13 Bước bảo mật WordPress chống lại các đợt tấn công của hacker

13 Bước bảo mật WordPress chống lại các đợt tấn công của hacker

Hãy để tôi nói: WordPress thật là tuyệt vời. Hàng triệu người đang sử dụng mã nguồn WordPress xây dựng website và sử dụng nó trong kinh doanh hàng ngày của họ.

Ngày càng nhiều website được xây dựng trên mã nguồn WordPress kéo theo số lượng tin tặc và những cá nhân muốn đánh cắp thông tin cũng đang tăng trưởng đều đặn.

Kết quả là, bảo mật là một mối quan tâm ngày càng tăng đối với tất cả người dùng WordPress. Tuy nhiên, cùng lúc đó, nó là một chủ đề bị bỏ quên nhiều, bởi vì, thẳng thắn, nhiều người thấy nó nhàm chán.

Bạn đang cảm thấy những gì là nhàm chán? Cũng giống như các biện pháp bảo mật của WordPress, bạn vui mừng vì nó ở đó khi bạn cần nó. Đó là lý do tại sao chúng tôi sẽ xem xét cách giữ trang web quý báu của bạn an toàn.

I. Các biện pháp bảo mật chung cho WordPress

Mối quan tâm về an toàn được cộng đồng giải quyết thường xuyên, tuy nhiên việc dựa vào những người khác để thực hiện công việc cho bạn không phải lúc nào cũng đủ. Có các bước bổ sung mà bạn có thể (và nên) thực hiện để khóa trang web của mình.

1. Sử dụng một công ty lưu trữ đáng tin cậy

Bảo mật WordPress là bạn cần có một mật khẩu tốt. Trong thực t, theo WP White Security chỉ 8% các trang web bị tấn công WordPress bị tấn công do thông tin đăng nhập yếu.

Vì vậy, làm thế nào những kẻ tấn công có được quyền truy cập vào 92% các trang web WordPress bị tấn công khác? Các plugin và chủ đề dễ bị tấn công? Một phần là có. Hacks của loại này chiếm tương ứng 22% và 29%. Tuy nhiên, nó vẫn không phải là thủ phạm lớn nhất.

Khi nó quay ra, 41% các cuộc tấn công thành công vào các trang web bị tấn công WordPress xảy ra thông qua bảo mật không đủ về phía máy chủ. Vì vậy, nó sẽ đến như không có gì ngạc nhiên khi thứ tự đầu tiên giữ WordPress an toàn là sử dụng một nhà cung cấp đáng tin cậy lưu trữ thường xuyên cập nhật cơ sở hạ tầng của họ và giữ an ninh đến nay.

2. Cải thiện thông tin đăng nhập của bạn

Thực tế là chỉ có 8% hack xảy ra thông qua mật khẩu yếu và tên người dùng không phải là một cái cớ để bỏ qua nó. Làm như vậy sẽ mở ra cánh cửa cho các cuộc tấn công bạo lực. Thực hiện các bước sau để đảm bảo thông tin đăng nhập của bạn:

Không sử dụng tên người dùng ‘admin’!

Nhiều năm trước ‘admin‘ là tiêu chuẩn cho tài khoản quản trị viên chính. Nó được sử dụng trong mọi cài đặt WordPress và nhiều người bị mắc kẹt với nó. Tin tặc biết điều này và do đó thường nhắm mục tiêu tên người dùng này trực tiếp.

Do đó, nếu bạn đang cài đặt WordPress trên một trang mới, hãy chắc chắn tạo một tên người dùng khác. Nếu bạn có một trang web với tên quản trị đã tồn tại, hãy tạo người dùng mới có đầy đủ quyền quản trị viên (và tên người dùng khác), đăng nhập với tư cách người dùng đó và xóa tài khoản quản trị cũ của bạn. Đừng quên gán lại nội dung nếu cần.

Tạo mật khẩu an toàn

Điều quan trọng là phải có mật khẩu mạnh. WordPress đã trở nên tốt hơn khi nói cho bạn biết liệu mật khẩu của bạn có đủ hay không, vì vậy hãy lưu ý lời khuyên của nó.

