Bảo Mật Cho Website Wordpress

12 Cách Bảo Mật Cho Website WordPress Tránh Bị Hack

12 Cách Bảo Mật Cho Website WordPress Tránh Bị Hack – Bài viết này Hướng dẫn wordpress cơ bản sẽ tập trung trang bị kiến thức web cho bạn từ cơ bản đến nâng cao để tự mình có thể bảo mật cho website WordPress một cách có hệ thống và cực kỳ an toàn.

Bảo Mật Cho Website WordPress
Bảo Mật Cho Website WordPress

1/ Bảo mật cho website WordPress là bảo mật những gì ?

Bảo vệ các thư mục của website

Nếu các thư mục core WordPress không được bảo mật kỹ, các Hacker có thể dò ra vị trí và chỉnh sửa chúng một cách dễ dàng (wp-config.php & .htaccess, ….)

Một khi có được quyền chỉnh sửa file core của WordPress, hacker sẽ chèn đoạn mã độc vào file để chiếm quyền hệ thống. Thông tin đăng nhập trên database sẽ bị lộ.

Bảo vệ dữ liệu người dùng

Dữ liệu người dùng trên website (thông tin cá nhân, thông tin thẻ tín dụng, …) là dữ liệu vô cùng nhạy cảm và quan trọng. Cần phải được mã hóa 1 chiều (thông tin thẻ tín dụng). Một khi các Hacker khai thác được những loại dữ liệu này thì bạn gặp rắc rối lớn đấy !

2/ Cài đặt theme, plugin từ những nguồn chính thống

Nghe có vẻ đơn giản, nhưng 96.69% các website bị hack đều bị mắc phải lỗi này. WordPress là một CMS mã nguồn mở phổ biến khắp Thế giới nên có rất nhiều Tác giả viết Theme, plugin để làm cho website WordPress trở nên đa dạng, phong phú hơn và đa số mọi người đều có thể truy cập vào mã nguồn của Theme, plugin đó. Không may là có nhiều người lợi dụng điều đó để chèn cái đoạn Nulled Script vào và chia sẻ cho người khác. 

Nulled Script là các đoạn mã độc hại để hacker chiếm quyền hệ thống dựa vào chỉnh sửa các thư mục trong plugin hoặc theme của WordPress. Họ sẽ thêm vào các Back-door để truy cập trái phép vào website của bạn. Các Nulled Script này thường được phân phối bởi 1 bên thứ 3 – Không phải do chủ của plugin/ theme phân phối.

Cách để tránh phải Nulled Script là tải plugin / theme từ những nguồn uy tín, xác thực bởi chính WordPress. Ví dụ: wordpress.org / themeforest.com 

Đây là list những nhà cung cấp Theme / Plugin uy tín mà Cuồng Team tìm được:

  • Nếu tải plugin thì bạn có thể tìm các plugin miễn phí cho mình tại trang plugin chính chủ của WordPress. Mặc dù là miễn phí nhưng có cũng đáp ứng đủ nhu cầu làm website của bạn rồi đấy !
  • Codecanyon.net là trang uy tín để bạn tìm một plugin phục vụ mục đích thương mại cho website của mình.
  • Trang theme chính chủ của WordPress đáp ứng đầy đủ cho 1 website blog hay bán hàng đơn giản. Nếu muốn tùy biến nhiều hơn thì xem bên dưới nhé !
  • Themeforest.net là một trang tổng hợp nhiều Theme / Plugin có độ tùy biến rất cao. Phù hợp với những tính năng nâng cao mà bạn cần. Dĩ nhiên hàng ngon thì không miễn phí !
  • Ngoài ra thì còn có các bên cung cấp theme khác như: Elegant Themes, Themify.me, hoặc Generate Press mà Cuồng Team đang sử dụng.

Nếu bạn tìm thấy một trang web cung cấp một Theme hay Plugin mà bạn cần thì bạn có thể Google domain của website đó để xem mọi người Reviews như thế nào trước khi tải về sử dụng nhé.

Xem thêm: vì sao nên chọn WordPress để bắt đầu làm website ?

3/ Cập nhật WordPress – Themes – Plugins thường xuyên

Luôn luôn cập nhật thường xuyên website WordPress của bạn. Để biết được có plugin hay theme nào cần update hay không thì mỗi lần truy cập vào quản trị website thì các bạn nhìn trên thanh Admin Bar nhé.

Update wordpress thường xuyên cũng là 1 cách để bảo mật cho website wordpress
Update wordpress thường xuyên cũng là 1 cách để bảo mật cho website wordpress

4/ CMOD file và thự mục WordPress

Tất cả các Folder trong thư mục public_html (wp-admin / wp-content / wp-include / …) => CMOD 755 (đọc – ghi – truy cập)

Tất cả các File trong thư mục public_html => CMOD 644 (đọc – ghi)

Tìm 2 file wp-config.php và .htaccess => CMOD 600

Đa phần các File bị Hack sẽ bị đổi CMOD thành 777 hoặc 755 để Hacker sẽ truy cập trái phép thông qua Back-door.

