Hướng Dẫn Bảo Mật WordPress Toàn Tập – Từng Bước Một (2018)

Sending
User Review
0 (0 votes)

Chủ đề về bảo mật WordPress là một trong những vấn đề quan trọng cho mọi nhà quản trị website. Mỗi tuần, Google đều liệu kê một blacklists khoảng 20.000 website có chứa malware và khoảng 50.000 phishing (những website lừa đảo). Nếu bạn thật sự đầu tư nghiêm túc với website của mình, thì hãy quan tâm đến vấn đề bảo mật.

Trong bài viết này chúng tôi sẽ chia sẽ đến bạn tất cả những thủ thuật hàng đầu giúp bạn bảo vệ website trước những hacker và malware.

bảo mật wordpress

Mặc dù source code của WordPress rất an toàn, và thường xuyên được kiểm tra bởi hàng trăm nhà phát triển, có rất nhiều thứ bạn phải làm để nâng cao tính bảo mật cho website của mình.

Tại Dieuhau, chúng tôi tin rằng bảo mật không phải là loại bỏ những rủi ro đã mắc phải mà là giảm thiểu rủi ro sẽ gặp phải trong trương lai. Với tư cách là một nhà quản trị website, có rất nhiều điều bạn nên làm để cải thiện bảo mật WordPress website ( kể cả bạn không phải dân công nghệ).

Sau đây là một vài bước để thực hiện nâng cao bao mật cho website của bạn.

Nào chúng ta cùng bắt đầu.

Tại Sao Bảo Mật Website lại quan trọng đến vậy?

Một trang WordPress bị tấn công sẽ gây tổn hại nghiêm trọng đến doanh thu và danh tiếng. Hackers đánh cắp thông tin người dùng, mật khẩu, cài đặt phần mềm độc hại, và thậm chí phân tán phần mềm đọc hại cho người dùng của bạn.

Điều tồi tệ nhất. Chính bản thân bạn phải chi trả một khoản tiền cho các hacker để lấy lại quyền truy cập vào trong web của bạn. Gần đây nhất đó là virus wanny cry

tầm quan trọng của bảo mật wordpress

Trong tháng 3 năm 2016, Báo cáo của Google chỉ ra rằng có hơn 50 triệu website user nhận được cảnh báo về website họ truy cập có thể chưa phần mềm độc hại hay đánh cắp thông tin người dùng.

Hơn nữa, Google blacklish liệt kê khoảng 20.000 website có chứa mã độc và 50.000 trang lừa đảo mỗi tuần.

Nếu website của bạn là một doanh nghiệp, thì bạn càng phải quan tâm đến vấn đề bảo mật WordPress.

Tương tự như các chủ doanh nghiệp có trách nhiệm bảo vệ kho hàng của mình, thì với tư cách chủ doanh nghiệp kinh doanh trực tuyến bạn có trách nhiệm bảo vệ trang web kinh doanh này.

Luôn Cập Nhật Phiên Bản Mới Nhất Của WordPress

wordpress updates

WordPress là một nền tảng mã nguồn mở nó thường xuyên được bảo trì cũng như cập nhật. Với mặc định, WordPress tự động cài đặt các bản cập nhật nhỏ. Đối với các bản cập nhật lớn, bạn cần cập nhật bằng cách thủ công.

WordPress cũng đi kèm với hàng nghìn plugin và theme mà bạn có thể cài đặt vào website của mình. Những plugin và theme này được cung cấp bới bên phát triển thứ 3 và thường xuyên được họ update

Sử Dụng Mật Khẩu Mạnh Mẽ và Quyền Truy Cập Cho Người Dùng

mật khẩu và quyền truy cập

Những thủ thuật tấn công hay được sử dụng nhất là sử dụng mật bị đánh cắp để truy cập vào website. Hãy ngăn ngừa nó bằng cách sử dụng một mật khẩu mạnh hơn độc nhất vô nhị cho website của bạn. Không chỉ cho khu vực admin WordPress, còn có tài khoản FTP, database, WordPress web hosting account, và địa chỉ Email chuyên nghiệp nữa.

