Bảo mật WordPress: hướng dẫn toàn diện, từng bước (phần 3)


Thêm xác thực hai yếu tố

Kỹ thuật xác thực hai yếu tố yêu cầu người dùng đăng nhập bằng phương pháp xác thực hai bước. Bước đầu tiên là tên người dùng & mật khẩu và bước thứ hai yêu cầu bạn xác thực bằng một thiết bị hoặc ứng dụng riêng biệt.

Hầu hết các trang web trực tuyến hàng đầu như Google, Facebook, Twitter, đều cho phép bạn kích hoạt nó cho các tài khoản của mình. Bạn cũng có thể thêm chức năng tương tự vào trang WordPress của mình.

Trước tiên, bạn cần cài đặt và kích hoạt plugin Two Factor Authentication. Sau khi kích hoạt, bạn cần nhấp vào liên kết ‘Two Factor Auth’ trong thanh bên quản trị WordPress.

Tiếp theo, bạn cần cài đặt và mở ứng dụng xác thực trên điện thoại của mình. Có một số ứng dụng có sẵn như Google Authenticator, Authy và LastPass Authenticator.

Chúng tôi khuyên bạn nên sử dụng LastPass Authenticator hoặc Authy vì cả hai đều cho phép bạn sao lưu tài khoản của mình lên cloud. Điều này rất hữu ích trong trường hợp điện thoại của bạn bị mất, cài lại hoặc bạn mua điện thoại mới. Tất cả thông tin đăng nhập tài khoản của bạn sẽ dễ dàng được khôi phục.

Chúng tôi sẽ sử dụng LastPass Authenticator cho hướng dẫn. Tuy nhiên, hướng dẫn tương tự nhau đối với tất cả các ứng dụng xác thực. Mở ứng dụng trình xác thực của bạn, sau đó nhấp vào nút Thêm.

Bạn sẽ được hỏi xem bạn muốn quét trang web theo cách thủ công hay quét mã vạch. Chọn tùy chọn quét mã vạch và sau đó đưa máy ảnh của điện thoại vào mã QR được hiển thị trên trang cài đặt của plugin.

Thế là xong, ứng dụng xác thực của bạn bây giờ sẽ lưu nó lại. Lần tới khi bạn đăng nhập vào trang web của mình, bạn sẽ được yêu cầu nhập mã xác thực hai yếu tố sau khi nhập mật khẩu.

Chỉ cần mở ứng dụng xác thực trên điện thoại của bạn và nhập mã mà bạn thấy trên đó.


Thay đổi tiền tố cơ sở dữ liệu WordPress

Theo mặc định, WordPress sử dụng wp_ làm tiền tố cho tất cả các bảng trong cơ sở dữ liệu WordPress của bạn. Nếu trang web WordPress của bạn đang sử dụng tiền tố cơ sở dữ liệu mặc định, thì tin tặc sẽ dễ dàng đoán được tên bảng của bạn là gì. Đây là lý do tại sao chúng tôi khuyên bạn nên thay đổi nó.

Bạn có thể thay đổi tiền tố cơ sở dữ liệu của mình bằng cách làm theo hướng dẫn từng bước của chúng tôi về cách thay đổi tiền tố cơ sở dữ liệu WordPress để cải thiện bảo mật .

Lưu ý: Điều này có thể phá vỡ trang web của bạn nếu nó không được thực hiện đúng cách. Chỉ tiếp tục, nếu bạn cảm thấy thoải mái với kỹ năng của mình.


Thêm một lớp mật khẩu vào Trang đăng nhập và quản trị viên WordPress

Thông thường, tin tặc có thể yêu cầu thư mục wp-admin và trang đăng nhập của bạn mà không có bất kỳ hạn chế nào. Điều này cho phép họ thử các thủ thuật hack hoặc chạy các cuộc tấn công DDoS.

Bạn có thể thêm mật khẩu bảo vệ bổ sung ở cấp phía máy chủ, điều này sẽ chặn các yêu cầu đó một cách hiệu quả.

Làm theo hướng dẫn từng bước của chúng tôi về cách đặt mật khẩu bảo vệ thư mục quản trị viên WordPress (wp-admin) của bạn.


Tắt tính năng duyệt và lập chỉ mục thư mục

Trình duyệt thư mục có thể được tin tặc sử dụng để tìm xem bạn có bất kỳ tệp nào có lỗ hổng đã biết hay không, vì vậy chúng có thể lợi dụng những tệp này để giành quyền truy cập.

Người khác cũng có thể sử dụng duyệt thư mục để xem các tệp của bạn, sao chép hình ảnh, tìm hiểu cấu trúc thư mục của bạn và các thông tin khác. Đây là lý do tại sao bạn nên tắt tính năng lập chỉ mục và duyệt thư mục.

Bạn cần kết nối với trang web của mình bằng FTP hoặc trình quản lý tệp của cPanel. Tiếp theo, tìm tệp .htaccess trong thư mục gốc của trang web của bạn. 

Sau đó, bạn cần thêm dòng sau vào cuối tệp .htaccess:

Options -Indexes

Đừng quên lưu và tải tệp .htaccess trở lại trang web của bạn. 


Tắt XML-RPC trong WordPress

XML-RPC được bật theo mặc định trong WordPress 3.5 vì nó giúp kết nối trang web WordPress của bạn với web và ứng dụng di động.

