Mọi webstie khi hoạt động trên môi trường internet đều có thể là đối tượng của hacker, cứ mỗi phút có hàng trăm ngàn trang bị tấn công gây đau đầu cho rất nhiều Webmaster, vì vậy vấn đề bảo vệ website luôn là vấn đề được quan tâm hàng đầu. Nếu bạn đang sở hữu một website đang hoạt động và bạn thực sự không muốn bất kỳ vụ tấn công nào thì bạn nên chú ý đến các phương pháp trong bài viết này.
Vấn đề bảo mật quan trọng như thế nào?
Nội Dung
Thông qua thời gian một website có thể nói lên rất nhiều điều như sự thành công, thương hiệu lẫn thu nhập của bạn. nổi tiếng thì thường bị dòm ngó, và nếu không may bị hacker tấn công xâm nhập vào thì tất cả sẽ chấm hết. Và thực nực cười đôi khi bạn phải bỏ tiền ra chỉ để lấy lại quyền truy cập của mình.
Theo thông tin của Google mỗi tuần có hàng ngàn website được google thông báo các vấn đề liên quan đến các phần mềm độc hai hay ăn cắp thông tin. Vì thế nếu bạn có một trong những website đang trong quá trình start up đi đến thành công thì nên nghiêm túc với vấn đề này vì những website đang có thương hiệu hiện nay đều có công tác bảo mật website rất tốt
Mức độ bảo mật của WordPress?
Đôi khi làm việc với WordPress thời gian dài và không có rủi ro bị tấn công nào làm bạn quên mất một điều rằng mức độ bảo mật của WordPress có thực sự cao? Và đương nhiên câu trả lời là có, đằng sau danh tiếng và thành công mà WordPress đã có được như ngày hôm nay là những nhóm kỹ sư luôn làm việc siêng năng để tìm kiếm và khắc phục những lỗ hỏng và thực tế là đã có hàng ngàn lỗ hỏng được khắc phục cho đến ngày nay.
Hacker xâm nhập vào website WordPress như thế nào?
Một điều chắc chắn rằng khi tạo dựng website không thể nào không có lỗ hỏng, các hacker sẽ tập trung vào những lỗ hỏng trong website để tìm cách khai thác những thông tin quan trọng có thể dẫn đến đánh mất quyền truy cập của bạn.
Những phương pháp bảo mật website WordPress
1/Lựa chon hosting đáng tin cậy, hỗ trợ bảo mật website
Như thường lệ việc lựa chọn hosting luôn là vấn đề được đưa lên hàng đầu, một hosting tốt sẽ có các biện pháp hỗ trợ rất nhiều trong việc bảo mật website với những mối đe dọa thường gặp.
2/Chú ý cập những phiên bản WordPress mới nhất
WordPress là một mã nguồn mở được cập nhật thường xuyên nhằm nâng cao tính ổn định cũng như bảo mật cho website, vì vậy nhanh chóng cập nhật khi có 1 một phiên bản mới xuất hiện.
Truy cập vào trang quản lý admin, trong phần dashboard chọn mục Updates để xem phiên bản WordPress hiện tại của bạn có phải là phiên bản mới nhất hay chưa.
3/Cài đặt một phần mềm diệt viruts
Cách tấn công một website bằng phương pháp cài những phần mềm độc hại để lấy đi những thông tin quan trọng là phương pháp rất phổ biến vì vậy bạn cần chuẩn bị cho mình một phần mềm diệt viruts hiệu quả để làm sạch trang web ngăn ngừa trước các cuộc tấn công.
4/ Tạo một bản sao lưu dữ liệu(back up)
Sao lưu dữ liệu có thể được sử dụng để khôi phục website khi bị đánh cắp bởi hacker, đây là giải pháp khá hay tuy nhiên việc sao lưu có thể phải thực hiện nhiều lần với những thay đổi trong nội dung hay tần suất hoạt động của website. Để sao lưu bạn có thể sử dụng sử dụng plugin sao lưu dữ liệu được sử dụng phổ biến hiện nay như BackupBuddy, UpdraftPlus, BackWPUp, v.v…Hoặc có thể nâng cao an toàn hơn bằng cách sao lưu thủ công, nếu chư biết bạn có thể tham khảo bài viết này Cách backup website wordpress không cần dùng plugin.
