Lý do tại sao phải bảo mật website WordPress
Tránh mất nội dung quan trọng website
Khi bạn thiết lập bảo mật thì tránh được sự cố mất hết toàn bộ hình ảnh, nội dung, video, file type và các loại nội dung khác. Khi bị mất rồi bạn khó có thể khôi phục lại được, do đó hãy phòng từ trường hợp này trước nhé.
Tránh mất thời gian khắc phục
Khi gặp sự cố, khắc phục là một trong những nổi sợ nhất của dân quản trị web vì chúng rất phức tạp và mất nhiều thời gian. Do đó việc bảo mật càng cẩn thận thì bạn càng giảm thiểu nhiều rủi ro trong tương lai.
Không ảnh hưởng đến SEO và SEM
- Khi webiste bạn nhiễm virut google sẽ chặn không cho quảng cáo Google Ads, GDN, Google Shopping hay các loại quảng cáo trên Youtube.
- Ngoài ra thứ hạng từ khóa trên google sẽ bị rớt đến chống mặt.
Bảo mật tránh hacker đánh cấp dữ liệu khách hàng
Khách hàng là một trong những tài sản lớn nhất của doanh nghiệp của bạn, vì vậy đừng để mất rồi mới đi tìm lại, hãy bảo vệ website của mình trước các đối thủ nhé.
Việc kinh doanh và thương mại diễn ra bình thường không dán đoạn.
Việc bảo mật giúp khách hàng truy cập dễ dàng từ các nguồn vào website mà không bị ảnh hưởng đến việc bán hàng online, kiếm tiền tiếp thị affiliate, hay giới thiệu sản phẩm, bài viết hướng dẫn chia sẽ khác…
Như vậy, bạn đã thấy tầm quan trọng của việc thiết lập các bức tường bảo mật cho webiste của mình chưa? Nếu có thì ngay bây giờ cùng Thế tìm hiểu và làm ngay nhé!
12 Kỹ thuật bảo mật website WordPress tránh tấn công hacker
PP1: Thiết lập mật khẩu phức tạp
- Bước 1: Đầu tiên bạn đăng nhập vào trang quản trị website wordpress với đường dẫn doamin/wp-admin
- Bước 2: Bạn vào mục thành viên, chọn đúng user cần cập nhật. Click vào chỉnh sửa và di chuyển tới mục Mật khẩu mới, bấm vào nút tạo mật khẩu. WordPress sẽ gợi ý cho bạn 1 chuỗi ký tự mã hóa phức tạp bạn có thể sử dụng hoặc tạo mật khẩu riêng theo ý mình nhé.
Lưu ý: Mật khẩu nên dài trên 30 ký tự có chữ số, ký tự đặt biệt, có chữ hoa và chữ thường. Không nên lấy ngày sinh nhật hoặc mật khẩu đã sử dụng cho các dịch vụ online khác.
PP2: Tắt tính năng cho phép chỉnh sửa file, thư mục.
Khi một người có được tài khoản quản trị website WorPpress của bạn họ có thể thay đổi bất kì tệp tin nào kể cả Plugin và Theme.
Do đó để ngăn chặn việc chỉnh sửa tệp tin này cần phải chặn các user để không có bất kì ai can thiệp được kể cả tin tặc có quyền admin.
Để thực hiện công việc này, hãy thêm phần sau vào tệp wp-config.php (ở cuối):
define('DISALLOW_FILE_EDIT', true);
PP3: Cài đặt chứng chỉ SSL
Để cài đặt chứng chỉ SSL hay giao thức https cho WordPress bạn có thể di chuyển vào trong Cpanel của hosting. Ở đây mình thường sử dụng hosting Azdigi vì có tích hợp SSL miễn phí rất tiện lợi.
Chúng ta di chuyển đến phần Security -> SSL/TLS
Chọn vào Install and magage SSL for your site
Bạn chọn autofill by domain để ứng dụng tự cài đặt nhé.
Cuối cùng bạn vào file wp-config.php và thêm dòng code này vào cuối file. Nhưng nằm trên dòng require_once( ABSPATH . ‘wp-settings.php’ );
define('WP_HOME','https://example.com'); define('WP_SITEURL','https://example.com');
Bạn chỉ việc thay đổi example.com thành tên miền của mình vậy là xong phần cài chứng chỉ bảo mật SSL cho WordPress.
PP4: Cài đặt plugin bảo mật iThemes Security Pro
Cách cài đặt plugin
Bạn vào phần Plugin: Tải và cài đặt plugin iThemes Security Pro lên sau đó kích hoạt lên để sử dụng.
Thiết lập quan trọng trong plugin iThemes Security Pro
404 Detection
- Chức năng này sẽ gửi thông báo khi thành viên truy cập vào trang 404. Tất cả các lỗi sẽ được ghi vào trang “Nhật ký”. Bạn có thể đặt số lượng lưu log cho tính năng này.
- Bất kì các nghi ngờ truy cập lỗi 404 nào website đều thông báo về email của bạn. Do đó cần phải cân nhắc trước khi sử dụng để tránh tốn khá nhiều tài nguyên hosting của bạn nhé!
