Hướng dẫn bảo mật website WordPress trước tin tặc

Dưới đây là các gợi ý giúp bạn bảo vệ một website WordPress khỏi nguy cơ bị hack, bao gồm các plugin bảo mật nên dùng.  WordPress là mục ti...

Dưới đây là các gợi ý giúp bạn bảo vệ một website WordPress khỏi nguy cơ bị hack, bao gồm các plugin bảo mật nên dùng. 

WordPress là mục tiêu thường xuyên của các tin tặc. Chúng nhắm đến theme, file lõi của WordPress, các plugin và cả trang đăng nhập. Dưới đây là các bước để giúp trang của bạn khó bị hack hơn và có thể được khôi phục một cách dễ dàng nếu việc đó xảy ra. 

Tin tặc tấn công WordPress bằng cách nào?

Tất cả các trang web trên Internet đều thường xuyên bị tấn công, từ diễn đàn phpBB cho đến website WordPress.Tin tặc thường không quét hàng ngàn trang web hoặc cố gắng đăng nhập hàng trăm lần một ngày.

Và đó là trường hợp chỉ có một tin tặc. Các website thường bị tấn công bởi nhiều tin tặc cùng một lúc. 

Thông thường, không phải các hacker đang tấn công trang web của bạn. Bọn họ sử dụng phần mềm tự động để quét trang web và tìm những điểm yếu cụ thể của trang web.

Những phần mềm tự động dùng để quét trang web được gọi là bot. Chúng được gọi là hacker bot để phân biệt với “bot nạo vét” (phần mềm copy nội dung).

Bảo vệ website WordPress của bạn bằng tường lửa

Tường lửa là chương trình chặn những kẻ xâm nhập. Theo tác giả, tường lửa tốt nhất trên WordPress là một plugin có tên Wordfence. 

Wordfence sẽ kiểm tra nếu khách truy cập website có hành vi giống bot gây hại. Nếu con bot vi phạm những luật lệ nhất định, ví dụ như truy cập quá nhiều trang web trong một thời gian ngắn, Wordfence sẽ tự động chặn con bot đó.

Wordfence được lập trình để cho phép những bot hợp lệ như Google và Bing quét trang web.

Plugin này có nhiều tính năng cao cấp giúp người xuất bản biết bot nào đang tấn công trang web và biết được con bot đến từ đâu, ví dụ nếu nó là bot từ dịch vụ Amazon Web Services hoặc Bluehost, Wordfence cung cấp cho người xuất bản khả năng chặn con bot bằng địa chỉ IP của chúng. Bao gồm toàn bộ địa chỉ IP hoặc ngay cả phần mềm thay mặt3 người dùng trên trình duyệt giả mà con bot đang sử dụng 

Về các phần mềm thay mặt người dùng (User agents)

Phần mềm thay mặt người dùng là thông tin định danh mà trình duyệt gửi có chức năng cho một trang web biết thông tin về trình duyệt (Chrome, Firefox, Vivaldi), và hệ điều hành (Windows 10, Mac OS X)

Ví dụ, đây là một chuỗi của phần mềm thay mặt người dùng của trình duyệt Safari 11 trên máy tính cài hệ điều hành Mac OS X:

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.1.2 Safari/605.1.15

Các con bot dùng rất nhiều phần mềm thay mặt người dùng khác nhau nhằm đánh lừa website để thâm nhập. Ví dụ, một vài bot giả dạng trình duyệt trên Windows XP.

Số lượng người dùng thực tế của hệ điều hành Win XP gần như bằng không. Bạn có thể tạo một luật bằng Wordfence nhằm chặn tất cả phần mềm thay mặt người dùng sử dụng hệ điều hành Windows XP. Bằng một luật đó bạn có thể chặn hàng ngàn bot xấu, bất kể chúng đến từ quốc gia hay sử dụng địa chỉ IP nào.

