Cách chặn bot đánh cắp dữ liệu khỏi website

03/10/2021 - Vy Hoang Cong Nhut

Bot có thể là nguyên nhân trực tiếp hoặc gián tiếp phá hoại hoạt động online marketing của doanh nghiệp trên website. Vậy bot là gì và nó hoạt động như thế nào? Trong hướng dẫn này, MangoAds sẽ nói về bot và một số biện pháp ngăn chặn bot truy cập website để bảo vệ người dùng, tăng cường khả năng bảo mật và tốc độ tải web cho doanh nghiệp.

Giới thiệu về Bot

Bot là tập hợp các câu lệnh lập trình lặp đi lặp lại và xoay quanh dữ liệu, vì vậy nó luôn gắn liền với không gian mạng ảo mà ta thường tiếp xúc. Bot cũng được hiểu là trình thu thập thông tin hay spiders, crawler hoặc web bot.

Lợi ích và tác hại

Bot là thuật ngữ rút gọn của robot. Nhưng với trường hợp này, chúng không làm bằng vật liệu thông thường mà bot là các đoạn mã được lập trình và chạy liên tục trên dữ liệu của website hoặc nền tảng online khác.

Đặc tính của bot là trung lập, thậm chí giúp cho search engine dễ dàng index và xếp hạng các website trên trang kết quả search trả về. Nhưng nếu sử dụng bởi hacker, người có ý đồ xấu thì bot là mầm mống cần loại bỏ ngay.

Cách thức hoạt động?

Như đã nói, bot là các đoạn mã phần mềm lặp đi lặp lại một tác vụ và bất kỳ ai biết code có thể triển khai bot thực hiện một nhiệm vụ cụ thể. Tuy nhiên, bot ngày càng “thông minh” hơn với sự ra đời của AI và machine learning. Ví dụ các chatbot cho doanh nghiệp e-commerce có thể tự học cách tư vấn như con người, thậm chí mang đến trải nghiệm dịch vụ khách hàng tốt hơn.

Ví dụ về một chatbot thương mại điện tử trên ModCloth:

Chatbot phát triển hướng AI Hình 1: Chatbot phát triển hướng AI

Nhiệm vụ thông thường của Bot

Bot có thể hữu ích trong trường hợp lập chỉ mục index cho search engine hoặc cải thiện trải nghiệm khách hàng. Mặt khác, bot có thể độc hại và gây ra sự cố cho website như thu thập và đánh cắp dữ liệu (mật khẩu, thông tin nhận dạng và dữ liệu cá nhân), gây ra các cuộc tấn công mã độc vào website, laptop và các thiết bị khác nhằm gây hỗn loạn, thiệt hại cho doanh nghiệp.

Bot cũng hay dùng để tăng tương tác trực tuyến như tự động comment hàng loạt vào website, forum, thúc đẩy mua hàng, tăng mức phổ biến cho một hiện tượng nào đó để thu hút chú ý, tăng tương tác trên social media, v.v để “đánh lừa” các hệ thống. Đây đều là các nhiệm vụ thường thấy của bot trên nền tảng trực tuyến.

Cách phát hiện Bot trên website

Vậy khi nào cần chặn bot trên website và dấu hiệu để phát hiện bot? Cùng xem qua những lời khuyên dưới đây nhé.

Dấu hiệu nhận biết

Một số dấu hiệu cho thấy bot đã vào website và có thể chặn nó từ đây:

  • Bình luận dư thừa trong website
  • Bình luận không tự nhiên, không phải con người viết
  • Bình luận có nhiều link hoặc spam quá rõ ràng
  • Tỷ lệ thoát web cao quá mức hoặc đột ngột trên một web page cụ thể
  • Lượng đăng ký nhận bản tin/hình thức khác tăng đột biến
  • Email đăng ký dường như không phải do con người tạo
  • Đăng nhập từ các nguồn không xác định
  • Bất kỳ hành động khả nghi nào khác

Chặn bot ở đâu?

