ hổng nghiêm trọng mà chủ sở hữu không biết
• Chi phí khắc phục website bị hack: 5-500 triệu VND
• Thời gian phục hồi: 1-4 tuần, trong đó website ngừng hoạt động

Kiểm tra bảo mật nên thực hiện khi nào?

Lead Magnet: Tải miễn phí Security Audit Checklist cho SME — checklist 50 mục bảo mật cho website, email và server.

Bước 1: Kiểm tra SSL/HTTPS (5 phút)

Tại sao quan trọng?

SSL mã hóa dữ liệu giữa browser và server. Không có SSL → thông tin đăng nhập, thẻ tín dụng gửi bằng plain text — bất kỳ ai trên cùng mạng WiFi có thể đọc được.

Cách kiểm tra

1. Truy cập website → nhìn thanh address bar → phải có biểu tượng khóa
2. URL phải bắt đầu bằng https:// không phải http://
3. Click vào biểu tượng khóa → xem certificate details → kiểm tra ngày hết hạn

Công cụ miễn phí

• SSL Labs: https://www.ssllabs.com/ssltest/ → Nhập domain → Xem điểm A đến F
• Why No Padlock: https://www.whynopadlock.com → Tìm mixed content

Đánh giá

Bước 2: Scan malware và blacklist (10 phút)

Cách thực hiện

Sử dụng các công cụ scan miễn phí:

1. Sucuri SiteCheck: https://sitecheck.sucuri.net → Scan malware, blacklist, lỗi
2. Google Safe Browsing: https://transparencyreport.google.com/safe-browsing → Kiểm tra domain
3. VirusTotal: https://www.virustotal.com → Scan URL bằng 70+ engines
4. MXToolbox: https://mxtoolbox.com/blacklists.aspx → Kiểm tra email blacklist

Cần chú ý gì?

Bước 3: Kiểm tra phiên bản CMS và plugins (10 phút)

Tại sao quan trọng?

80% website bị hack qua lỗ hổng trong CMS hoặc plugin cũ. Mỗi bản update thường vá lỗ hổng bảo mật.

Kiểm tra WordPress

1. Đăng nhập admin → Dashboard → Updates → Xem phiên bản WordPress hiện tại
2. Plugins → Installed Plugins → Xem có plugin nào cần update
3. Themes → Xem theme có update không
4. Xóa plugin/theme không dùng (đừng chỉ deactivate — xóa hẳn)

Kiểm tra CMS khác

• Joomla: Extensions → Manage → Update
• Drupal: Reports → Available updates
• Custom CMS: Kiểm tra framework version (Laravel, Express, Django)

Bảng rủi ro theo phiên bản

Bước 4: Kiểm tra mật khẩu và quyền truy cập (15 phút)

Checklist mật khẩu

• Admin password ít nhất 12 ký tự, bao gồm chữ hoa, chữ thường, số, ký tự đặc biệt
• Không dùng: tên công ty, admin123, 12345678, password
• Mỗi người dùng tài khoản riêng (không share 1 tài khoản admin)
• 2FA (xác thực 2 bước) đã bật cho tất cả admin
• Tài khoản nhân viên đã nghỉ việc đã bị vô hiệu hóa

Kiểm tra quyền truy cập

Công cụ kiểm tra mật khẩu bị lộ

• Have I Been Pwned: https://haveibeenpwned.com → Kiểm tra email/password đã bị lộ trong data breach
• Firefox Monitor: https://monitor.firefox.com → Tương tự

Bước 5: Kiểm tra backup (10 phút)

Tiêu chuẩn backup 3-2-1

• 3 bản sao dữ liệu
• 2 loại media khác nhau (cloud + local)
• 1 bản offsite (khác vị trí vật lý)

Checklist backup

• Backup tự động chạy hàng ngày
• Backup bao gồm: files + database + email
• Backup được lưu ở nơi khác server chính
• Đã test restore thành công trong 30 ngày gần nhất
• Retention policy: giữ ít nhất 30 ngày backup

Bảng đánh giá backup

Bước 6: Kiểm tra form và input validation (15 phút)

Tại sao quan trọng?

SQL Injection và XSS (Cross-Site Scripting) là 2 lỗ hổng phổ biến nhất — cả hai khai thác qua form input.

Cách kiểm tra đơn giản (không cần kỹ năng code)

Test SQL Injection: Thử nhập vào các ô form (search, login, contact):

' OR '1'='1

Nếu website trả về lỗi database hoặc hiển thị bất thường → có lỗ hổng SQL Injection.

Test XSS: Thử nhập vào form:

<script>alert('test')</script>

Nếu xuất hiện popup “test” → có lỗ hổng XSS.

Test file upload: Nếu website cho upload file → thử upload file .php hoặc .exe. Nếu upload thành công → lỗ hổng nghiêm trọng.

