Bỏ túi 7 bí kíp bảo mật website wordpress

Tưởng tượng một ngày đẹp trời nào đó bao nhiêu công sức tiền của khi xây dựng website wordpress của bạn bay đi theo cánh chim cuối trời vì lý do: website của bạn bị hacker viếng thăm.

Để tránh tình trạng mất pồ mới lo giữ, hôm nay mình xin chia sẻ 7 cách để bảo mật website nhằm hạn chế những rủi ro mang lại .

1.Bảo mật tài khoản đăng nhập admin:



  • Tài khoản admin là cái chìa khóa cao nhất trong việc mở những ổ khóa trong website bạn, nó cực kỳ quan trọng nên hãy giữ gìn chiếc chìa khóa này cẩn thận qua các cách sau:

+ Giới hạn số lần truy cập, chặn ip truy cập wp-admin sai quá nhiều lần hoặc chỉ cho 1 ip của bạn truy cập đường dẫn admin, thay đổi user admin mặc định và đường dẫn login tài khoản admin.

  • Mặc định bạn có thể login tài khoản admin sai mật khẩu vô số lần mà không có chuyện gì xảy ra, đây là một yếu tố nguy hiểm khi ai đó có thể do mật khẩu tài khoản admin của bạn, cách tốt nhất hãy giới hạn số lần truy cập sai ở 3 hay 5 lần.
  • Chặn luôn ip truy cập sai quá nhiều lần để bảo vệ tài khoản admin tốt hơn, và một phần cực kỳ quan trọng là khi setup tài khoản admin thì hãy chọn một user nào đó khác với mặc định, có thể nó giúp bạn vượt qua 1 lần sự tấn công của các hacker đó 😀
  • => Để thực hiện các việc này thì có khá nhiều các plugins có sẵn trên kho ứng dụng của wordpress, mình xin nêu ra vài plugins được khá nhiều người tin tưởng sư dụng đó là :

     iThemes Security (formerly Better WP Security):

iThemes Security  với hơn 900.000 lượt tải và nhận được hơn 3 nghìn đánh giá 5 * đã thể hiện sự đánh giá khi tải về và kích hoạt plugins này.

    Login LockDown:

Chức năng chính của plugins này là LockDown ghi lại địa chỉ IP và dấu thời gian của mỗi lần đăng nhập thất bại. Nếu nhiều hơn một
số lần cố gắng được phát hiện trong một khoảng thời gian ngắn từ cùng một
IP, thì chức năng đăng nhập sẽ bị vô hiệu cho tất cả các yêu cầu từ phạm vi đó.
Điều này giúp ngăn chặn phát hiện việc dò mật khẩu. Hiện plugin mặc định
khóa 1 giờ  đới với IP có 3 lần đăng nhập thất bại trong vòng 5 phút. Điều này có thể được sửa đổi thông qua bảng điều khiển Tùy chọn. Bacs bạn  có thể unbolck  IP bị khóa ra khỏi bảng điều khiển .

Mặc định, bạn truy cập trang login của WordPress thông qua URL hocban.vn/wp-admin hay hocban.vn/wp-login.php.

Chính cái địa chỉ đường dẫn ai ai cũng biết mà website WordPress thu hút rất nhiều đợt tấn công brute force.

Thay đổi địa chỉ đường dẫn trang login rất đơn giản. Lại lần nữa, bạn sử dụng iTheme Security. Tính năng này bạn phải cấu hình ở phần Settings-> Security -> Advanced, click nút Configure Settings.

Ở màn hình cấu hình bạn nhập vào đường dẫn bạn muốn ở ô Login Slug.

Ngoài ra để tăng cường bảo mật tài khoản amdin bạn có thể đặt một password thật khó nhớ, thật dị kỳ để người khác không thể mò ra được, tránh đặt các tài khoản dễ đoán như: 123456, password, matkhau…..

Nếu như bạn chẳng biết đặt mật khẩu khó nhớ như thế nào thì có một số công cụ giúp đỡ bạn như http://passwordsgenerator.net/ hay một công cụ có sẵn tiếng Việt để khỏi ngồi đọc tiếng Anh lằng nhằng như : https://vi.vpnmentor.com/tools/secure-password-generator/

2. Giám sát sự thay đổi dù rất nhỏ trong code web của bạn:

Nếu có ai có ý đồ không tốt với website của bạn thì một trong những dấu hiệu đầu tiên đó là có một sự thay đổi không hề nhẹ trong code web của bạn, để giám sát tốt hơn trong plugins mình đã giới thiệu iThemes Security hỗ trợ tính năng này nhưng không được bật. Để bật tính năng này, bạn chỉ cần click nút ‘Enable’ ở phần File Change Detection.

