Bảo mật WordPress: hướng dẫn toàn diện, từng bước (phần 2)

Plugin bảo mật WordPress tốt nhất

Sau khi backup, điều tiếp theo chúng ta cần làm là thiết lập một hệ thống kiểm tra & giám sát để theo dõi mọi thứ diễn ra trên trang web của bạn.

Điều này bao gồm giám sát tính toàn vẹn của tệp, nỗ lực đăng nhập không thành công, quét phần mềm độc hại, v.v.

Rất may, tất cả điều này có thể được giải quyết bởi plugin bảo mật WordPress miễn phí rất chất lượng: Sucuri Scanner.

Sau khi kích hoạt, bạn cần truy cập menu Sucuri trong phần quản trị WordPress của mình. Điều đầu tiên bạn sẽ được yêu cầu làm là tạo khóa API miễn phí. Điều này cho phép ghi nhật ký kiểm tra, kiểm tra tính toàn vẹn, cảnh báo qua email và các tính năng quan trọng khác.

Điều tiếp theo bạn cần làm là nhấp vào tab ‘Hardening’ từ menu cài đặt. Xem qua mọi tùy chọn và nhấp vào nút “Apply Hardening”.

Các tùy chọn này giúp bạn khóa các khu vực chính mà tin tặc thường sử dụng trong các cuộc tấn công của họ. Tùy chọn tăng cường duy nhất của bản nâng cấp trả phí là tường lửa ứng dụng web (WAF / Web Application Firewall) mà chúng tôi sẽ giải thích trong bước tiếp theo, vì vậy chúng ta tạm thời bỏ qua nó tại thời điểm này.

Chúng tôi cũng đã đề cập đến rất nhiều tùy chọn “Hardning” sau trong bài viết này cho những ai muốn thực hiện mà không sử dụng plugin hoặc những tùy chọn yêu cầu các bước bổ sung như “Thay đổi tiền tố cơ sở dữ liệu” hoặc “Thay đổi tên người dùng quản trị”.

Sau hardening, cài đặt plugin mặc định đã đủ tốt cho hầu hết các website và không cần bất kỳ thay đổi nào. Điều duy nhất chúng tôi khuyên bạn nên tùy chỉnh là ‘Cảnh báo qua Email’.

Cài đặt cảnh báo mặc định có thể làm lộn xộn hộp thư đến của bạn với quá nhiều email. Chúng tôi khuyên bạn nên nhận cảnh báo cho các hành động quan trọng như thay đổi plugin, đăng ký người dùng mới, v.v. Bạn có thể định cấu hình cảnh báo bằng cách đi tới Sucuri Settings » Alerts.

Plugin bảo mật WordPress này rất mạnh mẽ, vì vậy hãy duyệt qua tất cả các tab và cài đặt để xem tất cả những gì nó làm như quét phần mềm độc hại, nhật ký kiểm tra, theo dõi đăng nhập không thành công, v.v.


Bật tường lửa ứng dụng web (WAF)

Cách dễ nhất để bảo vệ trang web của bạn và tự tin về bảo mật WordPress là sử dụng tường lửa ứng dụng web (WAF).

Tường lửa của trang web chặn tất cả lưu lượng truy cập độc hại trước khi nó đến được trang web của bạn.

Tường lửa trang web Cấp DNS – Những tường lửa này định tuyến lưu lượng truy cập trang web của bạn thông qua các máy chủ proxy đám mây của chúng. Điều này cho phép họ chỉ gửi lưu lượng truy cập an toàn đến máy chủ web của bạn.

Tường lửa cấp ứng dụng – Các plugin tường lửa này kiểm tra lưu lượng khi nó đến máy chủ của bạn nhưng trước khi tải hầu hết các tập lệnh WordPress. Phương pháp này không hiệu quả như tường lửa cấp DNS trong việc giảm tải máy chủ.

Chúng tôi sử dụng & đề xuất Sucuri làm tường lửa ứng dụng web tốt nhất cho WordPress. 

Phần giá trị nhất trong tường lửa của Sucuri là nó cũng đi kèm với đảm bảo xóa phần mềm độc hại và loại bỏ danh sách đen. Về cơ bản nếu bạn bị tấn công dưới sự theo dõi của họ, họ đảm bảo rằng họ sẽ sửa chữa trang web của bạn (bất kể bạn có bao nhiêu trang).

Đây là một chế độ bảo đảm khá mạnh mẽ vì việc sửa chữa các trang web bị tấn công rất tốn kém. Các chuyên gia bảo mật thường tính phí 250 đô la mỗi giờ. Trong khi đó, bạn có thể nhận được toàn bộ tính năng bảo mật của Sucuri với giá 199$ mỗi năm.

Sucuri không phải là nhà cung cấp tường lửa cấp DNS duy nhất hiện có. Đối thủ cạnh tranh phổ biến khác là Cloudflare.


Chuyển trang WordPress của bạn sang SSL / HTTPS

SSL là giao thức mã hóa việc truyền dữ liệu giữa trang web của bạn và trình duyệt của người dùng. Mã hóa này khiến ai đó khó đánh hơi thăm dò và lấy cắp thông tin hơn.

Khi bạn bật SSL, trang web của bạn sẽ sử dụng HTTPS thay vì HTTP, bạn cũng sẽ thấy dấu hiệu ổ khóa bên cạnh địa chỉ trang web của mình trong trình duyệt.

Chứng chỉ SSL thường được cấp bởi các tổ chức phát hành chứng chỉ và giá của chúng bắt đầu từ 80 đô la đến hàng trăm đô la mỗi năm. Do chi phí tăng thêm, hầu hết chủ sở hữu trang web chọn tiếp tục sử dụng giao thức không an toàn.

