[EBOOK] Bảo mật dành cho Website WordPress

[EBOOK] Bảo mật dành cho Website WordPress

Hướng dẫn nâng cao khả năng bảo mật cho website WordPress

Bảo mật WordPress là một chủ đề rất được quan tâm đối với mỗi người quản lý website WordPress.

Mỗi tuần, danh sách đen của Google có khoảng 20.000 trang web bị nhiễm phần mềm độc hại và khoảng 50.000 trang web lừa đảo.

Nếu bạn đang xây dựng một website, thì những số liệu vừa rồi sẽ khiến bạn cân nhắc để tăng cường bảo mật thêm cho website WordPress của mình.

Trong bài viết này, chúng tôi sẽ chia sẻ tất cả những lời khuyên giúp bạn cải thiện hơn khả năng bảo mật website WordPress của bạn giảm thiểu hậu quả của các cuộc tấn công do hacker và malware gây ra.

nâng cao khả năng bảo mật cho website WordPress

WordPress nền tảng web mã nguồn mở với lõi cơ  bản an toàn, và nó đã được kiểm định thường xuyên của hàng trăm nhà phát triển, mặc khác được sự  đóng góp cùng phát triển của nhiều lập trình viên chuyên nghiệp nên WordPress được cập nhật thường xuyên.

Chúng tôi tin rằng vấn đề bảo mật không chỉ là loại bỏ rủi ro. Nó còn là giảm thiểu rủi ro.

Là chủ trang web, có rất nhiều điều mà bạn cần chú ý để cải thiện khả năng bảo mật của website WordPress (ngay cả khi bạn không am hiểu IT hay Code).

Tại sao vấn đề bảo mật cho website WordPress lại quan trọng?

Một trang web bị hack có thể gây ra thiệt hại nghiêm trọng đến doanh thu kinh doanh của bạn và còn ảnh hưởng đến danh tiếng do những nội dung mà hacker đăng tải,…

Hacker có thể ăn cắp thông tin người dùng, mật khẩu, cài đặt phần mềm độc hại, và thậm chí có thể phân phối phần mềm độc hại cho người sử dụng của bạn.

Xấu nhất, hacker sử dụng ransomware để lấy lại quyền truy cập vào trang web của bạn.

Tại sao cần bảo mật cho website

Vào tháng Ba năm 2016, Google đã báo cáo rằng hơn 50 triệu người sử dụng trang web đã được cảnh báo về trang web mà họ đang truy cập có thể chứa phần mềm độc hại hoặc ăn cắp thông tin.

Hơn nữa, danh sách đen của Google có khoảng 20.000 trang web chứa phần mềm độc hại và lừa đảo có khoảng 50.000 mỗi tuần.

Nếu trang web của bạn là một website doanh nghiệp, bạn cần phải chú ý đến vấn đề bảo mật cho website WordPress.

Do đó, các chủ doanh nghiệp, quản lý website cần phải có trách nhiệm bảo vệ xây dựng trang web nâng cao khả năng bảo mật hơn.

Luôn cập nhật mã nguồn WordPress mới

WordPress là một nền tảng web mã nguồn mở được cập nhật thường xuyên.

Theo mặc định, WordPress sẽ tự động cài đặt các bản cập nhật nhỏ. Đối với phiên bản chính, bạn cần phải tự thực hiện cập nhật.

cập nhật mã nguồn WordPress mới

WordPress cũng đi kèm với hàng ngàn plugin và chủ đề mà bạn có thể cài đặt trên trang web của bạn.

Những Plugin bổ sung và các chủ đề được duy trì, cập nhật thường xuyên bởi các nhà phát triển, đây được xem là thứ khiến WordPress được nâng cao khả năng an toàn bảo mật hơn bao giờ hết.

Do đó, bạn cần kiểm tra và cập nhật liên tục những bản cập nhật mới cho mã nguồn WordPress, chủ đề, Plugin của mình.

Mật khẩu và phân quyền cho tài khoản

Phương thức hack phổ biến nhất sử dụng để truy cập website đó chính là dò mật khẩu ( nỗ lực đăng nhập).

