WW88AG bảo vệ website bằng cách nào?

Chúng tôi dùng HTTPS/HSTS, WAF, header bảo mật, cập nhật WP/plugin, 2FA admin, sao lưu định kỳ và giám sát nhật ký.

Tôi có thể báo cáo lỗ hổng ở đâu?

Qua trang /lien-he/ với chủ đề “Báo cáo bảo mật”. Vui lòng gửi mô tả kỹ thuật, bước tái hiện và PoC an toàn.

Nếu xảy ra sự cố, WW88AG làm gì?

Kích hoạt quy trình Phát hiện–Khoanh vùng–Khắc phục–Khôi phục–Hậu kiểm; thông báo phù hợp cho người dùng liên quan.

Chính sách bảo mật WW88AG : Thông tin người dùng nên đọc

MỤC LỤC

Mục tiêu của WW88AG là bảo vệ website và thông tin người dùng bằng các biện pháp kỹ thuật, quy trình vận hành rõ ràng và kiểm soát rủi ro liên tục. Chính sách này mô tả cách chúng tôi phân loại dữ liệu, mã hóa truyền/nhận, kiểm soát truy cập, sao lưu/khôi phục và phản ứng khi xảy ra sự cố. WW88AG hoạt động độc lập, không phải website chính thức của nhà cái WW88, và luôn ưu tiên minh bạch – an toàn – trách nhiệm.

Phạm vi, mục tiêu & định nghĩa

Chính sách áp dụng cho toàn bộ hệ thống tại prp.us.com (hạ tầng, mã nguồn, plugin, nội dung và nhật ký). Mục tiêu là giảm thiểu rủi ro bảo mật, đảm bảo tính bí mật – toàn vẹn – sẵn sàng của website và thông tin liên quan. “Xử lý dữ liệu” bao gồm thu thập, lưu, sử dụng, chia sẻ và xóa theo nhu cầu vận hành.

Phạm vi trọng yếu

Máy chủ/hosting, CDN/WAF, CMS (WordPress), plugin, theme, cơ sở dữ liệu.
Tài khoản quản trị, quy trình phát hành, sao lưu và khôi phục.
Nhật ký truy cập/sự kiện, cảnh báo, giám sát và báo cáo lỗ hổng.

Mô hình quản trị bảo mật

Chúng tôi phân định rõ vai trò, trách nhiệm và thời hạn phản hồi để tránh khoảng trống vận hành. Mọi thay đổi quan trọng đều phải được ghi nhận và có người chịu trách nhiệm cuối cùng. Định kỳ, chúng tôi rà soát quyền truy cập và nhật ký để phát hiện bất thường.

Vai trò	Trách nhiệm chính	SLA phản hồi
Quản trị hệ thống	Cấu hình máy chủ, WAF, sao lưu/khôi phục	4–8h làm việc
Biên tập/Quản trị WP	Cập nhật plugin/theme, kiểm duyệt quyền	8–12h làm việc
An ninh (security ops)	Giám sát, điều tra sự cố, hardening	Ngay khi nhận cảnh báo (P1)

Phân loại dữ liệu & nguyên tắc xử lý

Chúng tôi áp dụng tối thiểu hóa dữ liệu, chỉ lưu những gì cần thiết cho vận hành và hỗ trợ biên tập. Dữ liệu được phân loại để áp biện pháp phù hợp.

Mức phân loại	Ví dụ	Biện pháp
Công khai	Bài viết, trang tĩnh	Kiểm soát chỉnh sửa/phiên bản
Nội bộ	Cấu hình WP, log kỹ thuật	Quyền truy cập hạn chế, lưu trữ an toàn
Hạn chế	Thông tin liên hệ người dùng gửi qua form	Truy cập theo nhu cầu, xóa/ẩn danh theo hạn

Dữ liệu nhạy cảm (CMND/hộ chiếu/thẻ thanh toán) không được yêu cầu/lưu trữ qua website.

Biện pháp kỹ thuật (Defense-in-Depth)

Chúng tôi triển khai nhiều lớp bảo vệ để giảm thiểu tác động nếu một lớp bị vượt qua. Các biện pháp được kiểm tra định kỳ, ưu tiên bản vá sớm và nguyên tắc Least Privilege.