Nếu bạn không thể tự mình tạo ra một mật khẩu mạnh, có những dịch vụ có thể giúp bạn, chẳng hạn như  Strong Password GeneratorLastPass, or Norton Password Generator. Và đừng quên thay đổi nó theo thời gian!

Để buộc những người khác trên trang web của bạn chọn tham gia thông tin đăng nhập tốt hơn, hãy sử dụng plugin Force Strong Passwords. Bằng cách đó, sự lười biếng của người khác không trở thành mối lo ngại về an ninh.

3. Luôn cập nhật

Mỗi phiên bản mới không chỉ mang đến các tính năng bổ sung và sửa lỗi, mà còn giải quyết các mối quan tâm bảo mật đã biết — vì vậy đừng bỏ qua chúng!

Điều này đặc biệt đúng đối với các bản cập nhật WordPress nhỏ (có thể nhận ra thông qua chữ số thứ ba trong số phiên bản của nó, ví dụ: 4.1.1). Đây là những đặc biệt được thực hiện để chống lại mối quan tâm an ninh nảy sinh trong bản cập nhật lớn. Hiện tại, WordPress tự động thực hiện các cập nhật nhỏ và bạn cũng nên để nó theo cách đó.

4. Hãy cảnh giác về việc sử dụng plugin và Theme

Như bạn đã thấy từ những con số trên, hơn một nửa số hack WordPress xảy ra thông qua các plugin và chủ đề. Do đó, cần chú ý đặc biệt:

Cài đặt càng ít plugin càng tốt

Mỗi plugin là một nguy cơ bảo mật tiềm năng trong trường hợp nó được mã hóa kém hoặc nếu không sẽ không ngang bằng nhau. Vì lý do đó, bạn nên cố gắng giới hạn số lượng plugin hoạt động trên trang web của mình. Nếu bạn có thể đi mà không có nó, làm như vậy, và loại bỏ các plugin. Loại bỏ các plugin không sử dụng cũng là một cách hay để tăng tốc trang web WordPress của bạn.

Luôn cập nhật chủ đề và plugin

Thực tiễn tốt cho WordPress nói chung cũng mở rộng đến các plugin và chủ đề. Giữ cho chúng được cập nhật khi bạn thực hiện phần còn lại của trang web. Hãy thận trọng với các plugin chưa được cập nhật trong một thời gian dài — chúng có thể chứa các rủi ro về bảo mật.

Để tăng tốc quá trình, và nếu chủ đề của bạn hỗ trợ nó, thêm các dòng sau vào wp-config.php sẽ cho phép cập nhật tự động cho các plugin và chủ đề:

add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );

Không sử dụng bất kỳ thứ gì từ các nguồn không xác định

Nhiều “chủ đề WordPress miễn phí” chứa mã có vấn đề. Gắn bó với thư mục WordPress nếu bạn có thể hoặc sử dụng một trang đáng tin cậy như những trang được liệt kê ở đây.

Kiểm tra Theme để có độ tin cập

Để kiểm tra xem một chủ đề có đạt được các tiêu chuẩn và thực tiễn phát triển mới nhất hay không, hãy sử dụng plugin Kiểm tra chủ đề. Bạn có thể làm điều này trực tiếp từ khu vực quản trị của trang web WordPress của bạn.

5. Thường xuyên sao lưu

Nếu trang web của bạn bị tấn công, bạn sẽ ở vị trí tốt hơn nhiều với bản sao lưu trong tầm tay. Có rất nhiều dịch vụ và plugin có sẵn để giúp bạn với điều này:

Bạn cũng có thể muốn xem xét loại dịch vụ sao lưu mà nhà cung cấp dịch vụ lưu trữ của bạn đã có sẵn. Nhiều người cung cấp sao lưu hàng ngày, có thể thực sự tiết kiệm $$$ của bạn (tôi đang nói từ kinh nghiệm).

6. Giới hạn số lần đăng nhập

Vì chúng ta đã nói về các tấn công brute force trước đó: Một cách hay để tránh chúng là hạn chế số lần đăng nhập mà người dùng được phép thực hiện trước khi WordPress tắt chúng.