Tuy nhiên, bạn cũng có thể nâng cao khả năng bảo mật và làm cho công việc dò tìm mật khẩu của các hacker trở nên khó khăn hơn bằng cách sử dụng các mật khẩu mạnh hơn, không chỉ dành cho khu vực admin quản trị website mà còn cho các tài khoản FTP, cơ sở dữ liệu, Hosting,…

Mật khẩu và phân quyền cho tài khoản

Lý do hàng đầu của người dùng không thích sử dụng các mật khẩu mạnh bởi vì nó khó nhớ. Để loại bỏ điều này, bạn có thể xem qua hướng dẫn quản lý mật khẩu của chúng tôi: làm thế nào để quản lý mật khẩu WordPress .

Một cách khác để giảm thiểu rủi ro là không cho bất kỳ ai truy cập vào tài khoản quản trị WordPress của bạn.

Nếu bạn có một đội ngũ tác giả, biên tập viên, hay CTV lớn, bạn hãy chắc chắn rằng bạn hiểu được vai trò người dùng và khả năng của họ trong website WordPress trước khi bạn thêm người dùng mới.

Vai trò của Web Hosting cho website WordPress

Dịch vụ lưu trữ WordPress đóng vai trò quan trọng nhất trong sự an toàn của trang web WordPress của bạn.

Một số dịch vụ Share Hosting tốt hiện nay như BlueHost, Siteground đã cung cấp các biện pháp bổ sung để bảo vệ máy chủ của họ chống lại các mối đe dọa chung.

Tuy nhiên, về chia sẻ lưu trữ bạn chia sẻ các tài nguyên máy chủ với nhiều máy khách khác.

Điều này sẽ mở ra các nguy cơ các trang web bị nhiễm mã độc chéo, nơi mà các hacker có thể sử dụng một trang web lân cận để tấn công trang web chính của bạn.

Do đó, bạn nên sử dụng dịch vụ quản lý Hosting WordPress, dịch vụ này cung cấp một nền tảng an toàn hơn cho trang web của bạn.

Với dịch vụ này, họ sẽ cung cấp cho bạn khả năng tự động sao lưu, cập nhật mã nguồn WordPress tự động cùng những thiết lập bảo mật hơn.

Và bạn cũng có thể tham khảo thêm về 1 dịch vụ quản lý Hosting mà chúng tôi khá ưa thích đó là WPEngine.

Bảo mật cho WordPress qua các hướng dẫn dễ hiểu hơn

Bảo mật cho WordPress dường như là một vấn đề không được mấy quan tâm của nhiều người dùng hiện nay, họ chưa nhận thức được tầm quan trọng của vấn đề này, cũng như khá khó khăn để giải quyết nó.

Và với Ebook này, chúng tôi có thể giúp hàng ngàn người sử dụng WordPress cải thiện khả năng bảo mật cho website của họ. Dưới đây là những hướng dẫn sẽ giúp bạn tăng cường khả năng bảo mật của website hơn chỉ với vài cú nhấp chuột.

Cài đặt thêm các công cụ sao lưu cho WordPress (backup dữ liệu)

Sao lưu ( backup dữ  liệu) là vấn đề bảo mật hàng đầu của bạn chống lại bất kỳ cuộc tấn công nào mà đặc biệt với website WordPress.

Hãy nhớ rằng, không có gì là an toàn tuyệt đối 100%. Nếu website của chính phủ có thể bị hack, thì website của bạn cũng chẳng khó dễ gì với các hacker cả.

các công cụ sao lưu cho WordPress

Sao lưu dữ liệu cho phép bạn nhanh chóng khôi phục lại trang web WordPress trong trường hợp xấu nhất xảy ra.

Có rất nhiều plugin sao lưu cho WordPress miễn phí và trả phí mà bạn có thể sử dụng cho website của mình.

Điều quan trọng nhất mà bạn cần phải biết khi nói đến sao lưu là bạn phải thường xuyên lưu các bản sao lưu đầy đủ ở nhiều hơn khác(không phải tài khoản lưu trữ của bạn).

Chúng tôi khuyên bạn nên lưu trữ nó trên một dịch vụ lưu trữ điện toán đám mây như Amazon, Dropbox hoặc các đám mây riêng như Stash.

