Bỏ túi 7 bí kíp bảo mật website wordpress

28 Comments 3426 views

Tưởng tượng một ngày đẹp trời nào đó bao nhiêu công sức tiền của khi xây dựng website wordpress của bạn bay đi theo cánh chim cuối trời vì lý do: website của bạn bị hacker viếng thăm.

Để tránh tình trạng mất pồ mới lo giữ, hôm nay mình xin chia sẻ 7 cách để bảo mật website nhằm hạn chế những rủi ro mang lại .

1.Bảo mật tài khoản đăng nhập admin:

  • Tài khoản admin là cái chìa khóa cao nhất trong việc mở những ổ khóa trong website bạn, nó cực kỳ quan trọng nên hãy giữ gìn chiếc chìa khóa này cẩn thận qua các cách sau:

+ Giới hạn số lần truy cập, chặn ip truy cập wp-admin sai quá nhiều lần hoặc chỉ cho 1 ip của bạn truy cập đường dẫn admin, thay đổi user admin mặc định và đường dẫn login tài khoản admin.

  • Mặc định bạn có thể login tài khoản admin sai mật khẩu vô số lần mà không có chuyện gì xảy ra, đây là một yếu tố nguy hiểm khi ai đó có thể do mật khẩu tài khoản admin của bạn, cách tốt nhất hãy giới hạn số lần truy cập sai ở 3 hay 5 lần.
  • Chặn luôn ip truy cập sai quá nhiều lần để bảo vệ tài khoản admin tốt hơn, và một phần cực kỳ quan trọng là khi setup tài khoản admin thì hãy chọn một user nào đó khác với mặc định, có thể nó giúp bạn vượt qua 1 lần sự tấn công của các hacker đó 😀
  • => Để thực hiện các việc này thì có khá nhiều các plugins có sẵn trên kho ứng dụng của wordpress, mình xin nêu ra vài plugins được khá nhiều người tin tưởng sư dụng đó là :

     iThemes Security (formerly Better WP Security):

1

iThemes Security  với hơn 900.000 lượt tải và nhận được hơn 3 nghìn đánh giá 5 * đã thể hiện sự đánh giá khi tải về và kích hoạt plugins này.

    Login LockDown:

2

Chức năng chính của plugins này là LockDown ghi lại địa chỉ IP và dấu thời gian của mỗi lần đăng nhập thất bại. Nếu nhiều hơn một
số lần cố gắng được phát hiện trong một khoảng thời gian ngắn từ cùng một
IP, thì chức năng đăng nhập sẽ bị vô hiệu cho tất cả các yêu cầu từ phạm vi đó.
Điều này giúp ngăn chặn phát hiện việc dò mật khẩu. Hiện plugin mặc định
khóa 1 giờ  đới với IP có 3 lần đăng nhập thất bại trong vòng 5 phút. Điều này có thể được sửa đổi thông qua bảng điều khiển Tùy chọn. Bacs bạn  có thể unbolck  IP bị khóa ra khỏi bảng điều khiển .

Mặc định, bạn truy cập trang login của WordPress thông qua URL hocban.vn/wp-admin hay hocban.vn/wp-login.php.

Chính cái địa chỉ đường dẫn ai ai cũng biết mà website WordPress thu hút rất nhiều đợt tấn công brute force.

Thay đổi địa chỉ đường dẫn trang login rất đơn giản. Lại lần nữa, bạn sử dụng iTheme Security. Tính năng này bạn phải cấu hình ở phần Settings-> Security -> Advanced, click nút Configure Settings.

3

Ở màn hình cấu hình bạn nhập vào đường dẫn bạn muốn ở ô Login Slug.

4

Ngoài ra để tăng cường bảo mật tài khoản amdin bạn có thể đặt một password thật khó nhớ, thật dị kỳ để người khác không thể mò ra được, tránh đặt các tài khoản dễ đoán như: 123456, password, matkhau…..

