Hướng dẫn toàn tập về bảo mật trong WordPress

Bảo mật trong WordPress là một chủ đề rất quan trọng cho mọi người dùng WordPress. Mỗi tuần, Google liệt kê vào danh sách đen của họ khoảng 20,000 website vì nhiễm malware và khoảng 50,000 vì chứa các nội dung lừa đảo. Nếu bạn thực sự quan tâm đến website của mình thì bạn cần chú ý đến vấn đề bảo mật trong WordPress. Trong bài viết này chúng tôi sẽ chia sẻ với bạn các thủ thuật bảo mật trong WordPress và giúp bạn bảo vệ website khỏi hacker hay mã độc.

wordpress-security

Mặc dù bản thân WordPress là một nền tảng có độ bảo mật cao và nó thường xuyên được sửa lỗi bởi hàng trăm lập trình viên, nhưng có rất nhiều thứ bạn có thể làm để gia tăng độ bảo mật của một trang web sử sụng WordPress.

 

Tại sao bảo mật website lại quan trọng?

Một trang web bị hacker xâm nhập có thể gây thiệt hại nghiêm trọng cho website và uy tín của website. Hacker có thể đánh cắp thông tin người dùng, mật khẩu, cài đặt các phần mềm độc hại, và ngay cả phát tán mã độc đến người dùng của bạn.

Tồi tệ hơn, bạn có thể phải trả một khoản tiền chuộc để lấy lại quyền truy cập website của bạn.

whysecurityisimportant

Vào tháng 3 2016, Google thông báo rằng có hơn 50 triệu người sử dụng website được cảnh báo họ đang truy cập trang web có mã độc hoặc đánh cắp thông tin.

Hơn nữa, Google thêm vào dánh sách đen 20,000 website vì chứa mã độc và khoảng 50,000 website vì lừa đảo mỗi tuần.

Nếu bạn đang vận hành một trang web về kinh doanh thì bạn càng phải chú ý đến vấn đề bảo mật.

Luôn cập nhật WordPress

wpupdates

WordPress là một phần mềm nguồn mở nên thường có các bản vá lỗi, cập nhật. WordPress mặc định tự động cài đặt các bản cập nhật nhỏ. Với các phiên bản mới được phát hành, bạn cần khởi động tiến trình cập nhật bằng tay.

WordPress có hàng ngàn plugin và chủ đề mà bạn có thể cài đặt trong website của bạn. Những plugin và chủ đề được duy trì bởi các lập trình viên bên ngoài, nên chúng cũng thường nhận được các bản cập nhật.

Những bản cập nhật này rất quan trọng. Nó không chỉ vá các lỗi bảo maaht mà còn đảm bảo sự ổn định của phần mềm. Bạn cần chú ý đến việc cập nhật WordPress, các plugin và chủ đề thường xuyên.

 

Mật khẩu mạnh và đặt quyền người dùng

strongpasswords

Hình thức tấn công WordPress phổ biên nhất là sử dụng các mật khẩu đánh cắp. Bạn có thể tránh việc này bằng việc sử dụng mật khẩu mạnh, mật khẩu duy nhất cho website của bạn, không được dùng mật khẩu trùng với các trang khác.

Không chỉ khu vực quản trị viên WordPress mà còn tài khoản FTP, cơ sở dữ liệu, tài khoản hosting, và cả tài khoản email.

Nguyên nhân mà nhiều người dùng không muốn sử dụng mật khẩu mạnh là chúng khó nhớ. Bạn có thể sử dụng các trình quản lí mật khẩu. Xem hướng dẫn tại đây.

Một cách khác để giảm thiểu rủi ro là không cho bất kì ai có quyền vào truy cập với tư cách quản trị viên trong website của bạn trừ trường hợp bất khả kháng. Nếu bạn có một đội ngũ hay cộng tác viên thì bạn có thể đặt quền truy cập phù hợp cho từng đối tượng, xem các quyền truy caajo tại đây.

 

Vai trò của hosting WordPress

Dịch vụ hosting mà bạn sử dụng đóng vài trò quan trọng trong bảo mật website. Những nhà cung cấp hosting uy tín như BlueHost hay Sitegruond luôn có các biện pháp để bảo vệ máy chủ của họ khỏi các mối đe dọa.

Tuy nhiên, với các dịch vụ chia sẻ hosting, bạn chia sẻ tài nguyên máy chủ với rất nhiều người người dùng khác. Đây là một lỗ hổng hacker có thể lợi dụng, hacker sẽ sử dụng một website ‘hàng xóm’ để tấn công website của bạn.