Lý do chủ yếu vì sao những người mới sử dụng thường không thích sử dụng mật khẩu mạnh bới vị nó vô cùng khó nhớ. May mắn là bạn không cần phải nhớ mật khẩu nữa. Bạn nên dùng một phần mềm quản lý mật khẩu

Một cách khác để giảm thiểu rủi ro nữa là không cho phép bất kỳ ai quyền truy cập vào khu vực admin trừ khi bạn bắt buộc phải làm điều đó. Nếu bạn có một số lương tương đối tác giả trên cùng một website, thi hãy chắc chắn bạn hiểu được vai trò của user

Và khả năng họ có thể làm trên đó, trước khi bạn thêm người dùng và tác giả mới cho trang WordPress.

Vai Trò Của WordPress Hosting

Optimized WordPress Hosting

Optimized WordPress Hosting by Bluehost

Dịch vụ WordPress hosting đóng một vai trò quang trọng trong vấn đề bảo mật WordPress website. Một nhà cung cấp shared hosting tốt như HawkHost or Siteground có rất nhiều phương pháp để bảo về server trước những đe dọa phổ biến hàng ngày.

Tuy nhiên, trên shared hosting bạn phải chia sẻ tài nghiên với nhiều khách hàng khác. Điều đó khiến mang lại rất nhiều rủi tiềm tàng ( lây nhiễm chéo) hacker có thể sử dụng những site sử dụng cùng dịch vụ shared hosting với bạn để tấn công chính bạn

Sử dụng một dịch vụ managed WordPress hosting sẽ cung cấp một nền tảng an toàn hơn cho trang web của bạn. Các công ty cung cấp dịch vụ Managed WordPress hosting thường tự động backup, tự động cập nhật phiên bản mới nhất của WordPress, và còn nhiều tuy chọn nâng cao để bảo mật WordPress website của bạn.

Tôi khuyên bạn nên sử dụng WPEngine là một trong những nhà cung cấp dịch vụ hosting rất ưa thích của tôi. Họ cũng là một trong những cái tên nổi tiểng trong ngành công nghiệp này.

Bảo Mật WordPress Với Vài Bước Đơn Giản Sau:

Chúng ta đều biết cài thiện bảo mật WordPress là một điều gì đó rất kinh khủng với những người mới dùng. Đặc biệt nếu bạn không phải dân công nghệ. Nhưng đừng lo lắng bạn không có một mình, tôi ở đây để giúp bạn.

Tôi đã giúp rất nhiều người dùng WordPress xử lý những vấn đề bảo mật WordPress của họ.

Và trong bài viết này tôi sẽ hướng dẫn bạn làm thế nào để cải thiện bảo mật WordPress chỉ với click ( không cần sử dụng code)

1. Sao Lưu Cơ Sở Dữ Liệu

wordpress backup

Backup là bước bảo mật đầu tiên chống lại bất kỳ cuộc tấn công nào. Hãy nhớ rằng, không có gì là 100% an toàn. Những trang web chính phủ còn bị tấn công, thì bạn cũng vậy.

Backup cho phép bạn nhanh chóng khôi phục trang WordPress với một số thứ tồi tệ xảy ra.

Có rất nhiều WordPress backup plugin miễn phí và trả phí mà bạn có thể chọn. Điều quan trọng là bạn cần hiểu khi nào nói đến backup có nghĩa là bạn cần phải thường xuyên sao lưu toàn bộ website sang một điểm khác (không phải trên hosting account).

Tôi khuyên bạn lưu trữ nó trên một dịch vụ đám mây như: Amazon, Dropbox, hay một đám mây cá nhân như Stash.

