Bảo mật website WordPress với 20 thủ thuật đơn giản

Email

WordPress là một nền tảng web với nhiều điểm ưu việt, dễ sử dụng ngay cả với những người mới chập chững học làm web. Tuy nhiên, nhiều người ​​cho rằng sử dụng các hệ thống mã nguồn mở sẽ dễ bị bị ảnh hưởng bởi các loại tấn công. Nhưng đó không phải là sự thật – đôi khi vấn đề bảo mật web còn bao gồm những nguyên nhân khác.

Đối với một nền tảng phổ biến như WordPress – chiếm tới 31% số website tồn tại trên mạng Internet, lỗ hổng bảo mật là những miếng mồi béo bở cho các hacker do số lượng website bị ảnh hưởng sẽ là rất lớn. Thực tế cho thấy, số lỗ hổng bị tìm ra của nền tảng này luôn vượt trội các nền tảng khác. Các hacker thường xuyên nhắm đến các plugin – tính năng đặc trưng của WordPress – để tấn công, như có thể thấy trong trích đoạn infographic về các bước bảo mật website WordPress cơ bản dưới đây:

Các bước bảo mật cơ bản khi tạo website WordPress cystack

Trước khi tiếp tục với bài viết này, bạn có thể bắt đầu với infographic ngắn gọn này để nắm được các bước tóm lược về bảo mật website WordPress.

Còn dưới đây là các bước chi tiết để bạn áp dụng cho website WordPress của mình.

Phần (a): Bảo mật trang đăng nhập và ngăn chặn các cuộc tấn công

Mọi người đều biết URL đăng nhập WordPress dạng tiêu chuẩn. Các phụ trợ của website được đều được truy cập từ đó, và đó là lý do tại sao những kẻ muốn tấn công mã hóa chỉ cần thêm /wp-login.php hoặc /wp-admin/ ở cuối tên miền của bạn.

Đề xuất được chúng tôi gợi ý là là bạn nên thay đổi URL trang đăng nhập và  và các trang tương tác khác. Đó là điều đầu tiên mà bạn nên làm khi bắt đầu bảo mật website của mình.

Dưới đây là một số gợi ý để bảo mật trang đăng nhập của bạn:

Thiết lập khóa website và chặn người dùng

Tính năng khóa tài khoản khi đăng nhập không thành công có thể giải quyết được một vấn đề lớn, tức là ngăn chặn nỗ lực tấn công dạng Brute-Force Attack. Bất cứ khi nào có một nỗ lực tấn công với các mật khẩu sai liên tục lặp đi lặp lại, website sẽ bị khóa, và bạn sẽ nhận được thông báo về hoạt động trái phép này.

Nhiều người dùng WordPress công nhận rằng plugin Bảo mật iThemes là một trong những plugin tốt nhất hiện có. Ngoài ra, cũng có rất nhiều plugin cung cấp các tính năng tương tự như này. Bạn có thể đặt giới hạn số lần đăng nhập thất bại nhất định trước khi bắt đầu chặn địa chỉ IP của kẻ tấn công.

Sử dụng xác thực 2 yếu tố

Việc sử dụng phương pháp xác thực 2 yếu tố (2FA) tại trang đăng nhập là một biện pháp bảo mật tốt khác. Trong trường hợp này, người dùng phải cung cấp các chi tiết đăng nhập cho bước khác nhau. Chủ website quyết định những gì nên được dùng làm bảo mật hai lớp. Đây có thể là mật khẩu thông thường theo sau bởi câu hỏi bí mật, mã bí mật, tập hợp các ký tự, v.v.

Đây là phương pháp khá phổ biến, dần được sử dụng rộng rãi trong cộng đồng Webmaster. Lựa chọn tốt nhất mà bạn có thể tham khảo là sử dụng Plugin Google Authenticator chỉ sau vài cú nhấp chuột.

Sử dụng email để đăng nhập

Theo mặc định, bạn phải nhập tên đăng nhập của mình để đăng nhập. Sử dụng ID email thay vì tên người dùng là một cách đăng nhập an toàn hơn. Lý do ở đây khá rõ ràng. Tên người dùng dễ dự đoán, trong khi ID email thì lại không. Ngoài ra, bất kỳ tài khoản người dùng WordPress nào luôn được tạo bằng một địa chỉ email duy nhất, làm cho nó trở thành một thông tin đăng nhập hợp lệ.

