Cách bảo mật WordPress

1. Chọn công ty lưu trữ có tính năng bảo mật

Bước đầu tiên để bảo mật website WordPress là đầu tư vào công ty lưu trữ thực hiện tính năng bảo mật thích hợp. Điều này gồm hỗ trợ cho phiên bản mới nhất PHP, MySQL cũng như Apache, giám sát bảo mật 24/7.

Hãy chọn công ty lưu trữ thực hiện sao lưu hàng ngày, quét phần mềm độc hại thông thường. Bạn thậm chí có khả năng tìm thấy công ty lưu trữ sử dụng biện pháp phòng ngừa DDOS khác nhau.

Tuy nhiên, khuyên bạn nên đầu tư trả trước nhiều hơn, mua gói lưu trữ đắt tiền chắc chắn bạn sẽ được đền đáp. Bạn nên chọn nhà cung cấp dịch vụ lưu trữ WordPress được quản lý.

2. Sử dụng mật khẩu mạnh

Đảm bảo mật khẩu cho website WordPress cũng như khu vực tài khoản lưu trữ đều an toàn. Sử dụng kết hợp chữ hoa cùng chữ thường, số, ký hiệu để đưa ra mật khẩu mạnh. Sử dụng trình quản lý mật khẩu như LastPass để tạo và lưu trữ mật khẩu an toàn cho bạn.

3. Bỏ tên người dùng quản trị

WordPress được sử dụng để đặt tên người dùng là quản trị viên và hầu hết người dùng không bao giờ bận tâm thay đổi nó. Vì vậy,  tên người dùng thường là nơi đầu tiên tin tặc sẽ thử khi họ khởi động cuộc tấn công.

Như vậy, bạn không nên sử dụng tên người dùng quản trị cho website WordPress của mình. Nếu gần đây bạn đã cài đặt website WordPress, rất có khả năng bạn đã phải đặt tên người dùng riêng mình. Nhưng nếu bạn là người dùng WordPress lâu năm, bạn vẫn có khả năng sử dụng tên người dùng quản trị viên.

Nếu đúng, hãy tạo tên người dùng quản trị viên mới cho website bạn thông qua truy cập Người dùng> Thêm mới rồi chọn tên người dùng với mật khẩu mạnh. Đặt vai trò cho Quản trị viên, rồi nhấp vào nút thêm người dùng mới.

Tiếp đó, bạn sẽ đăng nhập với những thông tin mới, xóa người dùng quản trị cũ. Hãy nhớ chỉ định toàn bộ nội dung cho người dùng quản trị viên mới trước khi xóa nội dung cũ.

4. Sử dụng tài khoản cộng tác viên hoặc biên tập viên để đăng trên website

Nếu bạn muốn thực hiện thêm bước trên, hãy xem xét việc tạo cộng tác viên hay tài khoản biên tập viên để thêm bài viết vào website. Làm như vậy sẽ khiến tin tặc gây thiệt hại trên website khó hơn vì người đóng góp cùng biên tập viên thường không có quyền quản trị viên.

5. Sử dụng Plugin UpdraftPlus

Nếu bạn chưa sao lưu website, bạn cần bắt đầu ngay. Hệ thống sao lưu sẽ giúp bạn khôi phục website nếu điều tồi tệ nhất xảy ra.

Sử dụng plugin UpdraftPlus để tạo lịch sao lưu thường xuyên cho website, đừng quên lưu trữ các tệp sao lưu ngoại vi để đảm bảo tệp đó cũng không bị nhiễm.

6. Harden khu vực quản trị

Khi nói đến việc làm cứng khu vực quản trị, bạn sẽ cần thay đổi URL quản trị mặc định cũng như giới hạn số lần đăng nhập thất bại trước khi người dùng bị khóa khỏi website bạn.

Theo mặc định, URL quản trị viên cho website bạn sẽ trông thế này: yourdomain.com/wp-admin. Tin tặc biết điều này, sẽ cố gắng truy cập URL này trực tiếp để chúng truy cập vào website bạn.

Bạn thay đổi URL này bằng plugin như WPS Hide Login.