3. Không chỉ thay đổi trong code web, database cũng phải giám sát:

Như bạn đã biết, mặc định tên các bảng trong cơ sở dữ liệu của WordPress đều bắt đầu với wp_. Sử dụng tiền tố mặc định như vậy làm cho cơ sở dữ liệu rất dễ bị tấn công SQL Injection.

Vì vậy, mình khuyên bạn nên thay đổi nó. Bạn có thể thay đổi nó khi cài đặt WordPress.

Nếu bạn đã cài đặt rồi, bạn có thể thay đổi nhờ vào plugin iThemes Security. Bạn nhớ sao lưu dữ liệu khi thay đổi.

Cách thay đổi:

Ở phần Advanced của iThemes Security, bạn truy cập phần cấu hình có tên “Change Database Table Prefix”. Sau đó làm theo hướng dẫn

Còn riêng mình khuyên các bạn nên thay đổi nó trong khi setup wordpress đầu tiên, việc thay đổi có thể mang lại những hiệu quả bất ngờ vì database là thứ quan trọng nhất trong việc xây dựng và phát triển website đúng không nào ???

4. Hãy để thói quen backup dữ liệu thành việc không thể không làm:

Nếu bạn bị mất hết database, dữ liệu web bạn sẽ mất đi công sức tiền bạc bạn bỏ ra , nhưng nếu bạn đã backup 1 bản dự phòng thì nó sẽ là tấm bùa hộ mệnh bạn . Việc backup có thể thực hiện theo ngày, tuần, tháng tùy bạn nhưng theo mình hãy backup ít nhất 1 tuần 1 lần và lưu trữ đa dạng ở ổ cứng máy tính của bạn, dịch vụ cloud của google hoặc các dịch vụ lưu trữ đám mây khác, nhiều tấm bùa đỡ hơn phải không khi 1 tấm mất linh thì còn vài tấm khác 😀

5. Bảo mật databse:

Nãy giờ mình nói về việc bảo mật code web, bảo mât tài khoản admin thì bây giờ nói luôn về việc bảo mật database 😀

Cũng giống như mật khẩu cho trang đăng nhập vào màn hình quản trị, hãy sử dụng mật khẩu thật mạnh cho cơ sở dữ liệu.

Ngay khi cài đặt WordPress, bạn nên tận dụng mật khẩu sinh ra sẵn cho bạn. Mật khẩu này rất mạnh.

Còn nếu bạn vẫn đang có mật khẩu yếu, bạn hãy sử dụng công cụ password generator mình đã để link ở trên để có được mật khẩu tốt nhất.

 6. Cập nhật phiên bản wordpress, plugins thường xuyên, tránh sử dụng đồ chùa :
Việc cập nhật wp và plugins thường xuyên sẽ giups các bạn tránh được các lỗi có thể đã được phát hiện và đang trong quá trình khai thác, ngoài ra nó còn giúp website bạn tăng tính ổn định.
Nói không với ma túy, nhầm, nói không với các themes null, crack, plugins crack hoặc không rõ nguồn để tránh việc bạn tạo một cửa sau cho người khác vào nhà bạn hay bạn cầm một quả bom về nhà.
7. Ngăn chặn code web bạn mang ẩn họa về nhà :

Hãy chặn thực thi file php ở thư mục uploads để ngăn kẻ xấu cố tình upload kịch bản nguy hiểm trong thư mục này.

Để làm điều này, bạn vào Security -> Settings. Enable System Tweaks nếu chưa được enable. Sau đó bạn tích vào lựa chọn Disable PHP in Uploads. Nhớ click Save Settings để lưu lại thiết lập.

Bình thường khi một ai đó truy cập vào trang wp-admin (yourdomain.com/wp-admin), màn hình yêu cầu username và mật khẩu hiện ra.

Bạn có thể bổ sung thêm một tầng xác thực nữa. Nghĩa là người dùng phải xác thực hai lần mới vào được trang quản trị.

Với cách này, hack màn hình wp-admin trở nên khó hơn.

Chúng ta sử dụng cPanel để làm việc này.

Đầu tiên bạn Login cPanel, cuộn xuống phần Security. Click vào biểu tượng “Password Protect Directories

Một hộp thoại xuất hiện, bạn chọn web root

Ở màn hình tiếp theo bạn chọn thư mục wp-admin. Cuối cùng, bạn sẽ nhìn thấy màn hình sau

Đầu tiên bạn đánh dấu vào lựa chọn “Password protected this directory”. Sau đó bạn tạo một user có quyền truy cập vào thư mục đó.

Như là thế là xong.

