Hướng Dẫn Bảo Mật WordPress Toàn Tập – Từng Bước Một (2019)

Chủ đề bảo mật website luôn là một trong những vấn đề đau đầu với quản trị viên.

Mỗi tuần, Google đều liệt kê khoảng 20.000 website có chứa malware và khoảng 50.000 phishing (những website lừa đảo).

Đặc biệt với WordPress, nền tảng chiếm đến 34% trên internet sẽ là miếng mồi ngon cho hacker.

Mặc dù WordPress khá an toàn, luôn tung ra các bản update liên tục.

Nhưng không có nghĩa là nó bất khả chiến bại, vẫn có rất nhiều cách để hacker tấn công.

Việc của chúng ta là ngăn chặn giảm thiểu thiệt hại nhất có thể cho website.

Nào chúng ta cùng bắt đầu nhé!

bảo mật wordpress

Những điều cơ bản cần biết về bảo mật WordPress

Chúng ta sẽ cùng đi tìm hiểu cơ bản về bảo mật WordPress.

Và một số lưu ý rất quan trọng để giúp bảo vệ website một cách an toàn.

Mà bất kì ai cũng cần nắm vững khi bắt đầu sử dụng WordPress

Tại sao bảo mật website lại quan trọng đến vậy?

Trang web của bạn đang chạy bình thường và bổng nhiên bị dính virus.

Nếu bạn là người chưa bao giờ gặp tình huống này, sẽ rất khó khăn cho bạn.

Đặc biệt là với anh em tay ngang ko phải dân kỹ thuật.

Hackers đánh cắp thông tin người dùng, mật khẩu, cài đặt phần mềm độc hại…

Và thậm chí phân tán phần mềm đọc hại cho người dùng của bạn.

Nhiều hacker còn bắt nạn nhân chi trả muốn khoản tiền, gần đây nhất đó là virus wanny cry

tầm quan trọng của bảo mật wordpress

Trong tháng 3 năm 2016, Google chỉ ra rằng có hơn 50 triệu cảnh báo về website người dùng truy cập có thể chứa mã độc.

Hơn nữa, Google cũng liệt kê khoảng 20.000 website có chứa mã độc và 50.000 trang lừa đảo mỗi tuần.

Một con số không hề nhỏ đúng không nào, rất có thể nạn nhân tiếp sẽ là bạn.

Nếu là một doanh nghiệp, thì càng nên quan tâm đến vấn đề bảo mật WordPress.

Không chỉ vì uy tín và trách nhiệm của bạn, nó còn ảnh hưởng trực tiếp đến doanh thu của bạn.

Luôn update phiên bản mới nhất

wordpress updates

WordPress là một nền tảng mã nguổn mở luôn được update liên tục.

Với mặc định, WordPress tự động cài đặt các bản cập nhật nhỏ.

Đối với các bản cập nhật lớn, bạn cần cập nhật bằng cách thủ công.

WordPress cũng đi kèm với hàng nghìn plugin và theme mà bạn có thể cài đặt vào website của mình.

Những plugin và theme này được cung cấp bới bên phát triển thứ 3 và thường xuyên được họ update.

Chúng có thể là những bản vá lỗi bảo mật, vì thế đừng bỏ qua và hãy update ngay nhé.

WordPress có lưu lại lịch sử từng phiên bản và chi tiết các thay đổi tại đây.

Đặt mật khẩu mạnh và phân quyền user

mật khẩu và quyền truy cập

Một trong những thủ thuật tấn công phổ biến nhất là “đánh căp mật khẩu”.

Rất nhiều anh em đặt user và pass rất dễ đoán kiểu admin 123456.

Hãy đặt một mật khẩu độc nhất vô nhị có đầy đủ từ chữ cái, số và ký tự đặc biệt.

Ví dụ: “W):9’Q_uE$`&6w_k”, “Ck(=)C5C[]ZN&A,4”

Nếu không nghĩ ra được anh em có thể vào passwordsgenerator.net để tạo ra nhé.

