Digital Marketing

Bỏ túi 7 bí kíp bảo mật website wordpress

Hãy tưởng tượng một ngày đẹp trời, bao nhiêu công sức và tiền bạc khi xây dựng website wordpress của bạn sẽ bay theo đàn chim trời vì lý do: website của bạn bị hacker truy cập.

Để tránh tiền mất tật mang, hôm nay mình xin chia sẻ 7 cách bảo mật website để hạn chế những rủi ro mà nó mang lại.

1. tài khoản đăng nhập quản trị viên bảo mật:

  • Tài khoản quản trị là chìa khóa cao nhất để mở ổ khóa trên trang web của bạn, nó vô cùng quan trọng, vì vậy hãy lưu giữ chìa khóa này cẩn thận thông qua các cách sau:

+ Hạn chế số lần truy cập, chặn nhầm ip truy cập wp-admin quá nhiều lần hoặc chỉ cho 1 ip của bạn truy cập vào đường dẫn admin, thay đổi user admin mặc định và đường dẫn đăng nhập tài khoản admin.

  • Mặc định bạn có thể đăng nhập tài khoản quản trị sai mật khẩu vô số lần mà không xảy ra bất cứ điều gì, đây là một yếu tố nguy hiểm khi ai đó có thể lấy được mật khẩu tài khoản quản trị của bạn, cách tốt nhất là hạn chế truy cập sai ở mức 3 hoặc 5 lần.
  • Chặn truy cập nhầm ip quá nhiều lần để bảo vệ tài khoản admin tốt hơn, và một phần cực kỳ quan trọng là khi lập tài khoản admin nên chọn user khác với mặc định, có thể nó sẽ giúp bạn vượt qua 1 đợt tấn công của bọn hacker đó.
  • => Để làm được điều này thì trên kho ứng dụng wordpress có khá nhiều plugin, mình xin nêu ra một vài plugin được nhiều người tin dùng:

iThemes Security (trước đây là Better WP Security):

Bỏ túi 7  bí kíp bảo mật website wordpress

iThemes Security với hơn 900.000 lượt tải xuống và hơn 3 nghìn lượt đánh giá 5 * đã cho thấy sự đánh giá cao khi tải xuống và kích hoạt plugin này.

Đăng nhập LockDown:

2

Chức năng chính của plugin này là LockDown ghi lại địa chỉ IP và dấu thời gian của mỗi lần đăng nhập không thành công. Nếu nhiều hơn một
số lần thử được phát hiện trong một khoảng thời gian ngắn từ cùng một
IP, sau đó ghi nhật ký sẽ bị vô hiệu hóa cho tất cả các yêu cầu từ phạm vi đó.
Điều này giúp ngăn chặn việc dò tìm mật khẩu. Hiển thị plugin mặc định
Khóa 1 giờ bằng IP với 3 lần đăng nhập không thành công trong vòng 5 phút. Điều này có thể được sửa đổi thông qua bảng Preferences. Bạn có thể mở khóa IP bị khóa ra khỏi bảng điều khiển.

Theo mặc định, bạn truy cập trang đăng nhập WordPress thông qua URL hocban.vn/wp-admin hoặc hocban.vn/wp-login.php.

Đây là URL nổi tiếng mà trang web WordPress thu hút rất nhiều cuộc tấn công bạo lực.

Thay đổi URL trang đăng nhập rất đơn giản. Một lần nữa, bạn sử dụng iThemes Security. Tính năng này bạn phải cấu hình trong phần Cài đặt-> Bảo mật -> Nâng caonhấn vào nút Định cấu hình Cài đặt.

3

Trong màn hình cấu hình, nhập đường dẫn bạn muốn vào hộp Đăng nhập Slug.

4

Ngoài ra, để tăng tính bảo mật cho tài khoản amdin, bạn có thể đặt mật khẩu khó nhớ, lạ khiến người khác không thể tìm ra, tránh đặt các tài khoản dễ đoán như: 123456, password, matkhau …..

Nếu bạn không biết cách đặt mật khẩu khó nhớ thì có một số công cụ giúp bạn như http://passwordsgenerator.net/ hoặc công cụ có sẵn tiếng Việt để tránh đọc tiếng Anh như: https://vi. vpnmentor.com/tools/secure-password-generator/

2. Giám sát ngay cả những thay đổi nhỏ trong mã web của bạn:

Nếu ai đó có ý định xấu với trang web của bạn, một trong những dấu hiệu đầu tiên là có một chút thay đổi trong mã web của bạn, để theo dõi tốt hơn trong các plugin mà tôi đã giới thiệu iThemes Security để hỗ trợ. hỗ trợ tính năng này nhưng không được kích hoạt. Để kích hoạt tính năng này, chỉ cần nhấp vào nút ‘Cho phép‘ bên trong Phát hiện thay đổi tệp.