5/ Tạo một mật khẩu mạnh

Có một mật khẩu đủ mạnh sẽ giúp website tránh được các đợt Brute Force Attacks (dò password liên tục)

Một mật khẩu mạnh là mật khẩu bao gồm các tiêu chí:

  • 10 ký tự trở lên.
  • Chứa symbol (!@#$%^&*..)
  • Chứa số (1234556790)
  • Ký tự thường (abcdefghiklmmo…)
  • Ký tự hoa (ABCDEFGHIKLMNO…)
  • Các ký tự khác (<>?/:;”{}[]|\…)

Mẹo: hãy thử thay thế chữ o / O thành số 0. Chữ I (i) thành chữ l (L) để tăng thêm độ khó cho password.

Trang web hỗ trợ tạo password: https://passwordsgenerator.net/

Plugin hỗ trợ giới hạn số lần đăng nhập: https://vi.wordpress.org/plugins/wp-limit-login-attempts/

6/ Luôn luôn sử dụng SSH và SFTP

Khi cần Transfer File lên website sử dụng ứng dụng bên thứ 3 để truy cập vào hosting như File Zilla thì thường các quản trị viên sẽ dùng FTP hoặc sFTP.

FTP là một giao thức đã cũ, xuất hiện từ thuở sơ khai của Internet. Giao thức này không được mã hóa thông tin truyền tải – đồng nghĩa với việc các File bạn Uploads lên Website đều được ghi lại với dạng Text.

Hãy tưởng tượng bạn đang ở quán Coffe và dùng Wifi free để truy cập vào FTP, điều này sẽ tạo điều kiện để các Hacker bắt được các gói tin không được mã hóa mà bạn đã Uploads lên website của mình (bao gồm tài khoản, mật khẩu truy cập FTP)

sFTP là một giao thức mã hóa mạnh dùng để đăng nhập và Transfer File. sFTP ngăn chặn việc chuyển giao thông tin đăng nhập không được mã hóa và đồng thời, nó cũng tạo ra một mã định danh duy nhất, phải được truyền lại từ máy khách để hoàn thành việc truyền dữ liệu. Nhờ có các biện pháp này, bạn có thể yên tâm rằng việc chuyển file với sFTP sẽ rất an toàn.

7/ Sao lưu database WordPress định kỳ

WordPress sử dụng MySQL để lưu trữ dữ liệu. Dữ liệu này bao gồm các bài post / page / comment và dữ liệu của khách hàng (bao gồm Email và Password ở dạng Hash)

Việc sao lưu database thường xuyên sẽ giúp ích rất nhiều cho bạn đấy. Nếu có gì trục trặc xảy ra với website của bạn thì hãy nhanh chóng lấy ngay bản sao lưu Database gần nhất để Recovery lại ngay.

Với sự tiến bộ của công nghệ, ngày nay tất cả các hosting đều được backup dữ liệu hằng ngày. Tuy nhiên tự mình giữ 1 bản Backup sẽ tốt hơn.

8/ Bảo vệ file wp-config.php

File wp-config.php là chìa khóa truy cập vào database của website. Vì vậy đảm bảo rằng không ai có quyền truy cập vào file này ngoại trừ bạn.

Một tập tin wp-config.php chứa thông tin truy cập vào database
Bảo mật cho website wordpress bằng cách thay đổi các Serect Key
Bảo mật cho website wordpress bằng cách thay đổi các Serect Key

Tạo Secret Key khác

Điều đầu tiên phải làm là tạo ra một bộ Secret Key khác. Bạn có thể làm điều đó bằng cách vào trang web tạo secret key mà WordPress cung cấp.

Tất cả những gì bạn cần làm là đi đến URL này và chỉ cần nhấn refresh, và sẽ có một tập hợp bộ Secret Key được tạo ra cho bạn. Bạn có thể sao chép chúng và sau đó ghi đè chúng thẳng vào tập tin wp-config.php của bạn.

Di chuyển wp-config.php

Nếu bạn muốn thay đổi vị trí lưu trữ wp-config.php để tránh hacker dò ra nó, bạn có thể di chuyển nó sang một vị trí khác. Chỉ cần làm theo các bước sau:

Bước 1: Thêm đoạn code sau vào wp-config.php

Lưu ý: thay đổi /path/to/wp-config.php bằng đường dẫn đến vị trí lưu file wp-config.php (ví dụ: ‘../recovery/wpconfig/wp-config.php’)

9/ Bảo vệ website WordPress khỏi SQL Injection

SQL Injection là là một kỹ thuật để kẻ phá hoại lợi dụng những lỗ hổng về câu truy vấn lấy dữ liệu lên Database (Insert, Update, Delete, …) của những site không an toàn trên web.