Các plugin như đăng nhập Login LockDown và Login Security Solution bảo mật đăng nhập thất bại do IP cố gắng xâm nhập và cấm những người khác tiếp tục nếu cần. Chức năng này cũng được tìm thấy trong nhiều plugin bảo mật tất cả trong một bên dưới.

7. Sử dụng xác thực hai bước

Để làm cho các loại tấn công này trở nên khó khăn hơn, bạn có thể cài đặt quy trình xác thực hai bước. Bằng cách đó, người dùng sẽ phải nhập thông tin đăng nhập bổ sung, ví dụ như đã được gửi tới điện thoại di động của họ.

Dưới đây là một số plugin cho việc này:

II. Thủ thuật kỹ thuật nâng cao để tăng cường bảo mật WordPress

Được rồi, bây giờ chúng ta có những thứ cơ bản trên đường đi, đã đến lúc phải đi sâu hơn một chút. Trong phần tiếp theo, chúng tôi sẽ xem xét một vài thay đổi để thực hiện “under the hood” để giữ cho trang web WordPress của bạn an toàn.

8. Tùy chỉnh tiền tốprefix

Theo mặc định, WordPress áp dụng tiền tố wp_ cho tất cả các bảng cơ sở dữ liệu. Vì đây là một thực tế nổi tiếng, nó có thể giúp tin tặc truy cập vào trang web của bạn. Do đó, nếu bạn đang thực hiện một cài đặt WordPress mới, bạn nên thay đổi điều này, tốt hơn là một cái gì đó khó đoán.

Bạn có thể làm tương tự cho một trang web WordPress hiện có. Để làm như vậy, trước tiên bạn cần mở wp-config.php và cuộn xuống mục này:

$table_prefix  = 'wp_';

Sau khi thay đổi ‘wp_‘ thành tiền tố mong muốn của bạn, bạn cần làm như vậy bên trong cơ sở dữ liệu của bạn. Điều này có thể được thực hiện thông qua một plugin (ví dụ: iThemes Security) hoặc bằng tay thông qua phpMyAdmin hoặc một dịch vụ tương tự.

Nếu bạn đi theo hướng dẫn sử dụng, hãy chắc chắn bạn đổi tên tất cả các bảng trong cơ sở dữ liệu của bạn (cốt lõi và bất kỳ bảng bổ sung nào) cũng như bảng usermeta và tùy chọn. Đây là một bài viết hữu ích về chủ đề này.

9. Thêm Salts vào wp-config

Khi cuộn xuống trong tệp cấu hình WordPress, bạn sẽ vấp ngã trên các dòng này:

define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

Đây là các khóa bảo mật được sử dụng để cải thiện mã hóa bằng cách che giấu thông tin được lưu trữ trong cookie của người dùng (đôi khi còn được gọi là ‘salts’). Để tăng cường an ninh, WordPress có một máy phát điện muối tiện dụng để điền vào các cụm từ duy nhất với các ký tự ngẫu nhiên mà không ai có thể đoán được.

WordPress salt generator for security

Chỉ cần nhấp vào liên kết và sau đó sao chép và dán mã được tạo ở vị trí của các dòng trên. Nhấp vào lưu và bạn đã hoàn tất.

10. Đặt quyền tập tin chính xác

Bằng cách chọn đúng quyền đối với tệp trên máy chủ của bạn, bạn có thể tránh tải lên hoặc thay đổi tệp không được phép. Quyền có thể được thay đổi thông qua một ứng dụng khách FTP như FileZilla. Đối với những gì họ nên được thay đổi để:

  • 755 or 750 for directories
  • 644 or 640 for files
  • wp-config.php should be set to 440 or 400

Để biết thêm thông tin về quyền truy cập tệp cho WordPress, vui lòng tham khảo WordPress Codex.

11. Vô hiệu hóa trình soạn thảo WordPress Theme và plugin editor

Trình soạn thảo WordPress Editor cho phép người dùng thực hiện thay đổi đối với các tệp chủ đề và plugin trực tiếp từ phần cuối của WordPress.

