Dưới đây là 11 cách bảo mật Website WordPress
hữu hiệu mà bạn nên dùng, tránh khỏi nguy cơ bị tấn công bởi những phần
tử bất hảo trên internet và ngăn chặn nguy cơ một ngày nào đó bỗng dưng
bị mất quyền kiểm soát website hay dữ liệu bị biến mất chỉ sau một đêm.
11 cách bảo mật website này chuyên dùng cho các
website sử dụng mã nguồn mở WordPress. Mỗi một cách đều có khả năng giúp
bạn tăng cường sự bảo mật cho website, tuy nhiên, hay nhất là bạn nên
sử dụng kết hợp các cách này với nhau.
11 cách bảo mật Website WordPress hữu hiệu
1. Mã hóa thông tin đăng nhập
Nếu bạn truy cập ở nơi công cộng thì cơ
hội dành cho hacker để “nhòm ngó” và lấy cắp thông tin của bạn là rất
lớn nhờ vào các phần mềm Keylogger hoặc ứng dụng khác. Tuy nhiên, chúng
ta hoàn toàn có thể khắc phục được vấn đề này và tăng cường bảo mật
website bằng plug – in Chap Secure Login với chức năng
chính là gán thêm những đoạn mã hash ngẫu nhiên vào chuỗi ký tự mật
khẩu, sau đó tiến hành xác nhận tính hợp pháp của tài khoản với giao
thức CHAP.
Cài đặt Plugin bạn chỉ cần vào add plugin và gõ vào trình search: Chap Secure Login.2. Ngăn chặn Brute Force Attack
Trên thực tế, tin tặc hoàn toàn có thể
bẻ gãy mật khẩu đăng nhập cũng như thông tin xác nhận của người dùng
bằng cách sử dụng cơ chế Brute Force Attack. Để giảm thiểu nguy cơ này,
các bạn hãy sử dụng plug – in Login LockDown dành cho WordPress.
Tiện ích này sẽ ghi lại toàn bộ thông
tin mỗi khi có yêu cầu truy cập từ 1 địa chỉ IP nào đó thực hiện nhiều
lần đăng nhập vào hệ thống WordPress, sau một số lần đăng nhập thất bại
nhất định nào đó thì hệ thống sẽ khóa chức năng truy cập, cũng như tất
cả yêu cầu khác từ địa chỉ đó.
3. Sử dụng mật khẩu theo đúng tiêu chuẩn
Đây là điều rất cơ bản, nhưng có vẻ
nhiều người vẫn không áp dụng chuẩn xác. Đó là lựa chọn và sử dụng mật
khẩu phức tạp nhưng vẫn phải dễ nhớ, người khác khó đoán, không dùng
những chuỗi thông tin quen thuộc như tên người thân, số điện thoại, địa
chỉ… mà phải kết hợp ký tự và con số, ký tự đặc biệt, chữ hoa chữ
thường. Bạn đừng xem thường việc đặt mật khẩu đúng tiêu chuẩn, đó là một
cách nâng cao sự bảo mật website rất hữu hiệu đấy …
4. “Bảo vệ” thư mục wp-admin
4. “Bảo vệ” thư mục wp-admin
Mặc định đường dẫn tới trang quản trị của WordPress là wp-admin,
điều này sẽ giúp các hacker dễ dàng xác định địa chỉ đăng nhập sau khi
họ đã có đầy đủ thông tin về tài khoản quản trị của bạn.
Vì vậy trước tiên, bạn cần đổi địa chỉ đăng nhập vào trang quản trị bằng cách sử dụng plugin Better WP Security để
tăng cường bảo mật cho WordPress, trong đó có chức năng đổi đường dẫn
mặc định của trang quản trị thành đường dẫn bất kỳ mà bạn muốn. Sau khi
cài đặt, vào Security -> Hide và điền tên của đường dẫn mới của trang
quản trị, trang đăng nhập và trang đăng ký.
5. “Giấu” thư mục plugins
Nếu truy cập vào thư mục hoặc đường dẫn http://yourwebsite.com/wp-content/plugins , bạn sẽ thấy toàn bộ danh sách plug – in của hệ thống được sử dụng.
