Kiểm tra bảo mật website
Xác minh quyền sở hữu website (mở khóa kiểm tra chủ động)
Đăng nhập để lấy mã xác minh và thực hiện kiểm tra chủ động trên website bạn sở hữu.
Website Security Test là một công cụ trực tuyến miễn phí giúp kiểm tra bảo mật cho bất kỳ trang web nào chỉ trong vài giây. Công cụ này kiểm tra cấu hình HTTPS và TLS, tiêu đề bảo mật HTTP, thuộc tính cookie cũng như các tập tin nhạy cảm bị lộ. Nó cũng phát hiện việc tiết lộ phiên bản phần mềm. Ở chế độ nâng cao, công cụ còn phát hiện các trang con riêng tư hoặc nhạy cảm đã được Google lập chỉ mục. Bạn sẽ nhận được điểm bảo mật rõ ràng, xếp hạng chữ cái và danh sách các đề xuất sửa lỗi có trật tự.
Website Security Test là gì?
Kiểm tra bảo mật nhanh từ góc nhìn của kẻ tấn công
Công cụ này kiểm tra trang web của bạn từ bên ngoài, giống như một trình quét tự động hoặc một hacker thực hiện. Nó chỉ sử dụng các truy vấn an toàn dạng chỉ đọc. Không đăng nhập, không thay đổi dữ liệu và không cố gắng tấn công.
Sau vài giây, bạn sẽ biết các bảo mật nào đã được cấu hình, những gì còn thiếu và những gì bị cấu hình sai. Mỗi kết quả được phân loại rõ ràng và sắp xếp theo mức độ quan trọng, giúp bạn ưu tiên chữa những sự cố nghiêm trọng nhất trước.
Điều này biến công cụ trở thành giải pháp lý tưởng cho việc kiểm tra nhanh trước khi công khai, kiểm toán định kỳ mỗi tháng hoặc đánh giá nhanh trang web vừa tiếp quản.
Công cụ kiểm tra những gì
Quét sẽ bao gồm sáu khu vực: kết nối được mã hóa và chứng chỉ, tiêu đề bảo mật trình duyệt và thuộc tính cookie. Ngoài ra còn quét các tập tin bị lộ và liệt kê thư mục, rò rỉ thông tin phần mềm và mức độ hiển thị trên công cụ tìm kiếm.
Mỗi kiểm tra đưa ra một trong bốn trạng thái: nghiêm trọng, cảnh báo, thông tin hoặc đạt. Mỗi mục có kèm bằng chứng và giải pháp đề xuất.
Tại sao bảo mật lại ảnh hưởng đến SEO
Công cụ tìm kiếm ưu tiên những trang sử dụng HTTPS. Bản sao thử nghiệm bị rò rỉ hoặc bảng quản trị bị lập chỉ mục có thể làm giảm thứ hạng và rò rỉ dữ liệu. Trang web an toàn, cấu hình đúng giúp bảo vệ cả khách truy cập lẫn khả năng hiển thị tự nhiên của bạn.
Khắc phục các vấn đề báo cáo sẽ cải thiện tín hiệu tin tưởng và giảm nội dung nhạy cảm trong chỉ mục tìm kiếm. Ngoài ra còn xóa bỏ cảnh báo từ trình duyệt gây cản trở khách truy cập.
Lợi ích khi sử dụng Website Security Test
- Nhận một kết quả bảo mật tổng thể và xếp hạng từ A+ đến F cho bất kỳ URL nào.
- Xem các tiêu đề bảo mật còn thiếu hoặc yếu (CSP, HSTS, X-Content-Type-Options, v.v.) với giải thích bằng ngôn ngữ đơn giản.
- Phát hiện các file .env, .git, backup và bản dump SQL bị lộ trước khi người khác làm điều đó.
- Nhận diện thư mục mở hoặc tiêu đề máy chủ quá chi tiết, giúp kẻ tấn công khai thác.
- Kiểm tra tính hợp lệ của chứng chỉ TLS, ngày hết hạn và các giao thức cũ còn kích hoạt hay không.
