Những lỗi bảo mật phổ biến của người mới

Khi mới làm web, chúng ta thường tập trung vào việc "làm cho nó chạy" mà quên mất "làm cho nó an toàn". Dưới đây là các sơ hở chết người mà hacker dễ khai thác nhất.

1. Đặt mật khẩu quá yếu

Lỗi kinh điển nhất: admin/admin, admin/123456, 123456...
Hậu quả: Hacker dùng tool dò (Brute Force) mất chưa đến 1 phút là tìm ra mật khẩu admin của bạn.

2. Để nguyên file cài đặt hoặc file nén code trên host

Sau khi upload và giải nén xong, nhiều bạn quên xóa file source_code.zip hoặc thư mục /install.
Hậu quả: Hacker tải file zip về -> có toàn bộ code. Hoặc chạy lại quy trình cài đặt -> ghi đè lên website hiện tại.

3. Không cập nhật phiên bản CMS/Plugin

Dùng WordPress nhưng lười update plugin, theme.
Hậu quả: Các lỗ hổng đã được công bố sẽ bị hacker dùng tool quét tự động để chiếm quyền.

4. SQL Injection (Khi tự code PHP)

Nhận dữ liệu từ người dùng (ví dụ $_GET['id']) và ghép trực tiếp vào câu lệnh SQL mà không qua kiểm duyệt.
Khắc phục: Luôn dùng Prepared Statements (PDO) như trong mã nguồn mẫu libs/cmxqlib.php của chúng ta đã làm.

5. Hiển thị full lỗi ra màn hình

Để chế độ Developer Mode (hiển thị chi tiết lỗi) trên môi trường chạy thật (Production).
Hậu quả: Lộ đường dẫn file, cấu trúc database, tên user database... hacker dựa vào đó để tấn công tiếp.