Đầu tiên bạn nên xác định xem con bot đó có gây hại cho website không để cân nhắc đầu tư thời gian, tài chính và trình chặn bot nếu cần. Bạn có thể tham khảo vài công cụ hỗ trợ chặn bot:

  • Google Analytics để điều tra lưu lượng truy cập trên website
  • Copyscape để kiểm tra xem content web có bị ăn cắp bản quyền không
  • Kiểm tra nhật ký máy chủ web (web server log) xem user đến từ nguồn nào

10 bước để chặn Bots truy cập website

Để chặn bot xâm nhập và gây hại cho website, bạn cần chủ động và chuẩn bị các phương pháp phòng ngừa trước trường hợp có thể có. Trước tiên, bạn cần tìm hiểu về kẻ thù tiềm tàng của mình, loại bỏ các vấn đề hiện tại đang làm hại website, sau đó là chuẩn bị cho các cuộc tấn công mã độc có thể có trong tương lai. Có thể thực hiện theo các bước sau:

1. Xác định độ thiệt hại

Nếu đã đọc đến đây, hẳn bạn đang lo lắng về bot và muốn biết thêm về cách chặn bot, để bắt đầu, bạn cần phân tích hiện trạng website: Website đang gặp vấn đề nghiệm trong với bot hay chỉ là vài chỉ số tăng trưởng thông thường? Hơn nữa, hãy xem xét yếu tố đã hoặc có thể có tác động đến hoạt động online marketing vì một số bot hoàn toàn trung lập chứ không có ý đồ xấu.

Ví dụ: Bạn nhận thấy có hoạt động bất thường như sự gia tăng tương tác đột biến vào khoảng thời gian không diễn ra bất cứ chiến dịch marketing nào. Đây có thể do bot gây ra.

Nếu sự gia tăng chỉ diễn ra trong thời gian ngắn và không phát sinh vấn đề nào thì có thể nó không nghiệm trọng. Mặt khác, nếu phát hiện web bị tấn công hoặc nhiễm virus và không còn hoạt động bình thường, bạn có thể thực hiện tiếp các bước dưới đây để nhanh chóng giải quyết các lỗ hổng và làm sạch website.

2. Bot đến từ nguồn nào

Khi nhận ra bot đang ảnh hưởng xấu đến website, bạn cần điều tra xem nó đến từ nguồn nào. Ví dụ trong Google Analytics, nhật ký truy cập web server, email đăng ký từ khách hàng hoặc dữ liệu khách truy cập website. Từ đó bạn có thể tìm ra một số điểm nghi vấn hoặc một chuỗi IP address bất thường.

3. Lập kế hoạch

Sau khi xác định vấn đề và nguồn cơn, bạn cần thực hiện các bước giải quyết vấn đề và chắp vá lỗ hổng trên hệ thống website để tránh xảy ra sự cố nữa. Nếu phát hiện bot trước khi nó tấn công website, bạn nên tìm kiếm những nơi dễ bị tấn công nhất và nên có thêm biện pháp gia cố website.

4. Luôn cập nhật

Website và các công cụ tiện ích, phần mềm CRM được cài đặt nên thường xuyên cập nhật mới nhất. Ví dụ: nếu sử dụng WordPress, các theme và plugin phải được update.

Vì bot có thể lợi dụng lỗ hổng của phiên bản cũ hơn để có quyền truy cập. Hơn nữa, các nền tảng luôn được cập nhật, sửa lỗi để mang lại trải nghiệm sử dụng tốt và an toàn nhất cho khách hàng với các tính năng bảo mật tăng cường và các tùy chọn trình chặn bot.

5. Công cụ CAPTCHA

Một cách để chặn bot tương tác với website (VD: đăng ký, trang liên hệ và mua hàng) là đảm bảo rằng chỉ con người mới có thể thực hiện những hành động đó.

CAPTCHA buộc người dùng thực hiện vài tác vụ để chứng minh họ là con người. Trừ khi một bot được lập trình có độ chính xác cao để đối phó Captcha, nếu không chúng sẽ không thể thực hiện hành động tiếp theo.

Đây là một ví dụ về CAPTCHA:

Chặn Bots đến trang web của bạn - Thêm công cụ CAPTCHA Hình 2: Chặn bot tương tác với website qua captcha

6. Kiểm tra API và các kết nối khác

Nếu website đã hoạt động được vài năm, việc tích hợp các API và nền tảng bổ sung khác là dễ hiểu. Nhưng việc kết nối và chia sẻ dữ liệu với API bên ngoài có thể là lỗ hổng bảo mật.

Tiến hành kiểm tra mọi API, plugin, kết nối hoặc tích hợp khác:

  • Xóa các cài đặt cũ không sử dụng
  • Update phiên bản mới nhất
  • Sử dụng các API chất lượng có biện pháp bảo mật

Bạn có thể liên hệ với bên cung cấp dịch vụ để tìm hiểu vấn đề bảo mật, an ninh,v.v.