- Ở chế độ nâng cao, quét Google để tìm nội dung nhạy cảm vốn không nên được lập chỉ mục.
- Nhận các bản vá rõ ràng, sẵn sàng áp dụng cho từng vấn đề - không cần biết thuật ngữ bảo mật.
Những tính năng nổi bật
- Hơn hai mươi kiểm tra riêng biệt trong sáu hạng mục bảo mật.
- Chấm điểm dựa trên mức độ nghiêm trọng, để bạn luôn biết ưu tiên xử lý.
- Phát hiện chuyển hướng sang HTTPS, tiêu đề HSTS và nội dung hỗn hợp.
- Đánh giá toàn diện các tiêu đề bảo mật tuân thủ chuẩn OWASP hiện tại.
- Kiểm tra thuộc tính cookie Secure, HttpOnly và SameSite.
- Thăm dò các file lộ ra ngoài và liệt kê thư mục chỉ bằng các truy vấn an toàn.
- Tùy chọn quét mức độ phơi bày trên Google và proxy cao cấp dành cho tài khoản trả phí.
- Hướng dẫn khắc phục cho từng kiểm tra, sẵn sàng chuyển cho lập trình viên.
- Xác thực email và gia cố DNS: bản ghi SPF, DMARC, CAA cùng tổng quan chính sách CORS.
- DNSSEC, Subresource Integrity cho script ngoài và phát hiện scraping/WAF.
- Kiểm tra tuân thủ GDPR và PCI DSS cơ bản từ góc nhìn mạng - không thay thế kiểm toán pháp lý hoặc PCI chính thức.
- So sánh Googlebot và trình duyệt để phát hiện cloaking - đối chiếu trạng thái HTTP, chuyển hướng, tín hiệu SEO và tỷ lệ thay đổi nội dung, bổ trợ cho công cụ HTTP Request.
So sánh Website Security Test với các công cụ khác
| Chức năng | DiagnoSEO | Công cụ khác |
|---|---|---|
| Một kết quả tổng hợp cho tiêu đề, TLS, cookie và phơi bày dữ liệu | ✅ | ❌ |
| Đánh giá tiêu đề bảo mật (tương tự SecurityHeaders.com hoặc Mozilla Observatory) | ✅ | ✅ |
| Tóm tắt chứng chỉ và giao thức TLS (tương tự Qualys SSL Labs) | ✅ | ✅ |
| Phát hiện file .env / .git / backup bị lộ | ✅ | ❌ |
| Phát hiện trang con nhạy cảm đã được Google lập chỉ mục | ✅ | ❌ |
| Các bản vá với ngôn ngữ dễ hiểu cho từng kết quả | ✅ | ❌ |
| Không cần tài khoản cho kiểm tra cơ bản | ✅ | ✅ |
| Một phần trong bộ công cụ SEO đầy đủ, bên cạnh kiểm tra và công cụ SERP | ✅ | ❌ |
Phiên bản Free và Pro gồm những gì
Quét thụ động hoàn toàn miễn phí cho mọi địa chỉ và không cần tài khoản. Các kiểm tra chủ động (đòi hỏi truy vấn máy chủ) chỉ kích hoạt sau khi bạn xác minh quyền sở hữu trang (hoặc cho phép DiagnoSEO trên robots.txt). Gói Advanced (Pro) mang lại các chức năng chuyên sâu hơn.
| Khả năng | Free | Chủ sở hữu xác minh | Advanced (Pro) |
|---|---|---|---|
| Tiêu đề bảo mật, HTTPS/TLS, cookie, tiết lộ phiên bản phần mềm | ✅ | ✅ | ✅ |
| Có robots.txt / security.txt | ✅ | ✅ | ✅ |
| Nội dung nhạy cảm được lập chỉ mục trên Google | ❌ | ❌ | ✅ |
| File .env / .git / backup bị lộ | ❌ | ✅ (cơ bản) | ✅ (nâng cao) |
| Phát hiện liệt kê thư mục | ❌ | ✅ | ✅ |
| Liệt kê user CMS | ❌ | ❌ | ✅ |
| Proxy cao cấp (vượt qua WAF/geo-block) | ❌ | ❌ | ✅ |
Cách sử dụng Website Security Test
- Mở công cụ Website Security Test trong bảng công cụ.