Nếu như bạn chẳng biết đặt mật khẩu khó nhớ như thế nào thì có một số công cụ giúp đỡ bạn như http://passwordsgenerator.net/ hay một công cụ có sẵn tiếng Việt để khỏi ngồi đọc tiếng Anh lằng nhằng như : https://vi.vpnmentor.com/tools/secure-password-generator/

2. Giám sát sự thay đổi dù rất nhỏ trong code web của bạn:

Nếu có ai có ý đồ không tốt với website của bạn thì một trong những dấu hiệu đầu tiên đó là có một sự thay đổi không hề nhẹ trong code web của bạn, để giám sát tốt hơn trong plugins mình đã giới thiệu iThemes Security hỗ trợ tính năng này nhưng không được bật. Để bật tính năng này, bạn chỉ cần click nút ‘Enable’ ở phần File Change Detection.

5

3. Không chỉ thay đổi trong code web, database cũng phải giám sát:

Như bạn đã biết, mặc định tên các bảng trong cơ sở dữ liệu của WordPress đều bắt đầu với wp_. Sử dụng tiền tố mặc định như vậy làm cho cơ sở dữ liệu rất dễ bị tấn công SQL Injection.

Vì vậy, mình khuyên bạn nên thay đổi nó. Bạn có thể thay đổi nó khi cài đặt WordPress.

Nếu bạn đã cài đặt rồi, bạn có thể thay đổi nhờ vào plugin iThemes Security. Bạn nhớ sao lưu dữ liệu khi thay đổi.

Cách thay đổi:

Ở phần Advanced của iThemes Security, bạn truy cập phần cấu hình có tên “Change Database Table Prefix”. Sau đó làm theo hướng dẫn

6

Còn riêng mình khuyên các bạn nên thay đổi nó trong khi setup wordpress đầu tiên, việc thay đổi có thể mang lại những hiệu quả bất ngờ vì database là thứ quan trọng nhất trong việc xây dựng và phát triển website đúng không nào ???

4. Hãy để thói quen backup dữ liệu thành việc không thể không làm:

Nếu bạn bị mất hết database, dữ liệu web bạn sẽ mất đi công sức tiền bạc bạn bỏ ra , nhưng nếu bạn đã backup 1 bản dự phòng thì nó sẽ là tấm bùa hộ mệnh bạn . Việc backup có thể thực hiện theo ngày, tuần, tháng tùy bạn nhưng theo mình hãy backup ít nhất 1 tuần 1 lần và lưu trữ đa dạng ở ổ cứng máy tính của bạn, dịch vụ cloud của google hoặc các dịch vụ lưu trữ đám mây khác, nhiều tấm bùa đỡ hơn phải không khi 1 tấm mất linh thì còn vài tấm khác 😀

5. Bảo mật databse:

Nãy giờ mình nói về việc bảo mật code web, bảo mât tài khoản admin thì bây giờ nói luôn về việc bảo mật database 😀

Cũng giống như mật khẩu cho trang đăng nhập vào màn hình quản trị, hãy sử dụng mật khẩu thật mạnh cho cơ sở dữ liệu.

Ngay khi cài đặt WordPress, bạn nên tận dụng mật khẩu sinh ra sẵn cho bạn. Mật khẩu này rất mạnh.

Còn nếu bạn vẫn đang có mật khẩu yếu, bạn hãy sử dụng công cụ password generator mình đã để link ở trên để có được mật khẩu tốt nhất.

 6. Cập nhật phiên bản wordpress, plugins thường xuyên, tránh sử dụng đồ chùa :
Việc cập nhật wp và plugins thường xuyên sẽ giups các bạn tránh được các lỗi có thể đã được phát hiện và đang trong quá trình khai thác, ngoài ra nó còn giúp website bạn tăng tính ổn định.
Nói không với ma túy, nhầm, nói không với các themes null, crack, plugins crack hoặc không rõ nguồn để tránh việc bạn tạo một cửa sau cho người khác vào nhà bạn hay bạn cầm một quả bom về nhà.
7. Ngăn chặn code web bạn mang ẩn họa về nhà :

Hãy chặn thực thi file php ở thư mục uploads để ngăn kẻ xấu cố tình upload kịch bản nguy hiểm trong thư mục này.

