Select Page

Cách bảo vệ trang web WordPress khỏi Hacker

Cách bảo vệ trang web WordPress khỏi Hacker

Đối với nhiều trang web WordPress, chỉ cần thực hiện các bước nhỏ để bảo mật trang web là đủ để giữ cho trang web không bị tấn công. Nhưng như thế là chưa đủ, vì còn có thể vẫn còn những rủi ro nhỏ khác, và bài viết này sẽ giúp bạn cải thiện thêm một phần hệ thống nữa.

WordPress là mục tiêu tấn công thường xuyên. Tin tặc đang nhắm mục tiêu về themes, mã nguồn WordPress cốt lõi, plugin và thậm chí cả trang đăng nhập.

Đây là các bước cần thực hiện, để ít có khả năng bị tấn công và có thể khôi phục dễ dàng hơn nếu điều đó vẫn xảy ra.

Cách tin tặc tấn công WordPress

Tất cả các trang trên web đều đang bị tấn công liên tục – cho dù đó là diễn đàn phpBB hay trang WordPress – tất cả các trang đều đang bị tin tặc thăm dò. Không có gì lạ khi một hacker quét hàng nghìn trang hoặc cố gắng đăng nhập hàng trăm lần mỗi ngày.

Và đó chỉ là một hacker. Các trang web đang bị tấn công bởi một số tin tặc cùng một lúc.

Thông thường, đó không phải là một người đang cố gắng hack bạn. Tin tặc sử dụng phần mềm tự động để thu thập dữ liệu web nhằm thăm dò các điểm yếu cụ thể của trang web.

Các chương trình phần mềm tự động thu thập dữ liệu web này được gọi là bots. Tôi gọi chúng là bots tin tặc để phân biệt chúng với chương trình quét khác (phần mềm kiểm tra độ sao chép nội dung).

Bảo mật trang web WordPress của bạn bằng tường lửa

Tường lửa là một chương trình phần mềm chặn kẻ xâm nhập. Theo tôi, tường lửa WordPress tốt nhất là một plugin có tên là Wordfence.

Những gì Wordfence làm là kiểm tra xem hành vi của khách truy cập trang web có khớp với hành vi của một bot hay không. Nếu bot vi phạm các quy tắc nhất định, chẳng hạn như yêu cầu quá nhiều trang web trong một khoảng thời gian ngắn, Wordfence sẽ tự động chặn bot đó.

Wordfence cũng được lập trình để cho phép các bot hợp pháp như Google và Bing quét trên trang web.

Có những tính năng nâng cao cho phép nhà xuất bản xem những bot nào đang tấn công một trang web và xem bot đó đến từ đâu, chẳng hạn như nếu đó là một bot xấu đến từ Amazon Web Services hoặc Bluehost. Wordfence cung cấp cho nhà xuất bản khả năng chặn bot bằng địa chỉ IP của họ, toàn bộ dải địa chỉ IP hoặc thậm chí bằng tác nhân người dùng trình duyệt giả mạo mà bot đang sử dụng.

Giới thiệu về User Agents (UA)

User Agents đang xác định thông tin mà trình duyệt gửi để cho một trang web biết đó là trình duyệt nào (Chrome, Firefox, Vivaldi) và hệ điều hành mà nó đang hoạt động (Windows 10, Mac OS X).

Ví dụ: đây là chuỗi tác nhân người dùng cho trình duyệt Safari 11 trên máy tính Mac OS X:

Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit / 605.1.15 (KHTML, như Gecko) Phiên bản / 11.1.2 Safari / 605.1.15

Các bot sử dụng nhiều tác nhân người dùng khác nhau để đánh lừa các trang web và đột nhập. Ví dụ: một số bot giả vờ là một trình duyệt trên Windows XP.

Số lượng người dùng thực tế trên Win XP gần bằng 0, tôi có thể tạo quy tắc với Wordfence để chặn tất cả tác nhân người dùng với Windows XP làm hệ điều hành và với một quy tắc đó, tôi có thể chặn hàng nghìn bot xấu, bất kể là từ quốc gia nào hoặc địa chỉ IP nào.

Các bot xấu đôi khi sẽ phản hồi bằng cách thay đổi thành tác nhân người dùng khác, vì vậy bằng cách kết hợp các quy tắc này, nhà xuất bản có cơ hội ngăn chặn một loạt các bot của hacker.