Bây giờ, khi bạn truy cập vào thư mục wp-admin trong trình duyệt, bạn sẽ nhìn thấy một hộp thoại yêu cầu xác thực như bên dưới:

Lối 404 hay Too many redirects

Nếu bạn gặp lỗi này, bạn mở file .htaccess ở thư mục gốc (ví dụ public_html) và bổ sung đoạn code sau

ErrorDocument 401 default

Lỗi Ajax ở front-end

Nếu sau khi thiết lập password như trên mà người dùng luôn nhìn thấy popup yêu cầu xác thực khi truy cập trang chủ, có thể bạn đang gặp lỗi Ajax. Để fix lỗi này, hãy mở file .htaccess ở thư mục /wp-admin (không phải là file .htaccess ở thư mục gốc). Nếu không có file này, bạn có thể tạo một file. Và bổ sung đoạn code sau

<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

Lưu ý: Nếu bạn đã đổi đường dẫn trang login như mình đề cập ở mục 3 thì không cần thiết phải sử dụng cách bảo mật này.

Một vài thông tin thêm về XML-RPC nếu bạn chưa biết

XML-RPC là kết nối từ xa với WordPress sử dụng XML để trao đổi dữ liệu qua lại. Thông thường bạn sử dụng tính năng để post từ các ứng dụng khách như Windows Live Writer, hay các ứng dụng sử dụng IFTT.

Nhưng bật tính năng XML-RPC đồng nghĩa bạn đang mở cửa cho tấn công dạng brute force vào website của bạn để đánh cắp mật khẩu. Tệ hơn nữa là kiểu tấn công HTTP Flood Attack (một kiểu tấn công DDoS). Với hình thức tấn công này, hacker gửi một lượng lớn request làm tê liệt máy chủ.

Vì vậy tốt nhất bạn hãy tắt XML-RPC. Sử dụng một trong hai cách sau:

a. Tắt XML-RPC bằng .htaccess

Đơn giản, mở file .htaccess và bổ sung đoạn code sau

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

b. TắT XML-RPC sử dụng iThemes Security

Bạn vào Security -> Settings -> WordPress Tweak và chọn Disable XML-RPC như bên dưới

Qua Bỏ túi 7 bí kíp bảo mật website wordpress mình vừa nêu trên đây, mong sẽ giúp các bạn một phần nào đó trong việc bảo mật website wordpress thân yêu của mình.

Xin cảm ơn các bạn đã đọc bài, mong nhận được sự góp ý đánh giá của bác bạn.

Sưu tầm và chỉnh sửa : Đạt Nguyễn JX

Mời bạn oánh giá 😇

Nếu bạn thấy bài viết này hữu ích thì có thể chia sẻ nó qua:

Là một người không chuyên về web - Chỉ có tinh thần học hỏi và chia sẻ làm nền tản . Hiện tại đang làm có một đứa con cưng là website đọc truyện online TruyenHot.Vn

avatar
8 Comment threads
20 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
8 Comment authors
Trần DươngPhi HồhuynhtongĐạt NguyễnNAD Recent comment authors
Trần Dương <span class="wpdiscuz-comment-count">24 bình luận </span>

Thật tuyệt vời cảm ơn bạn.

huynhtong <span class="wpdiscuz-comment-count">21 bình luận </span>

Vậy bác có thể tham gia mà 🙂 học xong rồi thì độ hoàn hiện còn lại là CSS thôi.

Hocban.vn <span class="wpdiscuz-comment-count">2206 bình luận </span>

Phần CSS thì cố được bác, còn code PHP thì thua.

Phi Hồ <span class="wpdiscuz-comment-count">15 bình luận </span>

cái iThemes Security là đỉnh nhất hiện tại rồi thì phải, nếu có tiền mua bản iThemes Security Pro xài còn thích nữa

Hocban.vn <span class="wpdiscuz-comment-count">2206 bình luận </span>

Đắt xắt ra miếng đó bác, không phải ai cũng có tiền mua nổi 😀

Phi Hồ <span class="wpdiscuz-comment-count">15 bình luận </span>

hình như có vài trang share free ^^

Hocban.vn <span class="wpdiscuz-comment-count">2206 bình luận </span>

Thôi, kiểu như cài phần mềm diệt vi rút bản cờ rắc vậy

Đạt Nguyễn <span class="wpdiscuz-comment-count">149 bình luận </span>

Nếu web cần sự bảo mật tối ưu thì theo mình thà bỏ tiền ra mua còn hơn khi bị ăn đòn thì bao nhiu công sức tiền bạc bỏ ra mất hết, các web site lớn thì nên mua, nhỏ và trung bình thì lựa chọn các cách bảo mật khác 🙂
Mình thì bị DDOS thì có chứ còn la liếm vô wp-admin thì chưa – có lẽ chưa mà thôi :))

