Thiết kế website giá bao nhiêu?

Chi phí thiết kế website tại WebCraft Agency bắt đầu từ 2.990.000đ cho gói cơ bản, 10–20 triệu cho gói chuyên nghiệp và 20–50 triệu cho gói cao cấp. Giá quốc tế từ $199 USD. Liên hệ để nhận báo giá miễn phí.

Làm website mất bao lâu?

Thời gian hoàn thành website thường từ 7–21 ngày tùy độ phức tạp. Website cơ bản: 5–7 ngày. Website doanh nghiệp: 10–14 ngày. Website thương mại điện tử: 14–21 ngày.

Web design Vietnam how much does it cost?

Professional web design in Vietnam starts from $199 USD for a basic website. Professional packages range from $500–$800, and enterprise packages from $1,000–$1,500. All packages include source code delivery and post-launch support.

Website có được tối ưu SEO không?

Có! Tất cả website đều được tối ưu SEO cơ bản: cấu trúc URL chuẩn, meta tags, tốc độ tải nhanh, responsive mobile, schema markup. Gói chuyên nghiệp và cao cấp bao gồm SEO nâng cao với nghiên cứu từ khóa.

How long does web design take in Vietnam?

Web design projects in Vietnam typically take 7–21 business days depending on complexity. Basic websites: 5–7 days. Corporate websites: 10–14 days. E-commerce websites: 14–21 days. We guarantee on-time delivery.

Có thể tự chỉnh sửa nội dung website sau khi bàn giao không?

Có! Chúng tôi tích hợp hệ thống quản lý nội dung (CMS) dễ dùng và đào tạo bạn sử dụng. Bạn có thể tự cập nhật văn bản, hình ảnh, sản phẩm mà không cần biết code.

Is it safe to outsource web design to Vietnam?

Yes, outsourcing web design to Vietnam is safe and cost-effective. Vietnam has a large pool of skilled web designers and developers. WebCraft Agency has served clients from the US, UK, Australia, Germany and Singapore with 100% satisfaction.

Website nhỏ có cần bảo mật cao không?

Có! 43% các cuộc tấn công nhắm vào doanh nghiệp nhỏ vì chúng thường bảo mật kém. Hacker dùng bot tự động quét hàng triệu website — không phân biệt lớn hay nhỏ.

SSL có miễn phí không?

Có, Let's Encrypt cung cấp SSL DV miễn phí. Hầu hết hosting provider và Cloudflare đều hỗ trợ cài đặt Let's Encrypt tự động.

Nên dùng plugin bảo mật nào cho WordPress?

Wordfence là lựa chọn tốt nhất cho hầu hết người dùng (miễn phí đã rất mạnh). iThemes Security là lựa chọn thay thế tốt. Nếu ngân sách cho phép, Sucuri WAF (trả phí) bảo vệ toàn diện nhất.

Backup nên lưu ở đâu?

Tuân theo quy tắc 3-2-1: 3 bản sao, 2 loại phương tiện, 1 offsite. Ví dụ: backup hàng ngày trên server → sync lên Google Drive → sync lên AWS S3.

Website bị hack phải làm sao?

1. Cô lập website (maintenance mode) 2. Thay đổi tất cả mật khẩu 3. Quét malware 4. Khôi phục từ backup sạch 5. Cập nhật tất cả phần mềm 6. Củng cố bảo mật (WAF, 2FA, rate limiting) 7. Thông báo khách hàng nếu cần

Chi phí bảo mật website bao nhiêu?

Cơ bản (SSL + backup + cập nhật): Miễn phí đến 200.000đ/tháng Nâng cao (WAF + 2FA + giám sát): 500.000–2.000.000đ/tháng Chuyên nghiệp (Sucuri WAF + DDoS protection): 2.000.000–10.000.000đ/tháng

Có cần thuê chuyên gia bảo mật không?

Với website nhỏ, có thể tự làm các biện pháp cơ bản. Nhưng nếu website xử lý dữ liệu nhạy cảm (thanh toán, thông tin cá nhân), nên thuê chuyên gia đánh giá bảo mật định kỳ (1–2 lần/năm). ---

Bảo Mật Website 2026: Hướng Dẫn Toàn Diện Cho Doanh Nghiệp Việt Nam

Tại Sao Bảo Mật Website Quan Trọng Hơn Bao Giờ Hết?