- Trong trường Địa chỉ URL trang, nhập đầy đủ địa chỉ muốn kiểm tra, ví dụ https://example.com.
- Nếu dùng gói trả phí, bật Cài đặt nâng cao để kích hoạt proxy cao cấp hoặc quét hiển thị trên Google.
- Nhấn nút Quét trang và chờ vài giây để lấy báo cáo.
- Đọc điểm số tổng thể và xếp hạng ở đầu kết quả.
- Xem từng hạng mục, ưu tiên những hạng mục nghiêm trọng trước.
- Mở rộng từng vấn đề để xem bằng chứng và giải pháp đề xuất.
- Thực hiện các sửa chữa trên máy chủ hoặc CMS, sau đó chạy lại quét để xác nhận.
Trường hợp điển hình
Bước khởi đầu
Hãy tưởng tượng bạn vừa tiếp quản một cửa hàng thương mại điện tử tầm trung và muốn nhanh chóng kiểm tra bảo mật trước khi lên kế hoạch cải thiện.
Bạn mở công cụ, dán địa chỉ trang chủ vào và nhấn Quét trang.
Chỉ vài giây sau, bạn thấy xếp hạng tổng thể là C và ba cảnh báo nghiêm trọng được đánh dấu đỏ.
Đọc báo cáo
Vấn đề nghiêm trọng đầu tiên là file .env bị lộ với thông tin đăng nhập cơ sở dữ liệu. Vấn đề thứ hai là thiếu chuyển hướng từ HTTP sang HTTPS. Vấn đề thứ ba là một phần trong chuỗi chứng chỉ đã hết hạn.
Ở hạng mục tiêu đề, báo cáo cũng chỉ ra thiếu các tiêu đề Content-Security-Policy và HSTS, kèm giải thích rủi ro ngắn gọn cho từng mục.
Khắc phục sự cố
Theo khuyến nghị, bạn chặn truy cập công khai vào file .env. Bạn ép buộc chuyển hướng 301 sang HTTPS. Gia hạn chứng chỉ với tính năng tự động làm mới.
Sau đó, bạn thêm tiêu đề Content-Security-Policy và tiêu đề HSTS dài hạn, đúng theo hướng dẫn trong báo cáo.
Kết quả
Bạn chạy kiểm tra lại. Các vấn đề nghiêm trọng biến mất, hạng mục tiêu đề chuyển sang màu xanh lá cây và xếp hạng tổng thể tăng lên A.
Cửa hàng giờ đây đã an toàn hơn cho khách hàng, không còn cảnh báo trình duyệt và thứ hạng SEO được cải thiện đáng kể.
FAQ
-
Có. Công cụ chỉ gửi các truy vấn an toàn dạng chỉ đọc tới các địa chỉ công khai. Không bao giờ đăng nhập, không thay đổi dữ liệu và cũng không thử tấn công.
-
Không. Kiểm tra cơ bản sử dụng được mà không cần tài khoản. Gói trả phí mở thêm các tùy chọn nâng cao như proxy cao cấp và quét dữ liệu trên Google.
-
Điểm số là tổng hợp của tất cả kiểm tra tính trên thang điểm 0-100, được cân đối theo mức độ nghiêm trọng, chuyển đổi thành xếp hạng chữ cái từ A+ đến F. Càng cao càng tốt.
-
Ở chế độ nâng cao, công cụ gửi các truy vấn chuyên biệt cho tên miền của bạn để phát hiện bảng quản trị, liệt kê thư mục và file không nên công khai.
-
Không. Đây là kiểm tra cấu hình nhanh đối với các vấn đề phổ biến. Đánh giá chuyên sâu vẫn cần kiểm thử xâm nhập chuyên nghiệp cho hệ thống quan trọng.