WordPress nổi tiếng là một trong những mã nguồn mở được sử dụng nhiều nhất trên thế giới, với số lượng website ngày càng nhiều, mà cái gì nhiều quá cũng không tốt, đó là vấn đề khi các website WordPress rơi vào tầm ngắm của Hacker, các Hacker này tìm cách kiếm chát hoặc đơn giản chỉ lấy website bạn làm công cụ thử nghiệm độ nguy hiểm của họ.
Hệ thống bảo mật của WordPress vô cùng mong manh, chỉ vài thao tác đơn giản, Hacker đã có thể truy cập vào site bạn rồi . Vậy hãy cũng mình tìm hiểu một vài Plugin giúp website bạn bảo mật tốt hơn, tìm ra lỗ hỏng và đóng nó lại nhé
Những plugin giúp bạn bảo mật WordPress tốt hơn
1. Better WP Security
Đây là một trong những Plugin được đánh giá khá cao trong vấn đề bảo mật hiện nay cho WordPress, Plugin tổng hợp gần như các vấn đề yêu cầu trong bảo mật của WordPress
Các tính năng mà Wp Security hỗ trợ :
– Bật tính năng Bảo trì cho website
– Ban IP hoặc chặn truy cập từ một quốc gia nào đó
– Thay đổi tên dễ dàng cho thư mục wp-content
– Hỗ trợ Backup tự động
– Hỗ trợ thay đổi tự động Prefix Database
– Ẩn các đường dẫn như wp-admin, wp-login . Giúp thay đổi thành đường dẫn cá nhân để tránh bị truy cập
– Hạn chế số lần đăng nhập thất bại, lock tài khoản và IP đăng nhập thất bại nhiều lần
– Bật chế độ an toàn SSL trong WordPress
– Tự động khóa File Editor Theme và Plugin Editor trong Backend
– Và còn nhiều tính năng khác nữa
Đọc thêm : Những plugin hỗ trợ chèn quảng cáo tốt nhất cho WordPress
2. IP Blacklist Cloud
Với Plugin IP Blacklist bạn có thể dễ dàng chặn truy cập từ 1 IP bất kỳ hoặc một quốc gia, lãnh thổ mà bạn muốn, nhiều bạn sẽ nói tại sao Wp security đã hỗ trợ vấn đề này thì plugin này để làm gì. Nếu có điều kiện bạn hãy dùng thử, Plugin này dùng khá chất, hỗ trợ về vấn đề Block tài khoản tốt hơn WP security rất nhiều. Bạn có thể đưa vào danh sách Whitelist nghĩa là danh sách sạch có quyền truy cập và sẽ không bị Block.
Các tính năng Plugin hỗ trợ :
– Chặn truy cập khi đăng nhập thất bại nhiều lần
– Thông báo các IP đăng nhập thất bại và bị Block
– Thông báo về các quốc gia có tiềm năng hack website bạn
– Cho phép cập nhật tay chặn các IP bất kỳ
– Cho phép thêm vào các IP luôn luôn được cho phép truy cập vào website bạn
3. 6Scan Security
Plugin này sẽ giúp bạn Search các nguy cơ tiềm ẩn hoặc các lỗ hỏng bảo mật hiện đang tồn tại trên website bạn, bạn có thể tự tay fix nó hoặc nâng cấp lên bản tính phí để được hỗ trợ tốt hơn
Plugin này hầu như sử dụng hỗ trợ từ bên thứ ba, nghĩa là bạn cần tạo một tài khoản và sử dụng dựa trên mẫu của website khác, vì thế các tính năng sử dụng trực tiếp trên wordpress không nhiều
4. Wordfence Security
Với Wordfence Security bạn còn được nhiều hơn thế, các thông kê về lượt truy cập, tình hình thức tế của website bạn ra sao đều được plugin thống kê rất rõ ràng và chi tiết, từ đó bạn có thể đề ra phương án phòng chống, chặn IP hoặc chặn luôn quốc gia đó cho chắc
Các tính năng của plugin:
– Scan toàn bộ website, tìm ra lỗi và lỗ hỏng
– Live trafic đây là tính năng mà mình rất thích, bạn được phép xem trực tiếp các địa chỉ đang truy cập vào website bạn, đang làm gì ở đâu hoặc đang cố gắng truy cập vào file nào trong hệ thống
– Hỗ trợ Block IP như các Plugin bảo mật khác
– Và một vài chức năng Premium khác như Block luôn quốc gia, lãnh thổ, bật scan tự động theo lịch, v.v…
5. Theme Authenticity Checker
Đây có lẽ là một plugin khá lạ nhỉ, chức năng của plugin này rất đơn giản, nó giúp bạn check toàn bộ thử theme của website, sau đó xác nhận xem theme đó có an toàn cho website bạn hay không hay đang dính các lỗ hỏng bảo mật gì, plugin này rất có lý cho các bạn chuyên đi săn theme crack. 😀
Thủ thuật bảo về WordPress khỏi tấn công của Hacker – kết hợp sử dụng các plugin trên
Nên thay đổi database prefix
Nếu có thời gian bạn thử truy cập database của website bạn, bạn sẽ thấy các Prefix (tiền tố) phía trước của database wordpress khá dễ nắm bắt vì tất cả đều đặt Prefix là wp_ .Hacker sẽ dễ dàng lấy điểm này để tấn công website của bạn. Vì thế, ngay bây giờ hãy đổi ngay tiền tố này, bạn có thể sử dụng Plugin Better WP security như mình đã có giới thiệu ở trên để thay đổi tiền tố này.