Theo như giới hạn số lần thử đăng nhập thất bại, bạn sử dụng plugin Login Lockdown.

7. Giữ tập tin luôn cập nhật

Như đã đề cập trước đó, tệp lỗi thời gây rủi ro bảo mật vì chúng khiến website dễ bị tổn thương trước tin tặc. Đó là lý do tại sao bạn cần cài đặt bản cập nhật ngay khi chúng được phát hành.

Vì vậy, hãy đảm bảo thường xuyên cập nhật plugin đã cài đặt rồi hủy kích hoạt, xóa plugin bạn không sử dụng nữa.

8. Bảo vệ máy tính

Bạn tự hỏi máy tính phải làm gì với website. Nếu máy tính bị nhiễm vi-rút, bạn truy cập website hay tải tệp lên đó, những tệp bị nhiễm đó cũng có khả năng lây nhiễm website. Nói tóm lại, bạn nên:

• Tránh sử dụng mạng Wi-Fi công cộng để truy cập website
• Cài đặt phần mềm chống vi-rút và đảm bảo phần mềm cập nhật

9. Thay đổi tiền tố cơ sở dữ liệu

Sự thật khác mà tin tặc WordPress chú ý là tiền tố cơ sở dữ liệu được đặt thành wp. Thực tế này giúp họ dễ dàng đoán được tiền tố bảng rồi sử dụng phép tiêm SQL tự động để có quyền truy cập vào website bạn.

Thay đổi tiền tố cơ sở dữ liệu là quy trình thủ công bao gồm chỉnh sửa tệp wp-config.php, thay đổi tên bảng bằng phpMyAdmin. Trước khi thực hiện thay đổi, hãy chắc chắn sao lưu website như biện pháp phòng ngừa.

Bạn sẽ cần phải đăng nhập tài khoản lưu trữ rồi truy cập cPanel hoặc bất kỳ bảng điều khiển nào mà máy chủ đang sử dụng. Tiếp theo, truy cập trình quản lý tệp rồi tìm wp-config.php ở thư mục WordPress.

Tìm dòng tiền tố bảng trông như thế này: $ table_prefix theo sau là dấu a = cùng tiền tố bảng. Thay thế chuỗi mặc định bằng tiền tố riêng bạn bằng cách sử dụng kết hợp số, dấu gạch dưới cùng chữ cái như sau:

$ bảng_prefix = ‘hgwp_3456_’;

Khi bạn chỉnh sửa xong tệp wp-config.php, hãy thoát trình quản lý tệp rồi truy cập phpMyAdmin để bạn thay đổi toàn bộ tên bảng. Làm điều này bằng tay sẽ mất thời gian. Thay vào đó, bạn nhập truy vấn SQL bằng cách chuyển đến tab SQL

Tiếp theo nhập vào đây:

Mặc dù truy vấn trên sẽ thay đổi tiền tố cơ sở dữ liệu ở mọi nơi, nhưng bạn nên chạy truy vấn khác để đảm bảo mọi tệp khác sử dụng tiền tố cơ sở dữ liệu cũ được cập nhật:

CHỌN * TỪ `hgwp_3456_options` WHERE` tùy chọn_name` THÍCH ‘% wp_%’

Bạn cũng sẽ muốn tìm kiếm theusermeta và thay thế bất kỳ tiền tố cũ còn sót lại bằng tiền tố mới:

CHỌN * TỪ `hgwp_3456_usermeta` WHERE` meta_key` THÍCH ‘% wp_%’

10. Làm cứng tập tin .htaccess và wp-config.php

.htaccess cùng wp-config.php là tệp quan trọng nhất ở cài đặt WordPress. Như vậy, bạn cần chắc chắn chúng an toàn, được bảo vệ.

Chỉ cần thêm mã bên dưới vào tệp .htaccess, bên ngoài thẻ # BEGIN WordPress cùng # END WordPress để đảm bảo thay đổi không bị ghi đè với mỗi bản cập nhật mới.

Đoạn trên sẽ bảo vệ wp-config cùng .htaccess cũng như giới hạn quyền truy cập vào màn hình wp-login.php.