Đây là một kỹ thuật tấn công rất phổ biến và sự thành công của nó cũng rất là cao. Nếu quản trị viên không bảo mật kỹ lưỡng website của mình thì các Hacker sẽ dễ dàng lợi dụng được điều này.

Để bảo mật cho website wordpress tránh khỏi SQL Injection thì các bạn copy đoạn code sau vào file Functions.php:

10/ Cài đặt SSL cho website WordPress

SSL là viết tắt của từ Secure Sockets Layer. Đây là một tiêu chuẩn an ninh công nghệ toàn cầu tạo ra một liên kết giữa máy chủ web và trình duyệt. Hiện nay có LetsEncrypt là chuẩn SSL miễn phí và dễ dàng cài đặt nhất.

Khi đã cài đặt xong SSL cho WordPress, bạn cần phải cấu hình lại một chút để website nhận SSL. Cách làm như sau:

Vào .htaccess thêm đoạn code này:

Thay thế https://www.example.com thành địa chỉ website của bạn nhé (ví dụ: https://cuongteam.com)

Tiếp theo vào wp-config.php:

Cuối cùng vào Wp-admin / Cài đặt / Tổng quan => thêm https vào 2 mục sau:

  1. Địa chỉ WordPress (URL)
  2. Địa chỉ trang web (URL)
Thêm HTTPS vào wordpress

* Lưu ý: nếu website của bạn đã hoạt động được một thời gian và có rất nhiều link http cần đổi sang https thì cài plugin này: SSL Realy Simple

SSL Realy Simple
SSL Realy Simple

11/ Bảo mật cho website wordpress bằng plugin Firewall

Sau khi đã làm tất cả các bước bảo mật cho website wordpress trên rồi thì đây là bước đủ để bảo mật cho trang web của mình rồi.

Như thế nào là một plugin tường lửa tốt ?

Một plugin fire wall sẽ làm tốt được các tính năng sau:

  • Malware Scan
  • Brute Force
  • Login Protection
  • Tạo 1 lớp WAF (Web Application Firewall)
  • 2FA ( 2 Factor Authentication)
  • Strong Password Generation
  • Blocking (IP, Country)

Với các tính năng như trên thì các bạn có thể sử dụng plugin WordfenceĐây là 1 plugin nổi tiếng có hơn 3 triệu lượt tải về. Hoặc là iTheme Security nhé !

Bảo mật cho website wordpress bằng plugin Wordfence
Bảo mật cho website wordpress bằng plugin Wordfence

Ưu điểm:

  • Phiên bản miễn phí của plugin chứa tất cả các tính năng bạn cần để bảo mật trang web của bạn.
  • Hỗ trợ cảnh báo tự động cho các mối đe dọa bảo mật.

Nhược điểm:

  • Chỉ phiên bản trả phí mới cho phép người dùng lên lịch và tự động quét bảo mật.

12/ Tắt tính năng XMLRPC

Nếu bạn không dùng website kết nối với Apps mobile, apps mở rộng ứng dụng, hoặc sử dụng các tính năng của các hệ thống chăm sóc website tự động thì bạn nên tắt tính năng này đi.

Cách thức tấn công

  1. Hacker kết nối phần mềm quét mật khẩu qua đường link https://domaincuaban/xmlrpc.php – username:password
  2. Username thông thường là hacker dò thông qua bài viết hoặc thông thường là (admin,domaincuaban,user cộng tác viên,…)
  3. Sau khi có được tài khoản của bạn, hacker sẽ vào wp-admin và cài đặt các mã nguồn shell, realtime directory (code điều khiển hosting)

Đó là lý do tại sao bạn liên tục đổi mật khẩu, theme và plugin bản quyền nhưng website vẫn luôn bị tấn công.

Cách tắt XMLRPC

Thêm đoạn code sau vào .htaccess là xong:

Bảo mật WordPress là một vấn đề quan trọng ưu tiên. Miễn là bạn thực hiện các biện pháp phòng ngừa và tìm hiểu những điều cơ bản về cách bảo vệ trang web WordPress, đảm bảo cho trang web của mình an toàn khi nói đến vấn đề bảo mật.

Kết luận: Chỉ bằng những kiến thức bảo mật cho website wordpress cơ bản, hy vọng Cuồng Team đã giúp bạn giảm nguy cơ bị tấn công website WordPress tốt nhất. Chúng tôi sẽ luôn cập nhật những phương pháp mới giúp bạn bảo vệ website tốt hơn

Xem thêm: Giới Thiệu & Hướng Dẫn Sử Dụng Plugin WP Media Folder

(Visited 112 times, 1 visits today)

Leave a Reply

avatar
  Subscribe  
Notify of