5

3. Không chỉ thay đổi mã web, cơ sở dữ liệu còn phải theo dõi:

Như bạn đã biết, theo mặc định, tên của các bảng trong cơ sở dữ liệu WordPress bắt đầu bằng wp_. Việc sử dụng tiền tố mặc định như vậy làm cho cơ sở dữ liệu rất dễ bị tấn công SQL Injection.

Vì vậy, tôi khuyên bạn nên thay đổi nó. Bạn có thể thay đổi nó khi cài đặt WordPress.

Nếu bạn đã cài đặt nó, bạn có thể thay đổi nó nhờ vào plugin iThemes Security. Hãy nhớ sao lưu dữ liệu của bạn khi thực hiện thay đổi.

Cách thay đổi:

Trong phần Nâng cao của iThemes Security, bạn truy cập vào phần cấu hình có tên “Thay đổi tiền tố bảng cơ sở dữ liệu“. Sau đó làm theo hướng dẫn

6

Cá nhân mình khuyên các bạn nên thay đổi nó trong lần thiết lập wordpress đầu tiên, việc thay đổi có thể mang lại hiệu quả không ngờ vì cơ sở dữ liệu là thứ quan trọng nhất trong việc xây dựng và phát triển website đúng không ???

4. Biến thói quen sao lưu dữ liệu thành một điều không thể không làm:

Nếu bạn mất hết cơ sở dữ liệu, dữ liệu web của bạn sẽ mất công sức và tiền bạc, nhưng nếu bạn có một bản sao lưu, nó sẽ là bùa hộ mệnh của bạn. Việc sao lưu có thể thực hiện theo ngày, tuần, tháng tùy bạn, nhưng theo tôi, nên sao lưu ít nhất 1 lần / tuần và lưu trữ trên ổ cứng máy tính, dịch vụ đám mây của google hoặc các dịch vụ lưu trữ đám mây. những đám mây khác, nhiều lá bùa hơn phải không, khi mất linh thì có mấy cái khác.

5. Bảo mật Databse:

Tôi đã nói về bảo mật mã web, bảo mật tài khoản quản trị, bây giờ hãy nói về bảo mật cơ sở dữ liệu

Cũng giống như mật khẩu cho trang đăng nhập trong màn hình quản trị, hãy sử dụng mật khẩu mạnh cho cơ sở dữ liệu.

Ngay sau khi bạn cài đặt WordPress, bạn nên tận dụng lợi thế của mật khẩu được tạo cho bạn. Mật khẩu này rất mạnh.

Và nếu bạn vẫn còn mật khẩu yếu, hãy sử dụng công cụ tạo mật khẩu mà tôi đã liên kết ở trên để có được mật khẩu tốt nhất.

6. Cập nhật phiên bản wordpress, plugin thường xuyên, tránh xài chùa:
Cập nhật wp và các plugin thường xuyên sẽ giúp bạn tránh được những lỗi có thể đã phát hiện ra và đang trong quá trình khai thác, ngoài ra nó còn giúp website của bạn tăng tính ổn định.
Nói không với ma túy, nhầm lẫn, nói không với theme null, crack, plugin bẻ khóa, không rõ nguồn gốc để tránh việc bạn tạo cửa sau cho người khác vào nhà hoặc bạn mang bom về nhà.
7. Ngăn chặn mã web bạn mang về nhà những nguy cơ tiềm ẩn:

Vui lòng chặn thực thi tệp php trong thư mục tải lên để ngăn kẻ xấu cố tình tải lên các tập lệnh nguy hiểm trong thư mục này.

Để làm điều này, bạn vào Bảo mật -> Cài đặt. Bật Chỉnh sửa hệ thống nếu chưa được bật. Sau đó, bạn đánh dấu vào tùy chọn Tắt PHP trong Tải lên. Nhớ nhấp vào Lưu Cài đặt để lưu cài đặt.

7

Thông thường, khi ai đó truy cập vào trang wp-admin (yourdomain.com/wp-admin), màn hình yêu cầu tên người dùng và mật khẩu sẽ xuất hiện.

Bạn có thể thêm một lớp xác thực bổ sung. Điều này có nghĩa là người dùng phải xác thực hai lần để truy cập vào trang quản trị.

Bằng cách này, việc hack màn hình wp-admin trở nên khó hơn.

Chúng tôi sử dụng cPanel để làm điều này.