5/Tạo một tài khoản có độ bảo mật cao
Khi bắt đầu tạo một website WordPress bạn thường không để ý đến tài khoản và mật khẩu của trang quản trị cho lắm, lúc đó tâm lý chung là đặt những cái tên đơn dễ nhớ để truy cập vào trang quản trị một cách dễ dàng như admin-123456, v.v…Với hacker điều này chỉ tốn vài phút để có thể lấy mất quyền admin của bạn.
Để cập nhật lại mật khẩu truy cập vào trang quản trị ->User->Your Profile tìm đến mục Generate Password ->Show Password -> nhập một mật khẩu mới vào ->Update Profile
6/ Sử dụng plugin bảo mật cho WordPress
Một cài đặt từ plugin sẽ thiết lập thêm một lớp bảo mật làm cho website của bạn như một “pháo đài” với nhiều lớp bảo vệ. Hai plguin được sử dụng phổ biến là Sucuri và WordFence.
Các plugin này cho phép mở rộng khả năng khai thác của WordPress, do đó bạn có thể kiểm soát được các cuộc đột nhập trái phép và có thể thực hiện nhiều thay đổi nhỏ để nâng cao tính ổn định và hạn chế các lỗ hỏng của website, cả hai plugin đều đều được hỗ trợ cài đặt miễn phí.
7/Thay đổi đường dẫn URL của trang quản trị
Trang quản trị của một website WordPress mặc định có dạng ten_website/wp-admin các hacker nắm rõ điều này. Vậy nên khi không thay đổi URL của WordPress giống như là bạn đang chỉ đường cho các thành phần không lành mạnh địa chỉ nhà mình và công việc của chúng là tìm cách bẻ khóa nữa mà thôi.
Một plugin hỗ trợ nhanh chóng việc thay đổi này là WPS Plugin Hide Login.
Sau khi tải và active vào mục cài đặt tìm đến WPS Plugin Hide Login thay đổi url thành một url theo ý bạn muốn.
8/Hạn chế số lần đăng nhập vào trang admin
Có thể hacker sẽ dò tìm tài khoản của bạn bằng cách cố gắng đăng nhập nhiều lần nên để chắc chẳn bạn mới chính là admin cho website thì nên hạn chế số lần đăng nhập.
Để có chức năng này trước tiên bạn phải cài đặt pulgin Login LockDown. Sau đó bạn có thể tùy chỉnh theo yêu cầu của bạn
9/Vô hiệu chỉnh sửa tệp
WordPress có chức năng cho phép thay đổi nội dung tệp trong trang admin. Đây là cơ sở mà khi bị tấn công các website sẽ không hiển thị đúng nội dung như ban đầu
để vô hiệu hóa chức năng này bạn cần thêm vào file config.php đoạn code bên dưới
define( 'DISALLOW_FILE_EDIT', true );
10/Ẩn thông báo phiên bản WordPress mà bạn đang sử dụng
Hiện thị một thông tin không cần thiết như phiên bản WordPress mà bạn đang làm việc hoàn toàn không có lợi mà còn mang đến rủi ro bảo mật vì mỗi phiên bản về cơ bản có nhưng thay đổi khác nhau mà hacker có thể tận dụng để quấy rối.
Trong file function.php bạn thêm đoạn code sau:
function wpversion_remove_version() {
return '';
}
add_filter('the_generator', 'wpversion_remove_version');
Một cách khác để láy thông tin phiên bản WordPress là truy cập vào đường dẫn ten_website/readme.html. Trang này có nội dung hiển thị các thông tin về phiên bản WordPress đang sử dụng và ảnh ảnh hưởng gì đến website nên bạn có thể tìm đến thư mục và xóa file này đi
11/Tắt XML-RPC
XML-RPC là một giao thức kết nối với website WordPress từ xa sử dụng XML để trao đổi dữ liệu qua lại. Mặc dù API này hữu ích nếu bạn sử dụng bất kỳ tệp nào trong số này, nó cũng có thể bị khai thác để lấy đi những thông tin qua trong hay làm giảm tính ổn định của website.
