15 bước cần thiết để bảo mật WordPress trước các cuộc tấn công của phần mềm độc hại

17/01/2021
blog image

Bảo mật WordPress chống lại các cuộc tấn công bằng phần mềm độc hại là một phần thiết yếu trong vai trò của quản trị viên web. Đó là tài sản ảo của bạn mà bạn cần bảo mật để đảm bảo rằng tài sản đó không dễ bị tấn công và khai thác. Điều đó nói rằng, có rất nhiều cá nhân coi bảo mật như một mối quan tâm thứ yếu. Đối với các doanh nghiệp, bất kể họ lớn hay nhỏ, bảo mật hoàn toàn trái ngược với điều đó. Bạn có thể ít tập trung vào vấn đề bảo mật hơn vì bạn không có thời gian hoặc không đủ khéo léo để chạm vào một chủ đề phức tạp như bảo mật. Thật hợp lý nếu bạn cảm thấy như vậy. Nếu có một điều mà các quản trị viên web phi kỹ thuật sợ nhất, thì đó là cài đặt “chui” trên trang web của họ.
Hãy làm rõ một điều: Bảo mật WordPress rất dễ dàng. Trong bài viết ngắn này, chúng tôi muốn cho bạn thấy điều đó! Đến cuối cùng, bạn sẽ có được những hiểu biết quan trọng về bảo mật và sẽ sẵn sàng triển khai những hiểu biết đó trên trang web của riêng bạn.

Bảo mật WordPress: Tại sao lại quan trọng – Hãy xem một số thống kê để bạn có thể có được bức tranh thực tế về lý do tại sao bảo mật lại quan trọng.

Theo Wp-WhiteSecurity 73,2% tất cả các bản cài đặt WordPress dễ bị vi phạm bảo mật. May mắn thay, với các công cụ miễn phí, bạn có thể phát hiện ra chúng.

  • Panda Security nói rằng 81% các cuộc tấn công web là do mật khẩu không an toàn, đăng nhập kém và kết hợp mật khẩu.
  • Tạp chí Smashing nói rằng bốn cách khai thác WordPress được sử dụng phổ biến nhất là Pharma Hacks, Malware redirect, truy cập mật khẩu và backdoor.
  • WordFence tuyên bố rằng 70% khả năng bảo mật WordPress của bạn có thể được tính nếu bạn đã thực hiện các biện pháp bảo vệ trang web của mình trước các cuộc tấn công và lỗ hổng plugin.

Cũng nói rằng bảo mật rất quan trọng vì các trang web WordPress phải đối mặt với khoảng 91.000 cuộc tấn công mỗi phút với 100.000 trang web bị tấn công mỗi ngày. Tin tặc không phân biệt đối xử và sẵn sàng chớp lấy cơ hội nếu họ cảm thấy trang web của bạn dễ bị tấn công. Để đảm bảo tính bảo mật của nó, bạn cần phải chủ động trong các bước của mình trong việc chống lại các vụ hack này.

Nhưng những cuộc tấn công có thể bạn sẽ gặp phải là gì? Chúng ta hãy xem xét các hình thức tấn công phổ biến nhất.

CÁCH HACKERS HOẠT ĐỘNG THEO CÁCH CỦA CHÚNG VÀO TRANG WEB CỦA BẠN

Sau đây là chín trong số các cách hack WordPress phổ biến nhất có thể làm hỏng trang web của bạn.