Để làm điều này, bạn vào Security -> Settings. Enable System Tweaks nếu chưa được enable. Sau đó bạn tích vào lựa chọn Disable PHP in Uploads. Nhớ click Save Settings để lưu lại thiết lập.

7

Bình thường khi một ai đó truy cập vào trang wp-admin (yourdomain.com/wp-admin), màn hình yêu cầu username và mật khẩu hiện ra.

Bạn có thể bổ sung thêm một tầng xác thực nữa. Nghĩa là người dùng phải xác thực hai lần mới vào được trang quản trị.

Với cách này, hack màn hình wp-admin trở nên khó hơn.

Chúng ta sử dụng cPanel để làm việc này.

Đầu tiên bạn Login cPanel, cuộn xuống phần Security. Click vào biểu tượng “Password Protect Directories

8

Một hộp thoại xuất hiện, bạn chọn web root

9

Ở màn hình tiếp theo bạn chọn thư mục wp-admin. Cuối cùng, bạn sẽ nhìn thấy màn hình sau

10

Đầu tiên bạn đánh dấu vào lựa chọn “Password protected this directory”. Sau đó bạn tạo một user có quyền truy cập vào thư mục đó.

Như là thế là xong.

Bây giờ, khi bạn truy cập vào thư mục wp-admin trong trình duyệt, bạn sẽ nhìn thấy một hộp thoại yêu cầu xác thực như bên dưới:

11

Lối 404 hay Too many redirects

Nếu bạn gặp lỗi này, bạn mở file .htaccess ở thư mục gốc (ví dụ public_html) và bổ sung đoạn code sau

ErrorDocument 401 default

Lỗi Ajax ở front-end

Nếu sau khi thiết lập password như trên mà người dùng luôn nhìn thấy popup yêu cầu xác thực khi truy cập trang chủ, có thể bạn đang gặp lỗi Ajax. Để fix lỗi này, hãy mở file .htaccess ở thư mục /wp-admin (không phải là file .htaccess ở thư mục gốc). Nếu không có file này, bạn có thể tạo một file. Và bổ sung đoạn code sau

<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

Lưu ý: Nếu bạn đã đổi đường dẫn trang login như mình đề cập ở mục 3 thì không cần thiết phải sử dụng cách bảo mật này.

Một vài thông tin thêm về XML-RPC nếu bạn chưa biết

XML-RPC là kết nối từ xa với WordPress sử dụng XML để trao đổi dữ liệu qua lại. Thông thường bạn sử dụng tính năng để post từ các ứng dụng khách như Windows Live Writer, hay các ứng dụng sử dụng IFTT.

Nhưng bật tính năng XML-RPC đồng nghĩa bạn đang mở cửa cho tấn công dạng brute force vào website của bạn để đánh cắp mật khẩu. Tệ hơn nữa là kiểu tấn công HTTP Flood Attack (một kiểu tấn công DDoS). Với hình thức tấn công này, hacker gửi một lượng lớn request làm tê liệt máy chủ.

Vì vậy tốt nhất bạn hãy tắt XML-RPC. Sử dụng một trong hai cách sau:

a. Tắt XML-RPC bằng .htaccess

Đơn giản, mở file .htaccess và bổ sung đoạn code sau

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

b. TắT XML-RPC sử dụng iThemes Security

Bạn vào Security -> Settings -> WordPress Tweak và chọn Disable XML-RPC như bên dưới

12

Qua Bỏ túi 7 bí kíp bảo mật website wordpress mình vừa nêu trên đây, mong sẽ giúp các bạn một phần nào đó trong việc bảo mật website wordpress thân yêu của mình.

Xin cảm ơn các bạn đã đọc bài, mong nhận được sự góp ý đánh giá của bác bạn.

Sưu tầm và chỉnh sửa : Đạt Nguyễn JX

Rate this post




About The Author

Avatar of Đạt Nguyễn
Đạt Nguyễn

Related Posts

Subscribe
Notify of
guest

28 Comments
Inline Feedbacks
View all comments
wpdiscuz   wpDiscuz
Khuyến mãi hosting 40% (trọn đời) cùng bộ quà tặng trị giá hơn 1.600$ cho người dùng WordPress.XEM CHI TIẾT
+