Năm 2026, bảo mật website không còn là lựa chọn — nó là yêu cầu bắt buộc để tồn tại và phát triển kinh doanh trực tuyến. Theo thống kê từ các tổ chức bảo mật quốc tế:

Mỗi 39 giây có 1 website bị tấn công trên toàn thế giới
43% các cuộc tấn công nhắm vào doanh nghiệp vừa và nhỏ
60% doanh nghiệp nhỏ bị tấn công sẽ phá sản trong vòng 6 tháng
Trung bình mất 280 ngày để phát hiện 1 breach (vi phạm dữ liệu)
Chi phí trung bình của 1 breach: $3.86 triệu USD (IBM Security 2025)

Tại Việt Nam, tình hình cũng đáng báo động. Theo Cục An toàn thông tin, số lượng website Việt Nam bị tấn công tăng 35% trong năm 2025. Các mục tiêu phổ biến nhất là website thương mại điện tử, website ngân hàng, và website doanh nghiệp có dữ liệu khách hàng.

Mất dữ liệu khách hàng (email, số điện thoại, thông tin thanh toán)
Website bị deface (thay đổi giao diện, hiển thị nội dung xấu)
Bị Google đưa vào blacklist (cảnh báo "Trang web này có thể bị tấn công")
Mất uy tín thương hiệu và niềm tin của khách hàng
Phạt hành chính theo Luật An ninh mạng Việt Nam
Mất doanh thu trực tiếp khi website không hoạt động

---

Phần 1: Nền Tảng Bảo Mật — Những Điều Bắt Buộc

1. SSL Certificate (HTTPS) — Bảo Mật Cơ Bản Nhất

SSL (Secure Sockets Layer) mã hóa dữ liệu truyền giữa trình duyệt và server. Khi bạn thấy ổ khóa màu xanh và "https://" trong thanh địa chỉ, đó là SSL đang hoạt động.

Google coi HTTPS là yếu tố xếp hạng từ năm 2014
Chrome hiển thị cảnh báo "Không an toàn" với website không có HTTPS
Khách hàng không tin tưởng website không có ổ khóa
Bảo vệ dữ liệu khách hàng (mật khẩu, thông tin thanh toán) khỏi bị đánh cắp
Tuân thủ PCI DSS (nếu xử lý thanh toán thẻ)

DV (Domain Validation): Xác minh domain, phát hành trong vài phút. Miễn phí qua Let's Encrypt. Phù hợp hầu hết website.
OV (Organization Validation): Xác minh tổ chức, hiển thị tên công ty trong certificate. Giá: 500.000–2.000.000đ/năm.
EV (Extended Validation): Xác minh sâu nhất, hiển thị tên công ty màu xanh trong thanh địa chỉ. Giá: 2.000.000–5.000.000đ/năm. Phù hợp ngân hàng, tài chính.
Wildcard: Bảo vệ domain và tất cả subdomain (*.domain.com). Giá: 1.500.000–5.000.000đ/năm.

Let's Encrypt: Miễn phí, tự động gia hạn, phù hợp hầu hết website
Cloudflare: Miễn phí SSL khi dùng CDN
Các hosting provider thường cài Let's Encrypt miễn phí

2. Web Application Firewall (WAF)

WAF là tường lửa ứng dụng web — nó lọc và giám sát traffic HTTP để ngăn chặn các cuộc tấn công phổ biến.

SQL Injection: Chèn mã SQL độc hại vào form/input
Cross-Site Scripting (XSS): Chèn script độc hại vào website
Cross-Site Request Forgery (CSRF): Giả mạo request từ người dùng đã đăng nhập
DDoS attacks: Tấn công từ chối dịch vụ
Brute force: Thử mật khẩu hàng loạt
Zero-day exploits: Khai thác lỗ hổng chưa được biết đến

Cloudflare WAF (miễn phí): Dễ setup, bảo vệ cơ bản tốt
ModSecurity (miễn phí, open-source): WAF mạnh nhất, cần cấu hình kỹ thuật
Sucuri WAF (trả phí): Chuyên nghiệp, bảo vệ toàn diện
AWS WAF (trả phí): Tích hợp với AWS

Cấu hình Cloudflare WAF cơ bản: 1. Đăng ký Cloudflare, thêm domain 2. Bật "Security Level" ở mức Medium 3. Bật "Bot Fight Mode" 4. Cấu hình rate limiting (giới hạn số request từ 1 IP) 5. Bật "Always Use HTTPS" 6. Cấu hình firewall rules cho các đường dẫn nhạy cảm (/wp-admin, /admin)

3. Backup Định Kỳ — Bảo Hiểm Cho Website

Backup là biện pháp bảo vệ cuối cùng khi mọi thứ khác thất bại. Nếu website bị hack, bị ransomware, hoặc bị xóa nhầm — backup là cách duy nhất để khôi phục.