Dựa vào cách thường xuyên bạn cập nhật trang web của bạn, thiết lập lý tưởng có thể là một trong hai lần một ngày hoặc thời gian thực bản sao lưu.

Rất may điều này có thể dễ dàng thực hiện bằng cách sử dụng plugin như VaultPress hoặc BackupBuddy.

Cả hai đều là đáng tin cậy và quan trọng nhất là dễ sử dụng.

Plugin bảo mật tốt cho WordPress Security

Sau khi sao lưu, điều tiếp theo chúng ta cần làm là thiết lập một hệ thống kiểm toán và giám sát mà theo dõi tất cả mọi thứ xảy ra trên trang web.

Điều này bao gồm giám sát tính toàn vẹn file, quét phần mềm độc hại, những lần cố gắng đăng nhập,…

Điều này có thể được thực hiện bởi Plugin Sucuri Scanner , một plugin bảo mật miễn phí tốt nhất.

Bạn cần cài đặt và kích hoạt plugin Sucuri . Để biết thêm chi tiết, xin vui lòng xem các hướng dẫn của chúng tôi: làm thế nào để cài đặt một plugin WordPress.

Sau khi kích hoạt, bạn cần phải đi đến thiết lập Plugin Sucuri trong WordPress admin của bạn.

Plugin Sucuri

Điều đầu tiên bạn sẽ được yêu cầu tạo một API key miễn phí. Điều này cho phép phần mềm bên thứ 3 kiểm soát, kiểm tra tính toàn vẹn, thông báo qua email, và các tính năng quan trọng khác trong quản trị Website WordPress của bạn.

tạo API Plugin Sucuri

Các tùy chọn này giúp bạn khóa các khu vực quan trọng mà các hacker thường sử dụng để tấn công vào website của bạn.

Với Sucuri, hầu hết các thiết lập mặc định của plugin này đã ổn rồi và không cần phải thay đổi. Điều duy nhất chúng tôi khuyên tùy biến là Email Alerts.

Bạn có thể cấu hình các cảnh báo thay đổi trên website bằng cách vào Sucuri » Settings » Alerts.

Plugin Sucuri 2

Kích hoạt tính năng Web Application Firewall (WAF)

Cách đơn giản nhất để bảo vệ trang web của bạn và tự tin về an ninh WordPress của bạn là sử dụng một ứng dụng tường lửa cho web (WAF).

Ứng dụng này sẽ tạo cho website của bạn các bức tường lửa ngăn chặn tất cả các truy cập nguy hiểm trước khi nó tới trang web của bạn.

Kích hoạt tính năng Web Application Firewall

Phần tốt nhất của Plugin Sucuri đó chính là tường lửa, nó đi kèm với khả năng quét dọn phần mềm độc hại và cho chúng vào danh sách đen.

Về cơ bản nếu bạn bị hack, họ đảm bảo sẽ sửa chữa trang web của bạn (bất kể bạn có bao nhiêu trang).

Đây được xem là một chính sách bảo hành mang lại sự yên tâm cho người dùng của mình nhất, bởi việc sửa lại những trang bị hack rất tốn kém (những chuyên gia trong lĩnh vực này lấy mức phí đến $250 cho mỗi giờ làm việc) trong khi đó bạn chỉ tốn $199 mỗi năm để Sucuri làm toàn bộ việc đó.

Cải thiện khả năng bảo mật cho website WordPress với Sucuri Firewall, Sucuri không phải là nhà cung cấp tường lửa lớn, còn nhiều đốii thủ  cạnh tranh khác phổ biến hơn như CloudFlare.

Xem bài viết so sánh của chúng tôi bạn sẽ có cái nhìn tổng quan hơn khi sử dụng  công cụ này Sucuri vs CloudFlare (Ưu điểm và khuyết điểm) .

Bảo mật WordPress dành cho người dùng DIY

Bảo mật WordPress dành cho người dùng DIY

Nếu bạn đọc và áp dụng những biện pháp trên mà chúng tôi đã đề cập đến gần như website của bạn đang nằm trong tình trang tốt hơn.