Đầu tiên, Đăng nhập vào cPanel, kéo xuống phần Bảo mật. Nhấp vào biểu tượng “Thư mục bảo vệ bằng mật khẩu

số 8

Một hộp thoại xuất hiện, chọn gốc web

9

Trên màn hình tiếp theo, chọn thư mục wp-admin. Cuối cùng, bạn sẽ thấy màn hình sau

mười

Đầu tiên bạn đánh dấu vào tùy chọn “Mật khẩu bảo vệ thư mục này“. Sau đó, bạn tạo một người dùng có quyền truy cập vào thư mục đó.

Như thế là xong.

Bây giờ, khi bạn truy cập vào thư mục wp-admin trong trình duyệt của mình, bạn sẽ thấy một hộp thoại yêu cầu xác thực như bên dưới:

11

Cách 404 hoặc Quá nhiều chuyển hướng

Nếu bạn gặp lỗi này, hãy mở tệp .htaccess trong thư mục gốc (ví dụ: public_html) và thêm mã sau

ErrorDocument 401 default

Lỗi Ajax trong giao diện người dùng

Nếu sau khi đặt mật khẩu ở trên, người dùng luôn thấy cửa sổ bật lên yêu cầu xác thực khi truy cập trang chủ thì rất có thể bạn đang gặp lỗi Ajax. Để khắc phục điều này, hãy mở tệp .htaccess trong thư mục / wp-admin (không phải tệp .htaccess trong thư mục gốc). Nếu tệp này không có sẵn, bạn có thể tạo một tệp. Và thêm mã sau

<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

Lưu ý: Nếu bạn đã thay đổi đường dẫn trang đăng nhập như tôi đã đề cập ở phần 3 thì không cần thiết phải sử dụng phương pháp bảo mật này.

Một số thông tin thêm về XML-RPC nếu bạn chưa biết

XML-RPC là một kết nối từ xa tới WordPress sử dụng XML để trao đổi dữ liệu qua lại. Thông thường, bạn sử dụng tính năng đăng bài từ các ứng dụng khách như Windows Live Writer hoặc các ứng dụng sử dụng IFTT.

Nhưng việc bật tính năng XML-RPC có nghĩa là bạn đang mở ra cánh cửa cho các cuộc tấn công thô bạo vào trang web của bạn để lấy cắp mật khẩu. Tệ hơn nữa là HTTP Flood Attack (một loại tấn công DDoS). Với hình thức tấn công này, hacker sẽ gửi một lượng lớn yêu cầu làm tê liệt máy chủ.

Vì vậy, tốt nhất bạn nên tắt XML-RPC. Sử dụng một trong các cách sau:

Một. Tắt XML-RPC bằng .htaccess

Chỉ cần mở tệp .htaccess và thêm mã sau

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

b. Tắt XML-RPC bằng iThemes Security

Bạn nhập Bảo mật -> Cài đặt -> Tinh chỉnh WordPress và chọn Tắt XML-RPC như bên dưới

thứ mười hai

Qua 7 mẹo bảo mật website wordpress mà mình vừa giới thiệu trên đây, hy vọng sẽ giúp ích được phần nào cho các bạn trong việc bảo mật website wordpress thân yêu của mình.

Cảm ơn các bạn đã đọc bài viết, rất mong nhận được những ý kiến ​​đóng góp và đánh giá của các bạn.

Sưu tầm và biên tập: Đạt Nguyễn JX

Đánh giá bài viết này


Marketing online


Thông tin thêm

Bỏ túi 7 bí kíp bảo mật website wordpress

#Bỏ #túi #bí #kíp #bảo #mật #website #wordpress
[rule_3_plain] #Bỏ #túi #bí #kíp #bảo #mật #website #wordpress

Tưởng tượng một ngày đẹp trời nào đó bao nhiêu công sức tiền của khi xây dựng website wordpress của bạn bay đi theo cánh chim cuối trời vì lý do: website của bạn bị hacker viếng thăm.
Để tránh tình trạng mất pồ mới lo giữ, hôm nay mình xin chia sẻ 7 cách để bảo mật website nhằm hạn chế những rủi ro mang lại .
1.Bảo mật tài khoản đăng nhập admin:

Tài khoản admin là cái chìa khóa cao nhất trong việc mở những ổ khóa trong website bạn, nó cực kỳ quan trọng nên hãy giữ gìn chiếc chìa khóa này cẩn thận qua các cách sau:

+ Giới hạn số lần truy cập, chặn ip truy cập wp-admin sai quá nhiều lần hoặc chỉ cho 1 ip của bạn truy cập đường dẫn admin, thay đổi user admin mặc định và đường dẫn login tài khoản admin.