  • Tấn công bạo lực – Khai thác mật khẩu yếu, cuộc tấn công này nhằm mục đích kiểm soát hoàn toàn trang web của bạn thông qua các tập lệnh tự động cố gắng đoán quản trị viên và mật khẩu của trang web của bạn.
  • Cửa hậu – Cửa hậu nhằm mục đích giành quyền truy cập vào trang web của bạn ở cấp máy chủ. Cuộc tấn công này thậm chí có thể làm hỏng các trang web khác đang chạy trên máy chủ.
    Cross-Site Scripting (XSS) – Chèn mã độc vào trang web của bạn, tin tặc cố gắng phá nó bằng cách phá hỏng cơ sở mã (HTML, PHP và CSS).
  • Chuyển hướng độc hại – Một hình thức gửi spam liên kết, cách khai thác này chuyển hướng người dùng trang web của bạn đến các trang web lừa đảo thông qua việc thay đổi các liên kết trong nội dung trang web của bạn.
    Lừa đảo – Lừa đảo này khai thác trang web của bạn để có quyền truy cập vào thông tin cá nhân của bạn như thẻ tín dụng, tài khoản ngân hàng và các danh tính khác.
  • Tấn công phần mềm độc hại – Đây là một thuật ngữ chung được sử dụng để biểu thị tất cả các cuộc tấn công thuộc danh mục vi rút, rootkit, gửi thư rác và các hình thức xâm nhập khác.
  • Tấn công DDoS – Một cuộc tấn công được phối hợp nhịp nhàng để đưa các bot hack vào một trang web. Số lượng bot quá nhiều khiến nó lấn át máy chủ của trang web của bạn, làm giảm hiệu suất hoặc làm sập hoàn toàn.
  • Defacement – Tin tặc giành quyền truy cập vào trang web của bạn để phá hỏng bố cục của trang web bằng cách thay đổi nội dung HTML hoặc CSS của trang web của bạn. Tương tự như XSS, nhưng về bản chất chính trị.
  • PHP Mailers – Phần mềm này sử dụng các lệnh PHP (ngôn ngữ lập trình của WordPress) để kiểm soát máy chủ gửi thư để gửi email lừa đảo.

Từ tất cả những điều này, cần hiểu rõ tại sao bảo mật WordPress lại quan trọng. Mặc dù các cuộc tấn công này có thể gây hại cho bất kỳ trang web nào, nhưng WordPress là mục tiêu chính của tin tặc vì thống kê cho thấy 90% tất cả các trang web bị nhiễm đang chạy trên WordPress.

BẢO VỆ TRANG WEB CỦA BẠN khỏi HACKS

Các cuộc tấn công mà chúng tôi đã đề cập ở trên là trường hợp xấu nhất có thể xảy ra với trang web của bạn. May mắn thay, cộng đồng WordPress luôn hoạt động tích cực đã đảm bảo rằng bạn có thể đối phó với những vụ hack này. Dưới đây là một số bước bạn có thể thực hiện để bảo vệ trang web của mình khỏi bị tấn công.

1. CÀI ĐẶT PLUGIN BẢO MẬT MẠNH MẼ

Sau đây là một số plugin bạn có thể cài đặt trên WordPress của mình để đảm bảo an ninh.

Tất cả các plugin này đều được trang bị nhiều tính năng khác nhau giúp nâng cao tính bảo mật cho trang web của bạn. Dưới đây là danh sách ngắn các tính năng như vậy:

  • Firewall for WordPress
  • IP blacklisting and blocking
  • Malware scans
  • 2FA (Two Factor Authentication)
  • Security alerts for emails
  • Security recommendations
  • …and more.

Tất cả các plugin này đều dễ cài đặt và dễ thiết lập. Ngay cả khi bạn không có thời gian hoặc kỹ năng, trình hướng dẫn cấu hình của các plugin này sẽ giúp bạn dễ dàng hơn trong toàn bộ quá trình.

2. PERFORM MALWARE SCANS

Nếu bạn thấy lưu lượng truy cập giảm nhanh chóng hoặc một số vấn đề về hiệu suất, thì bạn nên thực hiện quét trang web nhanh chóng.

Bạn có thể sử dụng các công cụ kiểm tra sức khỏe trực tuyến như Virustotal để kiểm tra trang web của mình xem có bất kỳ sự khác biệt nào không.

Nếu bạn thấy một số vấn đề, hãy thực hiện các biện pháp phòng ngừa cần thiết để ngăn chặn nó. Ngay cả khi bạn không làm như vậy, thì việc thỉnh thoảng chạy kiểm tra trang web luôn có lợi.

3. ĐẦU TƯ VÀO LƯU TRỮ AN TOÀN

Bạn cũng nên tự bảo vệ mình ở cấp máy chủ bằng cách chọn máy chủ lưu trữ có các tính năng sau:

  • Sao lưu thường xuyên
  • Máy quét phần mềm độc hại
  • Bảo mật chống lại các cuộc tấn công DDoS
  • Hệ điều hành, phần mềm máy chủ và phần cứng mới nhất
    …và hơn thế nữa.

Nếu bạn muốn làm mọi thứ xa hơn, thì chúng tôi khuyên bạn nên chọn một máy chủ lưu trữ WordPress được quản lý để chăm sóc trang web của bạn ở cấp máy chủ. Nói chung, đầu tư vào một dịch vụ lưu trữ tốt có thể trả cổ tức trong tương lai.