Dựa trên mức độ thường xuyên trang update trang web của bạn, thiết lập lý tưởng là hàng ngày hoặc sao lưu theo thời gian thực.

Rất may là dễ dàng thực hiện điều bằng cách sử dụng plugin như VaultPress or BackupBuddy. Cả 2 đều rất đáng tin dùng và đều quan trọng là dễ dàng sử dụng (không cần code)

2. Sử Dụng Plugin Bảo Mật WordPress Tốt Nhất

Sau khi backups, điều tiếp theo bạn cần quan tâm đó là cài đặt một hệ thống theo dõi và kiểm tra mọi thứ xảy ra trên website của mình.

Điều này bao gồm giám sát tình trạng của file, cảnh báo truy cập trái phép, quét phần mềm độc hại..v…

May mắn là tất cả những gì bạn cần làm là cài đặt Sucuri Security plugin miễn phí. Để biết thêm nhiều thông tin chi tiết cách cài đặt plugin…..

Để kích hoạt plugin, bạn cần đi đến Sucuri Menu trong bảng điều khiển WordPress
Sucuri MenuĐiều đầu tiên bạn sẽ được yêu cầu làm đó là Tạo một API key miễn phí. Điều này cho phép bạn kiểm duyệt đăng nhập, integrity checking, thông báo email, và những tính năng quan trọng khác.
Generate API keyĐiều tiếp theo, bạn cần làm là click vào Hardening tab từ Sucuri Menu. Lướt qua tất cả tùy chọn và click vào nút “Harden”.
HardenVới tùy chọn này giúp bạn khóa lại khu vực trung tâm thường được sử dụng trong các cuộc tấn công. Chỉ với tính năng hardening được cung cấp trong phiên bản trả phí là một Web Application Firewall nơi chúng ta giải thích trong vài bước tiếp theo..

Chúng cũng sẽ bàn về tùy chon “Hardening” sau bài viết này cho những ai muốn làm điều dó mà không cần sử dụng một plugin hoặc những người yêu cầu bổ sung thêm những bước như “Database Prefix change” hay “ Thay đổi Tên Truy cập Admin

Sau phần hardening, phần lớn thiết lập mặc định của plugin đều rất tốt và không cần thay đổi. Một điều duy nhất tôi khuyên bạn là tùy chỉnh Cảnh báo qua Email.

Các thiết lập cảnh báo mặc định sẽ khiến email box của bạn bị lộn xộn. Chúng tôi khuyên bạn nhận cảnh báo với hoạt động chính như thay đổi plugin, đăng ký người dùng mới,etc. Bạn dễ dãng tùy chình cảnh báo bằng cách đi đến Sucuri Settings » Alerts.
Alerts SettingPlugin bảo mật này vô cùng mạnh mẽ, vì vậy bạn có thể lướt qua tất cả các tab và các cài đặt để xem tất cả như: Malware scanning, Audit logs. Failed Login Attempt tracking, v..v…

3. Kích Hoạt Web Applitcation Firewall (WAF)

Cách dễ dàng nhất để bảo vệ website và mang lại cảm giác an toàn về bảo mật WordPress là sử dụng web application firewall (WAF). Tường lữa sẽ ngăn chặn tất cả các lượt truy cập nguy hiểm trước khi nó có thể chạm đến website của bạn.
Web Application FireWallTôi đang sử dụng Sucuri và khuyên bạn cũng nên sử dụng nó như là một bước tường lửa cho trang WordPress của mình.

Phần tuyệt với nhất về Sucuri’s firewall là đi kèm với tính năng dọn dẹn malware và đảm bảo loại bỏ chúng trong blacklist. Về cơ bản nếu bạn bị tấn công dưới sự giám sát của họ, Sucuri sẽ đảm bảo sẽ sửa lỗi cho website của bạn (bất kể bao nhiều pages bạn có)

Đây là một lời cam kết rất tự tin bởi vì sửa lỗi một website bị tấn công là rất tốn kém. Một chuyên gia bảo mật thường tính $250 cho một giờ. Trong khi đó bạn sẽ có tất cả giải pháp bảo mật của Sucuri chi với $199/ năm.

