Bảo mật cho website WordPress của mình là mối quan tâm hàng đầu của tất cả các chủ sở hữu. Bạn có biết mỗi tuần Google liệt kê và đưa vào “sổ đen” 20.000 website có chứa phần mềm độc hại và khoảng 50.000 website lừa đảo? Nếu bạn thật sự quan tâm đến vấn đề bảo mật cho website WordPress của mình bạn cần phải có biện pháp để bảo vệ nó. Trong bài viết này tôi sẽ chia sẻ các thủ thuật hữu ích giúp bạn bảo mật cho website WordPress, chống lại các phần mềm độc hại và tin tặc.
Nhân của WordPress rất an toàn, và nó thường xuyên được cập nhật, sửa lỗi, kiểm tra bởi một đội ngũ lập trình viên đông đảo và tài năng. Nhưng bạn cũng cần phải làm rất nhiều thứ để tăng cường độ bảo mật cho website WordPress của mình.
Bảo mật cho website WordPress không chỉ là vấn đề giảm thiểu thấp nhất nguy cơ bị tấn công mà còn là loại bỏ hoàn toàn tất cả các nguy cơ ấy ngay từ đầu. Nó cũng giống như việc tiêm phòng vắc xin vậy. Bạn phải tiêm thuốc để ngừa bệnh tật thay vì để mắc bệnh rồi mới chữa trị.
Nếu bạn là chủ sở hữu của một website, có rất nhiều thứ bạn có thể làm để cải thiện bảo mật cho website WordPress của mình.
Bạn đã sẵn sàng chưa? Chúng ta hãy cùng bảo mật cho Website WordPress của chúng ta nào
Tại sao bảo mật cho website WordPress lại quan trọng?
Bạn đầu tư rất nhiều thời gian, công sức và tiền bạc để xây dựng một website. Khi nó được đông đảo mọi người quan tâm, bạn có thể kiếm tiền từ nó thì bỗng một ngày đẹp trời tất cả dữ liệu đều bị mất sạch. Bạn sẽ cảm thấy như thế nào? Tôi không dám tưởng tượng ra viễn cảnh ấy vì nó giống như là trời sập vậy.
Nếu trang web của bạn bị tấn công, nó có thể làm tổn hại nghiêm trọng đến doanh thu và thương hiệu mà bạn đã tốn rất nhiều công sức để tạo dựng nên. Tin tặc có thể ăn cắp thông tin người dùng, mật khẩu, cài đặt phần mềm độc hại trên website của bạn. Thậm chí độc giả trung thành của bạn cũng có thể bị lây nhiễm phần mềm độc hại từ website của bạn.
Tồi tệ hơn, bạn phải trả tiền cho tin tặc chỉ để lấy lại quyền truy cập vào trang web của mình.
Tháng 3 năm 2016, Google đã cảnh báo đến hơn 50 triệu người về nguy cơ họ bị dính mã độc hoặc bị ăn cắp thông tin. Thêm vào đó, Google đã liệt kê khoảng 20.000 trang web có chứa phần mềm độc hại và khoảng 50.000 trang lừa đảo mỗi tuần.
Nếu bạn là chủ doanh nghiệp đang kinh doanh trên internet, thì vấn đề bảo mật cho website WordPress của bạn càng quan trọng và cấp thiết.
Việc bảo mật cho website WordPress giống như việc chủ các doanh nghiệp bảo vệ kho hàng, bến bãi, hàng hoá của mình vậy. Với tư cách là chủ doanh nghiệp trực tuyến bạn cũng phải có trách nhiệm bảo mật cho website WordPress của mình.
Luôn cập nhật lên phiên bản WordPress mới nhất
WordPress là một phần mềm mã nguồn mở, nó luôn được kiểm tra, sửa lỗi và cập nhật thường xuyên. Theo mặc định, WordPress sẽ tự động cài đặt các bản cập nhật nhỏ. Đối với các bản cập nhật lớn, bạn phải tự cài đặt một cách thủ công.
WordPress cung cấp hàng ngàn plugin và themes để bạn dễ dàng cài đặt. Đa số các plugin và themes được cung cấp bởi các bên thứ 3 và họ cũng cập nhật chúng một cách thường xuyên.
