Nếu bạn truy cập ở nơi công cộng thì cơ hội dành cho hacker để “nhòm ngó” và lấy cắp thông tin của bạn là rất lớn nhờ vào các phần mềm Keylogger hoặc ứng dụng khác. Tuy nhiên, chúng ta hoàn toàn có thể khắc phục được vấn đề này và tăng cường bảo mật website bằng plug in Chap Secure Login với chức năng chính là gán thêm những đoạn mã hash ngẫu nhiên vào chuỗi ký tự mật khẩu, sau đó tiến hành xác nhận tính hợp pháp của tài khoản với giao thức CHAP.
Trên thực tế, tin tặc hoàn toàn có thể bẻ gãy mật khẩu đăng nhập cũng như thông tin xác nhận của người dùng bằng cách sử dụng cơ chế Brute Force Attack. Để giảm thiểu nguy cơ này, các bạn hãy sử dụng plug in Login LockDown dành cho WordPress.
Tiện ích này sẽ ghi lại toàn bộ thông tin mỗi khi có yêu cầu truy cập từ 1 địa chỉ IP nào đó thực hiện nhiều lần đăng nhập vào hệ thống WordPress, sau một số lần đăng nhập thất bại nhất định nào đó thì hệ thống sẽ khóa chức năng truy cập, cũng như tất cả yêu cầu khác từ địa chỉ đó.
3. Sử dụng mật khẩu theo đúng tiêu chuẩn
Đây là điều rất cơ bản, nhưng có vẻ nhiều người vẫn không áp dụng chuẩn xác. Đó là lựa chọn và sử dụng mật khẩu phức tạp nhưng vẫn phải dễ nhớ, người khác khó đoán, không dùng những chuỗi thông tin quen thuộc như tên người thân, số điện thoại, địa chỉ… mà phải kết hợp ký tự và con số, ký tự đặc biệt, chữ hoa chữ thường. Bạn đừng xem thường việc đặt mật khẩu đúng tiêu chuẩn, đó là một cách nâng cao sự bảo mật website rất hữu hiệu đấy …
4. “Bảo vệ” thư mục wp-admin
Mặc định đường dẫn tới trang quản trị của WordPress là wp-admin, điều này sẽ giúp các hacker dễ dàng xác định địa chỉ đăng nhập sau khi họ đã có đầy đủ thông tin về tài khoản quản trị của bạn.
Vì vậy trước tiên, bạn cần đổi địa chỉ đăng nhập vào trang quản trị bằng cách sử dụng plugin Better WP Security để tăng cường bảo mật cho WordPress, trong đó có chức năng đổi đường dẫn mặc định của trang quản trị thành đường dẫn bất kỳ mà bạn muốn. Sau khi cài đặt, vào Security -> Hide và điền tên của đường dẫn mới của trang quản trị, trang đăng nhập và trang đăng ký.
5. “Giấu” thư mục plugins
Nếu truy cập vào thư mục hoặc đường dẫn http://yourwebsite.com/wp-content/plugins , bạn sẽ thấy toàn bộ danh sách plug – in của hệ thống được sử dụng.
Nếu muốn ẩn thư mục này thì các bạn chỉ cần đăng tải file index.html trống tới thư mục plugin này. Rất đơn giản, chỉ cần mở 1 ứng dụng chỉnh sửa text bất kỳ, sau đó lưu lại thành index.html, dùng chương trình FTP và tải file index.html này vào thư mục /wp-content/plugins.
6. Thay đổi tên đăng nhập
Tên Username mặc định ở đây là admin, tuy nhiên chúng ta vẫn có thể thay đổi được để cản trở quy trình tấn công của hacker vào những hệ thống đơn giản. Trong bảng điều khiển chính của WordPress, các bạn mở Users và tạo mới 1 tài khoản, sau đó gán quyền administrator và đăng nhập lại bằng tài khoản vừa tạo.