3 bản sao của dữ liệu quan trọng
2 loại phương tiện lưu trữ khác nhau (local + cloud)
1 bản sao ở vị trí địa lý khác (offsite)

Website tĩnh (ít thay đổi): 1 lần/tuần
Website động (blog, tin tức): 1 lần/ngày
Website thương mại điện tử: Real-time hoặc 1 lần/giờ
Database: Real-time replication nếu có thể

WordPress: UpdraftPlus, BackupBuddy, VaultPress
Server: rsync, duplicity, restic
Cloud: AWS S3, Google Cloud Storage, Backblaze B2
Hosting: Hầu hết hosting có backup tự động hàng ngày

Khôi phục thử backup ít nhất 1 lần/tháng
Đảm bảo backup hoàn chỉnh (files + database)
Kiểm tra backup sau mỗi lần update lớn

4. Cập Nhật Phần Mềm Thường Xuyên

Lỗ hổng bảo mật trong phần mềm cũ là nguyên nhân hàng đầu dẫn đến website bị tấn công.

CMS (WordPress, Joomla, Drupal): Cập nhật ngay khi có bản mới
Plugins/Extensions: Xóa plugin không dùng, cập nhật plugin đang dùng
Themes: Cập nhật theme, xóa theme không dùng
Server OS: Cập nhật Linux/Windows server
PHP/MySQL: Cập nhật lên phiên bản mới nhất được hỗ trợ
SSL/TLS: Cập nhật lên TLS 1.3, vô hiệu hóa TLS 1.0/1.1

Bật auto-update cho WordPress core: define('WP_AUTO_UPDATE_CORE', true);
Bật auto-update cho plugins (cẩn thận — có thể gây lỗi)
Dùng plugin Easy Updates Manager để kiểm soát

Lưu ý: Luôn backup trước khi cập nhật. Một số update có thể gây lỗi tương thích.

---

Phần 2: Bảo Mật Nâng Cao — Bảo Vệ Website Chuyên Nghiệp

5. Mã Hóa Dữ Liệu Nhạy Cảm

Dữ liệu nhạy cảm (mật khẩu, thông tin thẻ, dữ liệu cá nhân) phải được mã hóa cả khi lưu trữ (at rest) và khi truyền tải (in transit).

Mật khẩu: Dùng bcrypt, Argon2, hoặc PBKDF2. Không bao giờ lưu mật khẩu dạng plain text hoặc MD5/SHA1.
Thông tin thẻ: Tuân thủ PCI DSS, dùng tokenization
Database: Mã hóa cột nhạy cảm (AES-256)
File uploads: Quét virus, lưu ở vị trí không truy cập trực tiếp từ web

HTTPS bắt buộc: Redirect HTTP → HTTPS
HSTS (HTTP Strict Transport Security): Bắt buộc trình duyệt chỉ dùng HTTPS
TLS 1.3: Phiên bản mới nhất, nhanh và bảo mật hơn

6. Xác Thực Mạnh (Strong Authentication)

Mật khẩu yếu là lỗ hổng phổ biến nhất. 80% các breach liên quan đến mật khẩu yếu hoặc bị đánh cắp.

Tối thiểu 12 ký tự
Kết hợp chữ hoa, chữ thường, số, ký tự đặc biệt
Không dùng từ điển, tên, ngày sinh
Thay đổi định kỳ (3–6 tháng)
Không dùng lại mật khẩu giữa các dịch vụ

TOTP (Time-based One-Time Password): Google Authenticator, Authy, Microsoft Authenticator
SMS OTP: Kém bảo mật hơn (SIM swap attack), nhưng vẫn tốt hơn không có 2FA
Hardware keys: YubiKey, Google Titan — bảo mật cao nhất
Push notification: Duo Mobile, Google Prompt

Plugin: Two Factor, Wordfence Login Security, miniOrange
Bắt buộc 2FA cho tất cả admin accounts
Dùng application-based 2FA (Google Authenticator) thay vì SMS

7. Phân Quyền Truy Cập (Access Control)

Nguyên tắc least privilege: Mỗi người chỉ có quyền tối thiểu cần thiết để làm việc.