Các bản cập nhật của WordPress sẽ giúp cho trang web của bạn an toàn và ổn định hơn. Vì vậy hãy đảm bảo rằng bạn đang sử dụng phiên bản WordPress mới nhất và các plugin, themes của bạn cũng được cập nhật thường xuyên.
Dùng mật khẩu mạnh và phân quyền cho người dùng
Một trong những cách tấn công phổ biến nhất của tin tặc đó là dùng phương pháp dò mật khẩu tự động. Vì vậy hãy tăng độ khó và và độ mạnh cho mật khẩu không chỉ trên trang của bạn mà còn cho các tài khoản FPT, cơ sở dữ liệu (Database), WordPresss hosting và địa chỉ email cá nhân của bạn.
Lý do chính mà người mới thường không thích dùng mật khẩu mạnh bởi vì nó dài và khó nhớ. Tin mừng là bạn không cần phải nhớ mật khẩu một nếu dùng trình quản lý mật khẩu.
Bạn có thể tìm hiểu thêm cách quản lý mật khẩu trong WordPress tại bài viết này.
Bạn có thể tìm hiểu thêm cách quản lý mật khẩu trong WordPress tại bài viết này.
Một cách khác để giảm rủi ro là không cấp quyền quản trị cho bất kỳ thành viên nào trừ khi bạn bắt buộc phải làm như vậy. Và nếu bạn có một đội ngũ gồm nhiều thành viên, trong đó có các cộng tác viên, tác giả là khách mời….thì trước khi thêm người dùng mới, hãy chắc chắn rằng bạn hiểu vai trò của từng thành viên và phân quyền cho họ theo đúng chức năng.
Vai trò của WordPress hosting
WordPress hosting đóng vai trò quan trọng nhất trong việc bảo mật cho website của bạn. Một số nhà cung cấp dịch vụ WordPress chất lượng như HawkHost, BlueHost có rất nhiều biện pháp để bảo vệ máy chủ của họ chống lại các mối đe doạ thường gặp.
Tuy nhiên khi bạn dùng Shared Hosting tức là bạn đang chia sẻ tài nguyên máy chủ với những khách hàng khác của nhà cung cấp dịch vụ. Điều đó đem đến rất nhiều rủi ro tiềm ẩn như lây nhiễm chéo. Tin tặc có thể dùng những website xung quanh (tức là các website sử dụng chung tài nguyên máy chủ với bạn) để tấn công bạn.
Bằng cách sử dụng dịch vụ Managed WordPress Hosting bạn sẽ được cung cấp một nền tảng an toàn hơn cho website của mình.
Các công ty cung cấp dịch vụ Managed WordPress Hosting thường tự động sao lưu, cập nhật phiên bản mới nhất của WordPress, và cung cấp nhiều tuỳ chọn nâng cao để bảo mật cho website của bạn.
Tôi khuyên bạn nên sử dụng dịch vụ Managed WordPress Hosting của WPEngine. Đây cũng là nhà cung cấp dịch vụ WordPress hosting có tên tuổi được nhiều người yêu thích và đánh giá cao.
Các bước đơn giản để bảo mật cho website WordPress mà không cần dùng mã lệnh
Bảo mật cho Website WordPress có thể là một điều gì đó to tát và khó khăn đối với những người mới. Đặc biệt nếu bạn không phải là dân công nghệ. Nhưng đừng lo lắng, tôi sẽ giúp bạn từng bước bảo mật cho website của mình mà không cần phải dùng những mã lệnh phức tạp, khó hiểu.
Tôi đã giúp đỡ rất nhiều người dùng WordPress giải quyết các vấn đề có liên quan đến bảo mật cho website WordPress của họ.
Và trong bài viết này tôi cũng sẽ giúp bạn cải thiện bảo mật cho website WordPress của mình qua các bước chỉ bằng cách nhấp chuột (không cần phải dùng mã lệnh).
1. Sao lưu dữ liệu WordPress của bạn
Sao lưu dữ liệu là việc đầu tiên bạn cần phải làm để chống lại các cuộc tấn công của tin tặc. Bạn nên biết rằng không có gì đảm bảo 100% là an toàn cả. Ngay đến cả website của chính phủ còn bị tấn công thì website của bạn cũng không thể nào ngoại lệ được.