Mặc định bạn có thể login tài khoản admin sai mật khẩu vô số lần mà không có chuyện gì xảy ra, đây là một yếu tố nguy hiểm khi ai đó có thể do mật khẩu tài khoản admin của bạn, cách tốt nhất hãy giới hạn số lần truy cập sai ở 3 hay 5 lần.
Chặn luôn ip truy cập sai quá nhiều lần để bảo vệ tài khoản admin tốt hơn, và một phần cực kỳ quan trọng là khi setup tài khoản admin thì hãy chọn một user nào đó khác với mặc định, có thể nó giúp bạn vượt qua 1 lần sự tấn công của các hacker đó ????
=> Để thực hiện các việc này thì có khá nhiều các plugins có sẵn trên kho ứng dụng của wordpress, mình xin nêu ra vài plugins được khá nhiều người tin tưởng sư dụng đó là :

     iThemes Security (formerly Better WP Security):
iThemes Security  với hơn 900.000 lượt tải và nhận được hơn 3 nghìn đánh giá 5 * đã thể hiện sự đánh giá khi tải về và kích hoạt plugins này.
    Login LockDown:

Chức năng chính của plugins này là LockDown ghi lại địa chỉ IP và dấu thời gian của mỗi lần đăng nhập thất bại. Nếu nhiều hơn một
số lần cố gắng được phát hiện trong một khoảng thời gian ngắn từ cùng một
IP, thì chức năng đăng nhập sẽ bị vô hiệu cho tất cả các yêu cầu từ phạm vi đó.
Điều này giúp ngăn chặn phát hiện việc dò mật khẩu. Hiện plugin mặc định
khóa 1 giờ  đới với IP có 3 lần đăng nhập thất bại trong vòng 5 phút. Điều này có thể được sửa đổi thông qua bảng điều khiển Tùy chọn. Bacs bạn  có thể unbolck  IP bị khóa ra khỏi bảng điều khiển .
Mặc định, bạn truy cập trang login của WordPress thông qua URL hocban.vn/wp-admin hay hocban.vn/wp-login.php.
Chính cái địa chỉ đường dẫn ai ai cũng biết mà website WordPress thu hút rất nhiều đợt tấn công brute force.
Thay đổi địa chỉ đường dẫn trang login rất đơn giản. Lại lần nữa, bạn sử dụng iTheme Security. Tính năng này bạn phải cấu hình ở phần Settings-> Security -> Advanced, click nút Configure Settings.

Ở màn hình cấu hình bạn nhập vào đường dẫn bạn muốn ở ô Login Slug.

Ngoài ra để tăng cường bảo mật tài khoản amdin bạn có thể đặt một password thật khó nhớ, thật dị kỳ để người khác không thể mò ra được, tránh đặt các tài khoản dễ đoán như: 123456, password, matkhau…..
Nếu như bạn chẳng biết đặt mật khẩu khó nhớ như thế nào thì có một số công cụ giúp đỡ bạn như http://passwordsgenerator.net/ hay một công cụ có sẵn tiếng Việt để khỏi ngồi đọc tiếng Anh lằng nhằng như : https://vi.vpnmentor.com/tools/secure-password-generator/
2. Giám sát sự thay đổi dù rất nhỏ trong code web của bạn:
Nếu có ai có ý đồ không tốt với website của bạn thì một trong những dấu hiệu đầu tiên đó là có một sự thay đổi không hề nhẹ trong code web của bạn, để giám sát tốt hơn trong plugins mình đã giới thiệu iThemes Security hỗ trợ tính năng này nhưng không được bật. Để bật tính năng này, bạn chỉ cần click nút ‘Enable’ ở phần File Change Detection.

3. Không chỉ thay đổi trong code web, database cũng phải giám sát:
Như bạn đã biết, mặc định tên các bảng trong cơ sở dữ liệu của WordPress đều bắt đầu với wp_. Sử dụng tiền tố mặc định như vậy làm cho cơ sở dữ liệu rất dễ bị tấn công SQL Injection.
Vì vậy, mình khuyên bạn nên thay đổi nó. Bạn có thể thay đổi nó khi cài đặt WordPress.
Nếu bạn đã cài đặt rồi, bạn có thể thay đổi nhờ vào plugin iThemes Security. Bạn nhớ sao lưu dữ liệu khi thay đổi.
Cách thay đổi:
Ở phần Advanced của iThemes Security, bạn truy cập phần cấu hình có tên “Change Database Table Prefix”. Sau đó làm theo hướng dẫn