Truy cập vào phần Users, lần này các bạn đánh dấu check vào ô bên cạnh admin và chọn Delete.
Khi hệ thống hiển thị cửa sổ xác nhận thông báo, chúng ta chọn Attribute all posts and links to: và chọn tài khoản vừa tạo tại bước trên trong danh sách dropdown.
Quá trình này sẽ chuyển toàn bộ các bài viết sang tài khoản mới. Sau đó các bạn nhấn Confirm Deletion.
7. Luôn cập nhập phiên bản mới nhất của WordPress và plug – in
Về mặt kỹ thuật, phiên bản mới nhất của WordPress luôn được cập nhật các bản vá bảo mật, do vậy người dùng hãy để ý đến quá trình này.
8. Thực hiện quy trình quét thường xuyên
Như đã đề cập tới ở bên trên, các bạn cần cài đặt tiện ích WP Security Scan và tiến hành quét thường xuyên nhằm phát hiện ra các lỗ hổng bảo mật trong hệ thống. Một điểm nữa cần áp dụng ở đây là thay đổi wp_ thành bất tiền tố tùy chỉnh, nhằm tránh khỏi sự nhòm ngó của hacker.
9. Tạo lớp bảo vệ bằng mật khẩu cho trang quản trị
Nếu bạn vẫn còn băn khoăn về sự an toàn của trang quản trị thì có thể dùng thêm cách tạo thêm một lớp đăng nhập nữa bằng cách sử dụng chức năng Password Protect Directories có trong cPanelX của các hosting thông dụng hiện nay.
Sau khi nhấp vào, các bạn chọn thư mục wp-admin và tạo tên đăng nhập và mật khẩu cho lớp đăng nhập.
Ấn nút Add/modify authorized user.
Tiếp tục, nhìn lên trên và gõ tên folder cần bảo vệ vào, ở đây folder cần bảo vệ là wp-admin, sau đó tích dấu vào ô Password Protect this directory và ấn nút Save để hoàn tất.
Bắt đầu từ đây, mỗi khi chúng ta đăng nhập vào wp-admin đều sẽ trải qua một lớp bảo vệ, chúng ta cần điền tên đăng nhập và mật khẩu bảo vệ vào. Sau đó mới tiến hành đăng nhập vào WordPress theo cách thông thường.
10. Phân quyền cho file/thư mục trên host bằng lệnh CHMOD
CHMOD (phân quyền) xem, xóa và chỉnh sửa các dữ liệu trên hosting của bạn. Nếu CHMOD không được kỹ và an toàn thì khả năng các file nằm trên host có thể dễ dàng được chỉnh sửa bởi hacker.
Vì thế để tăng bảo mật website và giảm thiểu nguy cơ bị tấn công, cần phải CHMOD thật tối ưu cho các file và folder.
• CHMOD can thiệp thay đổi những quyền sau:
– Read (đọc): Viết tắt là “r” và được biểu diễn bằng số 4
– Write (chỉnh sửa): Viết tắt là “w” và được biểu diễn bằng số 2
– Execute (thực thi): Viết tắt là “x” và được biểu diễn bằng số 1
• CHMOD thay đổi quyền hạn cho các đối tượng sau
– “Owner”: Chủ sở hữu của file/thư mục
– “Group”: Nhóm mà Owner là thành viên
– “Public / Others/ Everybody”: Những người còn lại
Để CHMOD bạn có 2 cách.
• Cách 1
Mở trình upload FTP lên, ấn chuột phải vào thư mục/tập tin cần CHMOD và chọn CHMOD.
• Cách 2
Vào phần File Manager trong trang quản trị hosting và chọn Change Permission
File đầu tiên chúng ta cần bảo vệ đó là wp-config.php vì file này lưu giữ những thông tin đăng nhập vào cơ sở dữ liệu của mình.