Do bản chất mạnh mẽ của nó, XML-RPC có thể khuếch đại đáng kể các cuộc tấn công bạo lực.

Ví dụ: theo truyền thống, nếu một tin tặc muốn thử 500 mật khẩu khác nhau trên trang web của bạn, họ sẽ phải thực hiện 500 lần đăng nhập riêng biệt và sẽ bị chặn bởi plugin khóa đăng nhập.

Nhưng với XML-RPC, tin tặc có thể sử dụng hàm system.multicall để thử hàng nghìn mật khẩu với 20 hoặc 50 yêu cầu.

Đây là lý do tại sao nếu bạn không sử dụng XML-RPC, thì chúng tôi khuyên bạn nên tắt nó.

Có 3 cách để tắt XML-RPC trong WordPress và chúng tôi đã trình bày tất cả chúng trong hướng dẫn từng bước về cách tắt XML-RPC trong WordPress .

Mẹo: Phương thức .htaccess là phương pháp tốt nhất vì nó tốn ít tài nguyên nhất.

Nếu bạn đang sử dụng tường lửa ứng dụng web được đề cập trước đó, thì điều này có thể đã được tường lửa xử lý.


Tự động đăng xuất người dùng không hoạt động trong WordPress

Người dùng đã đăng nhập đôi khi có thể rời khỏi màn hình và điều này gây ra rủi ro bảo mật. Ai đó có thể chiếm đoạt phiên của họ, thay đổi mật khẩu hoặc thay đổi tài khoản của họ.

Đây là lý do tại sao nhiều trang ngân hàng và tài chính tự động đăng xuất khi người dùng không hoạt động. Bạn cũng có thể triển khai chức năng tương tự trên trang web WordPress của mình.

Bạn sẽ cần cài đặt và kích hoạt plugin inactive Logout. Sau khi kích hoạt, hãy truy cập trang Settings » Inactive Logout để định cấu hình cài đặt plugin.

Chỉ cần đặt khoảng thời gian & thêm thông báo đăng xuất. Đừng quên nhấp vào nút lưu thay đổi để lưu cài đặt của bạn.


Thêm câu hỏi bảo mật vào màn hình đăng nhập WordPress

Thêm một câu hỏi bảo mật vào màn hình đăng nhập WordPress của bạn khiến ai đó thậm chí còn khó truy cập trái phép hơn.

Bạn có thể thêm câu hỏi bảo mật bằng cách cài đặt plugin WP Security Questions. Khi kích hoạt, bạn cần truy cập trang Cài đặt » Câu hỏi bảo mật để định cấu hình cài đặt plugin.

Để có hướng dẫn chi tiết hơn, hãy xem hướng dẫn của chúng tôi về cách thêm câu hỏi bảo mật vào màn hình đăng nhập WordPress.


Quét WordPress để tìm malware và vulnerabilities

Nếu bạn đã cài đặt plugin bảo mật WordPress, thì những plugin đó sẽ thường xuyên kiểm tra phần mềm độc hại và các dấu hiệu vi phạm bảo mật.

Tuy nhiên, nếu bạn thấy lưu lượng truy cập trang web hoặc thứ hạng tìm kiếm giảm đột ngột, thì bạn có thể muốn trình quét theo cách thủ công. Bạn có thể sử dụng plugin bảo mật WordPress của mình hoặc sử dụng một trong các trình quét bảo mật & phần mềm độc hại.

Việc chạy các bản quét trực tuyến này khá dễ dàng, bạn chỉ cần nhập URL trang web của mình và trình thu thập thông tin của họ sẽ duyệt qua trang web của bạn để tìm phần mềm độc hại và mã độc hại đã biết.

Bây giờ, hãy nhớ rằng hầu hết các trình quét bảo mật WordPress chỉ có thể quét trang web của bạn. Họ không thể xóa phần mềm độc hại hoặc làm sạch trang WordPress bị tấn công.

Điều này đưa chúng ta đến phần tiếp theo, dọn dẹp phần mềm độc hại và các trang WordPress bị tấn công.


Sửa trang web WordPress bị tấn công

Nhiều người dùng WordPress không nhận ra tầm quan trọng của việc sao lưu (backup) và bảo mật trang web cho đến khi trang web của họ bị tấn công (hacked).

Việc dọn dẹp một trang WordPress có thể rất khó khăn và tốn thời gian. Lời khuyên đầu tiên của chúng tôi là hãy để chuyên gia chăm sóc cho nó.

Tin tặc cài đặt các cửa hậu (backdoor) trên các trang web bị ảnh hưởng và nếu các cửa hậu này không được sửa đúng cách, thì trang web của bạn có thể sẽ bị tấn công lần nữa.

Việc cho phép một công ty bảo mật chuyên nghiệp như Sucuri sửa chữa trang web của bạn sẽ đảm bảo rằng trang web của bạn đủ an toàn để dùng trở lại. Nó cũng sẽ bảo vệ bạn chống lại bất kỳ cuộc tấn công nào trong tương lai.

Chúng tôi đã trình bày tất cả hiểu biết của mình rồi, và chúng tôi hy vọng bài viết này đã giúp bạn hiểu được các phương pháp hay nhất về bảo mật WordPress cũng như khám phá các plugin bảo mật WordPress tốt nhất.

Leave a Comment