Những cách bảo mật WordPress không thể bỏ qua

Hãy tưởng tượng vào một ngày đẹp trời, bỗng nhiên bạn không thể truy vập vào địa chỉ website của bạn nữa, vậy là bao mồ hôi công sức của bạn đổ xuống sông xuống biển. Tức là website bạn đã bị tấn công bởi Hacker. Sau quá trình thiet ke web với WordPress sẽ là tối ưu hóa website thân thiện với các công cụ tìm kiếm. Những khâu quan trọng quyết định sự sống còn của website đó chính là bảo mật WordPress.

Ngay bản thân Ithietkeweb.net cũng từng là đối tượng tấn công của nhiều Hacker không chỉ ở Việt Nam mà còn cả những Hacker nước ngoài. Từ những kinh nghiệm thực hiện những dự án website cho khách hàng là người nước ngoài, những kinh nghiệp thực hiện các dự án lớn nhỏ trong nước từ thiết kế tới Seo tới bảo mật. Sau đây công ty thiết kế website OSVN sẽ hướng dẫn một số cách bảo bảo mật WordPress mà bạn không thể bỏ qua.

Cách bảo mật

  • Hosting
  • Ngăn chặn truy ập vào thư mục wp-admin
  • Tạo lớp bảo vệ mật khẩu cho trang quản trị
  • Phân quền cho file/thư mục trên hosting bằng lệnh CHMOD
  • Backup/ Sao lưu Cơ sở dữ liệu
  • Xóa Plugin không cần thiết hoặc ẩn Plugin
  • Cập nhật phiên bản mới nhất WordPress/Plugin
  • Sử dụng một số Plugin bảo mật cho WordPress

Bảo mật WordPress như thế nào

1. Hosting

Hacker xâm nhập website, Blog WordPress của bạn đầu tiên qua việc lợi dụng kẽ hở các website khác cùng dùng chung một server. Khi một server bị ấn công thì bạn sẽ không thể biết Hacker sẽ tấn công vào hosting nào. Chính vì vậy bạn nên sử dụng hosting chất lượng  và bảo mật tốt.

Một trong số những địa chỉ cung cấp hosting tốt nhất mà bạn nên sử dung đó là hosting của Interserver hoặc A2Hosting để nâng cao khả năng bảo mật cho website.

Nếu website blog của bạn có lượng traffic khủng con số cao thì lời khuyên là bạn nên thay thế việc sử dụng hosting bằng việc sử dụng Sever như vậy sẽ tối ưu bảo mật hơn và cũng có thêm nhều tài nguyên để sử dụng. Bởi Shared Hosting ngay cả A2Hosting không phải lúc nào cũng an toàn tốt nhất.

2. Ngăn chặn truy cập vào thư mục wp-admin

Đổi địa chỉ truy cập trang quản trị

Hầu hết các trang web bằng WordPress hiện nay vẫn để đường dẫn đăng nhập là domain/wp-admin. Bởi WordPress quá phổ biến trở thành ối tượng tấn công hàng đầu. Và một khi có thông tin đăng nhập thì việc xâm nhập và website là điều đơn giản, và hiện nay có rất nhiều Script hỗ trợ việc đăng nhập tự động theo một dữ liệu định sẵn thông qua địa chỉ phổ biến này.

Vì vậy, việc cần làm trước tiên sau quy trình thiết kế web là đổi địa chỉ truy cập trang quản trị website. Lời khuyên: bạn có thể sử dụng iThemes Security để tăng cường bảo vệ cho blog, WordPress. Có chỗ trong đó cho phép bạn sửa đổi đường dẫn và trang quản trị thành tên bất kỳ mà bạn muốn dựa vào địa chỉ có sẵn này.

Cách sửa như sau: Sau khi cài xong bạn vào phần Security -> Settings -> Hide Login Erea và sửa lại đường dẫn vào trang quản trị, trang đăng nhập và trang đăng kí theo ý bạn.

http://ithietkeweb.net/wp-content/uploads/2014/10/chinh-sua-duong-dan-trang-quan-tri-wp-admin
Chú ý: Sau khi thực hiện việc đổi đường dẫn truy nhập mà không vào được trang admin thì hãy CHMOD lại file .htaccess lại thành 777 và vào lại nhấn nút Svae Change một lần nữa sau đó vào CHMOD lại một lần nữa thành 644.