Sao lưu dữ liệu giúp bạn đề phòng và khôi phục dữ liệu một cách nhanh chóng khi trường hợp xấu nhất có thể xảy ra.
Có rất nhiều plugin miễn phí và trả phí giúp bạn sao lưu dữ liệu một cách nhanh chóng và dễ dàng. Nhưng điều quan trọng nhất bạn cần phải biết khi đề cập đến vấn đề sao lưu dữ liệu đó là bạn phải thường xuyên sao lưu toàn bộ dữ liệu website của mình và lưu trữ nó ở một nơi an toàn chứ không phải trên tài khoản hosting của bạn.
Tôi khuyên bạn nên lưu trữ nó trên các máy chủ đám mây như: Amazon, Dropbox hoặc một dịch vụ đám mây cá nhân là Stash. Dựa vào mức độ cập nhật thường xuyên trên website của bạn, thiết lập thời gian biểu cập nhật theo ngày hoặc theo thời gian thực.
Việc cập nhật dữ liệu sẽ được thực hiện một cách dễ dàng khi dùng các plugin như VaultPress hoặc BackupBuddy. Cả hai plugin này đều đáng tin cậy và quan trọng là chúng rất dễ sử dụng mà không cần đụng để mã lệnh nào.
2. Sử dụng plugin bảo mật tốt nhất cho WordPress
Sau khi sao lưu dữ liệu, việc tiếp theo bạn cần phải làm đó chính là cài đặt một hệ thống theo dõi và kiểm tra mọi thứ xảy ra trên website của mình. Những điều bạn cần làm đó là: theo dõi tình trạng của các tập tin, cảnh báo truy cập trái phép, quét mã độc…
Bạn cần cài đặt và kích hoạt miễn phí plugin Sucuri Security. Nếu bạn chưa biết cách cài đặt plugin hãy xem qua bài viết này. Trong phạm vi bài viết này tôi chỉ giới thiệu sơ lược qua cách cài đặt plugin Sucuri Security thôi vì cài đặt nó tương đối đơn giản.
Bước 1: Đăng nhập vào WordPress Administrator Panel (http://tên_miền_của_bạn.com/wp-admin). Nhấp vào trình đơn Plugins » Add New.
Bước 2: Tìm kiếm plugin Sucuri Security bằng cách nhập tên Sucuri vào hộp tìm kiếm và nhấn Enter. Kết quả sẽ xuất hiện plugin có tên đầy đủ là Sucuri Security – Auditing, Malware Scanner and Hardening. Nhấp nút Install Now để cài đặt.
Bước 3: Sau khi cài đặt thành công Sucuri Security, một trang mới sẽ xuất hiện. Bạn nhấp vào tuỳ chọn Activate Plugin để kích hoạt plugin.
Sau khi kích hoạt xong bạn đi đến trình đơn Sucuri trong bảng điều khiển WordPress của mình. Bạn sẽ nhìn thấy giống như hình phía dưới
Việc đầu tiên bạn cần làm là tạo một khoá API miễn phí. Nó cho phép bạn kiểm tra đăng nhập, kiểm tra tính toàn vẹn, cảnh báo qua email và các tính năng quan trọng khác. Nhấp vào nút Generate API Key để bắt đầu tạo khoá. (Hình bên dưới tôi lấy ví dụ từ trang web khác của tôi).
Nhấn Submit một màn hình thông báo đăng ký thành công sẽ xuất hiện như hình dưới.
Bạn vừa cài đặt thành công plugin Sucuri Security để bảo mật cho website WordPress của mình. Tôi đã có một bài viết chi tiết cách cài đặt và sử dụng plugin Sucuri Security tại đây. Bạn hãy dành ít thời gian xem qua để biết cách tận dụng sức mạnh mà plugin này mang lại.
3. Kích Hoạt Web Applitcation Firewall (WAF)
Cách dễ dàng nhất để bảo vệ website của bạn và tin chắc rằng nó luôn được an toàn là dùng Web Applitcation Firewall (WAF). Tường lửa sẽ ngăn chặn tất cả các lượt truy cập đáng ngờ trước khi nó có thể làm hại, gây nguy hiểm cho website của bạn.