Bạn có thể tắt nó bằng cách cài đặt plugin Disable XML-RPC . Khi bạn kích hoạt plugin, nó sẽ loại bỏ XML-RPC hoặc có thể thêm đoạn mã sau vào file .htaccess. Nếu bạn chưa biết cách làm việc với tệp .htaccess thì bạn có thể tham khảo bài viết Tổng hợp thủ thuật với file .htaccess trong WordPress
order allow,deny deny from all
12/Thêm câu hỏi bảo mật vào màn hình đăng nhập WordPress
Một cách làm ổn chắc phần đăng nhập vào trang quản trị là bạn tạo ra thêm một trường điều kiện yêu cầu phải nhập thông tin để xác thực, tuy chỉ thêm một bước nhưng lại có thể làm cho bên tấn công đau đầu thêm rất nhiều. Bạn có thể thêm các câu hỏi bảo mật bằng cách cài đặt plugin WP Security Question.
Sau khi kích hoạt sẽ có mục WP Security Question. trên thanh menu lựa chọn plugin setting. Ở đây mặc định sẽ hiển thị một vài câu hỏi mẫu hoặc nếu bạn muốn thêm một câu hỏi nào khác bạn có thể thêm câu hỏi của mình ở khung cuối cùng và bấm AddMore
Phía dưới là những yêu cầu về việc hiển thị câu hỏi ra trang login và đừng quên bấm Save Setting nhé.
Để Trả lời cho một câu hỏi nào đó lựa chọn chức năng thành viên(Profile) tìm đến My Security Questions
13/Sử dụng SSL để mã hóa dữ liệu
SSL là viết tắt của Secure Socket Layer. SSL tạo ra một lớp mã hoá truyền dữ liệu giữa hai hệ thống. SSL cho phép truyền tải dữ liệu được mã hóa và ngăn chặn việc truy cập từ bên ngoài. Để tạo kết nối SSL, máy chủ cần có chứng chỉ SSL. SSL cũng ảnh hưởng đến thứ hạng trang web của bạn tại Google, Google xếp hạng các trang web có SSL cao hơn các trang web không có (tốt cho SEO).
Bạn có thể tìm hiểu cách tạo chúng chỉ SSL với Let’s Encrypt ngay trong hosting của mình
14/Thay đổi tiền tố database WordPress
Database mặc định được tạo ra trong khi cài đăt một website WordPress là hoàn toàn giống nhau về các tên bảng dữ liệu, bạn nên thay đổi tiền tố mặc định là wp_ thành một tiền tố mới của riêng bạn. Một plugin giúp bạn làm điều này nhanh chóng chỉ bằng một cú nhập chuột là Plugin Change DB Prefix.
Hoặc bạn có thể làm theo cách thủ công như sau
thêm đoạn code sau vào file config.php
$table_prefix = 'tenthaydoi_';
Thay đổi tên của tất cả các bảng cơ sở dữ liệu
Truy cập Cpanel -> phpmyadmin -> lựa chọn database của website->SQL
Chay đoạn code sau
RENAME table `wp_commentmeta` TO `wp_a123456_commentmeta`; RENAME table `wp_comments` TO `wp_a123456_comments`; RENAME table `wp_links` TO `wp_a123456_links`; RENAME table `wp_options` TO `wp_a123456_options`; RENAME table `wp_postmeta` TO `wp_a123456_postmeta`; RENAME table `wp_posts` TO `wp_a123456_posts`; RENAME table `wp_terms` TO `wp_a123456_terms`; RENAME table `wp_termmeta` TO `wp_a123456_termmeta`; RENAME table `wp_term_relationships` TO `wp_a123456_term_relationships`; RENAME table `wp_term_taxonomy` TO `wp_a123456_term_taxonomy`; RENAME table `wp_usermeta` TO `wp_a123456_usermeta`; RENAME table `wp_users` TO `wp_a123456_users`;
Tiếp tục tìm đến bảng wp_options -> SQL
chạy đoạn code sau
SELECT * FROM `laivanduc_options` WHERE `option_name` LIKE '%wp_%'
Cuối cùng làm tương tự trong bảng wp_usermeta.
SELECT * FROM laivanduc_usermeta WHERE meta_key LIKE '%wp_%'
Lời kết
Có lẽ sau khi đọc bài viết này bạn sẽ thấy được một website khi hoạt động phải chống chịu với nhiều rủi ro như thế nào nếu không có những biện pháp hỗ trợ vấn đề bảo mật, hy vọng với những kiến thức trong bài viết này sẽ có ích với các bạn. Chúc các bạn thành công!