Phiên bản trả phí của Wordfence có thể chặn toàn bộ quốc gia. Vì vậy, nếu bạn không có khách truy cập trang web hợp pháp từ các quốc gia nhất định, bạn có thể chặn mọi khách truy cập đến từ các quốc gia đó.

WordPress phòng thủ chống lại khai thác (Exploits)

Ngoài ra, phiên bản trả phí của Wordfence sẽ bảo vệ bạn trước nhiều chủ đề và plugin bị xâm phạm trước khi các plugin đó được sửa.

Sau khi các nhà nghiên cứu Wordfence biết về một hành vi khai thác, họ sẽ cập nhật phiên bản cao cấp của tường lửa để cung cấp cho người đăng ký sự bảo vệ khỏi những khai thác đó, đôi khi vài tuần trước khi khai thác được khắc phục bởi nhà phát triển chủ đề hoặc plugin bị xâm phạm.

Tăng cường bảo mật trang web

Một plugin miễn phí khác cung cấp một lớp bảo vệ bổ sung được gọi là Sucuri Security. Sucuri (thuộc sở hữu của GoDaddy) giúp tăng cường bảo mật WordPress để chặn các bot xấu lợi dụng một số loại tấn công nhất định. Nó cũng có tính năng quét phần mềm độc hại kiểm tra tất cả các tệp để xem liệu chúng có bị thay đổi hay không.

Sucuri sẽ cảnh báo cho bạn mỗi khi ai đó đăng nhập vào trang web của bạn, giúp nhà xuất bản xác định xem có tin tặc đang đăng nhập hay không. Sucuri cũng có thể cảnh báo nhà xuất bản nếu tệp đã bị thay đổi, điều mà tin tặc làm.

Đây là những tính năng của phiên bản miễn phí của Sucuri:

  • Kiểm tra Hoạt động Bảo mật.
  • Giám sát tính toàn vẹn của tệp.
  • Quét phần mềm độc hại từ xa.
  • Giám sát danh sách đen.
  • Tăng cường bảo mật hiệu quả.
  • Các hành động sau khi tấn công.
  • Thông báo bảo mật.

Giới hạn đăng nhập vào trang web của bạn

WordFence có thể chặn các chương trình liên tục điền tên người dùng và mật khẩu trên trang đăng nhập WordPress.

Nhưng nếu bạn muốn tập trung vào việc hạn chế những lần đăng nhập đó, có một plugin có tên là Limit Login Attempts Reloaded cho phép các nhà xuất bản tự động chặn tất cả những kẻ tin tặc nhập một số tổ hợp tên và mật khẩu không thành công.

Ví dụ: bạn có thể đặt nó để chặn tin tặc sau ba lần thử đoán mật khẩu.

Đây là các tính năng của trình chặn đăng nhập:

  • Giới hạn số lần thử lại khi đăng nhập (mỗi IP). Điều này hoàn toàn có thể tùy chỉnh.
  • Thông báo cho người dùng về thời gian thử lại hoặc thời gian khóa còn lại trên trang đăng nhập.
  • Ghi nhật ký tùy chọn và thông báo email tùy chọn.
  • Có thể đưa IP và Tên người dùng vào danh sách trắng / danh sách đen.
  • Tương thích tường lửa của trang web Sucuri.
  • Bảo vệ cổng XMLRPC.
  • Bảo vệ trang đăng nhập Woocommerce.
  • Khả năng tương thích nhiều trang web với các cài đặt MU bổ sung.
  • Tuân thủ GDPR. Với tính năng này được bật, tất cả các IP đã đăng nhập sẽ bị xáo trộn (băm md5).
  • Hỗ trợ nguồn gốc IP tùy chỉnh (Cloudflare, Sucuri, v.v.)

Plugin Limit Login Reloaded cung cấp một cách nhanh chóng để tắt các chương trình hack đang cố gắng đoán mật khẩu.

Sao lưu trang web WordPress của bạn

Điều quan trọng là phải tự động tạo bản sao lưu hàng ngày cho trang web của bạn. Bất kỳ sự kiện thảm khốc nào xảy ra với trang web đều có thể được khôi phục bằng một bản sao lưu.