Tôi đang sử dụng Sucuri và tôi khuyên bạn nên nó như một bức tường lửa ứng dụng web cho website WordPress của mình.
Phần tuyệt vời nhất của Sucuri Firewall là nó đi kèm với tính năng dọn dẹp phần mềm độc hại (malware) và đảm bảo loại loại chúng ra khỏi danh sách đen (blacklist). Về cơ bản nếu bạn bị tấn công dưới sự giám sát của họ, Sucuri sẽ đảm bảo việc sửa lỗi cho website của bạn (dù nó có bao nhiêu trang đi nữa).
Đây là một sự cam kết mạnh mẽ vì việc sửa lỗi cho một website bị tấn công rất tốn kém. Bạn sẽ phải chi trả cho chuyên gia bảo mật một số tiền không hề nhỏ khoảng 250$/giờ. Trong khi đó bạn sẽ có tất cả giải pháp bảo mật của Sucuri chỉ với $199/năm.
Sucuri không phải là nhà cung cấp tường lửa duy nhất. Một đối thủ cạnh tranh khác của Sucuri là Cloudflare.
Một số phương pháp bảo mật cho WordPress mà bạn có thể tự thực hiệnNếu bạn đã thực hiện tất cả các giải pháp trên thì tình trạng bảo mật cho website WordPress của bạn đang rất tốt.
Nhưng vẫn còn có nhiều thứ bạn cần phải làm để website WordPress của bạn trở nên an toàn hơn nữa.
Một số bước dưới đây có thể sẽ yêu cầu bạn có một chút hiểu biết về code.
1. Thay đổi tên đăng nhập “admin” mặc định
Những phiên bản trước đây, tên truy cập mặc định của admin là “admin”. Biết được tên truy cập đồng nghĩa với việc các hacker có thể tiến hành tấn công trang web bằng cách đoán mật khẩu.
Nhưng rất may, WordPress đã thay đổi và bây giờ nó yêu cầu bạn chọn tên truy cập ngay ở lần cài đặt đầu tiên.
Tuy nhiên nếu bạn dùng cách cài đặt WordPress bằng 1-click thì bạn vẫn phải chọn tên người quản trị mặc định là “admin”.
Mặc dù theo mặc định WordPress không cho phép thay đổi username, nhưng vẫn có một vài cách bạn có thể sử dụng để thay đổi username
- Tạo mới một admin username và xóa username cũ đi
- Sử dụng plugin thay đổi username.
- Cập nhật username từ phpMyAdmin
2. Vô hiệu hoá File Editing
WordPress đi kèm với một trình biên tập mã tích hợp cho phép bạn chỉnh sửa themes, plugin ngay trong khu vực quản trị WordPress của bạn.
Tính năng này cho phép bạn chỉnh sửa themes và plugin một cách nhanh chóng nhưng xét về một khía cạnh khác nó có thể trở thành nguy cơ bảo mật. Vì thế tôi khuyên bạn nên tắt nó đi.
1 2 | /Disallow file editdefine( 'DISALLOW_FILE_EDIT', true ); |
Ngoài ra, bạn có thể thực hiện việc này với 1 cú nhấp chuột bằng cách sử dụng tính năng Hardening trong plugin Sucuri mà tôi đã đề cập ở trên.
3. Vô hiệu hoá việc thực thi tập tin PHP trong một số thư mục WordPress nhất định
Một cách khác để tăng cường bảo mật cho WordPress đó là vô hiệu hoá việc thực thi PHP trong các thư mục không cần thiết như /wp-content/uploads/
Bạn có thể thực hiện việc này bằng cách dùng một trình soạn thảo như Notepad chẳng hạn, sau đó sao chép mã lệnh bên dưới:
1 2 3 | <Files *.php>deny from all</Files> |
Sau đó bạn lưu tập tin dưới định dạng .htaccess và upload nó vào thư mục /wp-content/uploads/ trên web hosting của bạn bằng cách sử dụng FPT client.
Xem chi tiết hướng dẫn Vô hiệu hoá việc thực thi tập tin PHP trong một số thư mục WordPress nhất định tại đây.
Ngoài ra, bạn có thể thực hiện việc này với 1 cú nhấp chuột bằng cách sử dụng tính năng Hardening trong plugin Sucuri mà tôi đã đề cập ở trên.