Super Admin: Quyền cao nhất (multisite)
Administrator: Quyền quản trị đầy đủ
Editor: Quản lý nội dung, publish bài viết
Author: Viết và publish bài viết của mình
Contributor: Viết bài, không publish được
Subscriber: Chỉ đọc, comment

Không dùng tài khoản "admin" — đổi thành tên khác
Giới hạn số lượng admin accounts (tối đa 2–3)
Dùng Editor/Author cho người viết nội dung
Xóa tài khoản không còn dùng
Theo dõi log đăng nhập

8. Bảo Vệ Chống DDoS

DDoS (Distributed Denial of Service) là tấn công làm quá tải server bằng hàng nghìn request đồng thời.

Volumetric: Làm đầy băng thông (UDP flood, ICMP flood)
Protocol: Khai thác lỗ hổng protocol (SYN flood, Ping of Death)
Application Layer: Tấn công ứng dụng (HTTP flood, Slowloris)

CDN: Cloudflare, Akamai, Fastly — hấp thụ traffic DDoS
Rate limiting: Giới hạn số request từ 1 IP
WAF: Lọc traffic độc hại
Server hardening: Giới hạn kết nối, tối ưu TCP stack
DDoS protection service: Cloudflare Pro ($20/tháng), AWS Shield

Bảo vệ DDoS layer 3/4 (network)
Bảo vệ DDoS layer 7 (application) cơ bản
Rate limiting cơ bản
Challenge page cho traffic đáng ngờ

9. Giám Sát và Phát Hiện Xâm Nhập (IDS/IPS)

Giám sát liên tục giúp phát hiện tấn công sớm — trước khi thiệt hại trở nên nghiêm trọng.

Wordfence (WordPress): Firewall + malware scan + login security
Sucuri Scanner: Quét malware, blacklist monitoring
iThemes Security: 30+ biện pháp bảo mật WordPress
OSSEC: HIDS (Host-based Intrusion Detection System)
Fail2Ban: Chặn IP sau nhiều lần đăng nhập sai

Log đăng nhập (thành công và thất bại)
Thay đổi file (file integrity monitoring)
Traffic bất thường (spike đột ngột)
Blacklist status (Google Safe Browsing, PhishTank)
SSL certificate expiration
Domain expiration

10. Bảo Mật API và Kết Nối Bên Thứ Ba

Nhiều website hiện đại kết nối với API bên thứ ba (payment gateway, shipping, CRM, email marketing).

API keys: Lưu ở biến môi trường, không hardcode trong code
Rate limiting: Giới hạn số API call
Input validation: Validate tất cả dữ liệu từ API
HTTPS cho API: Không bao giờ dùng HTTP cho API
Authentication: OAuth 2.0, API keys, hoặc JWT
Scope limitation: API key chỉ có quyền tối thiểu cần thiết

---

Phần 3: Bảo Mật Theo Loại Website

Website WordPress — Các Biện Pháp Đặc Biệt

WordPress chiếm 43% website toàn cầu — đồng nghĩa với việc là mục tiêu tấn công phổ biến nhất.

[ ] Đổi URL đăng nhập từ /wp-admin sang URL khác
[ ] Giới hạn số lần đăng nhập sai (3–5 lần)
[ ] Bật 2FA cho tất cả admin
[ ] Xóa file install.php, readme.html
[ ] Ẩn version WordPress
[ ] Tắt file editing trong admin
[ ] Dùng security plugin (Wordfence, iThemes Security, Sucuri)
[ ] Tắt XML-RPC nếu không dùng
[ ] Bảo vệ wp-config.php (chmod 640)
[ ] Tắt directory listing
[ ] Dùng prefix khác cho database (không phải wp_)
[ ] Cập nhật WordPress, plugins, themes ngay khi có bản mới

Wordfence (miễn phí + trả phí): Firewall, malware scan, login security
iThemes Security (miễn phí + trả phí): 30+ biện pháp bảo mật
Sucuri Security (miễn phí): Malware scan, security hardening
All In One WP Security & Firewall (miễn phí): Toàn diện, dễ dùng

Website Thương Mại Điện Tử — Bảo Vệ Thanh Toán

Website bán hàng là mục tiêu hấp dẫn nhất cho hacker vì có dữ liệu thanh toán.