Các bot xấu đôi lúc sẽ đáp trả bằng cách chuyển sang một phần mềm tay mặt người dùng khác. Bằng cách kết hợp nhiều luật với nhau, người xuất bản có khả năng chặn nhiều kiểu bot tin tặc.

Bạn có thể thực hiện những biện pháp trên chỉ với phiên bản miễn phí của Wordfence.

Phiên bản trả phí có thể chặn cả một quốc gia. Nếu bạn không có khách truy cập hợp lệ từ một số quốc gia xác định, bạn có thể chặn tất cả khách truy cập đến từ các quốc gia đó.

Bảo vệ WordPress khỏi nguy cơ bị tấn công exploit

Bên cạnh đó, phiên bản trả phí của WordPress sẽ bảo vệ bạn trong trường hợp bạn cài theme và plugin có lỗ hổng bảo mật, trước cả khi chúng được vá.

Ngay khi các nhà nghiên cứu của Wordfence phát hiện lỗ hổng bảo mật, họ sẽ cập nhật bản cao cấp của tường lửa nhằm cung cấp cho khách hàng khả năng bảo mật trước các cuộc tấn công exploit, đôi lúc là nhiều tuần trước khi lỗ hổng bảo mật được vá bởi các nhà phát triển theme và plugin có lỗ hổng. 

Tăng cường bảo mật website

Một plugin miễn phí khác cung cấp một lớp bảo mật bổ sung có tên là Sucuri Security. Sucuri (được sở hữu bởi GoDaddy) giúp tăng cường bảo mật WordPress bằng cách chặn các bot xấu trước khi chúng thực hiện các cuộc tấn công nhất đinh. Plugin này cũng có tính năng quét mã độc và sẽ kiểm tra tất cả các file để xem chúng có bị thay đổi hay không.

Sucuri sẽ cảnh báo bạn khi có bất kì ai đăng nhập vào trang của bạn, giúp người xuất bản phát hiện nếu có một tin tặc đang đăng nhập vào. Sucuri cũng có thể cảnh báo người xuất bản nếu có một file bị thay đổi, một hành vi của các hacker.

Dưới đây là các tính năng của phiên bản Sucuri miễn phí:

• Kiểm tra hoạt động bảo mật
• Theo dõi tính nguyên vẹn của file
• Quét mã độc từ xa
• Theo dõi blacklist
• Tăng cường bảo mật một cách hiệu quả
• Thực hiện các hoạt động bảo mật sau khi bị hack
• Thông báo lỗi bảo mật

Phiên bản trả phí của Sucuri sẽ bao gồm một tường lửa cho website. 

Hạn chế đăng nhập vào trang của bạn

Wordfence có khả năng chặn những con bot liên tục lặp lại hành động điền tên và mật khẩu đăng nhập trên trang đăng nhập của WordPress.

Nhưng nếu bạn muốn tập trung vào việc hạn chế những cuộc đăng nhập đó, có một plugin tên Limit Login Attempts Reloaded có khả năng cho phép người xuất bản tự động chặn tất cả tin tặc khi chúng nhập tên đăng nhập và mật khẩu sai trong một số lần nhất định. Ví dụ, bạn có thể chỉnh nó để chặn tất cả tin tặc sau ba lần nhập sai mật khẩu. 

Dưới đây là các tính năng của chương trình chặn đăng nhập:

• Hạn chế số lần lặp lại hành động đăng nhập (của mỗi IP). Tính năng này có thể được tùy chỉnh toàn bộ.
• Thông báo cho người dùng về số lần thử còn lại hoặc thời gian bị tạm khóa khỏi trang đăng nhập.
• Thiết lập tùy chọn đăng nhập và tùy chọn thông báo qua email
• Thiết lập whitelist/ blacklist cho các IP và Tên người dùng
• Tích hợp Tường lửa Sucuri cho Website
• Bảo mật cổng XMLRPC
• Bảo mật trang dăng nhập Woocommerce.
• Tương thích nhiều trang với cài đặt MU bổ sung.
• Tương thích với GDPR. Khi tính năng này được bật lên, tất cả IP đã đăng nhập sẽ bị xáo trộn (bị cắt theo chuẩn md5)
• Hỗ trợ nguồn IP tùy biến (Cloudflare, Sucuri, ..v..v..)