4. Giới hạn số lần đăng nhập
Theo mặc định, WordPress cho phép người dùng đăng nhập bao nhiêu lần tuỳ thích. Điều này khiến cho website của bạn dễ dàng trở thành mục tiêu của các cuộc tấn công bằng kỹ thuật đoán, thử đúng sai mật khẩu (Brute Force). Tin tặc cố gắng bẻ khoá mật khẩu của bạn bằng cách cố gắng đăng nhập với các mật khẩu kết hợp khác nhau.
Bạn có thể dễ dàng khắc phục điều này bằng cách giới hạn số lần đăng nhập thất bại mà người dùng có thể thực hiện.
Nếu bạn sử dụng giải pháp Web Application Firewall nói ở trên, thì nó sẽ tự động xử lý vấn đề này cho bạn. Nhưng nếu bạn không cài đặt tường lửa thì làm thế nào để giới hạn số lần đăng nhập? Câu trả lời đó là dùng plugin Login LockDown. Nếu bạn chưa biết cách cài đặt plugin cho WordPress thì hãy xem lại bài viết này.
Sau khi cài đặt và kích hoạt xong, bạn vào trang Settings » Login LockDown để cấu hình cho nó.
Để tìm hiểu thêm chi tiết Tại sao và làm thế nào để giới hạn số lần cố gắng đăng nhập vào WordPress hãy đọc bài viết này.
5. Thay đổi tiền tố cơ sở dữ liệu WordPress (WordPress Database Prefix)
Theo mặc định WordPress dùng wp_ như là tiền tố trong tất cả các bảng trong cơ sở dữ liệu của WordPress. Nếu trang web WordPress của bạn đang dùng tiền tố cơ sở dữ liệu mặc định, tin tặc sẽ dễ dàng đoán được tên bảng (table name). Vì thế tôi khuyên bạn nên thay đổi nó.
Bạn có thể thay đổi tiền tố cơ sở dữ liệu bằng cách làm theo từng bước của hướng dẫn: Làm thế nào để thay đổi tiền tố cơ sở dữ liệu WordPress để cải thiện bảo mật?
*Lưu ý: Nó có thế làm hư hại đến website của bạn nếu các bước không được thực hiện một cách chính xác. Chỉ thực hiện nó khi bạn cảm thấy tự tin về kỹ năng code của mình.
6. Bảo vệ WordPress Admin và trang Đăng nhập bằng mật khẩu
Thông thường, các tin tặc có thể gởi các request (yêu cầu) đến thư mục wp-admin và trang đăng nhập của bạn mà không có bất kỳ sự hạn chế nào. Điều này cho phép tin tặc dùng các phép thử để tấn công trang của bạn hoặc thực hiện các cuộc tấn công DDoS.
Bạn có thể bổ sung thêm phương thức bảo vệ bằng mật khẩu trên máy chủ để chặn các request này một cách hiệu quả.
Hãy làm theo từng bước của hướng dẫn Làm thế nào để bảo vệ thư mục wp-admin bằng mật khẩu?
7. Vô hiệu hoá tính năng liệt kê tập tin
Theo mặc định, khi máy chủ web không tìm thấy file index (index.php, index.html) thì nó sẽ liệt kê tất cả các file của thư mục đó. Ta gọi đây là tính năng liệt kê tập tin hoặc duyệt thư mục (Directory browsing).
Directory browsing có thể được các tin tặc dùng để tìm ra các tập tin có lỗ hổng về bảo mật và sử dụng các tập tin này để chiếm quyền quản trị của bạn.
Directory browsing cũng có thể được được sử dụng bởi những kẻ muốn xem các tệp, sao chép hình ảnh, tìm ra cấu trúc thư mục và các thông tin khác của bạn. Đây là lý do tại sao bạn nên tắt tính năng này.
Bạn cần kết nối với trang web của bạn bằng cách sử dụng FTP hoặc trình quản lý tập tin của cPanel. Tiếp theo, tìm đến tập tin .htaccess trong thư mục gốc trên trang web của bạn. Nếu bạn không thể nhìn thấy nó, hãy tham khảo bài viết hướng dẫn lý do bạn không thể nhìn thấy tập tin .htaccess trong WordPress.
