Hiện nay vấn đề bảo mật cho website đang còn là vấn đề nan giải đối với người dùng không chuyên về CNTT. Tìm hiểu cách bảo vệ trang web WordPress của bạn khỏi tin tặc với 16 mẹo bảo mật này và tìm hiểu những việc cần làm nếu trang web của bạn bị tấn công.
Khi nói đến bảo mật, không có loại bảo mật dành riêng cho WordPress nào tồn tại. Tất cả các vấn đề bảo mật là chung cho tất cả các trang web hoặc ứng dụng.
Tuy nhiên, các vấn đề về bảo mật của WordPress rất được quan tâm vì nó cung cấp khoảng 40% web và là mã nguồn mở. Khi một người tìm thấy lỗ hổng trong Core hoặc plugin của WordPress, các trang web khác sử dụng nó sẽ dễ bị tấn công vì tất cả chúng đều sử dụng cùng một mã.
Mặt khác, có rất nhiều plugin mà bạn có thể sử dụng để tăng cường bảo mật cho trang web của mình.
Trong bài viết này, chúng ta sẽ tìm hiểu cách tăng cường bảo mật cho trang web WordPress của mình để chống lại các loại lỗ hổng bảo mật khác nhau, mặc dù phạm vi của bài viết này rộng hơn và áp dụng cho tất cả các loại ứng dụng web.
Mục lục
Bảo vệ chống lại các lỗ hổng WordPress
Các loại lỗ hổng phổ biến nhất là:
- Backdoors
- Pharma Hacks
- Brute-force Login Attempts
- Malicious Redirects
- Cross-Site Scripting (XSS)
- Denial of Service (DDoS)
Đây là những loại lỗ hổng phổ biến, nhưng điều đó không có nghĩa là chúng chỉ giới hạn ở những lỗ hổng này. Nói chung, khi nghĩ về bảo mật, bạn nên nghĩ theo nhiều hướng.
Không có giới hạn nào về cách hack một trang web, những kẻ tấn công có thể sử dụng nhiều kỹ thuật để truy cập trang web của bạn.
Ví dụ: Chúng có thể ăn cắp PC của bạn và có quyền truy cập vật lý vào máy tính của bạn. Họ cũng có thể sử dụng các kỹ thuật giám sát để xem mật khẩu của bạn khi đăng nhập từ mạng công cộng vào trang web của bạn.
Hãy đi sâu vào cách tăng cường bảo mật WordPress của tôi để làm khó những kẻ tấn công hơn một chút.
Cùng tôi tìm hiểu chi tiết 16 cách tăng cường bảo mật trang web WordPress của bạn:
- Sử dụng HTTPS
- Luôn sử dụng mật khẩu mạnh
- Sử dụng trình quản lý mật khẩu để lưu trữ mật khẩu của mình
- Bật Captcha trên trang đăng nhập, đăng ký
- Ngăn chặn các nỗ lực đăng nhập
- Sử dụng xác thực 2 yếu tố
- Giữ các plugin luôn cập nhật
- Đặt tiêu đề HTTP bảo mật
- Đặt quyền tệp chính xác cho tệp WordPress
- Tắt chỉnh sửa tệp từ WordPress
- Tắt tất cả các tính năng không cần thiết
- Ẩn phiên bản WordPress
- Cài đặt tường lửa WordPress
- Giữ các bản sao lưu
- Sử dụng SFTP
- Giám sát hoạt động của người dùng
Bảo mật trang web của bạn bằng HTTPS
Không phải ngẫu nhiên mà tôi bắt đầu bằng cách bảo mật trang web bằng HTTPS.
Mọi thứ bạn làm đều thông qua mạng và dây cáp, HTTP trao đổi sữ liệu dưới dạng văn bản thuần túy giữa trình duyệt và máy chủ.
Do đó, bất kỳ ai có quyền truy cập vào mạng giữa máy chủ và trình duyệt đều có thể xem dữ liệu chưa được mã hóa của bạn.
Nếu bạn không bảo vệ kết nối của mình, bạn có nguy cơ bị lộ dữ liệu nhạy cảm cho những kẻ tấn công. Với HTTPS, dữ liệu của bạn sẽ được mã hóa và những kẻ tấn công sẽ không thể đọc dữ liệu được truyền ngay cả khi chúng có quyền truy cập vào mạng của bạn.
Vì vậy, bước số một để bảo mật trang web của bạn là bật HTTPS. Nếu bạn chưa chuyển sang HTTPS, bạn có thể sử dụng hướng dẫn này để chuyển WordPress của mình sang HTTPS.
Hướng dẫn cài đặt SSL trên hosting Cpanel
Luôn sử dụng mật khẩu mạnh
Cách phổ biến nhất mà tin tặc truy cập vào các trang web là thông qua mật khẩu yếu hoặc bị mã hóa. Những điều này khiến dữ liệu của bạn dễ bị tấn công.