Nhưng bấy nhiêu đó là chưa đủ, để nâng cao khả năng bảo mật cho website WordPress của bạn bạn cần xem tiếp những hướng dẫn dưới đây.

Những hướng dẫn dưới đây có thể sẽ yêu cầu thêm một số kiến thức về Code, mã hóa thông tin,…

Thay đổi tên đăng nhập “admin” mặc định

Trước đây, mặc định username để đăng nhập vào tài khoản quản trị WordPress của bạn là “admin”.

Cho đến khi người dùng thêm một nửa thông tin vào mới có thể thay đổi, điều này làm cho các cuộc tấn công của tin tặc dễ dàng thực hiện hơn (tấn công brute-force).

Rất may là WordPress đã thay đổi điều này, bây giờ khi cài đặt bạn sẽ phải tự điều chỉnh cho mình một username ( tên đăng nhập) nhất định bạn có thể xem thêm hướng dẫn cài đặt website WordPress.

Tuy nhiên, vẫn còn một số ứng dụng trên Hosting cho phép bạn cài đặt nhanh website WordPress chỉ với một click, thì có thể những ứng dụng này vẫn thiết lập tên đăng nhập quản trị mặc định là “admin”.

Nếu bạn kiểm tra thấy điều này, ban nên chuyển nơi lưu trữ (Hosting) cho website của bạn.

Hiện nay, WordPress không cho phép bạn thay đổi tên đăng nhập trực tiếp trong trình quản lý, nhưng vẫn còn có ba phương pháp bạn có thể sử dụng để thay đổi tên đăng nhập.

  • Tạo một người dùng với vai trò quản trị mới và xóa người dùng cũ đi.
  • Sử dụng plugin Username Changer
  • Cập nhật tên người dùng từ phpMyAdmin

Lưu ý: Tên đăng nhập, tên người dùng là “admin”, không phải là vai trò quản trị viên.

Vô hiệu hóa tập tin Editor

WordPress đi kèm với một trình soạn thảo tích hợp Editor code, cho phép bạn chỉnh sửa theme và plugin tập tin của bạn ngay từ khu vực quản trị WordPress.

Với một website WordPress nhiều tài khoản, tính năng này có thể là một nguy cơ bảo mật lớn và đó là lý do tại sao chúng tôi khuyên bạn nên tắt.

Vô hiệu hóa tập tin Editor

Bạn có thể dễ dàng làm điều này bằng cách thêm đoạn mã sau vào file wp-config.php.

// Disallow file editdefine( ‘DISALLOW_FILE_EDIT’, true );

Ngoài ra, bạn có thể làm điều này với 1 cú click chuột bằng cách sử dụng tính năng như đóng băng các file có trong plugin Sucuri (giống như  đóng băng ổ  cứng máy tính).

Vô hiệu hoá tệp tin thực thi PHP trong WordPress

Một cách khác để tăng cường bảo mật cho website WordPress là vô hiệu hoá tập tin thực thi PHP trong thư mục những nơi mà nó không cần thiết như / wp-content / uploads /.

Bằng cách mở Notepad và dán mã này vào:

<Files *.php>deny from all</Files>

Sau đó, bạn cần lưu tập tin này với tên file “.htaccess” và tải nó lên thư mục / wp-content / uploads / thư mục trên trang web của bạn sử dụng một phần mềm kết nối FTP.

Ngoài ra, bạn cũng có thể thực hiện nhanh với 1 cú click chuột bằng cách sử dụng  Plugin Sucuri được đề cập ở trên.

Giới hạn đăng nhập

Theo mặc định, WordPress cho phép người dùng đăng nhập nhiều lần( các nỗ lực để đăng nhập, nhập sai user, pass,…).

Bởi vậy nếu không giải quyết vấn đề này website WordPress sẽ dễ trở thành nạn nhân của các cuộc tấn công brute force.

Các hacker sẽ sử dụng thư viện mật khẩu để dò tìm và cố gắng đăng nhập vào website, phương pháp tấn công này khá cổ diển nhưng cực kỳ hiệu quả, nhất là đối với những website không có cơ chế ngăn chặn đăng nhập nhiều lần.