Away Mode
Đây là tính năng giúp bạn khóa trang quản trị trong thời gian nhất định. Rất hữu ích cho website có 1 admin và bạn có thể tùy chọn khóa trang quản trị lúc bạn đang ngủ, không làm việc chẳng hạn.
Tính năng này sẽ giúp khóa các thời gian mà bạn không vào trang quản trị, việc này giúp hạn chế rủi ro tấn công hacker vào các giờ ít người vào. Tính năng vô cùng tuyệt vời nếu website bạn chỉ có 1 người làm quản trị viên. Nên thiết lập thời gian vào ban đêm đến mờ sáng nếu bạn ở Việt Nam: 23h – 05h là hiệu quả nhất.
- Enable away mode : Bật chức năng Away Mode.
- Type of Restriction : Loại từ chối, nếu bạn truy cập vào website mỗi ngày thì chọn Daily.
- Start Time: – Thời gian bắt đầu “mở cổng” trang admin.
- End Time : Thời gian đóng cổng trang admin.
PP5: Cập nhật phiên bản wordpress và plugin mới nhất.
Để Bảo mật worpdress thì việc cập nhật bản wordpress lên phiên bản mới nhất rất quan trọng. Vì sao cập nhật lại quan trọng như vậy:
- Bản cập nhật mới giúp vá các lỗ hỏng bảo mật mà phiên bản cũ chưa có.
- Cập nhật các tính năng mới hiệu quả hơn trong quá trình sử dụng, thiết kế, viết bài…
- Cải thiện tốc độ tải trang tốt hơn phiên bản trước.
Để cập nhật bản wordpress mới nhất. Bạn vào phần Dashboard bấm vào nút update now để nâng cấp lên bản mới nhất. Trường hợp bản nâng cấp không tương thích với plugin hoặc theme đang sử dụng có thể hạ xuống bản thấp hơn dùng plugin Downgrade cho tiện nhé!
PP6: Thay đổi đường dẫn đăng nhập vào wp-admin sử dụng plugin itheme security
Hide Backend: Ẩn trang đăng nhập bằng cách thay đổi link và ngăn truy cập vào wp-login.php hoặc wp-admin.
Bước 1: Bạn di chuyển vào plugin itheme, bấm vào mục advance(6) -> Hide Backend
Bước 2: Bạn chọn chế độ Enable the hide Backend in feature
Bước 3: Login slug: Nhập 1 đường dẫn bất kì bạn muốn
Bước 4: Nhập đường dẫn muốn trỏ về khi người dùng cố tình truy cập vào đường dẫn wp-admin. Như vậy là đã hoàn thành xong phần đổi đường dẫn đăng nhập wordpress admin rồi!
PP7: Thiết lập đăng nhập 2 lớp từ google authorization
Two-Factor Authentication:
Đây là tính năng xác thực hai lớp làm tăng đáng kể tính bảo mật của tài khoản người dùng WordPress của bạn bằng cách yêu cầu thông tin bổ sung ngoài tên người dùng và mật khẩu của bạn để đăng nhập.
Cách thiết lập đăng nhập 2 lớp
- Authentication Methods Available to Users: Đây là tính năng bật các phương thức xác nhận mật khẩu 2 lớp lên bao gồm: Email, ứng dụng authorization.
- User Type Protection: Lựa chọn tài khoản để bảo vệ, bạn chỉ nên thực hiện với các tài khoản có quyền quản trị
- Disable Forced Two-Factor Authentication for Certain Users: Vô hiệu hóa xác thực hai lớp cho một số người dùng nhất định
- Allow Remembering Device: Cho phép nhớ thông tin thiết bị, các bạn không nên bật vì sẽ dễ dàng bị lấy cấp thông tin
Cách xác thực đăng nhập
Trường hợp 1: Nếu sử dụng tính năng gmail sau khi đăng nhập vào hệ thống sẽ gửi cho bạn mail mã code bảo mật.
Lưu ý: Nhớ cài stmpt gmail.Nếu không email thông báo sẽ không vào hộp thư đến của email hoặc sẽ vào spam
Trường hợp 2: Nếu dùng ứng dụng trên điện thoại. Bạn vui lòng cài app Google Authenticator để thực hiện nhé.
Bước 1: Mở ứng dụng lên bấm vào dấu (+) chọn quét mã, lúc này bạn mở mã code trên website lên quét và kết nối nhé. Lần sau trở đi, khi đăng nhập google sẽ hiển thị 1 mã mới bạn nhập vào xác nhận đăng nhập.
PP 10: Hạn chế số lần đăng nhập sai
Local Brute Force Protection: Đây là tính năng tuyệt vời của plugin itheme security pro giúp bạn bảo mật website WordPress hạn chế số lần đăng nhập sai.
Max Login Attempts Per Host
Số lần đăng nhập mà người dùng có trước khi máy chủ hoặc máy tính của họ bị khóa khỏi hệ thống.