Plugin Limit Login Reloaded cung cấp một phương pháp nhanh gọn để chặn hacker bot đang cố đoán mật mã.

Backup trang web Wordpress của bạn

Bạn cần tính năng tự động tạo backup mỗi ngày cho website của bạn. Trong trường hợp trang web bị đánh sập, bạn có thể phục hồi lại trang bằng một bản backup.

Có rất nhều giải pháp backup nhưng người viết thấy hữu ích nhất là plugin UpdraftPlus Wordpress Backup. UpdraftPlus được tin dùng bởi hơn hai triệu người dùng, và là một lựa chọn đáng cân nhắc.

Nó có thể được tùy chỉnh để gửi bản backup hàng ngày qua email hoặc tải lên một dịch vụ lưu trữ đám mây như Dropbox.

Tác giả từng một lần vô tình xóa toàn bộ file bố cục theme khỏi trang web của mình, khiến bố cục trang bị xóa sạch hoàn toàn. Sau đó trang web đã được phục hồi một cách dễ dàng bằng một bản backup từ UpdraftPlus. 

Cập nhật tất cả theme và plugin

Bạn cần phải liên tục cập nhật tất cả theme và plugin. WordPress cung cấp một cách để cập nhật toàn bộ plugin một cách tự động, điều đó tạo sự tiện lợi cho các nhà xuất bản hoặc các doanh nghiệp không đăng nhập và cập nhật thường xuyên.

Bằng cách bật tính năng cập nhật tự động, một người xuất bản có thể chắc chắn rằng anh/cô ta đã có những phần mềm hiện đại nhất. Dùng một plugin cũ là một trong những sơ hở khiến bạn dễ bị hack nhất.

Có rất nhiều lý do để không bật tính năng cập nhật tự động lên, nhưng những sự cố thường rất hiếm khi xảy ra. Ví dụ, một plugin được cập nhật sẽ không tương thích với các plugin khác.

Nhưng với những trang web không được thay đổi thường xuyên, tinh năng cập nhật tự động có thể là một tính năng hữu ích.

Hãy coi chừng các plugin bị bỏ rơi

Lời cảnh cáo cuối cùng là về các plugin bị bỏ rơi. Một số plugin có thể tiếp tục hoạt động nhiều năm sau khi bị bỏ rơi bởi chính nhà phát triển của mình. Các plugin này có nguy cơ chứa lỗ hổng bảo mật. Do chúng đã bị bỏ rơi, những lỗ hổng đó sẽ không bao giờ được vá,

Một vấn đề khác là các hacker đôi lúc sẽ mua các plugin cũ và cập nhật chúng với mã độc và virus.

Hãy kiểm tra tất cả plugin WordPress của bạn để đảm bảo chúng không bị bỏ rơi và được cập nhật thường xuyên. 

Bảo vệ website WordPress của bạn trước các tin tặc

Với nhiều nhà thiết kế web, việc thực hiện các bước nhỏ trên đây đủ sức bảo mật trang web khỏi nguy cơ bị hack. Bản miễn phí của những plugin được liệt kê sẽ đem đến khả năng bảo mật tuyệt vời và bản trả phí của chúng đem lại khả năng bảo mật cao hơn nữa.

Có rất nhiều plugin bảo mật và một số chúng có thể chứa lỗ hổng bảo mật. Wordfence và Sucuri là lựa chọn hàng đầu để bảo mật website WordPress. .

Hãy theo dõi những bài viết tiếp theo của VLINK về chủ đề dịch vụ SEO, Thiết kế web chuẩn SEO, Marketing hiệu quả.