Khắc phục điều này bạn có thể dễ dàng bằng cách hạn chế những nỗ lực đăng nhập thất bại của một người.

Bạn cũng có thể sử dụng tường lửa của Sucuri được đề cập trước đó, hoặc nếu bạn không có các thiết lập tường lửa, bạn tiến hành các bước dưới đây.

Trước tiên, bạn cần phải cài đặt và kích hoạt Plugin Login Lockdown. Sau khi kích hoạt, bạn vào Settings » Login LockDown để đến trang thiết lập plugin.

Plugin Login Lockdown - giới hạn đăng nhập

Thay đổi các tiền tố mặc định trong Database WordPress

Theo mặc định, WordPress sử dụng wp_ là tiền tố cho tất cả các bảng trong của cơ sở dữ liệu WordPress.

Nếu trang web WordPress của bạn là sử dụng tiền tố cơ sở dữ liệu mặc định, sau đó nó làm cho nó dễ dàng hơn cho các hacker để đoán biết tên bảng của bạn. Đây là lý do tại sao chúng tôi khuyên bạn nên thay đổi nó.

Lưu ý: Điều này có thể làm hỏng trang web của bạn nếu nó không được thực hiện đúng. Chỉ tiến hành, nếu bạn cảm thấy thực sự hiểu rõ và nên thực hiện test thử trên các module test trước xem có ổn hay không.

Password Protect WordPress Admin và trang Đăng nhập

Thông thường, các hacker có thể đăng nhập qua trang wp-admin của bạn mà không cần bất kỳ hạn chế nào. Điều này cho phép tin tặc để thử thủ thuật hack hoặc các cuộc tấn công DDoS chạy.

Bạn có thể thêm mật khẩu bảo vệ bổ sung về một phía máy chủ nơi sẽ ngăn chặn hiệu quả nhất những yêu cầu đăng nhập này.

Xem thêm hướng dẫn và thực hiện tại đây: Bảo vệ mật khẩu thư mục WordPress admin (wp-admin) của bạn .

Vô hiệu hóa thư mục chỉ mục và duyệt web

Việc có duyệt thư mục sẽ được các tin tặc sử dụng để tìm ra bất kỳ tập tin lỗi, những lỗ hổng có thể giết chết website của bạn.

Từ đó, họ có thể tận dụng những tập tin này để truy cập.

Việc duyệt được các thư mục cũng có thể bị người khác sao chép hình ảnh, tìm hiểu cấu trúc website và các thông tin khác.

Đây là lý do tại sao nó lại quan trọng, bạn nên tắt chỉ mục và tìm kiếm những thư mục không cần thiết.

Bạn cần phải sử dụng FTP hoặc Cpanel để kết nối với nơi lưu trữ website, xác định vị trí các tập tin .htaccess trong thư mục gốc của trang web của bạn.

Nếu bạn không thể nhìn thấy nó, tham khảo hướng dẫn của chúng tôi về lý do tại sao bạn không thể nhìn thấy tập tin .htaccess trong WordPress.

Sau đó, bạn cần phải thêm dòng sau vào cuối của tập tin .htaccess:

Options -Indexes

Đừng quên lưu hoặc tải lên tập tin .htaccess mới về lại vị trí trên thư mục trang web của bạn.

Để biết thêm về chủ đề này, xem bài viết của chúng tôi về làm thế nào để vô hiệu hóa việc duyệt thư mục trong WordPress .

>Vô hiệu hóa XML-RPC trong WordPress

XML-RPC đã được kích hoạt mặc định trong WordPress 3.5 vì nó giúp kết nối trang web WordPress của bạn với trang web và các ứng dụng di động.

Tuy nhiên vì với bản chất mạnh mẽ, XML-RPC khi rơi vào tay các hacker sẽ biến một cuộc tấn công tưởng chừng nhỏ thành một cuộc tấn công quy mô lớn.

Ví dụ:

Theo truyền thống, nếu một hacker muốn thử 500 mật khẩu khác nhau trên trang web của bạn, họ sẽ phải cố gắng đăng nhập 500 lần riêng biệt và sẽ có nguy cơ bị ngăn chặn bởi các plugin đăng nhập như lockdown.