Cuối cùng, thêm đoạn mã bên dưới để ngăn thực thi tệp PHP:

11. Kiểm tra và thay đổi quyền tập tin

Khi bạn hoàn tất việc bảo mật tệp .htaccess cùng wp-config.php, hãy ở lại cPanel lâu hơn chút rồi kiểm tra quyền truy cập  cho tệp, thư mục ở website WordPress.

Theo codex WordPress, quyền nên được đặt như sau:

• Toàn bộ thư mục nên là 755 hoặc 750
• Toàn bộ tệp phải là 644 hoặc 640
• wp-config.php phải là 600

Nếu cài đặt khác nhau, tin tặc có khả năng dễ dàng đọc nội dung cũng như thay đổi nội dung tệp cùng thư mục dẫn đến việc website bị hack cũng như website khác trên cùng máy chủ bị hack.

12. Sử dụng xác thực hai yếu tố

Cân nhắc sử dụng plugin: Google Authenticator để cài đặt xác thực hai yếu tố website. Nghĩa là ngoài việc nhập mật khẩu, bạn cũng sẽ phải nhập mã do ứng dụng di động tạo để đăng nhập website. Điều này ngăn chặn cuộc tấn công vì vậy tốt nhất là bạn nên cài đặt nó ngay lập tức.

13. Vô hiệu hóa XML-RPC

XML-RPC chấp nhận website cài đặt kết nối với ứng dụng cùng plugin WordPress di động như Jetpack. Thật đáng tiếc, đây cũng là tin tặc yêu thích WordPress vì họ có khả năng lạm dụng giao thức này để thực thi số lệnh cùng lúc, có quyền truy cập vào website. Sử dụng plugin như Vô hiệu hóa plugin XML-RPC để tắt tính năng này.

14. Sử dụng HTTPS và SSL

IHTTPS là viết tắt Giao thức truyền siêu văn bản bảo mật, mặt khác SSL là viết tắt Lớp cổng bảo mật. Tóm lại, HTTPS chấp nhận trình duyệt khách truy cập cài đặt kết nối an toàn với máy chủ lưu trữ. Giao thức HTTPS được bảo mật thông qua SSL. Cùng nhau, HTTPS, SSL đảm bảo toàn bộ thông tin giữa trình duyệt giữa khách truy cập với website được mã hóa.

Sử dụng cả hai trên website sẽ không chỉ tăng tính bảo mật website mà còn có lợi cho thứ hạng công cụ tìm kiếm, tạo niềm tin cho khách truy cập, cải thiện tỷ lệ chuyển đổi.

Nói chuyện với nhà cung cấp dịch vụ lưu trữ, hỏi về khả năng có được chứng chỉ SSL hoặc chỉ cho bạn theo hướng công ty có uy tín nơi bạn mua chứng chỉ.

15. Vô hiệu hóa chỉnh sửa mẫu website và plugin thông qua Bảng điều khiển WordPress

Có tùy chọn chỉnh sửa tệp mẫu website cùng plugin ngay ở bảng điều khiển WordPress rất tiện lợi khi bạn cần nhanh chóng thêm dòng mã. Tuy nhiên nó cũng có nghĩa là bất cứ ai đăng nhập website đều có khả năng truy cập tệp đó.

Vô hiệu hóa tính năng này thông qua việc thêm mã sau lên tệp wp-config.php:

16. Di chuyển tệp wp-config.php vào thư mục không phải WWW

Như đã đề cập trước đó, tệp wp-config.php là tệp quan trọng nhất trong cài đặt WordPress. Khiến nó khó truy cập hơn bằng cách di chuyển nó từ thư mục gốc sang thư mục không thể truy cập www.

Để bắt đầu, copy nội dung tệp wp-config.php vào tệp mới rồi lưu nó dưới dạng wp-config.php.

Quay trở lại tệp wp-config.php cũ, thêm dòng mã bên dưới:

Tải lên, lưu tệp wp-config.php mới vào thư mục khác.

17. Thay đổi khóa bảo mật WordPress

Khóa bảo mật WordPress chịu trách nhiệm mã hóa thông tin được lưu trữ ở cookie người dùng. Chúng nằm ở tệp wp-config.php:

Sử dụng Trình tạo khóa WordPress để thay đổi chúng rồi giúp website an toàn hơn.