Mạng & truyền thông

HTTPS/TLS cho toàn bộ miền; bật HSTS.
CDN/WAF (lọc bot, rate-limit, chống DDoS cơ bản).
Chặn liệt kê thư mục, vô hiệu TRACE/OPTIONS không cần thiết.

Máy chủ & ứng dụng

Cập nhật WordPress, theme và plugin sớm; gỡ plugin không dùng.
2FA cho tài khoản admin, khóa IP niêm khi cần; giới hạn thử mật khẩu.
Vô hiệu XML-RPC (nếu không dùng), tắt file editing trong WP admin.
Sao lưu tự động, kiểm thử khôi phục định kỳ (đặt RPO/RTO rõ ràng).
Quét mã/file độc hại, cảnh báo thay đổi bất thường.

Biện pháp vận hành & kiểm soát truy cập

Quyền được cấp theo vai trò, rà soát hàng quý và khi nhân sự thay đổi. Mọi thay đổi cấu hình/plugin phải qua quy trình phát hành (staging → production) với ghi chú version.

Quy tắc vận hành

Mật khẩu mạnh + 2FA; cấm chia sẻ tài khoản quản trị.
Xoá/quyền-hóa tài khoản không dùng; quay vòng secret/khóa API định kỳ.
Kiểm tra Core Web Vitals và log lỗi để phát hiện lạm dụng/tấn công.

Sao lưu & khôi phục (RPO/RTO)

Sao lưu tự động nhiều phiên bản, lưu trên vùng lưu trữ tách biệt. Thử khôi phục định kỳ để chắc chắn dữ liệu có thể phục hồi.

Mục	Giá trị tham chiếu
RPO (mất dữ liệu tối đa chấp nhận)	≤ 24 giờ
RTO (thời gian khôi phục mục tiêu)	4–8 giờ làm việc
Kiểm thử khôi phục	Hàng quý hoặc sau thay đổi lớn

Công bố lỗ hổng (Responsible Disclosure)

Chúng tôi hoan nghênh báo cáo lỗ hổng một cách có trách nhiệm. Vui lòng không gây ảnh hưởng tới tính sẵn sàng/dữ liệu người dùng, không khai thác vượt mức cần thiết và không công bố trước khi có xác nhận khắc phục.

Cách gửi báo cáo (3 bước)

Mô tả kỹ thuật + bước tái hiện + tác động (CVSS nếu có).
Gửi qua trang /lien-he/, chọn chủ đề “Báo cáo bảo mật”; kèm PoC an toàn.
Chờ xác nhận trong 4–8h làm việc; thời gian khắc phục tùy mức độ.

Chính sách Safe Harbor (tóm tắt)

Không truy cập dữ liệu cá nhân thực tế; không làm gián đoạn dịch vụ.
Không tống tiền hoặc công bố công khai trước thời hạn đồng ý.
Chúng tôi ghi nhận đóng góp và cập nhật tình trạng xử lý minh bạch.

Ứng phó sự cố (Incident Response)

Khi có nghi vấn, chúng tôi kích hoạt quy trình Phát hiện → Khoanh vùng → Khắc phục → Khôi phục → Hậu kiểm. Nhật ký và bằng chứng được bảo toàn để điều tra; người dùng liên quan (nếu có) sẽ được thông báo phù hợp.

Mức độ	Ví dụ	SLA ban đầu
P1	Tấn công thực, rò rỉ dữ liệu, deface	Ngay lập tức
P2	Khai thác hạn chế, lỗi cấu hình nghiêm trọng	≤ 4h làm việc
P3	Lỗ hổng không khai thác, cảnh báo từ log	≤ 1 ngày làm việc

Nhật ký & kiểm toán

Nhật ký truy cập, thay đổi cấu hình và cảnh báo được lưu trong thời hạn hợp lý để phục vụ điều tra và cải tiến. Chúng tôi áp dụng kiểm soát truy cập nhật ký và ẩn danh khi có thể nhằm bảo vệ quyền riêng tư.

Cập nhật chính sách & liên hệ

Chính sách có thể thay đổi theo thực tế vận hành và yêu cầu pháp lý. “Cập nhật lần cuối” sẽ được nêu ở cuối trang. Mọi câu hỏi về bảo mật vui lòng liên hệ qua /lien-he/ hoặc +84-382737561 (giờ hành chính).

Cập nhật lần cuối: {{ngày/tháng/năm}}

Gợi ý nội bộ hóa liên kết