Luôn sử dụng mật khẩu mạnh và thường xuyên đổi mật khẩu để tăng cường bảo mật cho trang web của bạn.
Các plugin để tăng cường bảo mật mật khẩu
Sử dụng trình quản lý mật khẩu để lưu trữ mật khẩu của bạn
Khi bạn đăng nhập trong khi làm việc từ mạng công cộng, bạn không thể chắc chắn về việc bị ai đang xem những gì bạn đang gõ trên máy tính hoặc ghi lại mật khẩu.
Để giải quyết vấn đề này, hãy sử dụng trình quản lý mật khẩu để dễ dàng truy cập mật khẩu của bạn và lưu chúng ở nơi an toàn.
Ngay cả khi máy tính của bạn được truy cập, họ sẽ không thể lấy được mật khẩu của bạn. Trình quản lý mật khẩu dựa trên trình duyệt chứ không phải Plugin WordPress.
Xem thêm: Cách tạp trang web WordPress trong 24 giờ cho thương hiệu của bạn
Thêm Captcha vào biểu mẫu đăng nhập và đăng ký
Khi bạn đã bảo mật website của mình bằng HTTPS và sử dụng mật khẩu mạnh, bạn đã khiến cho các hacker trở nên khó khăn hơn.
Nhưng bạn có thể tăng mức độ khó lên bằng cách thêm Captcha vào biểu mẫu đăng nhập.
Captcha là một cách tuyệt vời để bảo vệ các biểu mẫu đăng nhập của bạn chống lại các cuộc tấn công brute-force.
Các plugin thêm captcha trang đăng nhập đăng ký
Bảo vệ khỏi nỗ lực đăng nhập của Brute Force
Đăng nhập captcha sẽ cung cấp cho bạn sự bảo vệ chống lại các nỗ lực đăng nhập cho đến một thời điểm nhất định, nhưng không hoàn toàn. Thông thường, sau khi mã thông báo xác thực được giải quyết, chúng có giá trị trong vài phút.
Ví dụ: reCaptcha của Google có giá trị trong vòng 2 phút, những kẻ tấn công có thể sử dụng hai phút đó để thử các nỗ lực đăng nhập brute-force vào biểu mẫu đăng nhập của bạn trong thời gian đó.
Để giải quyết vấn đề này, bạn nên chặn các lần đăng nhập không thành công bằng địa chỉ IP.
Plugin bảo vệ khỏi các cuộc tấn công Brute Force
Thiết lập xác thực 2 yếu tố
Với mật khẩu an toàn và hình ảnh xác thực trên biểu mẫu đăng nhập, bạn được bảo vệ nhiều hơn.
Nhưng điều gì sẽ xảy ra nếu tin tặc sử dụng các phương pháp giám sát và ghi lại mật khẩu bạn gõ để truy cập trang web của bạn?
Nếu họ có mật khẩu của bạn, chỉ xác thực hai yếu tố mới có thể bảo vệ trang web của bạn khỏi những kẻ tấn công.
Các plugin thiết lập xác thực 2 yếu tố
Giữ cho WordPress Core và Plugin được cập nhật
Các lỗ hổng thường xảy ra đối với Core và plugin của WordPress và khi chúng được tìm thấy và báo cáo. Đảm bảo cập nhật các plugin của bạn với phiên bản mới nhất để ngăn chặn các trang web bị tấn công từ các lỗ hổng đã biết và được báo cáo trong tệp.
Tôi không khuyên bạn nên chuyển sang cập nhật tự động vì nó có thể dẫn đến việc phá vỡ các trang web của bạn mà bạn không biết.
Nhưng tôi thực sự khuyên bạn nên bật các bản cập nhật nhỏ của core WordPress bằng cách thêm dòng mã này vào file wp-config.php vì các bạn cập nhật này bao gồm các bản vá bảo mật cho core.
define( 'WP_AUTO_UPDATE_CORE', 'minor' );
Đặt tiêu đề HTTP bảo mật
Tiêu đề bảo mật mang lại một lớp bảo vệ bổ sung bằng cách hạn chế các hành động có thể được thực hiện giữa trình duyệt và máy chủ khi một người duyệt qua web.
Tiêu đề bảo mật nhằm mục đích bảo vệ chống lại các cuộc tấn công Clickjacking và Cross-site Scripting.
Tiêu đề bảo mật là:
- Strict-Transport-Security
- Content-Security-Policy
- X-Frame-Options
- X-Content-Type-Options
- Fetch Metadata Headers
- Referrer-Policy
- Cache-Control
- Clear-Site-Data
- Feature-Policy
Tôi sẽ không đi sâu vào giải thích từng tiêu đề bảo mật, nhưng đây là một số plugin để khắc phục chúng.
