Chúng ta điều biết WordPress là mã nguồn mở Web miễn phí hỗ trợ SEO rất tốt và được dùng rất phổ biến hiện nay, do đó các website WordPress cũng là mục tiêu tấn công của nhiều tin tặc. Vậy làm thế để bảo vệ website WordPress trước các cuộc tấn công của tin tặc. Dưới đây là các Thủ thuật bảo mật WordPress cơ bản có thể giúp bảo vệ website của bạn.
Ngăn truy cập trái phép vào trang quản trị wp-admin
Đổi địa chỉ của trang quản trị
Mặc định đường dẫn tới trang quản trị của WordPress là wp-admin, điều này sẽ giúp các hacker dễ dàng xác định địa chỉ đăng nhập sau khi họ đã có đầy đủ thông tin về tài khoản quản trị của bạn, thậm chí là có rất nhiều script hỗ trợ tự động đăng nhập theo một dữ liệu được định sẵn thông qua địa chỉ phổ biến này.
Vì vậy trước tiên, bạn cần đổi địa chỉ đăng nhập vào trang quản trị bằng cách sử dụng plugin Better WP Security để tăng cường bảo mật cho WordPress, trong đó có chức năng đổi đường dẫn mặc định của trang quản trị thành đường dẫn bất kỳ mà bạn muốn.
Sau khi cài đặt, vào Security -> Hide và điền tên của đường dẫn mới của trang quản trị, trang đăng nhập và trang đăng ký.
Lưu ý: Nếu đổi xong mà bạn vẫn không vào được trang admin bằng đường dẫn mới thì hãy CHMOD file .htaccess thành 777 và vào lại ấn nút Save Change một lần nữa. Sau đó CHMOD lại thành 644.
Hạn chế số lần đăng nhập sai
Hiện nay phương pháp tấn công Hacker hay dùng là kiểu công Brute force, với phương pháp này hacker sử dụng dùng một chương trình tự động đăng nhập liên tục vào địa chỉ wp-admin với cấu trúc username và mật khẩu khác nhau.
Do đó để hạn chế kiểu tấn công này, chúng ta sẽ thêm chức năng tự động khóa đăng nhập khi đăng nhập thất bại với số lần nhất định. Bạn có thể sử dụng plugin Login Security Solutions (khuyên dùng), Limit Login Attempts, Login Lockdown hoặc ngay chính trong plugin Better WP Security cũng có chức năng này.
Sử dụng mật khẩu phức tạp bao gồm chữ HOA, chữ thường, số, kí tự đặc biệt và không nên dùng tên đăng nhập là admin
Như ở phía trên mình đã nói, các hacker thường hay liên tục scan tự động mật khẩu của admin theo cấu trúc username là admin hoặc administrator. Vì vậy mình cực kỳ không khuyến khích dùng tên đăng nhập mặc định.
Nếu bạn đã lỡ cài đặt một bản WordPress và sử dụng tên đăng nhập là admin thì dùng plugin Better WP Security để đổi tên đăng nhập của bạn lại nha.
Tạo lớp bảo vệ bằng mật khẩu cho trang quản trị
Nếu bạn vẫn còn lo lắng về sự an toàn của trang quản trị thì có thể dùng thêm cách tạo thêm một lớp đăng nhập nữa bằng cách sử dụng chức năng Password Protect Directories có trong cPanelX của các hosting thông dụng hiện nay.
Sau khi nhấp vào, các bạn chọn thư mục wp-admin và tạo tên đăng nhập và mật khẩu cho lớp đăng nhập.
Ấn nút Add/modify authorized user. Tiếp tục, nhìn lên trên và gõ tên folder cần bảo vệ vào, ở đây folder cần bảo vệ là wp-admin, sau đó tích dấu vào ô Password Protect this directory và ấn nút Save để hoàn tất. Và bắt đầu từ đây, mỗi khi chúng ta đăng nhập vào wp-admin đều sẽ trải qua một lớp bảo vệ, và chúng ta phải điền tên đăng nhập và mật khẩu vào vệ vào. Sau đó mới tiến hành đăng nhập vào WordPress theo cách thông thường.
Nếu host bạn không hỗ trợ cPanelX, bạn có thể tạo một cách đơn giản bằng một plugin htaccess password protect dành cho WordPress.
Tạo lớp bảo vệ nâng cao bằng IP
Cách này có thể nói khá tốt để bảo vệ trang quản trị của bạn. Với lớp bảo vệ này, bạn chỉ có thể đăng nhập vào trang quản trị khi IP của bạn có trong danh sách IP cho phép đăng nhập, còn lại sẽ bị chặn hết.