PCI DSS compliance: Tuân thủ nếu lưu trữ/xử lý thẻ tín dụng
SSL EV: Extended Validation SSL cho uy tín cao nhất
3D Secure: Xác thực thêm cho thanh toán thẻ
Tokenization: Không lưu số thẻ, chỉ lưu token
Fraud detection: Dùng Stripe Radar, PayPal Fraud Protection
Address Verification System (AVS): Xác minh địa chỉ billing
CVV verification: Yêu cầu mã CVV cho mỗi giao dịch

Lưu số thẻ tín dụng trên server của bạn
Gửi thông tin thẻ qua email
Dùng HTTP cho trang thanh toán
Bỏ qua 3D Secure cho giao dịch lớn

Website Doanh Nghiệp — Bảo Vệ Dữ Liệu Khách Hàng

Theo Luật An ninh mạng Việt Nam và GDPR (nếu có khách hàng EU), doanh nghiệp có trách nhiệm bảo vệ dữ liệu cá nhân.

Luật An ninh mạng Việt Nam 2018: Bảo vệ dữ liệu cá nhân, báo cáo breach trong 72 giờ
GDPR (nếu có khách EU): Consent rõ ràng, quyền xóa dữ liệu, báo cáo breach trong 72 giờ
PCI DSS: Nếu xử lý thẻ tín dụng
ISO 27001: Tiêu chuẩn quản lý bảo mật thông tin

Mã hóa dữ liệu cá nhân trong database
Anonymize dữ liệu khi không cần thiết
Xóa dữ liệu theo yêu cầu của khách hàng
Backup dữ liệu định kỳ và mã hóa backup
Access log cho dữ liệu nhạy cảm
Đào tạo nhân viên về bảo mật

---

Phần 4: Ứng Phó Khi Website Bị Tấn Công

Các Dấu Hiệu Website Bị Tấn Công

Website chậm đột ngột hoặc không truy cập được
Google cảnh báo "Trang web này có thể bị tấn công"
Khách hàng báo nhận email spam từ domain của bạn
File lạ xuất hiện trên server
Mật khẩu admin không còn hoạt động
Traffic bất thường (spike đột ngột hoặc giảm mạnh)
Website redirect đến trang lạ

Quy Trình Ứng Phó

Tắt website tạm thời (maintenance mode)
Thay đổi tất cả mật khẩu (hosting, FTP, database, admin)
Kích hoạt 2FA nếu chưa có

Quét malware (Wordfence, Sucuri)
Kiểm tra log server
Xác định dữ liệu nào bị ảnh hưởng
Kiểm tra blacklist status

Khôi phục từ backup sạch (trước khi bị tấn công)
Cập nhật tất cả phần mềm lên bản mới nhất
Xóa file/plugin/theme lạ
Thay đổi tất cả API keys

Cài WAF nếu chưa có
Bật 2FA cho tất cả tài khoản
Cấu hình rate limiting
Thiết lập giám sát liên tục
Đánh giá lại toàn bộ chính sách bảo mật

Thông báo cho khách hàng nếu dữ liệu bị ảnh hưởng
Báo cáo cho cơ quan chức năng (theo Luật An ninh mạng)
Yêu cầu Google review nếu bị blacklist

---

Kết Luận

Bảo mật website không phải là việc làm 1 lần — nó là quá trình liên tục. Mỗi ngày có hàng nghìn lỗ hổng mới được phát hiện, và hacker không ngừng tìm kiếm mục tiêu.

Giảm 90% nguy cơ bị tấn công tự động
Bảo vệ dữ liệu khách hàng và uy tín thương hiệu
Tuân thủ các quy định pháp lý về bảo mật
Giảm thiểu thiệt hại nếu bị tấn công

Hãy nhớ: Chi phí phòng ngừa bảo mật thường rẻ hơn rất nhiều so với chi phí khắc phục sau khi bị tấn công.

WebCraft Agency xây dựng website với bảo mật tích hợp từ nền tảng — SSL, WAF, backup tự động, và tất cả các biện pháp bảo mật tốt nhất. Liên hệ ngay để được tư vấn miễn phí!