Có rất nhiều giải pháp sao lưu nhưng một giải pháp mà tôi thấy vô cùng hữu ích được gọi là UpdraftPlus WordPress Backup Plugin. UpdraftPlus được hơn hai triệu người dùng tin tưởng, đây là một sự lựa chọn được đánh giá cao.

Nó có thể được cấu hình để gửi email các bản sao lưu hàng ngày hoặc gửi chúng đến một vị trí lưu trữ đám mây như Dropbox.

Tôi đã từng vô tình xóa tất cả các tệp bố cục chủ đề khỏi một trang web, xóa hoàn toàn giao diện của trang web. Nhưng tôi đã có thể khôi phục trang web về chính xác như trước đây bằng cách sử dụng bản sao lưu UpdraftPlus. Nó rất dễ thực hiện và tôi rất biết ơn nó.

Cập nhật tất cả chủ đề và plugin

Điều quan trọng là luôn cập nhật tất cả các chủ đề và plugin. WordPress cung cấp một cách tự động cập nhật tất cả các plugin, điều này thuận tiện cho các nhà xuất bản hoặc doanh nghiệp không đăng nhập và cập nhật thường xuyên.

Bằng cách bật tính năng tự động cập nhật, nhà xuất bản có thể yên tâm có phần mềm cập nhật mới nhất. Plugin phiên bản cũ là một trong những nguyên nhân hàng đầu dẫn đến việc bị tấn công.

Có những lý do để không bật tính năng tự động cập nhật, nhưng các tiêu cực có xu hướng hiếm khi xảy ra. Ví dụ: một plugin đã cập nhật có thể không tương thích với các plugin khác.

Nhưng đối với các trang web không thay đổi thường xuyên, tính năng tự động cập nhật có lẽ là một điều rất hữu ích.

Cẩn thận với các plugin bị bỏ rơi

Cảnh báo cuối cùng về các plugin bị bỏ rơi. Một số plugin có thể tiếp tục hoạt động trong nhiều năm sau khi chúng bị nhà phát triển bỏ rơi. Điều có thể xảy ra là những plugin cũ này có thể chứa những lỗ hổng. Nhưng bởi vì chúng bị bỏ rơi, chúng sẽ không bao giờ được cập nhật nữa.

Một vấn đề khác là đôi khi tin tặc mua các plugin cũ và cập nhật chúng với phần mềm độc hại và virus.

Kiểm tra tất cả các plugin WordPress của bạn để đảm bảo rằng chúng không bị bỏ rơi và dường như được cập nhật khá thường xuyên.

Bảo vệ trang web WordPress của bạn khỏi tin tặc

Đối với nhiều trang web, chỉ cần thực hiện các bước nhỏ này để bảo mật một trang web là đủ để giữ cho các trang web không bị tấn công. Các phiên bản miễn phí của các plugin này cung cấp một lượng bảo vệ đặc biệt và các phiên bản cao cấp cung cấp khả năng bảo vệ nhiều hơn.

Có rất nhiều plugin kiểu bảo mật và một số trong số đó đã thực sự chứa các lỗ hổng bảo mật. Theo quan điểm của tôi, Wordfence và Sucuri là những lựa chọn hàng đầu để bảo mật WordPress.

About The Author

Pao Pevil

Cuộc sống này đối với tôi là màu đen tối vô tận. Đen tối đó che chở, bảo vệ và tôi tôn thờ nó. Ánh sáng có thể cho chúng ta sự sống, nhưng đêm tối mới cho chúng ta sự vĩnh hằng. Máu thịt tôi là Quỷ dữ, tôi muốn sống với cội gốc của mình. Linh hồn tôi là Bóng tối, tôi muốn là chính tôi.

Leave a Reply

Nhận tin mới

Nhận bài viết, thông tin mới qua Email bằng cách nhập Email của bạn vào ô dưới.

Sản phẩm khác

Logo Sách Cũ Org

SachCu.Org - Nghiên cứu sách cũ, lịch sử và nghệ thuật xưa.



Logo AquaFish Org

AquaFish.Org - Nghiên cứu về Sinh cảnh động thực vật, thủy sinh.



Logo God Codex

GodCodex.Org - Nghiên cứu về Quỷ học, Siêu nhiên và ma thuật cổ xưa.