Còn riêng mình khuyên các bạn nên thay đổi nó trong khi setup wordpress đầu tiên, việc thay đổi có thể mang lại những hiệu quả bất ngờ vì database là thứ quan trọng nhất trong việc xây dựng và phát triển website đúng không nào ???
4. Hãy để thói quen backup dữ liệu thành việc không thể không làm:
Nếu bạn bị mất hết database, dữ liệu web bạn sẽ mất đi công sức tiền bạc bạn bỏ ra , nhưng nếu bạn đã backup 1 bản dự phòng thì nó sẽ là tấm bùa hộ mệnh bạn . Việc backup có thể thực hiện theo ngày, tuần, tháng tùy bạn nhưng theo mình hãy backup ít nhất 1 tuần 1 lần và lưu trữ đa dạng ở ổ cứng máy tính của bạn, dịch vụ cloud của google hoặc các dịch vụ lưu trữ đám mây khác, nhiều tấm bùa đỡ hơn phải không khi 1 tấm mất linh thì còn vài tấm khác ????
5. Bảo mật databse:
Nãy giờ mình nói về việc bảo mật code web, bảo mât tài khoản admin thì bây giờ nói luôn về việc bảo mật database ????
Cũng giống như mật khẩu cho trang đăng nhập vào màn hình quản trị, hãy sử dụng mật khẩu thật mạnh cho cơ sở dữ liệu.
Ngay khi cài đặt WordPress, bạn nên tận dụng mật khẩu sinh ra sẵn cho bạn. Mật khẩu này rất mạnh.
Còn nếu bạn vẫn đang có mật khẩu yếu, bạn hãy sử dụng công cụ password generator mình đã để link ở trên để có được mật khẩu tốt nhất.
 6. Cập nhật phiên bản wordpress, plugins thường xuyên, tránh sử dụng đồ chùa :
Việc cập nhật wp và plugins thường xuyên sẽ giups các bạn tránh được các lỗi có thể đã được phát hiện và đang trong quá trình khai thác, ngoài ra nó còn giúp website bạn tăng tính ổn định.
Nói không với ma túy, nhầm, nói không với các themes null, crack, plugins crack hoặc không rõ nguồn để tránh việc bạn tạo một cửa sau cho người khác vào nhà bạn hay bạn cầm một quả bom về nhà.
7. Ngăn chặn code web bạn mang ẩn họa về nhà :

Hãy chặn thực thi file php ở thư mục uploads để ngăn kẻ xấu cố tình upload kịch bản nguy hiểm trong thư mục này.
Để làm điều này, bạn vào Security -> Settings. Enable System Tweaks nếu chưa được enable. Sau đó bạn tích vào lựa chọn Disable PHP in Uploads. Nhớ click Save Settings để lưu lại thiết lập.

Bình thường khi một ai đó truy cập vào trang wp-admin (yourdomain.com/wp-admin), màn hình yêu cầu username và mật khẩu hiện ra.
Bạn có thể bổ sung thêm một tầng xác thực nữa. Nghĩa là người dùng phải xác thực hai lần mới vào được trang quản trị.
Với cách này, hack màn hình wp-admin trở nên khó hơn.
Chúng ta sử dụng cPanel để làm việc này.
Đầu tiên bạn Login cPanel, cuộn xuống phần Security. Click vào biểu tượng “Password Protect Directories”

Một hộp thoại xuất hiện, bạn chọn web root

Ở màn hình tiếp theo bạn chọn thư mục wp-admin. Cuối cùng, bạn sẽ nhìn thấy màn hình sau

Đầu tiên bạn đánh dấu vào lựa chọn “Password protected this directory”. Sau đó bạn tạo một user có quyền truy cập vào thư mục đó.
Như là thế là xong.
Bây giờ, khi bạn truy cập vào thư mục wp-admin trong trình duyệt, bạn sẽ nhìn thấy một hộp thoại yêu cầu xác thực như bên dưới:

Lối 404 hay Too many redirects
Nếu bạn gặp lỗi này, bạn mở file .htaccess ở thư mục gốc (ví dụ public_html) và bổ sung đoạn code sau

ErrorDocument 401 default

Lỗi Ajax ở front-end
Nếu sau khi thiết lập password như trên mà người dùng luôn nhìn thấy popup yêu cầu xác thực khi truy cập trang chủ, có thể bạn đang gặp lỗi Ajax. Để fix lỗi này, hãy mở file .htaccess ở thư mục /wp-admin (không phải là file .htaccess ở thư mục gốc). Nếu không có file này, bạn có thể tạo một file. Và bổ sung đoạn code sau