Không chỉ với user admin đăng nhập vào khu vực quản trị, mà còn cả tài khoản hosting, user và password databse…

Tất nhiên là việc sử dụng mật khẩu mạnh rất khó nhớ, và nhiều người không thích điều này.

Nhưng hiện có rất nhiều cách, đó là sử dụng phần mềm quản lý mật khẩu

Tiếp theo là hãy chắc chắn chỉ mình bạn (hoặc người tin tưởng) mới được phân quyền admin.

Nếu bạn đang có website nhiều tác giả, hãy phân quyền user thật cẩn thận nhé.

Vai trò của WordPress Hosting

Optimized WordPress Hosting

Optimized WordPress Hosting by Bluehost

Hosting cũng là một yếu tố rất quan trọng trong vấn đề bảo mật.

Bình thường với người dùng cơ bản sẽ hay chọn các gói shared hosting.

Loại hosting này bạn sẽ phải chia sẻ tài nguyên với nhiều người khác.

Điều đó khiến mang lại rất nhiều rủi tiềm tàng như lây nhiễm chéo.

Hacker có thể sử dụng những site sử dụng cùng dịch vụ shared hosting để tấn công.

Trước đăng ký các gói này bạn nên cân nhắc kỹ các điều khoản, và dịch vụ bảo mật bên họ:

  • Có backup thường xuyên không?
  • Khi bị nhiễm mã độc thì được xử lý như thế nào?
  • Có được hỗ trợ về kỹ thuật không?

Một số dịch vụ Managed WordPress Hosting tốt thường có:

  • Tự động backup,
  • Tự động cập nhật phiên bản mới nhất của WordPress,
  • Và còn nhiều tuy chọn nâng cao để bảo mật WordPress website của bạn.

Nhưng giá thường sẽ cao hơn với gói shared hosting.

Còn nếu bạn muốn tự quản lý hoàn toàn từ A->Z trên server của mình thì VPS sẽ là lựa chọn cho bạn.

  • Mức giá đa dạng tùy vào cấu hình
  • Bạn sẽ tự quản lý cài đặt server mình muốn
  • Không cần chia sẻ tài nguyên với ai

Đổi lại thì việc cài đặt và quản lý sẽ phức tạp và khó khăn hơn.

Mọi vấn đề sẽ do bạn quyết định, từ việc backup, bảo mật…

Bảo mật WordPress với vài bước đơn giản

Chúng ta đều biết cài thiện bảo mật WordPress là một điều gì đó rất kinh khủng với những người mới dùng. Đặc biệt nếu bạn không phải dân công nghệ. Nhưng đừng lo lắng bạn không có một mình, tôi ở đây để giúp bạn.

Tôi đã giúp rất nhiều người dùng WordPress xử lý những vấn đề bảo mật WordPress của họ.

Và trong bài viết này tôi sẽ hướng dẫn bạn làm thế nào để cải thiện bảo mật WordPress chỉ với click ( không cần sử dụng code)

1. Sao Lưu Cơ Sở Dữ Liệu

wordpress backup

Backup là bước bảo mật đầu tiên chống lại bất kỳ cuộc tấn công nào. Hãy nhớ rằng, không có gì là 100% an toàn. Những trang web chính phủ còn bị tấn công, thì bạn cũng vậy.

Backup cho phép bạn nhanh chóng khôi phục trang WordPress với một số thứ tồi tệ xảy ra.

Có rất nhiều WordPress backup plugin miễn phí và trả phí mà bạn có thể chọn. Điều quan trọng là bạn cần hiểu khi nào nói đến backup có nghĩa là bạn cần phải thường xuyên sao lưu toàn bộ website sang một điểm khác (không phải trên hosting account).

Tôi khuyên bạn lưu trữ nó trên một dịch vụ đám mây như: Amazon, Dropbox, hay một đám mây cá nhân như Stash.