18. Vô hiệu hóa báo cáo lỗi

Báo cáo lỗi rất hữu ích để khắc phục sự cố, xác định plugin hay mẫu website cụ thể nào gây ra lỗi trên website WordPress. Tuy nhiên, khi hệ thống báo lỗi, nó cũng sẽ hiển thị đường dẫn máy chủ. Đây là cơ hội hoàn hảo cho tin tặc khám phá cách thức cùng nơi chúng có khả năng tận dụng lỗ hổng website.

Bạn có khả năng vô hiệu hóa điều này bằng cách thêm mã dưới đây lên tệp wp-config.php :

19. Xóa số phiên bản WordPress

Bất cứ ai xem qua mã nguồn website bạn đều có khả năng biết phiên bản WordPress nào bạn dùng. Vì mỗi phiên bản WordPress có thay đổi công khai chi tiết danh sách lỗi cùng bản vá bảo mật, dễ dàng xác định lỗ hổng bảo mật nào họ tận dụng được.

May mắn thay, sửa chữa dễ dàng. Bạn có khả năng xóa số phiên bản WordPress bằng cách chỉnh sửa tệp tin.php mẫu website rồi thêm vào như sau:

remove_action ( ‘wp_head’ , ‘wp_generator’ ) ;

20. Sử dụng tiêu đề bảo mật

Cách khác để bảo mật website WordPress là triển khai tiêu đề bảo mật. Thông thường, chúng được đặt ở cấp máy chủ để ngăn chặn cuộc tấn công, giảm số lần khai thác lỗ hổng bảo mật. Bạn có khả năng thêm chúng bằng cách thay đổi tập tin functions.php.

Thêm mã sau vào danh sách trắng chấp nhận nội dung, tập lệnh, kiểu cùng nguồn nội dung khác:

tiêu đề ( ‘Chính sách bảo mật nội dung: default-src https:’ ) ;

Điều này sẽ ngăn trình duyệt tải tệp độc hại.

Nhấp chuột vào khung nội tuyến

Thêm dòng bên dưới để hướng dẫn trình duyệt không hiển thị trang ở khung: tiêu đề (‘X-Frame-Tùy chọn: SAMEORIGIN’);

Tùy chọn X-XSS-Protection và X-Content-Type

Thêm dòng sau để ngăn chặn cuộc tấn công XSS rồi yêu cầu Internet Explorer

• tiêu đề ( ‘X-XSS-Protection: 1; mode = block’ ) ;
• tiêu đề ( ‘Tùy chọn loại nội dung X: nosniff’ ) ;

Thi hành HTTPS

Thêm mã dưới đây để hướng dẫn trình duyệt chỉ sử dụng HTTPS:

tiêu đề ( ‘Strict-Transport-Security: max-age = 31536000; includeSubdomains; preload’ ) ;

Yêu cầu trình duyệt chỉ tin tưởng cookie do máy chủ đặt, cookie có sẵn trên kênh SSL bằng cách thêm vào như sau:

• @ ini_set ( ‘session.cookie_httponly’ , đúng ) ;
• @ ini_set ( ‘session.cookie_secure’ , đúng ) ;
• @ ini_set ( ‘session.use_only_cookies’ , đúng ) ;

Nếu bạn không muốn thêm tiêu đề này theo cách thủ công, hãy xem xét sử dụng plugin như tiêu đề bảo mật. Bất kể bạn chọn phương thức nào để triển khai tiêu đề bảo mật, hãy chắc chắn kiểm tra chúng bằng cách sử dụng https://securityheaders.io rồi nhập URL website.

21. Ngăn chặn Hotlinking

Hotlinking không phải là vi phạm bảo mật nhưng nó đề cập đến website khác sử dụng URL website bạn để trỏ trực tiếp đến hình ảnh hay tập tin phương tiện khác, nó được coi là hành vi trộm cắp. Do đó, hotlinking có khả năng dẫn đến chi phí bất ngờ không chỉ vì bạn sẽ phải xử lý phân nhánh hợp pháp mà còn vì hóa đơn lưu trữ có khả năng đi qua mái nhà nếu website đánh cắp hình ảnh nhận được nhiều lưu lượng truy cập.