NAD <span class="wpdiscuz-comment-count">47 bình luận </span>

Khó nhìn bài mới v~ @@

Hocban.vn <span class="wpdiscuz-comment-count">2206 bình luận </span>

À, do nó xếp theo kiểu chuyên mục nên bác nào quan tâm chuyên mục nào coi chuyên mục nấy à :v

Vỹ Spirit <span class="wpdiscuz-comment-count">106 bình luận </span>

Đã bỏ túi, cảm ơn hộc bàn 😀

Hocban.vn <span class="wpdiscuz-comment-count">2206 bình luận </span>

Đây là bài viết của bác Đạt Nguyễn nhé, nếu bác có bỏ túi thì cảm ơn bác Đạt Nguyễn ấy. Em mà viết bài này thì tiêu đề sẽ khác, cách viết sẽ khác. Mỗi người có một cái gu khác nhau, cách trình bày và….nói chung nhiều điểm khác biệt, các bác mà đọc là sẽ nhận ra ngay :v

huynhtong <span class="wpdiscuz-comment-count">21 bình luận </span>

:)) tu hành bác ạ

Hocban.vn <span class="wpdiscuz-comment-count">2206 bình luận </span>

Dạo trước có nghe bác nói đang làm cái hệ thống site gì đó mà đúng không nhể ?

huynhtong <span class="wpdiscuz-comment-count">21 bình luận </span>

🙂 em đang học wp mong bác chỉ giáo thêm

Hocban.vn <span class="wpdiscuz-comment-count">2206 bình luận </span>

Bài này của bác ĐẠT viết nhé bác, mà lâu rầu mới thấy bác quay trở lại :v

Hocban.vn <span class="wpdiscuz-comment-count">2206 bình luận </span>

Để làm cái khung tác giả riêng cho bác Đạt với một số thông tin để anh em giao lưu. Nếu mà bữa nay phát triển theo cách này thì càng ngày càng đúng với tên gọi “HỌC BẠN” bác nhể ?

huynhtong <span class="wpdiscuz-comment-count">21 bình luận </span>

Làm hệ thống chơi thôi bác: mình có cái blog mới: https://lar.vn rảnh qua giao lưu nhé.

Hocban.vn <span class="wpdiscuz-comment-count">2206 bình luận </span>

A đù, web chạy nhanh phết.

Huynhtong <span class="wpdiscuz-comment-count">21 bình luận </span>

Kaka, chậm lắm bác ơi, giao lưu nhé

Hocban.vn <span class="wpdiscuz-comment-count">2206 bình luận </span>

Em thấy web chạy như thế là quá nhanh luôn. Đã coi trên máy tính và điện thoại luôn nhé.

huynhtong <span class="wpdiscuz-comment-count">21 bình luận </span>

🙂 vào ko bình luận sao tôi biết :))

Đạt Nguyễn <span class="wpdiscuz-comment-count">149 bình luận </span>

Hí hí hí

Hocban.vn <span class="wpdiscuz-comment-count">2206 bình luận </span>

Cái khung comment của bác em đâu có comment được, sao bác Tòng không xài comment của WordPress luôn nhỉ, nó sẽ có giá trị cho SEO.

Bác Đạt Nguyễn dạo này comment “hí hí” nhiều quá nghen, vào người ta tưởng bác đang SPAM :3

huynhtong <span class="wpdiscuz-comment-count">1 bình luận </span>

bác nghĩ em xài wp à :(, muốn có cái khung giống wp mà ko dc đây, thôi dùng tạm fb

Hocban.vn <span class="wpdiscuz-comment-count">2206 bình luận </span>

Bác biết code mà, tự làm cho mình một cái thôi. Bác tự code thì ngon, tuy nhiên nếu được bác có thể phát triển trên nền WordPress để thừa hưởng những thế mạnh của nó. Cái comment của bác em không comment được.

huynhtong <span class="wpdiscuz-comment-count">21 bình luận </span>

Tôi có 1 serie hướng dẫn làm theme A-Z wordpress ở đây: https://lar.vn/huong-dan-lam-theme-wordpress-bang-bootstrap-4-phan-1.html, chắc sau này quay về với WP luôn quá kaka.

Demo sau khi học xong: http://wp.lar.vn/

Hocban.vn <span class="wpdiscuz-comment-count">2206 bình luận </span>

Nếu xét về mức độ hoàn thiện thì còn chưa, nhưng mà làm được là ngon quá rồi. Em là dân không chuyên nên chủ yếu là sửa lại theme về CSS thôi.