Các plugin kích hoạt tiêu đề bảo mật
Đặt quyền tệp chính xác cho tệp WordPress
Quyền đối với tệp là các quy tắc trên hệ điều hành lưu trữ các tệp WordPress của bạn, các quy tắc này thiết lập cách các tệp có thể được đọc, chỉnh sửa và thực thi. Biện pháp bảo mật này là cần thiết, đặc biệt là khi bạn lưu trữ một trang web trên Share Hosting.
Nếu được đặt không chính xác, khi một trang web trên Share Host bị tấn công, những kẻ tấn công có thể truy cập các tệp trên trang web của bạn và đọc bất kỳ nội dung nào ở đó, cụ thể là file wp-config.php và có quyền truy cập hoàn toàn vào trang web của bạn.
- Tất cả các tệp phải là 644
- Tất cả các thư mục phải là 775
- wp-config.php phải là 600
Các quy tắc trên có nghĩa là tài khoản người dùng lưu trữ của bạn có thể đọc và sửa đổi các tệp và máy chủ web cáo thể sửa đổi, xóa, đọc các tệp và thư mục.
Những người dùng khác không thể đọc nội dung của wp-config.php. Nếu cài đặt 600 cho wp-confgi.php khiến trang web của bạn bị sập, hãy thay đổi nó thành 640 hoặc 644.
Tham khảo: Top nhà cung cấp Hosting chất lượng tại Việt Nam
Tắt chỉnh sửa tệp từ WordPress
Đó là một tính năng đã biết cho WordPress mà bạn có thể chỉnh sửa tệp từ chương trình phụ trợ quản trị viên.
Nó thực sự không cần thiết vì các nhà phát triển sử dụng SFTP và hiếm khi sử dụng điều này.
Tắt tất cả các tính năng không cần thiết
WordPress đi kèm với nhiều tính năng mà bạn có thể không cần. Ví dụ: Điểm cuối XML-RPC trong WordPress được tạo để giao tiếp với các ứng dụng bên ngoài. Những kẻ tấn công có thể sử dụng điểm này để đăng nhập brute-force.
Tắt XML-RPC bằng cách sử dụng plugin
Một vấn đề khác mà WordPress tích hợp sẵn là cung cấp điểm cuối REST-API để liệt kê tất cả người dùng trên web.
Nếu bạn thêm “/wp-json/wp/v2/users” vào bất kỳ cài đặt WordPress nào, bạn sẽ thấy danh sách tên người dùng và ID người dùng dưới dạng dữ liệu Json.
Tắt REST-API của người dùng bằng cách thêm dòng mã này vào functions.php
function disable_users_rest_json ($ response, $ user, $ request) {
return '';
} add_filter ('rest_prepare_user', 'disable_users_rest_json', 10, 3);
Ẩn phiên bản WordPress
WordPress tự động đưa nhận xét vào phiên bản WordPress trong HTML của trang. Nó cung cấp cho kẻ tấn công phiên bản WordPress đã cài đặt của bạn dưới dạng thông tin bổ sung.
Ví dụ: Nếu bạn đang sử dụng phiên bản WordPress được báo là có lỗ hổng, kẻ tấn công biết rằng có thể sử dụng kỹ thuật được báo cáo để tấn công trang web của bạn.
Các plugin ẩn meta phiên bản WordPress
Cài đặt tường lửa WordPress
Tường lửa là một ứng dụng web chạy trên các trang web và phân tích bất kỳ yêu cầu HTTP nào đến. Nó áp dụng logic phức tạp để lọc ra các yêu cầu có khả năng là mối đe dọa.
Người ta có thể thiết lập các quy tắt của nó bên trên các quy tắc có sẵn của tường lửa để ngăn chặn các yêu cầu. Một trong những kiểu tấn công phổ biến là SQL injection.
Giả sử bạn chạy một plugin WordPress dễ bị chèn SQL và bạn không biết về nó. Nếu bạn chặn tường lửa, ngay cả khi kẻ tấn công biết về lỗ hổng bảo mật trong plugin họ cũng sẽ không thể hack trang web.
Điều này là do tường lửa sẽ chặn những yêu cầu có chứa SQL injection.
Tường lửa sẽ chặn các yêu cầu đó từ IP và ngăn các yêu cầu nguy hiểm liên tiếp đến. Tường lửa cũng có thể ngăn chặn các cuộc tấn công DDoS bằng cách phát hiện quá nhiều yêu cầu từ một IP và chặn chúng.
Cũng có thể chạy tường lửa cấp DNS chạy trước khi các yêu cầu được gửi đến máy chủ web. Một ví dụ là tường lửa Cloudflare DNS.