Dựa trên mức độ thường xuyên trang update trang web của bạn, thiết lập lý tưởng là hàng ngày hoặc sao lưu theo thời gian thực.

Rất may là dễ dàng thực hiện điều bằng cách sử dụng plugin như VaultPress or BackupBuddy. Cả 2 đều rất đáng tin dùng và đều quan trọng là dễ dàng sử dụng (không cần code)

2. Sử Dụng Plugin Bảo Mật WordPress Tốt Nhất

Sau khi backups, điều tiếp theo bạn cần quan tâm đó là cài đặt một hệ thống theo dõi và kiểm tra mọi thứ xảy ra trên website của mình.

Điều này bao gồm giám sát tình trạng của file, cảnh báo truy cập trái phép, quét phần mềm độc hại..v…

May mắn là tất cả những gì bạn cần làm là cài đặt Sucuri Security plugin miễn phí. Để biết thêm nhiều thông tin chi tiết cách cài đặt plugin…..

Để kích hoạt plugin, bạn cần đi đến Sucuri Menu trong bảng điều khiển WordPress
Sucuri MenuĐiều đầu tiên bạn sẽ được yêu cầu làm đó là Tạo một API key miễn phí. Điều này cho phép bạn kiểm duyệt đăng nhập, integrity checking, thông báo email, và những tính năng quan trọng khác.
Generate API keyĐiều tiếp theo, bạn cần làm là click vào Hardening tab từ Sucuri Menu. Lướt qua tất cả tùy chọn và click vào nút “Harden”.
HardenVới tùy chọn này giúp bạn khóa lại khu vực trung tâm thường được sử dụng trong các cuộc tấn công. Chỉ với tính năng hardening được cung cấp trong phiên bản trả phí là một Web Application Firewall nơi chúng ta giải thích trong vài bước tiếp theo..

Chúng cũng sẽ bàn về tùy chon “Hardening” sau bài viết này cho những ai muốn làm điều dó mà không cần sử dụng một plugin hoặc những người yêu cầu bổ sung thêm những bước như “Database Prefix change” hay “ Thay đổi Tên Truy cập Admin

Sau phần hardening, phần lớn thiết lập mặc định của plugin đều rất tốt và không cần thay đổi. Một điều duy nhất tôi khuyên bạn là tùy chỉnh Cảnh báo qua Email.

Các thiết lập cảnh báo mặc định sẽ khiến email box của bạn bị lộn xộn. Chúng tôi khuyên bạn nhận cảnh báo với hoạt động chính như thay đổi plugin, đăng ký người dùng mới,etc. Bạn dễ dãng tùy chình cảnh báo bằng cách đi đến Sucuri Settings » Alerts.
Alerts SettingPlugin bảo mật này vô cùng mạnh mẽ, vì vậy bạn có thể lướt qua tất cả các tab và các cài đặt để xem tất cả như: Malware scanning, Audit logs. Failed Login Attempt tracking, v..v…

3. Kích Hoạt Web Applitcation Firewall (WAF)

Cách dễ dàng nhất để bảo vệ website và mang lại cảm giác an toàn về bảo mật WordPress là sử dụng web application firewall (WAF). Tường lữa sẽ ngăn chặn tất cả các lượt truy cập nguy hiểm trước khi nó có thể chạm đến website của bạn.
Web Application FireWallTôi đang sử dụng Sucuri và khuyên bạn cũng nên sử dụng nó như là một bước tường lửa cho trang WordPress của mình.

Phần tuyệt với nhất về Sucuri’s firewall là đi kèm với tính năng dọn dẹn malware và đảm bảo loại bỏ chúng trong blacklist. Về cơ bản nếu bạn bị tấn công dưới sự giám sát của họ, Sucuri sẽ đảm bảo sẽ sửa lỗi cho website của bạn (bất kể bao nhiều pages bạn có)

Đây là một lời cam kết rất tự tin bởi vì sửa lỗi một website bị tấn công là rất tốn kém. Một chuyên gia bảo mật thường tính $250 cho một giờ. Trong khi đó bạn sẽ có tất cả giải pháp bảo mật của Sucuri chi với $199/ năm.