Chặn dò mật khẩu Brute Force Attack

Một phương thức tấn công vô cùng phổ hiến mà các Hacker sử dụng hiện nay là hằng ngày họ thu thập hàng trăm website sử dụng CMS WordPress mới. Sau đó tiến hành đăng nhập theo đường dẫn trang quản trị với user/password là admin/123456. Cách tấn công này được gọi là Brute Force Attack.

Vì vây, sẽ rất nguy hiểm nếu chức năng tự động đăng nhập sau một số lần đăng nhập thất bại. Bạn cần tắt ngay chức năng này trong trang quản trị bằng cách sử dụng ngay iThemes Security. Hoặc bạn có thể sử dụng Plugin Login Security Solutions.

Đặt mật khẩu(password) phức tạp và không đặt tên đăng nhập là admin

Một số webmaster quen sử dụng tên đăng nhập mặc định của wordpress là Admin. Đây là điều cực kỳ nguy hiểm, như trình bày ở trên, Hacker có thể scan dò mật khẩu bằng việc đăng nhập theo user là admin hoặc administrator. Vì vậy, khuyến khích không nên sử dụng tên đăng nhập dạng này. Bạn nên thay đổi lại tên đăng nhập bằng cách sử dụng chức năng đổi tên đăng nhập của iThemes Security.

Mật khẩu đăng nhập phải có độ dài mạnh, có chứa ký tự đặc biệt không liên quan tới thông tin cá nhân, thường xuyên thay đổi mật khẩu.

3. Tạo lớp bảo vệ mật khẩu cho trang quản trị

Bằng cách sử dụng chức năng Password Protect Directoris có trong CpanelX của các Hosting hiện nay để tạo thêm một lớp đăng nhập quản trị tăng thêm độ an toàn cho trang quản trị.

Sau khi đăng nhập vào CpanelX các bạn chọn chức năng Password Protect Directoris, tiếp chọn thư mục wp-admin và tạo tên đăng nhập cũng như password cho lớp đăng nhập.

tao lop dang nhap trang quan tri wordpress

Sau đó nhấn chọn Add/modify authorized user. Tiếp tục gõ tên folder cần bảo vệ vào, ở đây là wp-admin sau đó tích vào ô Password Protect Directoris và nhấn Save để hoàn tất quá trình. Sau nay, mỗi khi đăng nhập vào trang quản trị bạn sẽ phải trải qua hai lần đăng nhập là đăng nhập lớp bảo vệ trước sau đó mới đăng nhập vào trang quản trị bình thường.
Tuy nhiên, một số Hosting có thể không hỗ trợ chức năng này bạn có thể sử dụng Plugin htaccess password protect dành cho WordPress.

4. Phân quền cho file/thư mục trên hosting bằng lệnh CHMOD

File đầu tiên mà bạn nên bảo vệ đó là wp-config.php. Nếu như bạn ít sử dụng đến file này hãy đưa nó về chế độ chỉ đọc với bất kỳ đối tượng nào kể cả chủ sỡ hữu bằng cách CHMOD cho nó về giá trị 444.  Nếu khi bạn muốn chỉnh sửa hãy đưa nó về giá trị 644, còn ở giá trị 444 bạn chỉ có thể đọc mà không thể chỉnh sửa. Các file còn lại bạn CHMOD cho nó với giá trị 644 và 755 cho cac folder.

Nếu như gặp khó khăn trong việc CHMOD thì lời khuyên là bạn có thể sử dụng Plugin File Permission & Size Check dành riêng cho WordPress, nó sẽ hỗ trợ bạn trong việc CHMOD, theo dõi các tập tin, thư mục trong trang quản trị WordPress.