⇒ Cài đặt Sucuri để nâng cao bảo mật cho website

Sucuri không phải là nhà cung cấp firewall duy nhất. Đối thủ cạnh tranh của họ là Cloudflare.

Một Số Phương Pháp Cải Thiện Bảo Mật WordPress

Nếu bạn đã làm tất cả những thứ tôi nói ở trên, thì bạn đang có tình trạng an ninh khá tốt rồi đấy.

Nhưng vẫn như mọi khi, có nhiều thứ bạn có thể làm tốt hơn với Bảo Mật WordPress website của mình

Một số bước có thể sẽ yêu cầu một chú hiểu biết về code.

1. Thay Đổi Tên Truy Cập “admin” Mặc Định

Những phiên bản trước đây, tên truy cập mặc định của admin là “admin”. Biết được tên truy cập là đồng nghĩa với việc các hacker có thể tiến hành tấn công trang web bằng brute-force attacks (đoán mật khẩu)

Nhưng rất may, WordPress đã thay đổi nó và bây giờ yêu cầu bạn chọn tên truy cập ngay ở lần cài đặt đầu tiên.

Cài đặt WordPress

Tuy nhiên, với cách cài đặt WordPress bằng 1-click duy nhất, thì vẫn chọn tên admin username mặc định là “admin”.

Mặc dù mặc định WordPress không cho phép bạn thay đổi username, nhưng vẫn có vài cách để bạn thay đổi username.

  1. Tạo mới một admin username và xóa người dung cũ đi
  2. Sử dụng Plugin thay đổi tên người dùng
  3. Cập nhật tên người dùng từ phpMyAdmin

Tôi đã nói vẫn đề này ở bài Làm thế nào để thay đổi tên truy cập “Admin” trong WordPress hãy đọc để xem hướng dẫn chi tiết nhé.

*Lưu ý: Chúng ta đang nói về username gọi là “admin”, chứ không phải là vai trò quản trị viên

2. Vô Hiêu Hóa File Editing

WordPress đi cùng với một built-in code editor mà cho phép bạn chỉnh sửa giao diện và plugin files ngay tại khu vực admin của WordPress. Nếu vào tay người xấu, tính năng này có thể gây nguy hiểm đến bảo mật WordPress cho nên chúng tôi khuyên bạn nên vô hiệu hóa nó.

File Editor

Bạn có thể làm điều đó một cách dễ dàng bằng cách thêm đoạn code sau vào file wp-config.php

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Hoặc bạn có thể làm điều đó với 1-click bằng cách sử dung tính năng Hardening trong Sucuri free mà tôi nói ở trên

3. Vô Hiệu Hóa PHP Trong Một Vài Thư Mục WordPress

Một cách khác để năng cao bảo mật WordPress là vô hiệu hóa PHP file execution in directories mà không cần thiết như /wp-content/uploads.

Để làm điều đó hãy mở notepad lên và dán đoạn code này vào:

<Files *.php>
deny from all
</Files>

Tiếp theo, bạn cần lưu file nay dưới dạng .htaccess và upload nó vào folders /wp-content/uploads trên website của bạn bằng cách sử dụng FTP client.

Xem hướng dẫn chi tiết Vô Hiệu Hóa PHP Trong Một Vài Thư Mục WordPress

4. Giới Hạn Số Lần Đăng Nhập

Với thiết lập mặc định WordPress cho phép người dùng đăng nhập bao nhiều lần tùy thích. Nó khiến WordPress site dễ dàng thành mục tiêu của các cuộc tấn công brute force. Hackers có gắng bẻ khóa mật khẩu của bạn bằng cách cố gắng đăng nhập với những mật khẩu kết hợp khách nhau.