⇒ Cài đặt Sucuri để nâng cao bảo mật cho website

Sucuri không phải là nhà cung cấp firewall duy nhất. Đối thủ cạnh tranh của họ là Cloudflare.

Một Số Phương Pháp Cải Thiện Bảo Mật WordPress

Nếu bạn đã làm tất cả những thứ tôi nói ở trên, thì bạn đang có tình trạng an ninh khá tốt rồi đấy.

Nhưng vẫn như mọi khi, có nhiều thứ bạn có thể làm tốt hơn với Bảo Mật WordPress website của mình

Một số bước có thể sẽ yêu cầu một chú hiểu biết về code.

1. Thay Đổi Tên Truy Cập “admin” Mặc Định

Những phiên bản trước đây, tên truy cập mặc định của admin là “admin”. Biết được tên truy cập là đồng nghĩa với việc các hacker có thể tiến hành tấn công trang web bằng brute-force attacks (đoán mật khẩu)

Nhưng rất may, WordPress đã thay đổi nó và bây giờ yêu cầu bạn chọn tên truy cập ngay ở lần cài đặt đầu tiên.

Cài đặt WordPress

Tuy nhiên, với cách cài đặt WordPress bằng 1-click duy nhất, thì vẫn chọn tên admin username mặc định là “admin”.

Mặc dù mặc định WordPress không cho phép bạn thay đổi username, nhưng vẫn có vài cách để bạn thay đổi username.

  1. Tạo mới một admin username và xóa người dung cũ đi
  2. Sử dụng Plugin thay đổi tên người dùng
  3. Cập nhật tên người dùng từ phpMyAdmin

Tôi đã nói vẫn đề này ở bài Làm thế nào để thay đổi tên truy cập “Admin” trong WordPress hãy đọc để xem hướng dẫn chi tiết nhé.

*Lưu ý: Chúng ta đang nói về username gọi là “admin”, chứ không phải là vai trò quản trị viên

2. Vô Hiêu Hóa File Editing

WordPress đi cùng với một built-in code editor mà cho phép bạn chỉnh sửa giao diện và plugin files ngay tại khu vực admin của WordPress. Nếu vào tay người xấu, tính năng này có thể gây nguy hiểm đến bảo mật WordPress cho nên chúng tôi khuyên bạn nên vô hiệu hóa nó.

File Editor

Bạn có thể làm điều đó một cách dễ dàng bằng cách thêm đoạn code sau vào file wp-config.php

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Hoặc bạn có thể làm điều đó với 1-click bằng cách sử dung tính năng Hardening trong Sucuri free mà tôi nói ở trên

3. Vô Hiệu Hóa PHP Trong Một Vài Thư Mục WordPress

Một cách khác để năng cao bảo mật WordPress là vô hiệu hóa PHP file execution in directories mà không cần thiết như /wp-content/uploads.

Để làm điều đó hãy mở notepad lên và dán đoạn code này vào:

<Files *.php>
deny from all
</Files>

Tiếp theo, bạn cần lưu file nay dưới dạng .htaccess và upload nó vào folders /wp-content/uploads trên website của bạn bằng cách sử dụng FTP client.

Xem hướng dẫn chi tiết Vô Hiệu Hóa PHP Trong Một Vài Thư Mục WordPress

4. Giới Hạn Số Lần Đăng Nhập

Với thiết lập mặc định WordPress cho phép người dùng đăng nhập bao nhiều lần tùy thích. Nó khiến WordPress site dễ dàng thành mục tiêu của các cuộc tấn công brute force. Hackers có gắng bẻ khóa mật khẩu của bạn bằng cách cố gắng đăng nhập với những mật khẩu kết hợp khách nhau.