4. ĐẶT ĐĂNG NHẬP UNCOMMON VÀ MẬT KHẨU MẠNH MẼ

CLU, còn được gọi là Phức tạp, Dài và Duy nhất là cách để đi với cả thông tin đăng nhập và mật khẩu của bạn. Sử dụng các ký hiệu, chữ viết hoa, số và nhiều thứ khác trong mật khẩu của bạn sẽ đảm bảo an toàn trước các cuộc tấn công Brute Force và các cuộc tấn công độc hại khác.

Với tên người dùng, đừng chỉ dựa vào “quản trị viên” cũ thông thường. Nó phổ biến và cung cấp một cổng dễ dàng cho tin tặc truy cập vào trang web của bạn.

Bạn có thể sử dụng một trang web như Trình tạo mật khẩu để giúp bạn tạo ra một mật khẩu tốt.

5. CẬP NHẬT WORDPRESS VÀ PLUGINS CỦA BẠN

Cập nhật liên tục các ứng dụng và phần mềm trên điện thoại của bạn là điều thường thấy. Nó ở đó để giúp bảo vệ các ứng dụng và điện thoại của bạn khỏi các lỗ hổng bảo mật.

Tương tự với WordPress, bạn cần phải cập nhật liên tục các plugin của mình và các phiên bản WordPress (ngay khi nó ra mắt) để đảm bảo tính bảo mật cao nhất.

6. TẮT XML-RPC

Bản thân XML-RPC không có hại vì nó cho phép bạn kết nối với các ứng dụng web và di động. Tuy nhiên, nó mở ra cánh cửa nghiêm trọng cho tin tặc xâm nhập vào trang web của bạn.

Nói một cách dễ hiểu, tin tặc có thể khai thác XML-RPC bằng cách sử dụng chức năng gọi cho phép chúng bay dưới radar mà không biết tin tặc đã thử hàng nghìn mật khẩu và tổ hợp đăng nhập trên trang web của bạn.

iThemes security thực hiện tốt công việc bảo vệ bạn chống lại những cuộc tấn công vũ phu này. Nếu bạn không sử dụng XML-RPC, thì plugin bảo mật thậm chí có thể xóa hoàn toàn chức năng của nó.

7. SỬ DỤNG PHIÊN BẢN PHP MỚI NHẤT

Phiên bản PHP bạn đang sử dụng trên trang web của mình có hại cho bảo mật WordPress của bạn. Tương tự như WordPress, PHP cũng thường xuyên phát hành các phiên bản mới hứa hẹn bảo mật WordPress tốt hơn.

Theo bài viết này, phiên bản PHP mới nhất đang được sử dụng là 7.4.5. Nếu bạn chưa cập nhật PHP của mình, hãy làm như vậy ngay bây giờ.

Bên cạnh lợi ích rõ ràng của việc tăng cường bảo mật, bạn cũng đang đạt được những lợi ích đáng kể về mặt tăng hiệu suất.

8. KIỂM SOÁT TRUY CẬP GIỚI HẠN

Các phần dễ bị tấn công nhất trên trang web của bạn là các tệp index.php, functions.php và wp-config.php.

Tệp wp-config nói riêng rất dễ bị tấn công vì nó có thể tạo điều kiện cho vô số cuộc tấn công vào trang web của bạn. Để bảo vệ các tệp của mình, lý tưởng nhất là bạn nên ẩn chúng, xóa mọi điều khiển chỉnh sửa tệp, thay đổi tiền tố cơ sở dữ liệu (wp_) và hạn chế quyền truy cập của người dùng vào tệp PHP.

WordPress Codex có một danh sách chi tiết về cách bạn có thể giữ an toàn cho các tệp của mình, vì vậy hãy nhớ kiểm tra điều đó.

9. LOẠI BỎ SPAM VÀ CÁC LOẠI RẤT NHIỀU CỦA NÓ

Thư rác là một lời nguyền trên internet. Nhận xét spam, blog (toàn bộ blog spam chứa đầy các liên kết đáng ngờ), trackback và pingback, là một số loại spam trên internet.

May mắn thay, việc ngăn chặn thư rác rất dễ dàng với sự trợ giúp của các plugin tích hợp sẵn như Akismet và WordFence.