Nếu muốn ẩn thư mục này thì các bạn chỉ cần đăng tải file index.html trống tới thư mục plugin này. Rất đơn giản, chỉ cần mở 1 ứng dụng chỉnh sửa text bất kỳ, sau đó lưu lại thành index.html, dùng chương trình FTP và tải file index.html này vào thư mục /wp-content/plugins.
6. Thay đổi tên đăng nhập
Tên Username mặc định ở đây là admin,
tuy nhiên chúng ta vẫn có thể thay đổi được để cản trở quy trình tấn
công của hacker vào những hệ thống đơn giản. Trong bảng điều khiển chính
của WordPress, các bạn mở Users và tạo mới 1 tài khoản, sau đó gán quyền administrator và đăng nhập lại bằng tài khoản vừa tạo.
Truy cập vào phần Users, lần này các bạn đánh dấu check vào ô bên cạnh admin và chọn Delete.
Khi hệ thống hiển thị cửa sổ xác nhận thông báo, chúng ta chọn Attribute all posts and links to: và chọn tài khoản vừa tạo tại bước trên trong danh sách dropdown.
Quá trình này sẽ chuyển toàn bộ các bài viết sang tài khoản mới. Sau đó các bạn nhấn Confirm Deletion.
7. Luôn cập nhập phiên bản mới nhất của WordPress và plug – in
Về mặt kỹ thuật, phiên bản mới nhất của
WordPress luôn được cập nhật các bản vá bảo mật, do vậy người dùng hãy
để ý đến quá trình này.
8. Thực hiện quy trình quét thường xuyên
Như đã đề cập tới ở bên trên, các bạn cần cài đặt tiện ích WP Security Scan và
tiến hành quét thường xuyên nhằm phát hiện ra các lỗ hổng bảo mật trong
hệ thống. Một điểm nữa cần áp dụng ở đây là thay đổi wp_ thành bất tiền tố tùy chỉnh, nhằm tránh khỏi sự nhòm ngó của hacker.
9. Tạo lớp bảo vệ bằng mật khẩu cho trang quản trị
Nếu bạn vẫn còn băn khoăn về sự an toàn
của trang quản trị thì có thể dùng thêm cách tạo thêm một lớp đăng nhập
nữa bằng cách sử dụng chức năng Password Protect Directories có trong cPanelX của các hosting thông dụng hiện nay.
Sau khi nhấp vào, các bạn chọn thư mục wp-admin và tạo tên đăng nhập và mật khẩu cho lớp đăng nhập.
Ấn nút Add/modify authorized user.
Tiếp tục, nhìn lên trên và gõ tên folder cần bảo vệ vào, ở đây folder cần bảo vệ là wp-admin, sau đó tích dấu vào ôPassword Protect this directory và ấn nút Save để hoàn tất.
Bắt đầu từ đây, mỗi khi chúng ta đăng nhập vào wp-admin đều
sẽ trải qua một lớp bảo vệ, chúng ta cần điền tên đăng nhập và mật khẩu
bảo vệ vào. Sau đó mới tiến hành đăng nhập vào WordPress theo cách
thông thường.
10. Phân quyền cho file/thư mục trên host bằng lệnh CHMOD
CHMOD (phân quyền) xem, xóa và chỉnh
sửa các dữ liệu trên hosting của bạn. Nếu CHMOD không được kỹ và an toàn
thì khả năng các file nằm trên host có thể dễ dàng được chỉnh sửa bởi
hacker.
Vì thế để tăng bảo mật website và giảm thiểu nguy cơ bị tấn công, cần phải CHMOD thật tối ưu cho các file và folder.
• CHMOD can thiệp thay đổi những quyền sau:
- Read (đọc): Viết tắt là “r” và được biểu diễn bằng số 4
- Write (chỉnh sửa): Viết tắt là “w” và được biểu diễn bằng số 2
- Execute (thực thi): Viết tắt là “x” và được biểu diễn bằng số 1
- Read (đọc): Viết tắt là “r” và được biểu diễn bằng số 4
- Write (chỉnh sửa): Viết tắt là “w” và được biểu diễn bằng số 2
- Execute (thực thi): Viết tắt là “x” và được biểu diễn bằng số 1
• CHMOD thay đổi quyền hạn cho các đối tượng sau
- “Owner”: Chủ sở hữu của file/thư mục
- “Group”: Nhóm mà Owner là thành viên
- “Public / Others/ Everybody”: Những người còn lại
- “Group”: Nhóm mà Owner là thành viên
- “Public / Others/ Everybody”: Những người còn lại
Để CHMOD bạn có 2 cách.