Điều này có thể dễ dàng khắc phục bằng giới hạn số lần đăng nhập lỗi mà người dùng có thể thử. Nếu bạn sử dụng giải pháp web application firewall nói ở trên, thì nó sẽ tự động xử lý vấn đề này cho bạn.

Tuy nhiên, nếu bạn không cài đặt tường lửa, thì xử lý vấn đề này bằng những bước sau đây.

Đầu tiên, bạn cần cài đặt và kích hoạt Login LockDown plugin. Nếu bạn chưa biết cách cài đặt plugin thì đây Làm Thế Nào Để Cài Đặt Plugin Trên WordPress là những gì bạn cần.

Sau khi kích hoạt xong, đi đến Settings » Login LockDown để cài đặt plugin
Login LockDown Options

Để biết Tại sao và làm thế nào để giới hạn số lần đăng nhập không thành công hãy đọc bài viết này để hiểu rõ hơn nhé.

5. Thay Đổi WordPress Database Prefix

Mặc định, WordPress sử dụng wp_ như là tiền tố cho tất cả các tables trong cơ sở dữ liệu. Nếu trang WordPress bạn đang sử dụng tiền tố mặc định trong cơ sở dữ liệu, thì nó thể dễ dàng để hacker có thể đoán được table name. Đó là lý chúng tôi khuyến khích bạn nên thay đổi nó.

WordPress Database Prefix

Bạn có thể thay đổi tiền tố trên bảng cơ sở dữ liệu bằng cách sử làm theo hướng dẫn từng bước sau đây: Làm thế nào để bảo vệ và tối ưu hóa cơ sở dữ liệu WordPress?

*Lưu ý: Nó có thế làm hư hại đến website của bạn nếu không được thực hiện một cách chính xác. Chỉ thực hiện nó khi bạn cảm thấy tự tin về khả năng code của mình nhé.

6. Mật khẩu bảo vệ khu vực Admin và trang đăng nhập

Bình thường, các hacker có thể request đến thư mục wp-admin và login page của bạn nếu không có bất kỳ hạn chế nào. Điều này cho phép hacker cố gắng sử dụng thủ thuật hãy tấn công DDoS.

Bạn có thể thêm mật khẩu để bảo vệ về phía máy chủ nơi mà sẽ ngăn chặn những truy cập trái phép.

Mật khẩu bảo vệ khu vực Admin và trang đăng nhập

Hãy đọc bài viết này Cách cài đặt mật khẩu bảo vệ khu vực admin và Login page để xem hướng dẫn kỹ hơn nhé.

7. Vô hiệu hóa Directory Indexing and Browsing

Directory Indexing and Browsing

Directory browsing có thể được lợi dụng bởi hacker để tìm những file mà bạn có với các lỗ hổng có thể tìm thấy, vì vậy họ tận dụng những tập tin này để tấn công website.

Directory browsing có thể được sử dụng bởi người khác để nhìn vào cái file của bạn, để sao chép hình ảnh, các thông tin khác. Đây là lý do tại sao tôi khuyến khích bạn tắt chúng đi.

Bạn cần kết nối website của mình bằng cách sử dụng FTP hay cPanel’s file manager. Tiếp theo xác định vị trí của file .htaccess trong website. Nếu bạn ko thể tìm thấy nó hãy đọc bài viết này Tại Sao Không Tìm Thấy file .htaccess Trên WordPress nhé.

Sau đó, bạn thêm dòng dưới đây ở cuối file .htaccess:

Options - Indexes

Đừng quên lưu và upload lại file .htaccess vào website của mình.

8. Vô hiệu hóa XML-RPC in WordPress

XML-RPC được kích hoạt trong thiết lập mặc định của WordPress 3.5 bởi vì nó giúp kết nối trang WordPress với web và mobile apps.

Tuy nhiên chức năng quá mạnh mẽ này, XML- RPC có thể khuếch đại cuộc tấn công brute-force đáng kể.