WP Email Login là một plugin rất dễ sử dụng, nó bắt đầu hoạt động ngay sau khi kích hoạt và nó không đòi hỏi cấu hình đặc biệt. Để kiểm tra nó, chỉ cần đăng xuất khỏi website của bạn và sau đó đăng nhập lại, nhưng lần này đăng nhập sử dụng địa chỉ email mà bạn đã tạo tài khoản.

Đổi URL đăng nhập của bạn

Để thay đổi URL đăng nhập là một việc khá dễ dàng. Trang đăng nhập mặc định WordPress có thể được truy cập dễ dàng qua wp-login.php hoặc wp-admin bằng cách thêm vào URL chính của website.

Khi các hacker biết URL trực tiếp của trang đăng nhập của bạn, chúng có thể cố gắng tìm cách đăng nhập vào bằng GWDb (Guess Work Database, ví dụ: tên người dùng: admin và mật khẩu: p @ ssword … với hàng triệu kết hợp như vậy).

Thủ thuật nhỏ này có thể giúp hạn chế các thực thể trái phép truy cập vào trang đăng nhập. Chỉ những người có URL chính xác mới truy cập được. Một lần nữa, plugin iThemes Security có thể giúp bạn thay đổi URL đăng nhập của bạn. Như vậy:

Thay đổi wp-login.php thành một cái gì đó độc đáo; ví dụ. my_new_login

Thay đổi / wp-admin / với một cái gì đó độc đáo; ví dụ. my_new_admin

Thay đổi /wp-login.php?action=register to something unique; ví dụ. my_new_registeration

Điều chỉnh mật khẩu của bạn

Bạn phải luôn để mắt tới mật khẩu của website và thay đổi chúng thường xuyên. Cải thiện sức mạnh của chúng bằng cách thêm chữ hoa và chữ thường, số và ký tự đặc biệt (Nếu bạn chưa biết cách tạo mật khẩu mạnh, có thể tham khảo bài viết: Mật khẩu mạnh và an toàn).

Phần (b): Bảo mật website WordPress bằng bảo vệ bảng điều khiển quản trị của bạn

Đối với một hacker, phần hay ho nhất của một website chính là bảng điều khiển quản trị (admin panel), thực sự đây cũng là phần được bảo vệ mạnh nhất. Vì vậy, tấn công vào phần mạnh nhất này là thách một thức thực sự và, nếu đã hoàn thành, nó sẽ mang lại cho các hacker một chiến thắng lớn, cho phép truy cập bất hợp pháp và gây thiệt hại to lớn.

Dưới đây là những gì bạn có thể làm:

Bảo vệ thư mục wp-admin

Thư mục wp-admin là trung tâm của bất kỳ website WordPress nào. Do đó, nếu phần này của website bị xâm phạm thì toàn bộ website có thể bị ảnh hưởng.

Để ngăn chặn điều này là đặt mật khẩu bảo vệ thư mục wp-admin. Với biện pháp bảo mật như vậy, chủ sở hữu website có thể truy cập vào bảng điều khiển bằng cách gửi hai mật khẩu. Một bảo vệ các trang đăng nhập, và một mật khẩu khác để bảo vệ khu vực quản trị WordPress. Nếu người dùng website gặp phải yêu cầu truy cập vào một số phần cụ thể của wp-admin, bạn có thể bỏ chặn những phần đó và tiếp tục khóa phần còn lại.

Bạn có thể sử dụng plugin AskApache Password Protect để bảo vệ khu vực quản trị. Nó sẽ tự động tạo ra một tập tin  .htpasswd, giúp cho mật khẩu được mã hóa và cấu hình các quyền truy cập của tập tin được tăng cường bảo mật.

Sử dụng SSL để mã hóa dữ liệu

Thực hiện chứng chỉ SSL (Secure Socket Layer) là một bước đi thông minh để bảo vệ bảng quản trị (Admin Panel). SSL đảm bảo truyền dữ liệu an toàn giữa các trình duyệt của người dùng và máy chủ, làm cho các hacker gặp khó khăn trong việc thực hiện các vi phạm kết nối hoặc lừa đảo thông tin của bạn.