Nhưng với XML-RPC, một hacker có thể sử dụng system.multicall để thử hàng ngàn mật khẩu chỉ với 20 – 50 lần gửi yêu cầu.

Đây là lý do tại sao chúng tôi khuyên bạn nên vô hiệu hóa XML-RPC.

Có 3 cách để vô hiệu hóa XML-RPC trong WordPress, bạn có thể xem hướng dẫn chi tiết tại đây: làm thế nào để vô hiệu hóa XML-RPC trong WordPress .

Mẹo: Các phương pháp .htaccess hầu như là tốt nhất bởi vì nó chiếm rất ít nguồn tài nguyên.

Tự động đăng xuất người nhàn rỗi trong WordPress

Đôi khi bạn đăng nhập vào website rồi bận việc gì đấy phải đi gấp hoặc đôi khi vô tình đăng nhập ở máy tính người khác, mà bạn quên đăng xuất khỏi những thiết bị này và điều này đặt ra một mối nguy cơ bảo mật lớn cho website.

Ai đó có thể chiếm quyền điều khiển, thực hiện các thay đổi trong phiên đăng nhập còn lưu giữ trên máy tính kia.

Đây là lý do tại sao nhiều ngân hàng và các trang web tài chính thường tự động đăng xuất người không hoạt động trên trang web của họ ra.

Và bạn cũng có thể thực hiện các chức năng này trên website WordPress của mình một cách đơn giản.

Bạn sẽ cần phải cài đặt và kích hoạt plugin Idle User Logout. Sau khi kích hoạt, bạn hãy vào Settings » Idle User Logout để cài đặt plugin.

plugin Idle User Logout

Đơn giản chỉ cần thiết lập thời gian và bỏ chọn hộp bên dưới ‘Disable in wp admin‘.

Đừng quên bấm vào ‘Save Changes’ để lưu các thiết lập của bạn. Để được hướng dẫn chi tiết hơn, bạn có thể xem hướng dẫn chi tiết : tự động đăng xuất người dùng nhàn rỗi trong WordPress.

Thêm câu hỏi bảo mật đăng nhập cho Website WordPress

Thêm câu hỏi bảo mật đăng nhập cho website WordPress của bạn làm cho việc đăng nhập trở nên khó khăn hơn nếu muốn đăng nhập trái phép.

Thêm câu hỏi bảo mật đăng nhập cho Website WordPress

Bạn có thể thêm câu hỏi bảo mật cho WordPress bằng cách cài đặt plugin WP Security Questions.

Sau khi kích hoạt, bạn cần vào Settings » Security Questions để cài đặt câu hỏi và cài đặt lại plugin.

Để được hướng dẫn chi tiết hơn, bạn có thể xem hướng dẫn chi tiết hơn: làm thế nào để thêm câu hỏi bảo mật đăng nhập cho website WordPress .
Sửa một trang web WordPress bị Hacked

Nhiều người sử dụng WordPress không nhận ra tầm quan trọng của các bản sao lưu và bảo mật trang web cho đến khi trang web của họ bị hack.

Để làm sạch một trang web WordPress rất khó khăn và tốn thời gian. Do đó chúng tôi luôn khuyên bạn đọc của mình hãy thực hiện những biện pháp bảo mật chúng tôi đã liệt kê ở trên để giảm thiểu những hậu quả khi gặp tình huống xấu.

Và với Plugin Sucuri để sửa chữa trang web của bạn sẽ đảm bảo rằng trang web của bạn là an toàn để sử dụng một lần nữa.

Nó cũng bảo vệ bạn chống lại bất kỳ cuộc tấn công trong tương lai. Đối với những người sử dụng mạo hiểm và tự làm, chúng tôi đã biên soạn một từng bước hướng dẫn cách cứu một trang web WordPress bị hack.

Đó là tất cả, chúng tôi hy vọng bài viết này giúp bạn tìm hiểu để có những phương án bảo mật cho website WordPress tốt nhất cũng như các plugin bảo mật tốt nhất dành cho trang web WordPress của bạn.