Ví dụ: theo cách truyền thống một hacker muốn thử 500 mật khẩu khác nhau với trang web của bạn, họ sẽ phải tạo 500 lần đăng nhập riêng biệt và sẽ bị chặn bởi giới hạn số lần đăng nhập.

Nhưng với XML-RPC, một hacker có thể chức năng này để thử hàng ngàn mật khẩu chỉ với 20 hoặc 50 requestes. Đó là lý do tại nếu bạn không sử dụng XML-RPC, thì hãy nên vô hiệu hóa nó

Có 3 cách để vô hiệu hóa XML-RPC trong WordPress, và chúng ta sẽ nói những cách này ở một bài viết khác

*Tip: Phương pháp .htaccess là cách tốt nhất bởi vì tốn ít resource intensive

Nếu bạn sử dụng phương pháp web-application firewall nói trên, nó có được xử lý dễ dàng vấn đề này

9. Tự động log-out user khi không hoạt động

Người dùng đã đăng nhập vào Dashboard đôi khi họ có thể đi đâu đó, và nó có thể gây nguy hiểm đến bảo mật wordpress website của bạn. Một người nào đó có lợi dụng nó để chiếm quyền điều khiển, thay đổi mật khẩu, hãy thay đổi thông tin tài khoản của bạn.

Đó là lý do tại sao rất nhiều các trang web ngân hàng và tài chính đều tự động đăng xuất với người dùng không hoạt động. Bạn có thể thực hiện chức năng tương tự trên trang WordPress của bạn.

Bạn cần cài đặt và kích hoạt Idle User Logout plugin. Sau khi kích hoạt, đi đến Settings » Idle User Logout để tùy chỉnh plugin.

Idle User Logout

Đơn giản chọn thời gian chờ và bỏ tích ở tùy chọn “Disable in WP Admin” cho tính bảo mật tốt hơn. Đừng quên bấm vào nút lưu các thay đổi nhé.

10. Thêm câu hỏi bảo mật vào màn hình đăng nhập WordPress

Câu hỏi bảo mật

Thêm những câu hỏi bảo mật vào màn hình đăng nhập làm để nó trở nên khó khăn hơn cho một người nào đó có ý định truy cập trái phép.

Bạn có thể thêm câu hỏi bảo mật bằng cách cài đặt WP Security Questions plugin. Sau khi kích hoạt, bạn cần vào phần Settings » Security Question để thiết lập cài đặt

Sửa lỗi trang WordPress bị hacker tấn công

Nhiều người sử dụng WordPress không nhận ra được tầm quan trọng của việc sao lưu và vấn để bảo mật WordPress đến khi trang web của họ bị tấn công.

Dọn dẹp một trang web WordPress có thể có thể rất tốn nhiều thời gian và khó khăn. Lời khuyên đầu tiên là tôi là hãy tỏ ra chuyên nghiệp ngay từ đầu và quan tâm đến nó.
Hacker cài các backdoor gây ảnh hưởng đến site của bạn, và nếu backdoor đó không được sửa một cách đúng cách, thì trang của bạn sẽ dễ dàng bị tấn công một lần nữa.

Cho phép một công ty bảo mật chuyên nghiệp như Sucuri sửa chữa trang web của bạn sẽ đảm bảo trang web của bạn an toàn để sử dụng lại. Nó cũng sẽ bảo về bạn trong tương lại.

Đỗi với những ưa thích mày mò và tự tay thực hiện sửa chữa trang web của mình thì đây Hướng Dẫn Cách Sửa Trang Web Bị Hack sẽ giúp bạn thực hiện dễ dàng hơn.

Đó là tất cả những gì tôi muốn nói với bạn, hy vọng bài viết này giúp bạn học được nhiều bài học hay về bảo mật WordPress website của mình và khám phá thêm nhiều plugin bảo mật.

 

 

Pin It on Pinterest

Shares