Đăng ký để được cấp giấy chứng nhận SSL cho website WordPress của bạn không phải là vấn đề khó. Bạn có thể mua một từ một số công ty chuyên về SSL hoặc yêu cầu đến công ty lưu trữ của bạn để có được chứng chỉ SSL (nó thường là một lựa chọn với gói hosting của họ). Bất kỳ công ty lưu trữ tốt như SiteGround đều cung cấp miễn phí Let’s Encrypt với gói hosting của họ. Hoặc nếu bạn quan tâm tới các cách thức khác để nhận được chứng chỉ SSL, có thể tham khảo bài viết này

Chứng chỉ SSL cũng ảnh hưởng đến thứ hạng website của bạn trên Google. Google xếp hạng các website có SSL ở vị trí cao hơn các website không có SSL. Điều đó có nghĩa là lượng truy cập sẽ nhiều hơn. Bây giờ ai lại không muốn điều đó?

Thêm tài khoản người dùng cẩn thận

Nếu bạn chạy một blog WordPress, hoặc đúng hơn là một blog của nhiều tác giả, sau đó bạn cần phải đối phó với nhiều người truy cập vào bảng quản trị của bạn. Điều này có thể làm cho website của bạn dễ gặp phải các vấn đề bảo mật hơn.

Bạn có thể sử dụng plugin như Force Strong passwords cho người dùng của mình nếu bạn muốn đảm bảo rằng bất kỳ mật khẩu nào người dùng sử dụng đều đảm bảo các tiêu chí bảo mật dù đây chỉ là một biện pháp phòng ngừa.

Thay đổi tên người dùng quản trị

Trong quá trình cài đặt WordPress, bạn không nên chọn “admin” làm tên người dùng cho tài khoản quản trị chính của bạn. Tên người dùng dễ đoán rất dễ bị tin tặc tiếp cận. Chúng chỉ cần biết mật khẩu, và toàn bộ website của bạn có thể bị tấn công. Đây thực sự là một thói quen xấu nhưng lại phổ biến ở hầu hết người dùng WordPress hiện nay.

Ngoài ra, bạn có thể sử dụng The iThemes Security để có thể để ngăn chặn những nỗ lực tấn công bằng cách ngay lập tức cấm bất kỳ địa chỉ IP cố gắng để đăng nhập với tên một người dùng nào đó.

Theo dõi các tệp tin của bạn

Nếu bạn muốn thêm vào một số hình thức bảo mật cao hơn, bạn có thể giám sát các thay đổi đối với các tệp của website thông qua các plugin như Wordfence, hoặc một lần nữa, iThemes Security.

Theo dõi các tệp tin thông qua Wordfence
Theo dõi các tệp tin thông qua Wordfence

Phần (c): Bảo mật cơ sở dữ liệu

Tất cả dữ liệu và thông tin của website của bạn được lưu trữ trong cơ sở dữ liệu. Bảo vệ nó là điều rất quan trọng. Dưới đây là một vài việc bạn có thể làm để bảo mật cơ sở dữ liệu.

Thay đổi tiền tố trong bảng cơ sở dữ liệu WordPress

Nếu bạn đã từng cài WordPress thì bạn đã quen thuộc với tiền tố wp-table được sử dụng trong cơ sở dữ liệu WordPress. Chúng tôi khuyên bạn nên thay đổi nó thành một tiền tố độc đáo hơn.

Sử dụng tiền tố mặc định làm cho cơ sở dữ liệu website của bạn dễ bị tấn công bằng SQL injection. Có thể ngăn chặn những cuộc tấn công như vậy bằng cách thay đổi cụm từ wp- sang một số thuật ngữ khác, ví dụ: bạn có thể làm cho nó mywp-, wpnew-, v.v.

Nếu bạn đã cài đặt website WordPress với tiền tố mặc định, thì bạn có thể sử dụng một vài plugin để thay đổi nó. Các trình plugin như WP-DBManager hoặc iThemes Security có thể giúp bạn thực hiện công việc chỉ với một cú nhấp chuột. (Hãy chắc chắn rằng bạn sao lưu website của bạn trước khi làm bất cứ điều gì với cơ sở dữ liệu).

Sao lưu website của bạn thường xuyên

Bất kể bạn có bảo mật website WordPress của bạn như thế nào, vẫn có thể có những cải tiến để làm nó tốt hơn. Tuy nhiên, việc quan trọng nhất vẫn là sao lưu off-site – lựa chọn tốt nhất cho dù có chuyện gì xảy ra.

Nếu bạn có bản sao lưu, bạn luôn có thể khôi phục lại website WordPress của mình về bất kỳ trạng thái nào bạn muốn. Có một số plugin có thể giúp bạn làm điều này.