• Cách 1
Mở trình upload FTP lên, ấn chuột phải vào thư mục/tập tin cần CHMOD và chọn CHMOD.
Mở trình upload FTP lên, ấn chuột phải vào thư mục/tập tin cần CHMOD và chọn CHMOD.
• Cách 2
Vào phần File Manager trong trang quản trị hosting và chọn Change Permission
Vào phần File Manager trong trang quản trị hosting và chọn Change Permission
Tối ưu CHMOD cho WordPress
File đầu tiên chúng ta cần bảo vệ đó là wp-config.php vì file này lưu giữ những thông tin đăng nhập vào cơ sở dữ liệu của mình.
Nếu như các bạn ít khi chỉnh sửa file này thì hãy CHMOD là 444 cho wp-config.
Điều này có nghĩa tất cả các nhóm người dùng chỉ có thể đọc chứ không
chỉnh sửa hay thực thi được, kể cả chủ sỡ hữu. Và sau khi đưa về 444, chúng ta không thể chỉnh sửa nội dung file này, nếu muốn chỉnh sửa thì hãy đưa nó về 644.
Các file còn lại thì bạn có thể CHMOD là 644 và 755 cho các folder.
Nếu bạn muốn tối ưu hơn nữa, hãy CHMOD folder wp-admin, wp-includes thành 101. Tuy nhiên để CHMOD thành 101thì bạn không thể CHMOD trên FTP được mà phải vào File Manager để làm việc này.
Sau khi CHMOD thành 101, bạn đăng nhập vào FTP sẽ
không thể nhìn thấy các folder đã được CHMOD, điều này đồng nghĩa bạn
không thể làm gì được ngoại trừ truy cập bằng trình duyệt.
Tiếp đến là CHMOD cho tất cả các file thành 400 (ngoại trừ các file trong thư mục theme).
Nếu trong một số trường hợp máy chủ không cho phép CHMOD 400 thì bạn có thể đổi thành 404.
Nếu trong một số trường hợp máy chủ không cho phép CHMOD 400 thì bạn có thể đổi thành 404.
Nếu như bạn thấy khó khăn trong việc CHMOD thì plugin File Permissions & Size Check sẽ giúp bạn CHMOD và theo dõi các tập tin/thư mục dễ dàng trong trang quản trị WordPress.
Còn đây là gợi ý CHMOD tối ưu hóa cho WordPress của BulletProof Security.
11. Sao lưu (backup) cơ sở dữ liệu thường xuyên
Công việc này không giảm thiểu khả năng
bị tấn công trên WordPress mà nó giúp chúng ta giảm mức độ thiệt hại sau
những đợt tấn công. Nếu như bạn sao lưu dữ liệu một cách thường xuyên
thì sau khi bị tấn công và mất hết cơ sở dữ liệu, chúng ta vẫn có thể
hồi sinh web bằng cách phục hồi các dữ liệu đã được sao lưu.
Ngoài ra phương pháp này cũng giúp bạn phục hồi lại blog sau khi tiến hành can thiệp chỉnh sửa liên quan đến cơ sở dữ liệu.
Trong WordPress có khá nhiều công cụ
backup cơ sở dữ liệu. Tuy nhiên, mình gợi ý cho các bạn một plugin ổn
định và backup tốt nhất đó là WP Complete Backup.
Plugin này giúp bạn cài đặt chế độ backup tự động cho tất cả các dữ liệu
trên blog, đồng thời có chức năng đồng bộ hóa tài khoản Google Drive
hoặc Sky Drive vào và tự động gửi những dữ liệu đã được backup lên đó.
Bên trên là phương pháp giúp bạn bảo vệ website của mình. Hãy áp dụng nó để trang web của bạn nói không với hacker .