Nếu bạn đặt là 0 hệ thống sẽ lưu log lại, tuy nhiên sẽ không khóa nếu đăng nhập sai.
Max Login Attempts Per User
- Số lần đăng nhập mà người dùng có trước khi tên người dùng của họ bị khóa khỏi hệ thống.
- Lưu ý rằng điều này khác với máy chủ trong trường hợp kẻ tấn công đang sử dụng nhiều máy tính.
- Ngoài ra, nếu họ đang sử dụng tên đăng nhập của bạn, bạn có thể tự khóa mình.
- Đặt thành 0 để ghi nhật ký các lần đăng nhập xấu cho mỗi người dùng mà không bao giờ khóa người dùng (điều này không được khuyến nghị).
Minutes to Remember Bad Login (check period)
- Đây là mốc thời gian giữa 1 lần đăng nhập xấu.
- Bạn nên để 5 – 10 phút.
PP8: Gỡ bảo hiển thị phiên bản wordpress
Mặc định thì khi cài WordPress vào. Website sẽ tự động thêm số version hiện tại của nó vào header của chủ đề. Nó sẽ hiện thị công khai trong phần html.
Thông tin này dễ bị hacker biết được phiên bản bao nhiêu, biết lỗ hỏng của phiên bản đó thì tin tặc tấn công rất dễ dàng. Vì vậy bảo mật website wordpress được an toàn bạn phải ẩn đi luôn nhé. Thực hiện đơn giản bằng cách sau.
Bạn vào mục giao diện, sửa giao diện tìm đến function.php bấm vào chỉnh sửa và thêm đoạn code này vào cuối cùng. Sau đó lưu và kiểm tra lại nếu không còn xuất hiện nữa là okie.
remove_action( 'wp_head', 'wp_generator' );
PP9: Vô hiệu hóa XML-RPC
- XML-RPC: Đây là tính năng của WordPress để giúp truyền tải dữ liệu, với HTTP làm công cụ truyền và XML làm công cụ mã hóa.
- Trước đây internet tốc độ truy cập chậm nên ứng dụng công nghệ này để truyền tải dữ liệu trên website.Tuy nhiên các công đoạn viết và đăng các bài lên website tốn nhiều thời gian.
- Vấn đề lớn nhất của XML-RPC là bảo mật. Chúng không tới từ bản thân XML-RPC, mà từ file xmlrpc.php bị dùng làm phương pháp tấn công brute force lên chính bản thân website chứa nó.
- Dĩ nhiên, bạn có thể tự bảo vệ bằng cách tạo một mật khẩu cực mạnh, và dùng thêm plugin WordPress bảo mật. Nhưng cách tốt nhất là cứ vô hiệu hẵn nó đi.
Cách thực hiện: Bạn vào file function trong thư mục theme thêm dòng code này vào là xong.
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 123.123.123.123 </Files>
Tham khảo thông tin từ: hostinger.vn
PP 11: Thiết lập bảo mật trên hosting
Bảo mật hosting sẽ giúp hạn chế nhiều việc tin tặc tấn công. Thông thường bạn sẽ có 2 cách chính để thiết lập bảo mật an toàn trên hositng cpanel của mình.
Modsecurity
- ModSecurity là một sản phẩm thuộc dự án OWASP, cho phép người dùng cấu hình, tùy chỉnh các phương thức phát hiện tấn công vào web server. Phiên bản ModSecurity hiện tại đã hỗ trợ Apache, Nginx và IIS. Cùng với dự án ModSecurity Core Rule Set thì việc triển khai hệ thống WAF càng dễ dàng hơn cho nhân viên hệ thống cũng như các chuyên viên bảo mật.
- Mod_Security là một module mở rộng cho các chương trình web server như Apache, Nginx, IIS và hoạt động như một firewall tại lớp ứng dụng web. Cùng với sự gia tăng về phương pháp tấn công web thì mod_security cũng đã cập nhật những rule và đưa ra nhiều cách phòng chống trong mã nguồn của chương trình.
Bạn đăng nhập vào cpanel tìm tới phần Security ->chọn ModSecurity
Tiếp theo, Bạn chọn Enable để bật lên
Imunify 360
Imunify 360 là một giải pháp bảo mật tự động, được cung cấp bởi AI, thuộc các nhóm phát triển CloudLinux. Kể từ khi phát hành, Imunify 360 đã được cài đặt trên hàng ngàn máy chủ, cung cấp bảo mật cho cả nhà cung cấp dịch vụ hosting.
Cách kích hoạt Imunify 360 trên hosting.
Các bạn di chuyển đến phần Imunify 360 . Tiếp theo nhấn vào kill mode để kích hoạt bảo mật tự động nhé.
PP 12:Kiểm tra và xóa bỏ các bình luận spam đính kèm mã độc
Khi xét duyệt bình luận hoặc Pingback và Trackback trong wordpress bạn nên kiểm tra xem có bị đính kèm mã độc hoặc link nào đang nghi ngờ không. Nếu có thì xóa hẳn bình luận đó để đảm bảo không bị lay lan virus nhé!