Nếu như các bạn ít khi chỉnh sửa file này thì hãy CHMOD là 444 cho wp-config. Điều này có nghĩa tất cả các nhóm người dùng chỉ có thể đọc chứ không chỉnh sửa hay thực thi được, kể cả chủ sỡ hữu. Và sau khi đưa về 444, chúng ta không thể chỉnh sửa nội dung file này, nếu muốn chỉnh sửa thì hãy đưa nó về 644.
Các file còn lại thì bạn có thể CHMOD là 644 và 755 cho các folder.
Nếu bạn muốn tối ưu hơn nữa, hãy CHMOD folder wp-admin, wp-includes thành 101. Tuy nhiên để CHMOD thành 101thì bạn không thể CHMOD trên FTP được mà phải vào File Manager để làm việc này.
Sau khi CHMOD thành 101, bạn đăng nhập vào FTP sẽ không thể nhìn thấy các folder đã được CHMOD, điều này đồng nghĩa bạn không thể làm gì được ngoại trừ truy cập bằng trình duyệt.
Tiếp đến là CHMOD cho tất cả các file thành 400 (ngoại trừ các file trong thư mục theme).
Nếu trong một số trường hợp máy chủ không cho phép CHMOD 400 thì bạn có thể đổi thành 404.
Nếu như bạn thấy khó khăn trong việc CHMOD thì plugin File Permissions & Size Check sẽ giúp bạn CHMOD và theo dõi các tập tin/thư mục dễ dàng trong trang quản trị WordPress.
Còn đây là gợi ý CHMOD tối ưu hóa cho WordPress của BulletProof Security.
11. Sao lưu (backup) cơ sở dữ liệu thường xuyên
Công việc này không giảm thiểu khả năng bị tấn công trên WordPress mà nó giúp chúng ta giảm mức độ thiệt hại sau những đợt tấn công. Nếu như bạn sao lưu dữ liệu một cách thường xuyên thì sau khi bị tấn công và mất hết cơ sở dữ liệu, chúng ta vẫn có thể hồi sinh web bằng cách phục hồi các dữ liệu đã được sao lưu.
Ngoài ra phương pháp này cũng giúp bạn phục hồi lại blog sau khi tiến hành can thiệp chỉnh sửa liên quan đến cơ sở dữ liệu.
Trong WordPress có khá nhiều công cụ backup cơ sở dữ liệu. Tuy nhiên, mình gợi ý cho các bạn một plugin ổn định và backup tốt nhất đó là WP Complete Backup. Plugin này giúp bạn cài đặt chế độ backup tự động cho tất cả các dữ liệu trên blog, đồng thời có chức năng đồng bộ hóa tài khoản Google Drive hoặc Sky Drive vào và tự động gửi những dữ liệu đã được backup lên đó.
5 Plugin Bảo Mật Tốt Nhất Cho WordPress
1. Wordfence Security
Wordfence Security là plugin bảo mật miễn phí cho wordpress và được hỗ trợ 100% bởi một nhóm lớn chuyên về bảo mật WordPress. Với một bộ các tính năng nâng cao làm cho Wordfence trở thành giải pháp bảo mật toàn diện nhất cho mã nguồn WordPress.
Tính năng chính của Wordfence Security
- Tường lửa ngăn chặn các cuộc tấn công trang website
- Quét an toàn và cảnh báo cho bạn một cách nhanh chóng trong trường hợp có vấn đề bảo mật
- Threat Defense Feed giúp Wordfence cập nhật dữ liệu bảo mật mới nhất
- Tính năng bảo mật đăng nhập mạnh mẽ
- Cảnh báo bảo mật có thể định cấu hình
- Nhận được thông tin chi tiết về các nỗ lực về giao thông và hack
- Công cụ khôi phục sự cố bảo mật
Việc cài đặt và kích hoạt Wordfence security cũng khá đơn giản vì đây là một plugin hoàn toàn miến phí.