<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

Lưu ý: Nếu bạn đã đổi đường dẫn trang login như mình đề cập ở mục 3 thì không cần thiết phải sử dụng cách bảo mật này.
Một vài thông tin thêm về XML-RPC nếu bạn chưa biết
XML-RPC là kết nối từ xa với WordPress sử dụng XML để trao đổi dữ liệu qua lại. Thông thường bạn sử dụng tính năng để post từ các ứng dụng khách như Windows Live Writer, hay các ứng dụng sử dụng IFTT.
Nhưng bật tính năng XML-RPC đồng nghĩa bạn đang mở cửa cho tấn công dạng brute force vào website của bạn để đánh cắp mật khẩu. Tệ hơn nữa là kiểu tấn công HTTP Flood Attack (một kiểu tấn công DDoS). Với hình thức tấn công này, hacker gửi một lượng lớn request làm tê liệt máy chủ.
Vì vậy tốt nhất bạn hãy tắt XML-RPC. Sử dụng một trong hai cách sau:
a. Tắt XML-RPC bằng .htaccess
Đơn giản, mở file .htaccess và bổ sung đoạn code sau

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

b. TắT XML-RPC sử dụng iThemes Security
Bạn vào Security -> Settings -> WordPress Tweak và chọn Disable XML-RPC như bên dưới

Qua Bỏ túi 7 bí kíp bảo mật website wordpress mình vừa nêu trên đây, mong sẽ giúp các bạn một phần nào đó trong việc bảo mật website wordpress thân yêu của mình.
Xin cảm ơn các bạn đã đọc bài, mong nhận được sự góp ý đánh giá của bác bạn.
Sưu tầm và chỉnh sửa : Đạt Nguyễn JX

Rate this post

window.addEventListener(‘DOMContentLoaded’, function() {
jQuery(document).ready(function( $) {
$.post( ‘https://hocban.vn/wp-admin/admin-ajax.php’, {action: ‘mts_view_count’, id: ‘7406’});
});
});
#Bỏ #túi #bí #kíp #bảo #mật #website #wordpress
[rule_2_plain] #Bỏ #túi #bí #kíp #bảo #mật #website #wordpress
[rule_2_plain] #Bỏ #túi #bí #kíp #bảo #mật #website #wordpress
[rule_3_plain]

#Bỏ #túi #bí #kíp #bảo #mật #website #wordpress

Tưởng tượng một ngày đẹp trời nào đó bao nhiêu công sức tiền của khi xây dựng website wordpress của bạn bay đi theo cánh chim cuối trời vì lý do: website của bạn bị hacker viếng thăm.
Để tránh tình trạng mất pồ mới lo giữ, hôm nay mình xin chia sẻ 7 cách để bảo mật website nhằm hạn chế những rủi ro mang lại .
1.Bảo mật tài khoản đăng nhập admin:

Tài khoản admin là cái chìa khóa cao nhất trong việc mở những ổ khóa trong website bạn, nó cực kỳ quan trọng nên hãy giữ gìn chiếc chìa khóa này cẩn thận qua các cách sau:

+ Giới hạn số lần truy cập, chặn ip truy cập wp-admin sai quá nhiều lần hoặc chỉ cho 1 ip của bạn truy cập đường dẫn admin, thay đổi user admin mặc định và đường dẫn login tài khoản admin.

Mặc định bạn có thể login tài khoản admin sai mật khẩu vô số lần mà không có chuyện gì xảy ra, đây là một yếu tố nguy hiểm khi ai đó có thể do mật khẩu tài khoản admin của bạn, cách tốt nhất hãy giới hạn số lần truy cập sai ở 3 hay 5 lần.
Chặn luôn ip truy cập sai quá nhiều lần để bảo vệ tài khoản admin tốt hơn, và một phần cực kỳ quan trọng là khi setup tài khoản admin thì hãy chọn một user nào đó khác với mặc định, có thể nó giúp bạn vượt qua 1 lần sự tấn công của các hacker đó ????
=> Để thực hiện các việc này thì có khá nhiều các plugins có sẵn trên kho ứng dụng của wordpress, mình xin nêu ra vài plugins được khá nhiều người tin tưởng sư dụng đó là :

     iThemes Security (formerly Better WP Security):
iThemes Security  với hơn 900.000 lượt tải và nhận được hơn 3 nghìn đánh giá 5 * đã thể hiện sự đánh giá khi tải về và kích hoạt plugins này.
    Login LockDown:

Chức năng chính của plugins này là LockDown ghi lại địa chỉ IP và dấu thời gian của mỗi lần đăng nhập thất bại. Nếu nhiều hơn một
số lần cố gắng được phát hiện trong một khoảng thời gian ngắn từ cùng một
IP, thì chức năng đăng nhập sẽ bị vô hiệu cho tất cả các yêu cầu từ phạm vi đó.
Điều này giúp ngăn chặn phát hiện việc dò mật khẩu. Hiện plugin mặc định
khóa 1 giờ  đới với IP có 3 lần đăng nhập thất bại trong vòng 5 phút. Điều này có thể được sửa đổi thông qua bảng điều khiển Tùy chọn. Bacs bạn  có thể unbolck  IP bị khóa ra khỏi bảng điều khiển .
Mặc định, bạn truy cập trang login của WordPress thông qua URL hocban.vn/wp-admin hay hocban.vn/wp-login.php.
Chính cái địa chỉ đường dẫn ai ai cũng biết mà website WordPress thu hút rất nhiều đợt tấn công brute force.
Thay đổi địa chỉ đường dẫn trang login rất đơn giản. Lại lần nữa, bạn sử dụng iTheme Security. Tính năng này bạn phải cấu hình ở phần Settings-> Security -> Advanced, click nút Configure Settings.