Thêm mã sau vào tệp .htaccess nếu bạn đang sử dụng máy chủ Apache rồi thay thế tên miền giả bằng tên miền thực:

Ngoài ra, nếu bạn đang sử dụng máy chủ NGINX, bạn sẽ muốn sửa đổi tệp cấu hình mình bằng cách sau:

22. Đăng xuất người dùng không hoạt động

Mẹo cuối cùng ở bài này để tăng bảo mật website là đăng xuất người dùng sau thời gian không hoạt động. Bạn sử dụng plugin như Inactive Logout không hoạt động để tự động chấm dứt phiên không hoạt động.

Điều này là cần thiết bởi vì nếu bạn đăng nhập website để thêm bài đăng mới rồi bị phân tâm bởi nhiệm vụ khác, phiên có khả năng bị tấn công, tin tặc lạm dụng tình huống để lây nhiễm website. Điều quan trọng hơn nữa là chấm dứt phiên không hoạt động nếu bạn có nhiều người dùng trên website.

Biện pháp bảo mật ở trên là cách tuyệt vời để bảo mật website. Tuy nhiên nếu website bị hack thì sao? Dưới đây là vài bước để làm theo ở trường hợp website bị hack.

1. Xác nhận Hack và thay đổi mật khẩu

Nếu website bị hack, trước hết, đừng hoảng sợ. Điều quan trọng là phải hành động nhanh chóng. Bắt đầu bằng cách kiểm tra website, xem liệu bạn đăng nhập bảng điều khiển chưa? Kiểm tra xem website đang chuyển hướng đến website khác hay nếu bạn thấy bất kỳ liên kết hoặc quảng cáo đáng ngờ hoặc lạ nào.

Thay đổi mật khẩu ngay lập tức, Tiếp theo tiến hành bước tiếp theo.

2. Liên lạc với công ty Hosting

Liên hệ với máy chủ rồi cho họ biết website đã bị hack. Họ có khả năng giúp bạn xác định nguồn gốc vụ hack. Số máy chủ cũng sẽ dọn sạch website rồi xóa mã, tệp độc hại.

Sử dụng sao lưu để khôi phục website

Nếu bạn đã siêng năng sao lưu website, hãy tìm bản sao lưu từ trước khi hack rồi sử dụng nó để khôi phục website. Mặc dù bạn có khả năng mất số nội dung, nhưng bạn vẫn có khả năng đưa website về ban đầu.

3. Quét website để tìm phần mềm độc hại

Sử dụng máy quét miễn phí từ Sucuri để quét website để tìm phần mềm độc hại rồi xác định tệp bị xâm nhập. Bạn chọn dịch vụ dọn dẹp website bên họ nếu bạn không biết cách tự xóa phần mềm độc hại.

4. Kiểm tra người dùng website

Đăng nhập website WordPress rồi đi đến Người dùng> Toàn bộ người dùng. Hãy chắc chắn không có người dùng nào không nên ở đó rồi xóa chúng nếu cần thiết.

5. Thay đổi khóa bí mật

Sử dụng Trình tạo khóa WordPress Salts đã nói ở trên để tạo khóa bảo mật mới rồi thêm chúng vào tệp wp-config.php. Vì khóa đó mã hóa mật khẩu, tin tặc sẽ vẫn đăng nhập cho đến khi cookie bị vô hiệu. Khóa bảo mật mới sẽ làm điều đó rồi buộc tin tặc ra khỏi website.

6. Thuê chuyên gia

Cuối cùng, thuê chuyên gia để dọn sạch hack rồi loại bỏ phần mềm độc hại khỏi website. Hãy nhớ tin tặc có khả năng ẩn mã độc hại ở nhiều tệp để nếu bạn không có kinh nghiệm loại bỏ phần mềm độc hại, rất dễ bỏ lỡ tệp bị nhiễm. Điều này giúp tin tặc dễ dàng hack website lần nữa vì vậy việc thuê chuyên gia rất được khuyến khích.