Điều này có thể dễ dàng khắc phục bằng giới hạn số lần đăng nhập lỗi mà người dùng có thể thử. Nếu bạn sử dụng giải pháp web application firewall nói ở trên, thì nó sẽ tự động xử lý vấn đề này cho bạn.

Tuy nhiên, nếu bạn không cài đặt tường lửa, thì xử lý vấn đề này bằng những bước sau đây.

Đầu tiên, bạn cần cài đặt và kích hoạt Login LockDown plugin. Nếu bạn chưa biết cách cài đặt plugin thì đây Làm Thế Nào Để Cài Đặt Plugin Trên WordPress là những gì bạn cần.

Sau khi kích hoạt xong, đi đến Settings » Login LockDown để cài đặt plugin
Login LockDown Options

Để biết Tại sao và làm thế nào để giới hạn số lần đăng nhập không thành công hãy đọc bài viết này để hiểu rõ hơn nhé.

5. Thay Đổi WordPress Database Prefix

Mặc định, WordPress sử dụng wp_ như là tiền tố cho tất cả các tables trong cơ sở dữ liệu. Nếu trang WordPress bạn đang sử dụng tiền tố mặc định trong cơ sở dữ liệu, thì nó thể dễ dàng để hacker có thể đoán được table name. Đó là lý chúng tôi khuyến khích bạn nên thay đổi nó.

WordPress Database Prefix

Bạn có thể thay đổi tiền tố trên bảng cơ sở dữ liệu bằng cách sử làm theo hướng dẫn từng bước sau đây: Làm thế nào để bảo vệ và tối ưu hóa cơ sở dữ liệu WordPress?

*Lưu ý: Nó có thế làm hư hại đến website của bạn nếu không được thực hiện một cách chính xác. Chỉ thực hiện nó khi bạn cảm thấy tự tin về khả năng code của mình nhé.

6. Mật khẩu bảo vệ khu vực Admin và trang đăng nhập

Bình thường, các hacker có thể request đến thư mục wp-admin và login page của bạn nếu không có bất kỳ hạn chế nào. Điều này cho phép hacker cố gắng sử dụng thủ thuật hãy tấn công DDoS.

Bạn có thể thêm mật khẩu để bảo vệ về phía máy chủ nơi mà sẽ ngăn chặn những truy cập trái phép.

Mật khẩu bảo vệ khu vực Admin và trang đăng nhập

Hãy đọc bài viết này Cách cài đặt mật khẩu bảo vệ khu vực admin và Login page để xem hướng dẫn kỹ hơn nhé.

7. Vô hiệu hóa Directory Indexing and Browsing

Directory Indexing and Browsing

Directory browsing có thể được lợi dụng bởi hacker để tìm những file mà bạn có với các lỗ hổng có thể tìm thấy, vì vậy họ tận dụng những tập tin này để tấn công website.

Directory browsing có thể được sử dụng bởi người khác để nhìn vào cái file của bạn, để sao chép hình ảnh, các thông tin khác. Đây là lý do tại sao tôi khuyến khích bạn tắt chúng đi.

Bạn cần kết nối website của mình bằng cách sử dụng FTP hay cPanel’s file manager. Tiếp theo xác định vị trí của file .htaccess trong website. Nếu bạn ko thể tìm thấy nó hãy đọc bài viết này Tại Sao Không Tìm Thấy file .htaccess Trên WordPress nhé.

Sau đó, bạn thêm dòng dưới đây ở cuối file .htaccess:

Options - Indexes

Đừng quên lưu và upload lại file .htaccess vào website của mình.

8. Vô hiệu hóa XML-RPC in WordPress

XML-RPC được kích hoạt trong thiết lập mặc định của WordPress 3.5 bởi vì nó giúp kết nối trang WordPress với web và mobile apps.

Tuy nhiên chức năng quá mạnh mẽ này, XML- RPC có thể khuếch đại cuộc tấn công brute-force đáng kể.