Bạn tiến hành vào plugin chỗ Tab Prefix, sau đó bấm button Change Database Table Prefix, lưu ý nên Backup Database trước khi làm việc này nhé
Đọc thêm : Tổng hợp các plugin hỗ trợ trang trí bài viết bằng shortcode cho wordpress
Cấm sửa theme và plugin trong bảng điều khiển (Kể cả Admin)
Khi nắm quyền admin của bất kì một website nào, bọn phá hoại sẽ bắt đầu tiến tới cài mã độc vào website bạn, thường thì cái họ nhắm đến đó là việc quá tiện dụng của WordPress, vì WordPress cho phép code, chỉnh sửa file theme, plugin trực tiếp từ website nên hacker luôn nhắm vào đây nhằm cài mã độc, chèn liên kết.
Có một cách đơn giản để khóa chức năng sửa theme và plugin này là bạn cũng sẽ dùng Plugin Better Security để khóa, sau khi Active plugin, Plugin này sẽ mặc định khóa 2 chức năng editor này lại, nhiều bạn sau khi cài plugin còn thắc mắc tại sao nó khóa nữa.
Hoặc nếu không muốn xài plugin bạn có thể thêm đoạn code dưới đây vào bất kỳ dòng nào trong file wp-config
|
1 |
define('DISALLOW_FILE_EDIT',true); |
CHMOD file wp-config.php
Mặc định trong WordPress file wp-config được CHMOD là 755 hoặc 777 tức là cho phép thực thi file này từ website, các hacker thường nhắm vào điểm này để điều khiển file wp-config của website bạn. Vì thế bạn nên CHMOD file này thành 400 để nhắm tránh các đường tấn công vào file này
Sử dụng các plugin quét mã độc
Mã độc thường được ghi vào các file theme hoặc Plugin không rõ nguồn gốc (Vì thật sự không có gì miễn phí là chất lượng cả), hoặc khi đã nắm được tài khoản admin, bọn hacker thường cài mã độc thẳng vào website, chứ không cần thông qua theme hoặc plugin nữa, nên hiện giờ công việc của bạn là tìm những plugin có khả năng quét mã độc một cách triệt để nhất. Bên trên mình có chia sẻ 3 Plugin giúp quét mã độc
Đọc thêm: Tích hợp comment bằng Google +, Facebook vào WordPress
Đổi địa chỉ của trang quản trị
Mặc định trong WordPress trang quản trị được đặt là wp-admin, thế là mọi đường tấn công cứ đổ dồn vào đây là được. Để chắc chắn bạn nên dùng Plugin thay đổi đường dẫn này, bên trên mình có giới thiệu Plugin Better WP Security có chức năng thay đổi này.
Hạn chế số lần đăng nhập
Dò mật khẩu là cách mà bọn phá website hay sử dụng, với các mật khẩu dễ đoán như 123456 hoặc sử dụng công cụ để dò mật khẩu admin là cách được sử dụng nhiều nhất, vì thế hãy sử dụng Plugin hạn chế số lần đăng nhập từ 1 IP, như thế việc truy cập vào trang quản trị sẽ khó nhằn hơn rất nhiều
Sử dụng mật khẩu phức tạp và không nên dùng tên đăng nhập là admin
Lời khuyên là không nên sử dụng tên đăng nhập mặc định là admin, như vậy sẽ dễ đoán. Bên cạnh đó bạn cũng không nên sử dụng các mật khẩu thông dụng như 123456 ,123123, đối với mật khẩu nếu có thể hãy cố gắng đặt dài hơn 10 ký tự, bao gồm chữ (a-z) , ký tự đặc biệt (@#$%), số (1-9), ví dụ một mật khẩu như vậy : [email protected] sẽ khó đoán hơn chỉ là : matkhau . Hãy thông minh lên nhé
Sao lưu (backup) cơ sở dữ liệu thường xuyên
Hãy tập thói quen backup (sao lưu) dữ liệu thường xuyên, nếu bạn có plugin hãy đặt plugin 1 tuần backup dữ liệu một lần, còn nếu bằng tay bạn hãy cố gắng chia các khoảng thời gian backup ra gần gần nhau một chút, chứ đừng xa quá.
Xóa hết các plugin không cần thiết
Các Plugin Deactive (Không sử dụng) thường cũng chiếm một khoảng dung lượng trong website, mà bên cạnh đó còn có nhiều khả năng gây hại cho website của bạn, vì thế hãy mạnh tay xóa bỏ những plugin mà bạn cảm thấy không thật cần thiết hoặc không có nhu cầu sử dụng
Check mã độc trong Theme
Các theme hoặc Plugin không rõ nguồn gốc thường được chủ nhân cài vào các mã độc hoặc chèn các liên kết bẩn, vì thế hãy sử dụng plugin giúp check các mã độc trong theme, sau đó nếu có hãy xóa nó đi nếu bạn không có khả năng xử lý các mã độc này
Không sử dụng Theme, Plugin không rõ nguồn gốc
Cuối cùng, đúc kết lại các ý trên, phòng bệnh hơn chữa bệnh, đừng vì những lời mời mọc hoặc tiết kiệm mà sử dụng các theme hoặc plugin không rõ nguồn gốc, nếu có tiền bạn hãy mạnh dạng mua một theme trả phí hoặc nếu không cứ sử dụng theme miễn phí, nó vẫn rất tốt cho bạn.
Lời kết
Nếu bạn cẩn thận khóa hết các đường tấn công vào site bạn thì bọn Hacker hoặc tụi hay phá hoại cũng không có cách nào tìm được đường điều khiển website bạn cả. Nhìn chung nếu bạn đã nghiêm túc xây dựng website thì hãy cẩn thận với cách sử dụng, backup lại dữ liệu thường xuyên, xây dựng thói quen sử dụng các sản phẩn chính hãng đừng tìm các sản phẩm Crack, nhiều khi nó sẽ đem đến phiền phức cho bạn đấy.