1. Tệp WordPress lỗi thời

Tệp WordPress lỗi thời đề cập đến phiên bản WordPress, mẫu website cùng tệp plugin. Chúng gây ra rủi ro bảo mật vì chúng khiến website tiếp xúc với lỗ hổng khác như khai thác back door cùng Pharma hack.

Như vậy, bạn cần đảm bảo bản cài đặt WordPress được cập nhật cũng như mẫu website cùng plugin. Bạn nên chủ động áp dụng bản cập nhật khi chúng được phát hành vì chúng không chỉ đi kèm tính năng mới mà chúng còn bao gồm bản sửa lỗi cùng bảo mật khác nhau.

2. Khai thác back door

Khi nói đến khai thác back door, tin tặc sẽ tận dụng tệp WordPress lỗi thời để có quyền truy cập vào website. Ngoài tệp lỗi thời, họ cũng có khả năng truy cập vào website thông qua SFTP, FTP,….

Khi họ có quyền truy cập website, họ sẽ lây nhiễm website cũng như lây nhiễm website khác trên cùng máy chủ với website. Tiêm back door trông giống như tệp WordPress thông thường cho người dùng thiếu kinh nghiệm. Tuy nhiên đằng sau hậu trường, họ lợi dụng lỗi ở tệp lỗi thời để truy cập cơ sở dữ liệu rồi tàn phá website cũng như hàng ngàn website khác.

3. Pharma hack

Bản Pharma Hack đề cập đến việc khai thác lỗ hổng trong tệp WordPress lỗi thời nơi tin tặc chèn mã vào tệp đó. Khi mã được chèn, công cụ tìm kiếm sẽ hiển thị quảng cáo cho sản phẩm  thay vì website. Điều này có khả năng dẫn đến công cụ tìm kiếm đánh dấu website là thư rác.

4. Mật khẩu yếu

Mật khẩu yếu có khả năng dễ nhớ nhưng chúng cũng giúp tin tặc dễ dàng truy cập vào website thông qua cuộc tấn công liên tục. Cuộc tấn công liên tục xảy ra khi hacker sử dụng tập lệnh tự động chạy ở nền để thử kết hợp tên người dùng cùng mật khẩu khác nhau cho đến khi họ tìm thấy sự kết hợp hoạt động.

5. Chuyển hướng độc hại

Tương tự việc sử dụng tệp lỗi thời cùng giao thức FTP hay SFTP để tiêm mã dẫn đến Pharma hack hay khai thác back door, tin tặc sẽ sử dụng tệp .htaccess ở cài đặt WordPress để chuyển hướng khách truy cập đến website độc hại.

Khách truy cập Tiếp theo có khả năng bị nhiễm vi-rút.

6. Lỗ hổng trong nền tảng Hosting

Đôi khi, bảo mật website có khả năng bị tổn hại do bạn đang sử dụng công ty lưu trữ không có tính năng bảo mật như tường lửa hoặc giám sát tệp. Điều này thường xảy ra với nhà cung cấp dịch vụ lưu trữ rẻ hơn, điều đó nghĩa là việc chọn máy chủ rẻ hơn, sẽ khiến bạn tốn nhiều tiền hơn nếu website bị hack.

Hãy nhớ nền tảng lưu trữ rẻ hơn cũng có rủi ro bảo mật cao hơn vì website có khả năng bị nhiễm hay bị tấn công do tin tặc khai thác lỗ hổng ở website khác được lưu trữ ở cùng máy chủ.

7. Tấn công DDOS

Tấn công DDOS là mối đe dọa nguy hiểm nhất đối với mọi chủ sở hữu website nào. Ở cuộc tấn công DDOS, hacker sẽ khai thác lỗi ở mã khiến bộ nhớ hệ điều hành website bị quá tải. Cuộc tấn công DDOS thường sẽ làm sập số lượng lớn website sử dụng nền tảng cụ thể, chẳng hạn WordPress.

Giờ bạn đã biết lỗ hổng phổ biến liên quan đến WordPress là gì, hãy chuyển sang mẹo, thực tiễn cùng đề xuất bảo mật sẽ giúp bạn bảo mật website WordPress.