Sử dụng hosting do chính bạn quản lí sẽ tránh được điều này, nó cung cấp một nền tảng an toàn cho website của bạn. Những công ty cung câp dịch vuh hosting cung cấp sẵn cho bạn chức năng tự động sao lưu, tự động cập nhật WordPress, và nhiều tùy biến để gia tang bảo mật website của bạn.

Chúng tối khuyên bạn nên dùng WPEngine, đay là nhà cung cấp hosting tự quản lí phổ biến trên lĩnh vực hosting.

 

Bảo mật WordPress trong vài bước đơn giản (không viết code)

Chúng tôi biết rằng nhiều người dùng WordPress có thể thấy sợ khi nói đến vấn đề bảo mật WordPress. Đặc biệt khi họ không rành kiến thức về công nghệ.

Chúng tôi sẽ hướng dẫn bạn gia tang bảo mật cho trang WordPress mà không đòi hỏi bạn hiểu biết nhiều về công nghệ.

Cài đặt một chương trình sao lưu WordPress

backup-1

Sao lưu là sự phòng vệ đầu tiên của bạn để chống lại bất kỳ cuộc tấn công nào. Hãy nhớ, không gì là 100% an toàn. Đến website của chính phủ còn bị tấn công thì website của bạn cũng vậy.

Sao lưu cho phép bạn nhanh chóng phục hồi trang WordPress của bạn trong trường hợp website của bạn bị mất dữ liệu.

Có rất nhiều plugin cho phép bạn sao lưu dữ liệu, cả miễn phí và trả phí.

Điều quan trọng là bạn cần nhớ khi bạn sao lưu dữ liệu trang web, bạn cần thường xuyên sao lưu toàn bọ dữ liệu trang web và lưu trữ trên một kho lưu trữ nào đó (không phải host của bạn).

Chúng tôi khuyên bạn dùng các dịch vụ đám mây như Amazon, Dropbox, OneDrive,…

Bạn có thể dùng các plugin như VaultPress or BackupBuddy để đặt lịch sao lưu. Chúng đều tin cậy và quan trọng là dễ sử dụng (không cần code).

Sử dụng các plugin có chức năng bảo mật wodpress

Sau khi sao lưu dữ liệu, việc tiếp theo chúng ta cần làm là cài đặt một hệ thống kiểm soát để giám sát các hoạt động xảy ra trong website như kiểm soát đăng nhập website, quét mã độc,…

Tất cả các việc này có thể thực hiện bởi plugin Sucuri Scanner.

Bạn có thể cài đặt và kích hoạt plugin này miễn phí tại đây.

Khi đã kích hoạt, bạn cần đi đển menu Sucuri trong khu vực quản trị viên WordPress.

sucuriadminmenu

Đầu tiên trang sẽ yêu cầu bạn tạo một mã API miễn phí. Điều này giúp bạn bật chức năng kiểm soát đăng nhập, cảnh báo email hay các tính năng khác.

sucurifreeapi

Tiếp theo, bạn cần nhấp chuột vào tab được in đậm trong menu Sucuri. Bỏ qua mọi tùy chọn và nhấp chuột vào “Harden”.

Nhũng tùy chọn này giúp bạn khóa những vùng hacker thường sử dụng để tấn công. Tùy chọn duy nhất bạn cần trả phí là Firewall, chúng tôi sẽ nói kĩ về firewall ở phần sau.

Chúng tôi cũng sẽ nói về rất nhiều các tùy chọn bảo mật khác mà không cần dùng plugin hay thực hiện thêm một sô bước như “Database Prefix change” và  “Changing the Admin Username”

Sau khi thực hiện các tùy chọn này, hầu hết các cài đặt mặc định của plugin đã tối ưu để bảo vệ website nên bạn không cần thay đổi. Mục duy nhất chúng tôi khuyên bạn nên thay đổi là mục cảnh báo email.

Những cài đặt cảnh báo mặc định có thể làm hộp thư đến của bạn bừa bộn. Chúng tôi khuyên bạn nên nhận những cảnh báo cho những hoạt động quan trọng như plugin, người dùng đăng ký mới,…

Bạn có thể tùy chỉnh bằng cách đi đên cài đặt Sucuri  Settings » Alerts.

sucuriemailalerts

Đây là một plugin an ninh WordPress rất mạnh mẽ như là một công cụ quét mã độc,…

Bật firewall

Cách tốt nhất để bảo vệ website của bạn là sử dụng firewall. Firewall sẽ chặn tất cả các truy cập nghi ngờ trước khi nó đến trang của bạn.