Ưu điểm của phương pháp này là nó chống lại các cuộc tấn công DDoS mạnh mẽ hơn.
Tường lửa cấp ứng dụng chạy trên máy chủ cho phép các yêu cầu HTTP tấn công máy chủ web và sau đó chặn nó. Điều đó có nghĩa là máy chủ dành một số tài nguyên CPU / RAM để chặn chúng.
Với tường lửa cấp DNS, nó không sử dụng tài nguyên máy chủ, do đó nó bền vững hơn trước các cuộc tấn công.
Các plugin tường lửa của WordPress
Lưu ý: Nếu bạn quyết định cài đặt tường lửa, chúng có thể có các tính năng như bảo vệ brute-force đăng nhập hoặc xác thực 2F và bạn có thể sử dụng các tính năng của chúng thay vì cài đặt các plugin được đề cập ở trên.
Giữ sao lưu
Nếu bạn bị tấn công, cách tốt nhất để khôi phục là khôi phục trang web từ phiên bản mới nhất không bị nhiễm.
Nếu bạn không lưu trữ các bản sao lưu trang web, việc dọn dẹp trang web có thể là một hoạt động tốn thời gian. Trong một số trường hợp, có thể không khôi phục được tất cả thông tin vì phần mềm độc hại đã xóa tất cả dữ liệu.
Để tránh những trường hợp như vậy, hãy thường xuyên sao lưu cơ sở dữ liệu và tệp trang web của bạn.
Kiểm tra với bộ phận hỗ trợ lưu trữ của bạn xem họ có cung cấp chức năng sao lưu hàng ngày không và kích hoạt chức năng này hay không. Nếu không, bạn có thể sử dụng các plugin này để chạy sao lưu:
Sử dụng SFTP
Rất nhiều nhà phát triển đã sử dụng SFTP để kết nối máy chủ web, nhưng điều quan trọng là phải nhắc nhở điều này, đề phòng trường hợp bạn vẫn chưa sử dụng.
Giống như HTTPS, SFTP sử dụng mã hóa để truyền tệp qua mạng, khiến nó không thể đọc dưới dạng văn bản thuần túy ngay cả khi một người có quyền truy cập vào mạng.
Giám sát hoạt động của người dùng.
Chúng tôi đã thảo luận rất nhiều cách để bảo mật trang web của bạn khỏi những tin tặc không xác định. Nhưng còn khi một trong những nhân viên của bạn có quyền truy cập quản trị trang web làm những việc mờ ám như thêm liên kết trong nội dung thì sao?
Không có một phương pháp nào ở trên có thể phát hiện ra một nhân viên mờ ám.
Điều đó có thể được thực hiện bằng cách xem nhật ký hoạt động. Bằng cách xem xét hoạt động của từng người dùng, bạn có thể thấy rằng một trong những nhân viên đã chỉnh sửa một bài báo mà họ không nên làm.
Bạn cũng có thể xem xét hoạt động có vẻ đáng ngờ và xem những thay đổi nào đã được thực hiện.
Các Plugin để theo dõi hoạt động của người dùng
Lưu ý rằng bạn có thể muốn giới hạn khoảng thời gian mà các plugin này lưu giữ, nếu có quá nhiều, nó sẽ làm quá tải cơ sở dữ liệu của bạn và có thể ảnh hưởng đến hiệu suất và tốc độ trang web.
Làm gì nếu bạn bị tấn công?
Ngay cả khi có tất cả các lời khuyên từ các chuyên gia bảo mật và biết cách để làm trang web của bạn khỏi bị tấn công nhưng chúng vẫn có thể xảy ra.
Nếu trang web của bạn bị tấn công, bạn cần thực hiện các bước sau để khôi phục:
- Thay đổi tất cả các email của bạn và mật khẩu cá nhân khác đầu tiên kể từ khi tin tặc có thể đã nhận được quyền truy cập vào email của bạn đầu tiên và do đó có thể truy cập website của bạn.
- Khôi phục trang web của bạn về bản sao lưu không bị tấn công mới nhất đã biết.
- Đặt lại mật khẩu của tất cả người dùng web.
- Cập nhật tất cả các plugin có sẵn các bản cập nhật.
Kết luận:
Hãy suy nghĩ nhiều hướng khi nói đến bảo mật, nhấn mạnh tầm quan trọng của bảo mật đối với tất cả nhân viên của bạn để họ hiểu những hậu quả mà công ty có thể phải gánh chịu nếu họ không tuân theo các quy tắc bảo mật.
Nếu bạn bị tấn công, hãy khôi phục trang web của bạn từ bản sao lưu và thay đổi tất cả mật khẩu cho trang web và email của bạn càng sớm càng tốt.