10. KÍCH HOẠT XÁC THỰC CỦA HAI YẾU TỐ

Xác thực hai yếu tố (2FA) là một cách tuyệt vời để đảm bảo tính bảo mật khi đăng nhập của trang web của bạn. Mặc dù đây là một quá trình tốn nhiều thời gian (mã yếu tố truy cập từ email), nhưng rất đáng để mạo hiểm nếu bạn không chắc chắn về tính bảo mật của trang web của mình.

WordFence có lẽ là plugin tốt nhất để tạo quy trình xác thực hai yếu tố trên trang web của bạn.

11. Ẩn PHIÊN BẢN WORDPRESS CỦA BẠN

Đây là một cân nhắc khá nhỏ, nhưng nếu tin tặc biết phiên bản WordPress của bạn và phát hiện ra rằng đó không phải là phiên bản mới nhất, họ có thể thực hiện tấn công phiên bản đó.

Nếu đó là phiên bản cũ hơn và bằng cách nào đó bạn quên cập nhật, thì điều đó khiến tin tặc có cơ sở nghiêm trọng để xâm nhập trang web của bạn.

12. QUẢN LÝ GIẤY PHÉP NGƯỜI DÙNG WORDPRESS CỦA BẠN

Nếu bạn có nhiều người dùng trên các trang web của mình như người chỉnh sửa hoặc nhà phát triển, thì bạn nên quản lý vai trò người dùng của họ một cách chính xác. Việc cho họ toàn quyền sẽ chỉ làm tăng khả năng bị hack.

Vì vậy, hãy cố gắng quản lý vai trò người dùng và quyền của họ một cách chính xác. Ngoài ra, hãy kiểm tra người dùng để đảm bảo rằng họ là những người bạn biết. Bạn có thể sử dụng một plugin như User Role Editor cho mục đích đó.

13. ĐĂNG XUẤT NGƯỜI DÙNG WORDPRESS

Người dùng đã đăng nhập nhưng không hoạt động sẽ gây ra rủi ro bảo mật quan trọng. Trang web trở nên dễ bị tấn công. Phiên của họ có thể bị tấn công, thay đổi mật khẩu và có thể thực hiện các thay đổi tài khoản khác.

Để đảm bảo rằng người dùng bị khóa khi họ không hoạt động, bạn có thể sử dụng plugin như Đăng xuất không hoạt động và định cấu hình plugin để đăng xuất bất kỳ người dùng nào không hoạt động.

14. HẠN CHẾ ĐĂNG NHẬP

Với cài đặt WordPress mặc định, người dùng có thể đăng nhập vào một trang web bao nhiêu lần tùy thích. Điều này làm cho trang web của bạn dễ bị tấn công vì tin tặc có thể thử vô số tổ hợp mật khẩu đăng nhập mà không sợ bị khóa hoặc IP của họ bị chặn.

Để hạn chế số lần đăng nhập, bạn có thể sử dụng một plugin như Login Lockdown để hạn chế số lần thử một người có thể đăng nhập vào trang web của bạn.

15. THEO DÕI BẢO MẬT TRANG WEB CỦA BẠN

Khi bạn đã hoàn thành việc bảo mật trang web của mình, tất cả những gì bạn phải làm là liên tục theo dõi và tiếp tục tích cực ngăn chặn mọi mối đe dọa đến với bạn. Các plugin như WordFence có thể đi một chặng đường dài nếu bạn chủ động về bảo mật của mình.

Các plugin có thể tỏ ra hữu ích trong việc ngăn chặn nhiều cuộc tấn công khác nhau, bao gồm, nhưng không giới hạn ở những điều sau:

  • Tấn công bạo lực
  • Khoá
  • Vai trò người dùng, thông tin đăng nhập và quyền
  • Quản lý phiên bản (cảnh báo cập nhật)

Ngoài ra, bạn có thể xem Google Search Console để biết thêm thông tin về bảo mật và hiệu suất trang web của mình.

PHẦN KẾT LUẬN:
Ngay cả khi bạn không có kỹ năng hoặc thời gian, chúng tôi hy vọng rằng bài viết này đã chứng minh một cánh cổng tốt cho bạn trong thế giới bảo mật WordPress. Nếu bạn là một người mới đang tìm cách phát triển trang web của mình với các tiêu chuẩn bảo mật mới nhất, thì hãy thử thuê thiết kế web WordPress có năng lực để hoàn thành dự án của bạn.

Nhắn tin cho chúng tôi, để nhận tư vấn hoàn toàn miễn phí