Sau đó bạn cần thêm dòng lệnh này vào cuối file .htaccess:
Options -Indexes
Đừng quên lưu lại và upload tập tin .htaccess về lại trang web của bạn.
Để biết thêm chi tiết về chủ đề này hãy đọc bài viết Làm thế nào để vô hiệu hoá tính năng Directory Browser trong WordPress?
8. Vô hiệu hoá XML-RPC trong WordPress
XML-RPC là một giao thức kết nối với website WordPress từ xa sử dụng XML để trao đổi dữ liệu qua lại.
XML – RPC được kích hoạt một cách mặc định kể từ phiên bản WordPress 3.5. Nó giúp kết nối trang web WordPress của bạn với các ứng dụng web và điện thoại di động. Cũng bởi vì thế nó là nguyên nhân của những cuộc tấn công brute-force.
Ví dụ: Thông thường, một tin tặc muốn thử 500 mật khẩu khác nhau trên trang web của bạn, chúng phải thực hiện việc này 500 lần. Nhưng với XML-RPC, tin tặc có thể dùng chức năng system.multicall để thử hàng ngàn mật khẩu với chỉ 20 hoặc 50 request. Đó là lý do tại sao nếu bạn không sử dụng XML-RPC thì hãy tắt nó đi.
Có 03 cách để vô hiệu hoá XML-RPC trong WordPress, và tôi đã đề cập tất cả các cách đó trong bài viết Làm thế nào để vô hiệu hoá XML-RPC trong WordPress.
Gợi ý: Phương pháp dùng .htaccess là tốt nhất vì nó cần ít tài nguyên nhất.
Nếu bạn đang sử dụng tường lửa ứng dụng web được đề cập trước đó, thì nó có thể được bảo vệ bởi tường lửa.
9. Tự động đăng xuất khi người dùng không sử dụng WordPress
Có một số người sau khi đăng nhập vào WordPress, họ chợt nhớ ra họ có một vài công việc lặt vặt gì đó phải làm. Và thế là họ để máy tính đấy và đi làm công việc mà không đăng xuất. Việc này vô tình tạo ra nguy cơ bảo mật khi mà bất kỳ ai đó có thể chiếm quyền kiểm soát phiên làm việc, thay đổi mật khẩu hoặc thực hiện các thay đổi trên tài khoản của họ.
Đây là lý do tại sao các trang web có liên quan đến lĩnh vực tài chính, ngân hàng thường tự động đăng xuất sau một khoảng thời gian người dùng không hoạt động. Bạn cũng có thể cài đặt chức năng tương tự cho trang web WordPress của mình.
Bạn chỉ cần cài đặt và kích hoạt plugin Idle User Logout. Sau khi cài đặt, bạn vào trang Settings » Idle User Logout để cấu hình cho nó.
Chỉ cần thiết lập khoảng thời gian tự động đăng xuất và kích bỏ chọn Disable in WP Admin để bảo mật tốt hơn. Đừng quên nhấp nút Save Changes để lưu lại thay đổi.
10. Thêm câu hỏi bảo mật vào màn hình đăng nhập WordPress
Thêm câu hỏi bảo mật vào màn hình đăng nhập WordPress để tăng cường khả năng bảo mật, gây khó khăn cho người truy cập trái phép vào trang của bạn.
Bạn có thể thêm câu hỏi bảo mật bằng cách cài đặt plugin WP Security Questions. Sau khi cài đặt và kích hoạt bạn sẽ thấy một menu WP Security Questions trong khu vực quản trị của mình. Bạn vào trang WP Security Questions » Settings để cấu hình cho plugin.
Để biết thêm hướng dẫn chi tiết, hãy đọc bài viết Làm thế nào để thêm câu hỏi bảo mật vào màn hình đăng nhập WordPress?
Trên đây là tất cả những thủ thuật về bảo mật cho website WordPress của bạn. Tôi hy vọng bài viết này sẽ cung cấp cho bạn những phương pháp tốt nhất cũng như khám phá các plugin tốt nhất để bảo mật cho website WordPress của mình.
Nếu bạn thấy bài viết này hữu ích đừng quên Like và Share!
Hẹn gặp lại các bạn trong các bài viết sau.
Post a Comment