7. Chặn các phiên bản trình duyệt cũ hơn

Đôi khi bot sẽ lợi dụng lổ hổng từ các phiên bản web browser cũ để truy cập website, bạn có thể khuyến khích người dùng sử dụng phiên bản duyệt web mới để truy cập website. TechRepublic cũng khuyến khích sử dụng phương pháp này vì hầu hết người dùng sẽ buộc phải cập nhật lên phiên bản trình duyệt mới hơn.

Tuy nhiên bạn sẽ cần truy cập và cập nhật tệp .htaccess của website, nên trừ khi bạn có kinh nghiệm về mã hóa, tốt nhất là để developer làm việc này.

8. Biện pháp tạm thời

Nếu gặp khó khăn khi kiểm soát bot, hãy tìm chuyên gia để tìm hiểu sâu hơn và ngăn chặn kịp thời. Nếu nhận thấy bot tiếp tục truy cập và gây hại website như nhận xét xúc phạm hoặc cố gắng truy cập trái phép, bạn có thể chặn địa chỉ IP đó truy cập trong tương lai.

Nếu bạn nhận thấy một bot cụ thể tiếp tục truy cập trang web của bạn và gây ra sự cố, chẳng hạn như nhận xét xúc phạm hoặc cố gắng truy cập trái phép, bạn có thể chặn địa chỉ IP đó truy cập vào trang web của bạn trong tương lai.

Nhiều web host như GoDaddy cung cấp thông tin chi tiết về biện pháp phòng ngừa bot. Tuy nhiên, đây chỉ là hành động chắp vá tạm thời để ngăn chặn cuộc tấn công, nhiều hacker hoặc trình khởi chạy bot độc hại có cách xâm nhập từ các địa chỉ IP khác nên giải pháp này có thể không tồn tại lâu dài.

Ngoài ra, Hubspot cũng nhắc nhở việc chặn địa chỉ IP nghĩa là chặn tất cả quyền truy cập của bất kỳ người nào hoặc bot nào từ địa chỉ IP đó, vì vậy hãy cân nhắc ưu và nhược điểm trước khi đưa ra quyết định.

9. Duy trì biện pháp lâu dài

Một dịch vụ chặn bot lâu dài trả phí sẽ mang lại chút yên tâm vì giải pháp được tích hợp trên website trực tiếp dưới sự giám sát của bạn. Các báo cáo so sánh khách truy cập với thông tin theo dõi và cảnh báo cho bạn về bất kỳ vấn đề nào, gợi ý vài dịch vụ:

  • DataDome
  • Cloudflare
  • Trình quản lý Radware Bot
  • ClickGUARD
  • Google ReCAPTCHA

10. Giám sát liên tục

Chặn bot không phải là vấn đề một sớm một chiều nên việc cần làm là tiếp tục theo dõi website và kịp thời phát hiện bất thường. Với những gợi ý chặn bot trên, bạn có thể tham khảo để tìm hiểu vấn đề tiềm tàng trên hệ thống website, tốt nhất là có lịch kiểm tra website định kỳ. Ngoài ra, các vi phạm từ công khai đến bí mật về dữ liệu cũng là mầm mống cho cuộc tấn công mạng quy mô lớn vào website, hãy theo dõi kỹ lưỡng để phát hiện các hành động của bot.

Kết luận

Khi AI trong marketing tiếp tục phát triển, những vấn đề về bot trong chiến lược online marketing sẽ ngày càng tăng. Bots có thể hữu ích trong công việc và hỗ trợ digital marketing strategy, nhưng cũng có thể độc hại và tấn công trang web bất cứ lúc nào. Cách tốt nhất để chặn bot là luôn cảnh giác và luôn giữ hệ thống website ở trạng thái tốt nhất

Đừng để các lỗ hổng như các plugin lỗi thời hoặc các cổng truy cập cũ là cơ hội tấn công của bot. Bạn có thể thuê ngoài một bên thứ ba nếu vấn đề hoặc rủi ro bắt đầu ngoài tầm kiểm soát của mình. Hy vọng những chia sẻ của MangoAds đã mang đến lời khuyên bổ ích về bot và giải pháp ngăn chặn cho website của doanh nghiệp!