Công cụ scan miễn phí

• OWASP ZAP: https://www.zaproxy.org → Scan toàn diện (cần cài đặt)
• Nikto: Web server scanner miễn phí
• WPScan: https://wpscan.com → Scan WordPress miễn phí

Bước 7: Kiểm tra HTTP Security Headers (5 phút)

Cách kiểm tra

Truy cập https://securityheaders.com → Nhập domain → Xem điểm.

Headers quan trọng

Đánh giá

Bước 8: Kiểm tra admin panel exposure (5 phút)

Vấn đề

Nhiều website để admin panel ở URL mặc định dễ đoán:

• /admin
• /wp-admin
• /administrator
• /login

Hacker dùng bot quét hàng nghìn website tìm admin panel → brute force password.

Cách kiểm tra và bảo vệ

1. Thử truy cập: Mở incognito browser → vào yourdomain.com/wp-admin → có hiện login page?
2. Nếu hiện login page: Cần bảo vệ thêm:
   • Thay đổi URL admin (plugin WPS Hide Login cho WordPress)
   • Limit login attempts (plugin Limit Login Attempts Reloaded)
   • IP whitelist cho admin page
   • CAPTCHA cho login form
3. Kiểm tra phpMyAdmin: Thử yourdomain.com/phpmyadmin → nếu hiện = RẤT NGUY HIỂM

Bước 9: Kiểm tra email security (10 phút)

DNS records cần kiểm tra

Truy cập https://mxtoolbox.com → nhập domain:

Kiểm tra nhanh

1. SPF: mxtoolbox.com → SPF Record Lookup → Nhập domain
2. DKIM: mxtoolbox.com → DKIM Lookup → Nhập domain + selector
3. DMARC: mxtoolbox.com → DMARC Lookup → Nhập domain

Đánh giá

Bước 10: Tổng hợp và đánh giá (15 phút)

Bảng chấm điểm tổng

Phân loại kết quả

Sau khi kiểm tra — Làm gì tiếp?

Ưu tiên fix theo mức độ nghiêm trọng

1. Ngay lập tức (hôm nay): Malware, mật khẩu yếu, không backup, admin panel exposed
2. Trong tuần: SSL, CMS update, email security
3. Trong tháng: Security headers, input validation hardening
4. Hàng quý: Toàn bộ 10 bước kiểm tra lại

Khi nào cần thuê chuyên gia?

• Website chứa dữ liệu nhạy cảm (khách hàng, thanh toán)
• Scan phát hiện malware nhưng không biết clean
• Kết quả kiểm tra < 4/10 Pass
• Website là kênh kinh doanh chính (e-commerce, SaaS)
• Có yêu cầu compliance (PCI DSS, ISO 27001)

Trinh Digital Security Services

Tại Trinh Digital, chúng tôi cung cấp:

1. Security Audit Express — Kiểm tra 50+ mục bảo mật, báo cáo chi tiết, từ 10 triệu VND
2. Penetration Testing — Ethical hacking tìm lỗ hổng trước hacker, từ 30 triệu VND
3. Security Hardening — Gia cố bảo mật toàn diện, từ 15 triệu VND
4. Managed Security — Giám sát 24/7, phản ứng sự cố, từ 5 triệu/tháng

FAQ — Câu hỏi thường gặp

1. Kiểm tra bảo mật có làm ảnh hưởng đến website không?

Không. 10 bước trong bài viết này chỉ là kiểm tra thụ động — đọc thông tin, scan từ bên ngoài. Không thay đổi gì trên website. An toàn để thực hiện bất kỳ lúc nào.

2. Tôi không biết gì về kỹ thuật, có tự kiểm tra được không?

Được. 8/10 bước chỉ cần truy cập website và nhập domain vào các công cụ miễn phí. Bước 6 (input validation) cần thử nhập text vào form — vẫn đơn giản. Chỉ cần 60-90 phút cho toàn bộ.

3. Nên kiểm tra bao lâu 1 lần?

Tối thiểu mỗi quý (3 tháng/lần). Hàng tháng nếu website là kênh kinh doanh chính. Ngay lập tức sau mỗi lần update lớn hoặc phát hiện dấu hiệu bất thường.

4. Chi phí thuê kiểm tra bảo mật chuyên nghiệp?

Security audit cơ bản: 10-30 triệu VND. Penetration testing: 30-100 triệu VND. Compliance audit (PCI DSS, ISO): 50-200 triệu VND. Đầu tư nhỏ so với thiệt hại khi bị hack.

5. Website mới launch có cần kiểm tra ngay không?

Chắc chắn có. Nhiều website mới launch với cấu hình mặc định (default admin password, debug mode on, unnecessary ports open). Kiểm tra ngay sau launch là thời điểm quan trọng nhất.

Muốn kiểm tra bảo mật chuyên sâu hơn? Liên hệ Trinh Digital để nhận Security Audit Checklist miễn phí và đặt lịch security assessment.