Để khắc phục điều này, một tổ chức phi lợi nhuận có tên Let’s Encrypt đã quyết định cung cấp chứng chỉ SSL miễn phí cho chủ sở hữu trang web. Dự án của họ được hỗ trợ bởi Google Chrome, Facebook, Mozilla và nhiều công ty khác.

Giờ đây, việc bắt đầu sử dụng SSL cho tất cả các trang web WordPress của bạn trở nên dễ dàng hơn bao giờ hết. Nhiều công ty lưu trữ hiện đang cung cấp chứng chỉ SSL miễn phí cho trang web WordPress của bạn .

Nếu công ty hosting của bạn không cung cấp SSL miễn phí thì bạn có thể mua một cái từ Domain.com. Họ có giao dịch SSL tốt nhất và đáng tin cậy nhất trên thị trường. Nó đi kèm với một bảo hành bảo mật trị giá 10.000 đô la và một con dấu bảo mật TrustLogo.


Bảo mật WordPress cho người dùng DIY

Nếu bạn đã làm mọi thứ mà chúng tôi đã đề bên trên, thì website của bạn đang ở trong tình trạng khá tốt rồi.

Nhưng như mọi khi, bạn có thể làm nhiều điều hơn nữa để tăng cường bảo mật cho WordPress của mình.

Một số bước này có thể yêu cầu kiến ​​thức về code.


Thay đổi tên người dùng “quản trị viên” mặc định

Ngày xưa, tên người dùng quản trị WordPress mặc định là “admin”. Vì tên người dùng chiếm một nửa thông tin xác thực đăng nhập, điều này khiến tin tặc dễ dàng thực hiện các cuộc tấn công vét cạn (brute-force attacks) hơn.

Rất may, WordPress đã thay đổi điều này và bây giờ yêu cầu bạn chọn tên người dùng tùy chỉnh tại thời điểm cài đặt WordPress .

Tuy nhiên, một số trình cài đặt WordPress nhanh gọn vẫn đặt tên người dùng quản trị viên mặc định thành “admin”. Bạn nên chủ động thay đổi điều đó.

Vì WordPress không cho phép bạn thay đổi tên người dùng theo mặc định, nên có ba phương pháp bạn có thể sử dụng để thay đổi tên người dùng.

  1. Tạo tên người dùng quản trị mới và xóa tên người dùng cũ đi;
  2. Sử dụng plugin thay đổi tên người dùng (Username Changer);
  3. Cập nhật tên người dùng từ phpMyAdmin.

Lưu ý: Chúng tôi đang nói về tên người dùng được gọi là “admin”, không phải nói đến vai trò quản trị viên (administrator role).


Vô hiệu hóa chỉnh sửa tệp

WordPress đi kèm với một trình chỉnh sửa mã tích hợp cho phép bạn chỉnh sửa các theme và plugin của mình ngay từ khu vực quản trị WordPress của bạn. Nếu dùng sai, tính năng này có thể là một rủi ro bảo mật, đó là lý do tại sao chúng tôi khuyên bạn nên tắt nó đi.

Bạn có thể dễ dàng thực hiện việc này bằng cách thêm mã sau vào tệp wp-config.php của mình .

12// Disallow file editdefine( 'DISALLOW_FILE_EDIT', true );

Ngoài ra, bạn có thể thực hiện việc này bằng 1 cú nhấp chuột bằng tính năng Hardening trong plugin Sucuri miễn phí mà chúng tôi đã đề cập ở trên.


Tắt thực thi tệp PHP trong một số thư mục WordPress nhất định

Một cách khác để tăng cường bảo mật cho WordPress của bạn là tắt thực thi tệp PHP trong các thư mục không cần thiết như /wp-content/uploads/.

Bạn có thể thực hiện việc này bằng cách mở một trình soạn thảo văn bản như Notepad và dán mã này:

123<Files *.php>deny from all</Files>

Tiếp theo, bạn cần lưu tệp này dưới dạng .htaccess và tải nó lên thư mục /wp-content / uploads/ trên trang web của bạn bằng ứng dụng FTP .

Để được giải thích chi tiết hơn, hãy xem hướng dẫn của chúng tôi về cách tắt thực thi PHP trong một số thư mục WordPress nhất định

Ngoài ra, bạn có thể thực hiện việc này bằng 1 cú nhấp chuột bằng tính năng Hardening trong plugin Sucuri miễn phí mà chúng tôi đã đề cập ở trên.


Hạn chế số lượt đăng nhập

Theo mặc định, WordPress cho phép người dùng cố gắng đăng nhập bao nhiêu lần tùy thích. Điều này khiến trang web WordPress của bạn dễ bị tấn công vét cạn. Tin tặc cố gắng bẻ khóa mật khẩu bằng cách cố gắng đăng nhập bằng nhiều cách kết hợp mật khẩu khác nhau.

Điều này có thể dễ dàng khắc phục bằng cách hạn chế số lần đăng nhập thất bại mà người dùng được phép. Nếu bạn đang sử dụng tường lửa ứng dụng web được đề cập trước đó, thì điều này sẽ tự động được xử lý.

Tuy nhiên, nếu bạn chưa có thiết lập tường lửa, hãy tiến hành các bước bên dưới.

Đầu tiên, bạn cần cài đặt và kích hoạt plugin Login LockDown.

Sau khi kích hoạt, hãy truy cập Cài đặt » Đăng nhập trang LockDown để thiết lập plugin.

Đọc tiếp phần 3 (phần cuối).

Leave a Comment