Đầu tiên các bạn tải gói SecureIP về, mở file capnhatip.php ra và thay mật khẩu 123456 thành mật khẩu mà bạn thích, sau đó upload 3 file capnhatip.php, listip.txt và security.php vào thư mục wp-admin và CHMOD file listip.txt thành 777 hoặc 775. Mở file index.php trong thư mục wp-admin ra và thêm đoạn này ngay đằng sau
Hoặc là bạn vào phần File Manager trong trang quản trị hosting (cPanel X) và chọn Change Permission
Tối ưu CHMOD cho WordPress
File đầu tiên chúng ta cần bảo vệ đó là wp-config.php vì file này lưu giữ những thông tin đăng nhập vào cơ sở dữ liệu của mình. Nếu như các bạn ít khi chỉnh sửa file này thì hãy CHMOD là 444 cho wp-config, điều này có nghĩa tất cả các nhóm người dùng chỉ có thể đọc chứ không chỉnh sửa hay thực thi được, kể cả chủ sỡ hữu. Và sau khi đưa về 444, chúng ta không thể chỉnh sửa nội dung file này, nếu muốn chỉnh sửa thì hãy đưa nó về 644.
Còn lại thì bạn có thể CHMOD cho file là 644 và và 755 cho folder.
Nếu như bạn thấy khó khăn trong việc CHMOD thì plugin File Permissions & Size Check sẽ giúp bạn CHMOD và theo dõi các tập tin, thư mục dễ dàng trong trang quản trị WordPress.
Còn đây là gợi ý CHMOD tối ưu hóa cho WordPress của BulletProof Security
Sao lưu (backup) cơ sở dữ liệu thường xuyên
Công việc này tuy không ngăn chặn được các cuộc tấn công trên WordPress nhưng nó sẽ rất có ích để hồi sinh website của bạn sau các cuộc tấn công của hacker. Nếu như bạn sao lưu dữ liệu một cách thường xuyên thì sau khi bị tấn công và mất hết cơ sở dữ liệu, chúng ta vẫn có thể hồi sinh web bằng cách phục hồi các dữ liệu đã được sao lưu. Ngoài ra phương pháp này cũng giúp bạn phục hồi lại blog sau khi tiến hành can thiệp chỉnh sửa liên quan đến cơ sở dữ liệu.
Trong WordPress có khá nhiều công cụ backup cơ sở dữ liệu, nhưng bây giờ mình chỉ có thể gợi ý cho các bạn một plugin ổn định và backup tốt nhất đó là WP Backup. Plugin này giúp bạn cài đặt chế độ backup tự động cho tất cả các dữ liệu trên blog, đồng thời có chức năng đồng bộ hóa tài khoản Google Drive vào và tự động gửi những dữ liệu đã được backup lên đó.
Cập nhật phiên bản mới nhất của WordPress
Nếu như bạn đang sử dụng các phiên bản cũ của WordPress, hãy tiến hành nâng cấp lên phiên bản mới nhất để tăng sự an toàn cho blog. Những phiên bản mới được đưa ra nhằm sửa một số bug vì thế nếu bạn không nâng cấp lên, các hacker có thể lợi dụng những bug đó để xâm nhập trái phép vào blog. Bên cạnh đó, nếu các plugin đang sử dụng có phiên bản mới thì bạn cũng nên tiến hành nâng cấp lên.
Xóa hết các plugin không cần thiết
Sử dụng nhiều plugin cũng là một trong những nguyên nhân bị tấn công, bởi nếu bạn không kiểm tra kỹ thì rất có thể trong plugin bạn đang sử dụng có thể sẽ khai thác thông tin của bạn. Và sử dụng nhiều plugin cũng có thể dẫn đến việc xung đột giữa các plugin với nhau, từ đó sẽ gây ra nhiều vấn đề cho blog của bạn. Hãy tiến hành deactive và xóa hết các plugin không thật sự cần thiết và hãy tham khảo kỹ khi bắt đầu cài một plugin mới.
Một số plugin bảo mật cho WordPress
Plugin này có khá đầy đủ về các chức năng dùng để bảo mật cho WordPress như đổi username admin, đổi ID của admin, hạn chế đăng nhập, sao lưu dữ liệu..v.v.v.Đây có thể nói là plugin nên xài để tăng cường bảo mật cho WordPress.
Plugin này nhằm ngăn ngừa và hạn chế tấn công bằng các phương thức XSS, RFI, CRLF, CSRF, Base64, Code Injection và SQL Injection bằng cách tối ưu hóa bảo mật cho các file và thư mục nhạy cảm. Nếu bạn đang lo lắng về khả năng bảo mật của mình trước những đợt tấn công, hãy tiến hành cài đặt plugin này.
Mặc định sau khi cài đặt thì nó sẽ tự động tối ưu hóa cho các bạn, nhưng nếu bạn có các kiến thức về bảo mật thì có thể tùy chỉnh theo cách của mình.
Về đánh giá chung thì plugin này rất tốt nhưng không thích hợp lắm cho những người mới tìm hiểu WordPress và chưa có kiến thức về bảo mật.
Bộ công cụ của 6Scan Security sẽ tự động quét toàn bộ mã nguồn của blog nhằm loại bỏ các đoạn mã độc hại. Hơn thế nữa, plugin này cũng giúp bạn vá lại một số lỗi bảo mật để phòng chống các hacker có thể lợi dụng những lỗi bảo mật đó. Plugin này có thể dùng trong các trường hợp tấn công sau:
- SQL Injection
- Cross-Site Scripting (XSS)
- CSRF
- Directory traversal
- Remote file inclusion
- Several DoS conditions