Ở màn hình cấu hình bạn nhập vào đường dẫn bạn muốn ở ô Login Slug.

Ngoài ra để tăng cường bảo mật tài khoản amdin bạn có thể đặt một password thật khó nhớ, thật dị kỳ để người khác không thể mò ra được, tránh đặt các tài khoản dễ đoán như: 123456, password, matkhau…..
Nếu như bạn chẳng biết đặt mật khẩu khó nhớ như thế nào thì có một số công cụ giúp đỡ bạn như http://passwordsgenerator.net/ hay một công cụ có sẵn tiếng Việt để khỏi ngồi đọc tiếng Anh lằng nhằng như : https://vi.vpnmentor.com/tools/secure-password-generator/
2. Giám sát sự thay đổi dù rất nhỏ trong code web của bạn:
Nếu có ai có ý đồ không tốt với website của bạn thì một trong những dấu hiệu đầu tiên đó là có một sự thay đổi không hề nhẹ trong code web của bạn, để giám sát tốt hơn trong plugins mình đã giới thiệu iThemes Security hỗ trợ tính năng này nhưng không được bật. Để bật tính năng này, bạn chỉ cần click nút ‘Enable’ ở phần File Change Detection.

3. Không chỉ thay đổi trong code web, database cũng phải giám sát:
Như bạn đã biết, mặc định tên các bảng trong cơ sở dữ liệu của WordPress đều bắt đầu với wp_. Sử dụng tiền tố mặc định như vậy làm cho cơ sở dữ liệu rất dễ bị tấn công SQL Injection.
Vì vậy, mình khuyên bạn nên thay đổi nó. Bạn có thể thay đổi nó khi cài đặt WordPress.
Nếu bạn đã cài đặt rồi, bạn có thể thay đổi nhờ vào plugin iThemes Security. Bạn nhớ sao lưu dữ liệu khi thay đổi.
Cách thay đổi:
Ở phần Advanced của iThemes Security, bạn truy cập phần cấu hình có tên “Change Database Table Prefix”. Sau đó làm theo hướng dẫn

Còn riêng mình khuyên các bạn nên thay đổi nó trong khi setup wordpress đầu tiên, việc thay đổi có thể mang lại những hiệu quả bất ngờ vì database là thứ quan trọng nhất trong việc xây dựng và phát triển website đúng không nào ???
4. Hãy để thói quen backup dữ liệu thành việc không thể không làm:
Nếu bạn bị mất hết database, dữ liệu web bạn sẽ mất đi công sức tiền bạc bạn bỏ ra , nhưng nếu bạn đã backup 1 bản dự phòng thì nó sẽ là tấm bùa hộ mệnh bạn . Việc backup có thể thực hiện theo ngày, tuần, tháng tùy bạn nhưng theo mình hãy backup ít nhất 1 tuần 1 lần và lưu trữ đa dạng ở ổ cứng máy tính của bạn, dịch vụ cloud của google hoặc các dịch vụ lưu trữ đám mây khác, nhiều tấm bùa đỡ hơn phải không khi 1 tấm mất linh thì còn vài tấm khác ????
5. Bảo mật databse:
Nãy giờ mình nói về việc bảo mật code web, bảo mât tài khoản admin thì bây giờ nói luôn về việc bảo mật database ????
Cũng giống như mật khẩu cho trang đăng nhập vào màn hình quản trị, hãy sử dụng mật khẩu thật mạnh cho cơ sở dữ liệu.
Ngay khi cài đặt WordPress, bạn nên tận dụng mật khẩu sinh ra sẵn cho bạn. Mật khẩu này rất mạnh.
Còn nếu bạn vẫn đang có mật khẩu yếu, bạn hãy sử dụng công cụ password generator mình đã để link ở trên để có được mật khẩu tốt nhất.
 6. Cập nhật phiên bản wordpress, plugins thường xuyên, tránh sử dụng đồ chùa :
Việc cập nhật wp và plugins thường xuyên sẽ giups các bạn tránh được các lỗi có thể đã được phát hiện và đang trong quá trình khai thác, ngoài ra nó còn giúp website bạn tăng tính ổn định.
Nói không với ma túy, nhầm, nói không với các themes null, crack, plugins crack hoặc không rõ nguồn để tránh việc bạn tạo một cửa sau cho người khác vào nhà bạn hay bạn cầm một quả bom về nhà.
7. Ngăn chặn code web bạn mang ẩn họa về nhà :