sucuriwaf

Chúng tôi khuyên bạn nên dùng Sucuri, đây là firewall tôt nhất cho WordPress.

sucuriattackblockchart

Tính năng hay nhất của Sucuri là nó có chức năng diệt mã độc và khu cách li. Đây la tính năng rất tuyệt vời bởi vì việc phục hồi một website bị hack thì tốn một khoản tiền khá nhiều. Các chuyên gia an ninh ước tính mỗi giờ nó tiêu tốn $250. Trong khi bạn có thể có được toàn bộ gói bảo mật của Sucuri với giá $199 một năm

Ngoài Sucuri, còn có một nhà cung cấp khác là Cloudflare

Bảo mật WordPress không cần nhờ chuyên gia

Nếu bạn có thể làm tất cả các biện pháp ở trên thì chứng tỏ bạn có kỹ năng để thực hiện.

Nhưng có nhiều thứ khác bạn có thể làm để nâng cao bảo mật website, tuy nhiên, nó đòi hỏi nhiều bước cũng như có kiến thức về công nghệ

Thay đổi tên quản trị viên mặc định

Mặc định, tên người dùng quan trị viên WordPress là ‘admin’. Bởi vì tên người dùng đóng góp một nửa thông tin đăng nhập, nên hacker có thể sử dụng phương pháp brute-force attacks (thử tất cả các tên người dùng phổ biến).

Nhưng bạn có thể thay đổi tên người dùng mặc định khi chọn một tên người dùng khác lúc cài đặt WordPress.

Tuy nhiên, vài trình cài đặt WordPress ‘1 nhấp chuột’ vẫn đặt tên quản trị viên mặc định là admin. Nếu bạn nhận ra điều này thì bạn nên thay đổi hosting.

Bởi vì WordPress không cho phép thay đổi người dùng, bạn có 3 cách để thay đổi tên người dùng.

  1. Tạo một tài khoản admin mới và xóa tài khoản cũ
  2. Sử dụng plugin thay đổi tên người dung
  3. Cập nhật tên tài khoản từ phpMyAdmin

Tắt tính năng chỉnh sử tệp tin

WordPress có sẵn trình chỉnh sửa code, cho phép bạn chỉnh sửa chủ đề, plugin ngay trong khu vực quản trị viên WordPress. Nhưng tính năng

này cũng gây ra các rủi ro về bảo mật nên chúng tôi khuyên bạn nên tắt tính năng này.

filediting

 

Bạn có thê tắt bằng cách thêm đoạn code sau trong tệp tin wp-config.php

define( ‘DISALLOW_FILE_EDIT’, true );

Bạn cũng có thể làm việc này trong plugin Sucuri.

 

Tắt tính năng chạy tệp tin PHP trong thư mục WordPress

Bạn cần tắt tính năng chạy tệp tin PHP trong thư mục mà không cần chạy tệp tin PHP như là /wp-content/uploads/.

Bạn mở một trình soạn thảo như  Notepad và dán đoạn code này vào:

<Files *.php>

deny from all

</Files>

Sau đó, bạn lưu tệp tin thành .htaccess và tải lên thư mục /wp-content/uploads/ bằng trình FTP

Bạn cũng có thể làm việc này trong plugin Sucuri.

Giới hạn số lần đăng nhập sai

Mặc định, WordPress cho phép người dùng đăng nhập khong hạn chế số lần. Điều này làm WordPress dễ bị tấn công bởi loại hình ‘brute force’. Hacker sẽ thử mọi mật khẩu thường dùng.

Bạn có thể ngăn chặn vấn đề này bằng cách giới hạn số lần đăng nhập sai. Nếu bạn đang sử dụng firewall thì firewall sẽ có tính năng này.

Tuy nhiên, nếu bạn không sử dụng firewall thì bạn cần làm theo các bước sau.

Đầu tiên, bạn cần cài đặt và kích hoạt plugin Login LockDown.

Khi đã kích hoạt plugin, bạn vào Settings » Login LockDown để cài đặt plugin.

loginlockdown-settings

 

Thay đổi tiền tố trong cơ sở dữ liệu WordPress

Mặc định, WordPress sử dụng wp_ là tiền tố cho tất cả các bảng trong cơ sở dữ liệu của bạn. Nếu trang WordPress sử dụng tiền tố mặc định thì hacker có thể dễ dàng đoán được tên bảng của bạn. Nên chúng tôi khuyên bạn nên thay đổi.

Trả lời

Chúc mừng! Bạn sẽ là người comment đầu tiên.

avatar
wpDiscuz