2. Ithemes Security
iThemes Security Pro là một trong những plugin bảo mật tốt nhất dành cho WordPress. Bạn không cần phải là một chuyên viên an ninh mạng để thiết lập bảo mật cho website wordpress của mình, iThemes Security Pro sẽ giúp bạn dễ dàng bật tính năng bảo vệ trang web một cách toàn diện.
iThemes Security Pro làm việc để sửa các vấn đề bảo mật thông thường của WordPress mà bạn không thể biết. Bằng cách thêm một lớp bảo vệ bổ sung, iThemes Security Pro giúp cho bạn sự an tâm tuyệt đối với những kẻ xấu bên ngoài.
Tính năng iThemes Security Pro
- WordPress Brute Force Protection: Hạn chế số lần đăng nhập thất bại được cho phép trên mỗi người dùng với tính năng WordPress brute force. Nếu ai đó đang cố gắng đoán mật khẩu của bạn họ sẽ bị khóa sau một vài lần.
- File Change Detection: Nếu ai đó vào được trang web của bạn, họ có thể sẽ thêm, xóa hoặc thay đổi một tập tin. Nhận thông báo qua email cho thấy bất kỳ thay đổi tệp gần đây nào để bạn biết bạn đã bị tấn công hay chưa.
- 404 Detection: Nếu một bot truy cập trang web của bạn về các trang lỗi, nó sẽ tạo ra 404. iThemes Security sẽ khóa IP đó sau khi giới hạn bạn đặt (20 lỗi trong 5 phút theo mặc định).
- Strong Password Enforcement: Đặt mức người dùng trên trang web của bạn (quản trị viên, người biên soạn, người dùng) cần phải có mật khẩu mạnh. Việc thực thi mật khẩu mạnh mẽ là một trong những cách tốt nhất để khóa WordPress.
- Lock Out Bad Users: Chặn những người dùng trên trang web của bạn nếu họ có quá nhiều lần đăng nhập thất bại, và nếu họ tạo ra quá nhiều lỗi 404.
- Away Mode: Không phải khóa trang web của bạn 24 giờ một ngày? Harden WordPress bằng cách làm cho bảng điều khiển WordPress không thể truy cập được trong những giờ cụ thể để không ai có thể lẻn vào và cố gắng thay đổi.
- Hide Login & Admin: Thay đổi URL mặc định của khu vực đăng nhập WordPress để những kẻ tấn công không biết phải đi đâu. Tính năng này cũng tuyệt vời để giúp khách hàng nhớ liên kết đăng nhập của họ.
- Database Backups: Lên lịch sao lưu cơ sở dữ liệu và yêu cầu gửi qua email. Hoặc bạn có thể sử dụng backupbuddy để sử dụng thêm các tiện ích hay về sao lưu dữ liệu.
- Email Notifications: Nhận thông báo qua email khi có người bị khóa sau quá nhiều lần đăng nhập thất bại hoặc khi tệp trên trang web của bạn đã bị thay đổi.
- Change WordPress Salts & Keys: iThemes Security Pro làm cho việc cập nhật WordPress salts & keys dễ dàng. Việc cập nhật các khóa xác thực này thường làm tăng thêm một lớp phức tạp nữa.
- Online File Comparisons: iThemes Security Pro so sánh các thay đổi được thực hiện với bất kỳ tập tin lõi WordPress nào trên hệ thống của bạn với phiên bản trên WordPress.org để xác định xem thay đổi có độc hại hay không.
- Tích hợp Google reCAPTCHA: Thêm một lớp bảo vệ bổ sung vào các trang dễ bị tấn công nhất như đăng nhập WP, đăng ký người dùng và nhận xét với reCAPTCHA của Google.
Hiện tại iThemes Security miễn phí được tải trực tiếp từ wordpress.com.
3. BulletProof Security
Là một Plugin phổ biến sử dụng bảo mật trong wordpress, Nó cho phép bảo mật bằng tường lửa, bảo mật cơ sở dữ liệu, bảo mật đăng nhập và một số tính năng quan trọng khác. Bạn chỉ cần cài đặt Plugin này là bạn đã có thể bảo mật trang wordpress thông qua những cấu hình mặc định.