Tuy nhiên, nên một số cá nhân râm có quyền truy cập vào khu vực quản trị, họ có thể sử dụng tính năng tương tự này để tàn phá nghiêm trọng trên toàn bộ trang web của bạn. Để tránh điều này xảy ra, bạn có thể vô hiệu hóa trình soạn thảo bằng cách thêm dòng sau vào wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

12. Chặn truy cập vào tệp wp-config của bạn

Việc bảo vệ tập tin wp-config.php có thực sự quan trọng?

Chắc chắn rồi và may mắn là chúng tôi có thể thực hiện điều đó bằng cách thêm mã sau vào tệp .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

Một lưu ý quan trọng: Mã này phải được đặt bên ngoài thẻ WordPress # BEGIN và # END WordPress. Bất cứ điều gì trong các thẻ có thể được cập nhật bởi WordPress và do đó dễ bị lạc trong quá trình cập nhật hoặc thay đổi cấu trúc permalink.

13. Xóa phiên bản WordPress

Trước đó chúng tôi đã nói về các cập nhật nhỏ của WordPress và cách chúng giải quyết các vấn đề quan trọng về bảo mật. Vì đây là những kiến thức công khai, bất kỳ ai cũng có thể nhanh chóng tìm ra lỗ hổng của các phiên bản WordPress cũ hơn và khai thác chúng.

Điều này cũng có nghĩa là nếu họ có thể tìm ra phiên bản trang web của bạn đang chạy, những điểm yếu trong bảo mật của bạn sẽ hoàn toàn hiển nhiên.

Để tránh tình huống này, người dùng làm tốt để ẩn phiên bản trang web của họ. Điều này có thể được thực hiện thông qua plugin hoặc bằng cách thêm dòng mã sau đây vào tệp function.php của chủ đề của bạn theo cách thủ công:

remove_action('wp_head', 'wp_generator');

 


III. Plugin bảo mật WordPress tất cả trong một

Bên cạnh các bước trên, cũng có một số plugin bảo mật có sẵn để củng cố trang web của bạn với một vài cú nhấp chuột đơn giản. Thực tế, nhiều người trong số họ thực hiện các bước chính xác được nêu ở trên, cộng với quét phần mềm độc hại và các tính năng hữu ích khác. Dưới đây là một số mục yêu thích của cộng đồng:

1. iThemes Security

iThemes Security

  • More than 30 ways of improving WordPress security
  • Monitoring system for bots and file changes
  • Pro version available

2. All In One WP Security & Firewall

All In One WP Security & Firewall

  • Checks for vulnerable user login information (e.g. the ‘admin’ user name)
  • Further login protection features
  • Can change the default database prefix to custom
  • Checks for correct file permissions

3. BulletProof Security

BulletProof Security

  • Login monitoring and security
  • Database backups
  • Database prefix changer
  • Additional features in the pro version

4. Wordfence Security

 Wordfence Security

  • Most downloaded security plugin for WordPress (800,000+ active installs)
  • Source code scans for malware
  • Two-factor authentication
  • Strong password enforcement

5. Sucuri Security

Sucuri Security

  • Implements WordPress security best practices
  • Malware scanning
  • Hides your WordPress version
  • Restrict file access via .htaccess

IV. Lời kết

Bảo mật là một phần thường bị bỏ quên khi chạy một trang web WordPress. Đó là tẻ nhạt và không nhất thiết phải là điều mà nhiều người trong chúng ta muốn giải quyết. Thật không may, thường lần ý nghĩa của nó chỉ trở nên rõ ràng sau khi mọi thứ đã đi xấu.

Có biện pháp phòng ngừa thêm là cũng có giá trị nó, như phục hồi từ một nỗ lực hack thành công thường mất nhiều thời gian và năng lượng. Chỉ cần làm theo các bước nói trên sẽ đưa dặm trang web của bạn ở phía trước. Nếu bạn đang tìm kiếm một dự án cuối tuần, hãy để nó được.

Bạn có cần thêm cái gì nữa không? Hãy cho chúng tôi biết trong phần bình luận.

Chúc bạn thành công!