Một số plugin hỗ trợ sao lưu offsite
Một số plugin hỗ trợ sao lưu offsite

Nếu bạn đang tìm kiếm một giải pháp bảo mật thì VaultPress của Automattic là một lựa chọn tuyệt vời. Bạn có thể thiết lập sao lưu liên tục theo khoảng thời gian nhất định. Và bất cứ sự cố gì xảy ra, bạn có thể dễ dàng khôi phục website chỉ với một cú nhấp chuột. Trên hết, nó cũng giúp kiểm tra website và phát hiện phần mềm độc hại, và cảnh báo cho chủ web nếu bất cứ điều gì bất thường nào đang xảy ra.

Đặt mật khẩu mạnh cho cơ sở dữ liệu của bạn

Một mật khẩu mạnh là bắt buộc phải có đối với cho người sử dụng cơ sở dữ liệu của một WordPress sử dụng để truy cập cơ sở dữ liệu.

Như thường lệ, sử dụng chữ hoa, chữ thường, số và ký tự đặc biệt cho mật khẩu. Để tìm hiểu sâu hơn về mật khẩu mạnh và an toàn, bạn có thể tham khảo bài viết:Mật khẩu mạnh và an toàn).

Phần (d): Bảo vệ thiết lập lưu trữ của bạn

Hầu như tất cả các công ty lưu trữ đều cung cấp một môi trường tối ưu hóa cho WordPress, nhưng chúng ta vẫn có thể làm thêm một vài bước khác:

Bảo vệ tệp wp-config.php

Tệp wp-config.php chứa thông tin quan trọng về cài đặt WordPress của bạn và đó thực sự là tệp quan trọng nhất trong thư mục gốc của website. Bảo vệ nó có nghĩa là bảo vệ toàn bộ cốt lõi, linh hồn của trang WordPress.

Mọi việc sẽ trở nên khó khăn cho các hacker truy cập trái phép website nếu tệp wp-config.php là không thể truy cập được đối với chúng. Tin vui là việc này lại thật sự dễ dàng. Bạn chỉ cần lấy tập tin wp-config.php của bạn và di chuyển nó đến một cấp độ cao hơn thư mục gốc của bạn là mọi việc có thể được giải quyết.

Bây giờ câu hỏi là, nếu bạn lưu trữ nó ở nơi khác, làm thế nào để truy cập vào máy chủ? Trong kiến ​​trúc WordPress hiện tại, tệp tin cài đặt cấu hình wp-config.php được đặt cao nhất trong danh sách ưu tiên. Vì vậy, ngay cả khi nó được lưu trữ một lần trên thư mục gốc, WordPress vẫn có thể tìm thấy nó.

Không cho phép chỉnh sửa tập tin

Nếu người dùng có quyền truy cập admin vào bảng điều khiển WordPress của bạn thì họ có thể chỉnh sửa bất kỳ tệp nào vốn là một phần của cài đặt WordPress của bạn. Điều này bao gồm tất cả các plugin và theme.

Tuy nhiên, nếu bạn không cho phép chỉnh sửa tệp, ngay cả khi một hacker có quyền truy cập quản trị vào bảng điều khiển WordPress của bạn, chúng sẽ không thể sửa đổi bất kỳ tệp nào.

Để không cho phép hacker có thể sửa đổi tệp tin, Thêm dòng sau vào cuối tệp tin wp-config.php :

define('DISALLOW_FILE_EDIT', true);

Kết nối máy chủ chính xác

Khi thiết lập website của bạn, hãy kết nối máy chủ qua SFTP hoặc SSH. SFTP luôn được ưu tiên hơn FTP truyền thống vì các tính năng bảo mật của nó.

Kết nối máy chủ theo cách này đảm bảo truyền tải an toàn cho tất cả các tệp. Nhiều nhà cung cấp lưu trữ đã cung cấp dịch vụ này như là một phần của gói sản phẩm. Nếu không, bạn có thể làm điều đó thủ công (chỉ cần google hướng dẫn).

Thiết lập quyền truy cập thư mục một cách cẩn thận

Cấp phép thư mục sai có thể gây nguy hiểm, đặc biệt nếu bạn đang làm việc trong môi trường chia sẻ lưu trữ.