Hãy chặn thực thi file php ở thư mục uploads để ngăn kẻ xấu cố tình upload kịch bản nguy hiểm trong thư mục này.
Để làm điều này, bạn vào Security -> Settings. Enable System Tweaks nếu chưa được enable. Sau đó bạn tích vào lựa chọn Disable PHP in Uploads. Nhớ click Save Settings để lưu lại thiết lập.

Bình thường khi một ai đó truy cập vào trang wp-admin (yourdomain.com/wp-admin), màn hình yêu cầu username và mật khẩu hiện ra.
Bạn có thể bổ sung thêm một tầng xác thực nữa. Nghĩa là người dùng phải xác thực hai lần mới vào được trang quản trị.
Với cách này, hack màn hình wp-admin trở nên khó hơn.
Chúng ta sử dụng cPanel để làm việc này.
Đầu tiên bạn Login cPanel, cuộn xuống phần Security. Click vào biểu tượng “Password Protect Directories”

Một hộp thoại xuất hiện, bạn chọn web root

Ở màn hình tiếp theo bạn chọn thư mục wp-admin. Cuối cùng, bạn sẽ nhìn thấy màn hình sau

Đầu tiên bạn đánh dấu vào lựa chọn “Password protected this directory”. Sau đó bạn tạo một user có quyền truy cập vào thư mục đó.
Như là thế là xong.
Bây giờ, khi bạn truy cập vào thư mục wp-admin trong trình duyệt, bạn sẽ nhìn thấy một hộp thoại yêu cầu xác thực như bên dưới:

Lối 404 hay Too many redirects
Nếu bạn gặp lỗi này, bạn mở file .htaccess ở thư mục gốc (ví dụ public_html) và bổ sung đoạn code sau

ErrorDocument 401 default

Lỗi Ajax ở front-end
Nếu sau khi thiết lập password như trên mà người dùng luôn nhìn thấy popup yêu cầu xác thực khi truy cập trang chủ, có thể bạn đang gặp lỗi Ajax. Để fix lỗi này, hãy mở file .htaccess ở thư mục /wp-admin (không phải là file .htaccess ở thư mục gốc). Nếu không có file này, bạn có thể tạo một file. Và bổ sung đoạn code sau

<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

Lưu ý: Nếu bạn đã đổi đường dẫn trang login như mình đề cập ở mục 3 thì không cần thiết phải sử dụng cách bảo mật này.
Một vài thông tin thêm về XML-RPC nếu bạn chưa biết
XML-RPC là kết nối từ xa với WordPress sử dụng XML để trao đổi dữ liệu qua lại. Thông thường bạn sử dụng tính năng để post từ các ứng dụng khách như Windows Live Writer, hay các ứng dụng sử dụng IFTT.
Nhưng bật tính năng XML-RPC đồng nghĩa bạn đang mở cửa cho tấn công dạng brute force vào website của bạn để đánh cắp mật khẩu. Tệ hơn nữa là kiểu tấn công HTTP Flood Attack (một kiểu tấn công DDoS). Với hình thức tấn công này, hacker gửi một lượng lớn request làm tê liệt máy chủ.
Vì vậy tốt nhất bạn hãy tắt XML-RPC. Sử dụng một trong hai cách sau:
a. Tắt XML-RPC bằng .htaccess
Đơn giản, mở file .htaccess và bổ sung đoạn code sau

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

b. TắT XML-RPC sử dụng iThemes Security
Bạn vào Security -> Settings -> WordPress Tweak và chọn Disable XML-RPC như bên dưới

Qua Bỏ túi 7 bí kíp bảo mật website wordpress mình vừa nêu trên đây, mong sẽ giúp các bạn một phần nào đó trong việc bảo mật website wordpress thân yêu của mình.
Xin cảm ơn các bạn đã đọc bài, mong nhận được sự góp ý đánh giá của bác bạn.
Sưu tầm và chỉnh sửa : Đạt Nguyễn JX

Rate this post

window.addEventListener(‘DOMContentLoaded’, function() {
jQuery(document).ready(function( $) {
$.post( ‘https://hocban.vn/wp-admin/admin-ajax.php’, {action: ‘mts_view_count’, id: ‘7406’});
});
});

Related Articles

Trả lời

Email của bạn sẽ không được hiển thị công khai.

Back to top button