Ví dụ: theo cách truyền thống một hacker muốn thử 500 mật khẩu khác nhau với trang web của bạn, họ sẽ phải tạo 500 lần đăng nhập riêng biệt và sẽ bị chặn bởi giới hạn số lần đăng nhập.

Nhưng với XML-RPC, một hacker có thể chức năng này để thử hàng ngàn mật khẩu chỉ với 20 hoặc 50 requestes. Đó là lý do tại nếu bạn không sử dụng XML-RPC, thì hãy nên vô hiệu hóa nó

Có 3 cách để vô hiệu hóa XML-RPC trong WordPress, và chúng ta sẽ nói những cách này ở một bài viết khác

*Tip: Phương pháp .htaccess là cách tốt nhất bởi vì tốn ít resource intensive

Nếu bạn sử dụng phương pháp web-application firewall nói trên, nó có được xử lý dễ dàng vấn đề này

9. Tự động log-out user khi không hoạt động

Người dùng đã đăng nhập vào Dashboard đôi khi họ có thể đi đâu đó, và nó có thể gây nguy hiểm đến bảo mật wordpress website của bạn. Một người nào đó có lợi dụng nó để chiếm quyền điều khiển, thay đổi mật khẩu, hãy thay đổi thông tin tài khoản của bạn.

Đó là lý do tại sao rất nhiều các trang web ngân hàng và tài chính đều tự động đăng xuất với người dùng không hoạt động. Bạn có thể thực hiện chức năng tương tự trên trang WordPress của bạn.

Bạn cần cài đặt và kích hoạt Idle User Logout plugin. Sau khi kích hoạt, đi đến Settings » Idle User Logout để tùy chỉnh plugin.

Idle User Logout

Đơn giản chọn thời gian chờ và bỏ tích ở tùy chọn “Disable in WP Admin” cho tính bảo mật tốt hơn. Đừng quên bấm vào nút lưu các thay đổi nhé.

10. Thêm câu hỏi bảo mật vào màn hình đăng nhập WordPress

Câu hỏi bảo mật

Thêm những câu hỏi bảo mật vào màn hình đăng nhập làm để nó trở nên khó khăn hơn cho một người nào đó có ý định truy cập trái phép.

Bạn có thể thêm câu hỏi bảo mật bằng cách cài đặt WP Security Questions plugin. Sau khi kích hoạt, bạn cần vào phần Settings » Security Question để thiết lập cài đặt

Sửa lỗi trang WordPress bị hacker tấn công

Nhiều người sử dụng WordPress không nhận ra được tầm quan trọng của việc sao lưu và vấn để bảo mật WordPress đến khi trang web của họ bị tấn công.

Dọn dẹp một trang web WordPress có thể có thể rất tốn nhiều thời gian và khó khăn. Lời khuyên đầu tiên là tôi là hãy tỏ ra chuyên nghiệp ngay từ đầu và quan tâm đến nó.
Hacker cài các backdoor gây ảnh hưởng đến site của bạn, và nếu backdoor đó không được sửa một cách đúng cách, thì trang của bạn sẽ dễ dàng bị tấn công một lần nữa.

Cho phép một công ty bảo mật chuyên nghiệp như Sucuri sửa chữa trang web của bạn sẽ đảm bảo trang web của bạn an toàn để sử dụng lại. Nó cũng sẽ bảo về bạn trong tương lại.

Đỗi với những ưa thích mày mò và tự tay thực hiện sửa chữa trang web của mình thì đây Hướng Dẫn Cách Sửa Trang Web Bị Hack sẽ giúp bạn thực hiện dễ dàng hơn.

Đó là tất cả những gì tôi muốn nói với bạn, hy vọng bài viết này giúp bạn học được nhiều bài học hay về bảo mật WordPress website của mình và khám phá thêm nhiều plugin bảo mật.