Bỏ qua menu, vào nội dung chính

← Tin tức · Hướng dẫn

28/03/2026 · 8 phút đọc

Cách audit security website doanh nghiệp — 12 mục checklist không kỹ thuật

Doanh nghiệp không có IT cũng cần audit security website định kỳ. 12 mục dưới đây check được bằng tool free hoặc qua thao tác đơn giản, không cần kỹ năng tech sâu. Bao gồm tool name + cách check + dấu hiệu cảnh báo.

SecurityAuditWebsite

Tại sao SME cần audit security định kỳ

Hack website SME tăng 35%/năm. Hậu quả: data lộ → phạt ND13 50-200tr, brand damage, downtime kinh doanh. Audit định kỳ 6 tháng/lần catch vấn đề trước khi bị exploit.

12 mục checklist

  1. HTTPS: gõ http://yourdomain.vn → có auto-redirect https? SSL không expire? Check tại ssllabs.com — grade phải ≥ A.
  2. Security headers: securityheaders.com — grade ≥ B. Có: HSTS, CSP, X-Frame-Options.
  3. Folder/file lộ: thử /admin, /.git/, /.env, /backup.zip — phải 404 hoặc 403. Nếu mở được = critical.
  4. Form chống bot: form liên hệ + đăng ký có Captcha (Google reCAPTCHA hoặc hCaptcha)?
  5. Password admin: > 12 ký tự + 2FA enabled? Audit log thấy ai login khi nào.
  6. Backup: hằng ngày tự động? Đã test restore từ backup chưa? (Backup không test = không có backup.)
  7. Update: CMS + plugin update lần cuối < 30 ngày? Plugin cũ nhiều CVE.
  8. Error message: thử URL sai → có lộ database name + version không? Phải generic message.
  9. XSS basic: nhập <script>alert(1)</script> vào form search → có alert pop up = vulnerable.
  10. Rate limit: thử submit form 20 lần liên tiếp → có block không? Không block = spam risk.
  11. Cookie consent: có banner consent (nếu chạy Facebook Pixel + Google Ads remarketing)?
  12. Privacy policy + Terms: đầy đủ, ngày update mới, có liên hệ DPO.

Tool free để audit

  • SSL Labs (ssllabs.com): test SSL grade.
  • SecurityHeaders.com: test security headers.
  • BuiltWith.com: phát hiện tech stack + version (xem có cũ + CVE không).
  • Google Search Console: warning từ Google nếu site có vấn đề.
  • Mozilla Observatory: comprehensive security check.

Khi nào cần audit chuyên nghiệp

12 mục trên là audit cơ bản. Khi cần level chuyên nghiệp (pentest, OWASP audit, compliance ISO 27001): thuê công ty bảo mật. Phí 30-150tr cho audit + report 2-4 tuần.

Doanh nghiệp cần audit chuyên nghiệp? Alodev hợp tác với 2 công ty bảo mật uy tín VN. /lien-he

Cần tư vấn?

Founder phản hồi
trong 24 giờ.