Trong trường hợp như vậy, việc thay đổi các tệp tin và quyền truy cập thư mục là một bước đi tốt để bảo mật website ở cấp lưu trữ. Thiết lập quyền truy cập thư mục sang “755” và các tệp tin sang “644” sẽ giúp bảo vệ toàn bộ hệ thống tập tin – thư mục, thư mục con và các tệp cá nhân.

Điều này có thể được thực hiện bằng tay qua File Manager bên trong bảng điều khiển hosting của bạn, hoặc thông qua Terminal (kết nối với SSH) – sử dụng lệnh “chmod”.

Để biết thêm thông tin, bạn có thể cài đặt plugin Bảo mật iThemes để kiểm tra cài đặt quyền truy cập hiện tại của bạn.

Tắt danh sách thư mục bằng .htaccess

Nếu bạn tạo một thư mục mới như một phần của website và không đặt tệp index.html, bạn có thể ngạc nhiên khi thấy rằng khách truy cập của bạn cũng có thể có danh sách thư mục đầy đủ.

Ví dụ: nếu bạn tạo thư mục có tên là “data”, bạn có thể thấy mọi thứ trong thư mục đó chỉ bằng cách nhập trong trình duyệt của bạn nà không cần nhập mật khẩu bảo mật.

Bạn có thể ngăn chặn điều này bằng cách thêm dòng mã sau trong tệp tin .htaccess của bạn:

Options All -Indexes

Phần (e): Bảo vệ các theme và plugin của WordPress

Theme và plugin là thành phần thiết yếu của bất kỳ website WordPress nào. Thật không may, chúng cũng có thể đặt ra những mối đe dọa an ninh nghiêm trọng. Chúng ta hãy tìm hiểu làm thế nào chúng ta có thể bảo vệ Theme và Plugin của WordPress đúng cách:

Cập nhật thường xuyên

Mỗi sản phẩm phần mềm tốt đều được hỗ trợ bởi các nhà phát triển, và WordPress cũng được cập nhật rất thường xuyên. Các bản cập nhật này nhằm khắc phục lỗi và đôi khi có các bản vá bảo mật quan trọng.

Việc không cập nhật các theme và plugin có thể gây rắc rối nghiêm trọng. Nhiều tin tặc dựa vào thực tế rằng mọi người không thèm bận tâm đến cập nhật các plugin và theme của mình để tiến hành các cuộc tấn công. Theo cách thông thường, những hacker khai thác lỗi đã được khắc phục và kết quả là những người dùng không nhận bản vá cập nhật sẽ trở thành nạn nhân của những cuộc tấn công bảo mật.

Vì vậy, nếu bạn đang sử dụng các sản phẩm WordPress, hãy nhớ cập nhật chúng thường xuyên. Cập nhật plugins, theme, nói chung là mọi thứ.

Xóa số phiên bản WordPress của bạn

Số phiên bản WordPress hiện tại của bạn có thể được tìm thấy rất dễ dàng. Về cơ bản là nó ở ngay trong nguồn của website của bạn. Vấn đề ở chỗ, nếu các hacker biết phiên bản WordPress bạn sử dụng, chúng sẽ dễ dàng tiến hành một cuộc tấn công thành công.

Bạn có thể ẩn số phiên bản của bạn với hầu hết các plugin bảo mật được đề cập ở trên.

Tuy nhiên, nếu bạn đang ở trong tình huống không may là bạn đã bị tấn công, đây là cách bạn có thể làm sạch website WordPress của bạn, với sự giúp đỡ của CyStack Platform. Cơ chế ở đây là: CyStack Platform sẽ quét toàn bộ các tệp tin trên máy chủ Web để phát hiện và cảnh báo các tệp tin Webshell, Backdoor và các tệp tin bị lây nhiễm mã độc. Sau đó CyStack Platform sẽ đưa ra gợi ý giúp quản trị viên để làm sạch, xóa bỏ các tệp tin độc hại này.

Tổng kết

Nếu bạn là một người mới bắt đầu với WordPress thì có rất nhiều điều cần phải nghiên cứu. Tất cả mọi thứ được đề cập trong bài viết này là những bước đầu bạn có thể áp dụng để cải thiện bảo mật cho website. Bạn càng quan tâm đến bảo mật website WordPress của mình, sẽ càng khó khăn để một hacker có thể đột nhập và phá hoại nó.

Đọc thêm về 7 bước để phòng chống website bị hack ở đây.

CyStack

Nhận những bài viết
chất lượng do chúng tôi chọn lọc








Email