Tương tự như Wordfence nó cho phép chặn IP đăng nhập, kiểm tra tập tin lõi, đồng thời phát hiện những file nào bị nhiễm Virus và thông bao lại cho người quản trị. Ngoài ra BulletProof Security còn tối ưu hóa thông qua bộ nhớ đệm, xây dựng tập tin .htaccess chống lại các lỗ hổng.
Với khả năng bảo mật wordpress chống lại các lỗ hổng khác nhau như XSS, RFI, CRLF, CSRF, Base64, Code Injection, SQL Injetion.
Hiện tại BulletProof Security hiện có phiên bản miễn phí và trả phí, tuy nhiên bản miễn phí cũng đầy đủ rồi, nếu bạn muốn sử dụng thêm chức năng có thể mua bản trả phí.
4. Sucuri Securitysucuri-website-security
Sucuri Security được biết đến với tên Sucuri Inc. là một trong những cơ quan có tiếng chuyên về bảo mật website wordpress trên toàn cầu.
Plugin Sucuri Security được sử dụng miễn phí cho tất cả người dùng WordPress. Đó là phần mềm an ninh nhằm bổ sung tính năng bảo mật cho bất kỳ trang website wordpress nào. Sucuri Security cung cấp cho người dùng một bộ các tính năng bảo mật được thiết kế để chống lại toàn bộ cuộc tấn công mạng.
Những tính năng của Sucuri Security
- Kiểm tra hoạt động bảo mật của website
- Theo dõi tín hiệu tập tin hệ thống
- Quét phần mềm độc hại từ xa
- Giám sát danh sách đen
- An toàn hiệu quả với Hardening
- Các hành động bảo mật sau khi hack
- Thông báo bảo mật cho quản trị
- Chế độ Tường lửa cho trang website
Để cài đặt và kích hoạt Sucuri Security truy cập vào liên kết sau https://vi.wordpress.org/plugins/sucuri-scanner.
5. All In One WP Security & Firewall
All In One WP Security & Firewall là một plugin giúp WordPress trở lên an toàn hơn. Với những tính năng cao cấp như thêm bảo mật, tường lửa thêm vào trang web của bạn. All In One WP Security & Firewall sẽ bảo mật trang web của bạn đến một cấp độ hoàn toàn mới.
Plugin này được thiết kế bởi các chuyên gia hàng đầu của wordpress với cách sử dụng dễ dàng chỉ sau một cú lick chuột sẽ làm giảm nguy cơ bảo mật bằng cách kiểm tra các lỗ hổng, và thực thi các biện pháp và kỹ thuật bảo mật mới nhất được đề xuất của WordPress.
Chức năng All In One WP Security & Firewall
- Bảo mật tài khoản người dùng
- Bảo mật đăng nhập người dùng
- Bảo mật đăng ký người dùng
- Bảo mật cơ sở dữ liệu
- Bảo mật hệ thống tập tin
- Sao lưu và phục hồi file .htaccess và wp-config.php
- Chức năng danh sách đen
- Chức năng tường lửa
- Chặn tấn công Login Brute Force
- Quét bảo mật toàn hệ thống
- Chống spam trong bình luận
- +15 tính năng nâng cao khác
Tất cả đều có trong All In One WP Security & Firewall truy cập trang website để cài ngay nào.
Lời kết
Bảo mật website là một công việc cần thiết dành cho bất kỳ trang website wordpress nào mặc dù wordpress là một mã nguồn để thiết kế website phổ biến nhất hiện nay tuy nhiên không thể chắc chắn rằng trong trong tương lai bạn sẽ bị tấn công hay không vì thế mà trong danh sách những plugin bảo mật cho wordpress tốt nhất này bạn có thể sử dụng bất kỳ plugin nào để tăng cường bảo mật cho website và chống các sự cố không mong muốn xảy ra.