Bạn triển khai web firewall, thiết lập các chính sách "tiêu cực" để hạn chế source IP có thể đụng chạm đến cấu hình, đồng thời yêu cầu nhà cung cấp hỗ trợ để siết chặt (vd: firewall cứng chỉ cho phép IP nào đc connect đến port nào, chỉ mở HTTP thôi) 

@mv1098: mình đặt ra các ví dụ thôi mà, với cả nếu có thì vẫn hơn chứ, cho dù là small
@khang: việc triển khai website với source là PHP trên IIS là một điều ko nên, để secured sẽ phải chắp vá và kiến thức về hệ thống và PHP khá vững. Đơn giản nhất là windows fw để quy định các chính sách vào/ra web server. Tiếp đó là NTFS permission, web permission v.v... Cao cấp hơn bạn nghiên cứu IPSec để bảo mật máy chủ IIS tốt hơn. 

mình triển khai php trên nền apache. webserver là xampp. ko phải iis. xampp có đủ bảo mật chưa, thấy nó load nhiều thứ quá, sợ có bug 

Cách mà khang0001 hỏi về việc bảo vệ cho 1 web server (hoặc quy chung là 1 hệ thống server trương mặt ra Internet), phòng khi nó có lỗi bảo mật (tiềm ẩn) nhưng chưa kịp vá hoặc bên cung cấp chưa kịp/chưa biết để cung cấp bản vá. 1 loại trong các lỗi kiểu như thế người ta thường gọi là zero day vulnerabilities http://en.wikipedia.org/wiki/Zero-day_attack) và nó rất nguy hiểm.
Có nhiều cách chống/giảm tác hại của tình huống này. Tuy nhiên phải phối hợp nhiều biện pháp may ra mới bớt được và việc này tốn kém (tiền của + công sức), không dễ dàng lắm và phải làm liên tục.

Sau đây là mấy gợi ý cho trường hợp của bạn:

1. Về con người: dùng sản phẩm nào thì phải theo dõi nó thường xuyên thông tin lỗi về nó từ nhà sản xuất và các diễn đàn/trang tin tức bảo mật liên quan. Khi có bug được báo cáo nhưng chưa kịp vá, thường thì sẽ có chuyên gia đưa ra vài khuyến nghị để có thể tạm tắt, tạm sửa hoặc cách nào đó để vô hiệu hoá, chờ cho đến khi bản vá phát hành. Web chạy PHP thì khá dễ dàng để vá 1 lỗi bảo mật nào đó. Cái này hạn chế lỗi không phải là zero-day, nhưng với mã nguồn mở + sản phẩm rất phổ biến thì zero-day bug sống thường rất ngắn ngủi, ta hi vọng nó ko rơi rủi ro vào ta.

2. Về hệ thống máy chủ + phần mềm: nên tuân theo các hướng dẫn "hardening" hệ thống, làm triệt để (có nhiều hướng dẫn trên HVA lắm), hoặc lựa chọn các hệ thống nền tảng có khả năng an toàn và phù hợp hơn (Linux thay vì Win). Cái này để giảm rủi ro dù PHP có bị lỗi ở source thì tác hại cũng nhỏ, chỉ ảnh hưởng 1 chút chứ ko lây nhiễm toàn hệ thống. Ngoài việc hardenning với php.ini (rất nhiều hướng dẫn trên HVA), thì web server, OS cũng cần quan tâm. Với Win thì tớ ít thấy có cách nào bảo vệ tốt để chạy PHP, nhưng với Linux + Apache thì kha khá nhiều tài liệu có thể tìm thấy trên Internet. Ví dụ áp dụng SELinux, áp quyền directory/file nghiêm ngặt, áp dụng suexec cho cái phần web PHP + chạy php_cgi thay vì chạy mod... Hi sinh vài thứ để đạt được độ bảo mật cao hơn.

3. Về bảo vệ vòng ngoài (mạng): Firewall nó ít tác dụng vì nó hoạt động ở lớp 3,4. Cái bảo vệ vòng ngoài duy nhất giúp ích được ít nhiều trong trường hợp này là cái IPS (tất nhiên phải mua quyền cập nhật rule cho thiết bị). Đa số các nhà cung cấp IPS thường làm ra rất sớm rule nhận diện và chặn nguy cơ bảo mật dựa trên dấu hiệu tấn công của lỗi, khi mà bản vá lỗi đó còn chưa kịp phát hành. Tất nhiên là hên xui thôi, không phải lúc nào họ cũng nhanh hơn. Nhưng có thì tốt hơn, giảm rủi ro. Điều đáng buồn là chi phí IPS + update thường ko rẻ lắm so với 2 cách trên và chỉ là phương pháp bổ trợ cho 2 cách trên. Nếu chỉ dựa vào IPS thì có ngày ko chết bởi lỗi chưa có bản vá mà sẽ chết bởi lỗi đã có bản vá từ lâu rồi mà chủ server ko thèm áp dụng, IPS lại thiếu sót, hệ thống ko được harden...

4. Các biện pháp khác giảm thiệt hại (sau khi sự việc xảy ra): backup hàng ngày, theo dõi thường xuyên hoạt động hệ thống và log file phát hiện bất thường, vá bản vá nhanh nhất có thể (cho tất cả các thứ liên quan)...

Hi vọng nó không quá rối rắm. Lưu ý nó sẽ ko đảm bảo tuyệt đối 100%, nó chỉ giảm rủi ro đi thôi. Hãy luôn nghĩ đến giải pháp dự phòng (backup/restore) và có sự đầu tư con người, tiền của ... mới mong nó ít tác hại. Một số anh em làm bảo mật ăn tiền (lương) cao nhờ mấy cái công việc phòng chống cái lỗi tiềm ẩn trên đấy, ví dụ mấy tay bảo mật ngân hàng đấy, vì lỗi tiềm ẩn là không thể tránh khỏi và nếu xảy ra tác hại quá lớn nên ngân hàng thường bỏ nhiều tiền chỉ để làm giảm rủi ro.
Nếu chỗ bạn việc chết web 1 vài ngày ko thành vấn đề thì có thể ... bỏ qua. Nếu bạn chỉ muốn học cách, thì cứ tiếp tục ... đào xới kỹ thuật thêm 1 số năm nữa, cỡ chừng anh conmale thì may ra tự tin (cao thủ như anh conmale cũng có lần xảy chân nữa là, nên ko có gì là tuyệt đối cả nhé).

P/s: có thể bỏ qua các post của aod vì nó ít giá trị kiến thức. 

Hình như bạn này đang nhầm lẫn rất nhiều khái niệm. Và bạn cũng chưa hiểu thế nào là các thành phần như: webserver, database, php lib... Để có thể " bảo mật" trước hết bạn hãy tự tay cài các thành phần LAMP ( or win + AMP ) hoặc xem trong cái mớ hỗn đọn xampp có cái gì rồi hãy nghĩ đến các vấn đề bảo mật.