5. Backup/ Sao lưu Cơ sở dữ liệu

Công việc này không giúp bạn chống lại khả năng thâm nhập tấn công của hacker mà nó giúp bạn giảm thiểu thiệt hại sau các đợt tấn công. Tức là mồ hôi công sức upload dữ liệu của bạn không trôi hết xuống sông xuống biển mà nó vẫn có thể vớt lại và sử dụng. Sau khi bị tấn công có thể dữ liệu của bạn sẽ bị mất hết, nhưng việc backup sao lưu dữ liệu thường xuyên có thể giúp bạn hồi phục lại website sau khi tiến hành can thiệp vào cơ sở dữ liệu.

WordPress có khá nhiều công cụ giúp bạn backup sao lưu cơ sở dữ liệu nhưng OSVN khuyên các bạn nên sử dụng Plugin WP Backup là plugin backup tốt và ổn định nhất hiện nay. Sử dụng WP Backup bạn có thể cài đặt chức năng tự động Backup dữ liệu website và gửi dữ liệu lên Google Drive.

Xem thêm: Tự động sao lưu dữ liệu website bằng PHP

6. Xóa Plugin không cần thiết hoặc ẩn Plugin

Hiện tượng sau khi cài một số Plugin không hoạt động có thể là do bị xung đột với Plugin đang hoạt động trên website. Quá nhiều Plugin không cần thiết cũng là một trong những nguyên nhân khiến cho website bạn bị tấn công. Bởi đôi khi có một số Plugin sẽ khai thác thông tin từ website của bạn. Hãy kiểm tra những Plugin không cần thiếtdeactive những Plugin đó hoặc xóa bỏ nó khỏi trang quản trị. Hãy cân nhắc tìm hiểu kỹ càng trước khi cài một Plugin chứ không thể thấy nó là cài.

7.  Cập nhật phiên bản WordPress/ Plugin mới nhất.

Nếu như bạn đang sử dụng phiên bản cũ của WordPress hãy tiến hành nâng cấp lên phiên bản gần như mới nhất. Trong trang quản trị luôn hiển thị dòng thông báo Update nếu như bạn đang sử dụng phiên bản cũ. Để tặng sự an toàn cho website WordPress hãy tiến hành nâng cấp tranh hacker sử dụng những kẻ hở bug để xâm nhập trái phép vào website của bạn. Ngoài ra, với Plugin cũng tương tự khi có phiên bản mới nhất hãy tiến hành nâng cấp mặc bộ áo mới hơn cho nó.

8. Sử dụng một số Plugin bảo mật cho Website

Như đã trình bày ở trên về Plugin iTheme Security, Plugin này khá đa dạng chức năng hỗ trợ bảo mật tốt nên đây là Plugin đề xuất đầu để bảo mật WordPress không thể bỏ qua.

mot so plugin giup bao mat website

Plugin thứ hai đó là Bulletproof Security. Đây là Plugin sẽ hỗ trợ bạn ngăn ngừa và hạn chế các cuộc tấn công bằng các phương thức XSS, RFI, CRLF, CSRF, Base64, Code Injection và SQL Injection bằng cách nó sẽ tối ưu bảo mật cho các file và thư mục nhạy cảm. Sau khi cài đặt nó sẽ tự động tối ưu bảo mật giúp bạn, nhưng nếu có chút kiến thức về bảo mật bạn hãy tự customize cho riêng bạn.

Plugin cuối cùng mà OSVN muốn đề cập đến đó là 6Scan Security. Nếu bạn đang lo lắng website của bạn đang có một mã độc nào đó, hãy tiến hành cài đặt Plugin này. Nó sẽ tự động quét toàn bộ mã nguồn website của bạn và loại bỏ những mã độc đó. Đặc biệt, 6Scan Security còn giúp vá lại một số lỗi bảo mật mà hacker có thể tấn công thông qua các lỗi đó.

Kết luận

Trên đây OSVN đã trình bày với các bạn một số cách bảo mật cho WordPress giúp cho website được bảo vệ một cách tốt nhất. Ngoài những cách bảo mật như trên vẫn còn một số cách nữa giúp cho việc bảo mật website được tốt nhất mà chính OSVN đang áp dụng cho các website của mình kết hợp với những cách ở trên. Hy vọng phần nào giúp cho những webmaster, người quản trị website có thêm những kiến thức giúp cho việc vận hành hoạt động website được tốt nhất.

Comments

Bình luận