Cách bảo mật wordpress 99% – chia sẻ plugin bảo mật Wordfence Pro43 phút đọc

WordPress là một CMS được sử dụng phổ biến nhất hiện nay. Thật không may, sự phổ biến của nền tảng này cũng khiến nó trở thành mục tiêu sinh lợi cho tin tặc. Nếu trang web WordPress của bạn bị hack sẽ làm mất đi lưu lượng truy cập và thứ hạng trên các công cụ tìm kiếm, hơn nữa khách hàng và doanh số sẽ bị tụt giảm gây tác động xấu đến website của bạn.

Vì vậy, trong một mức độ bảo mật nhất định, sẽ có những biện pháp bạn cần thực hiện để làm cho website wordpress của bạn an toàn cho bạn và người dùng.

Một số thống kê về wordpress bị tấn công

Một trong những bài viết trên WP White Security đưa ra số liệu thống kê về các trang web bị tấn công:

  • 41% đã bị hack thông qua lỗ hổng của tài khoản lưu trữ hosting
  • 29% đã bị hack thông qua một vấn đề bảo mật trong theme WordPress mà họ đang sử dụng
  • 22% đã bị hack thông qua một vấn đề bảo mật trong các plugin WordPress mà họ đang sử dụng
  • 8% đã bị hack vì mật khẩu yếu

Dưới đây là biểu đồ về các loại lỗ hổng được sử dụng để hack các trang web WordPress.

Như bạn có thể thấy, lõi WordPress rất hiếm khi là nguyên nhân của hack vì nó được hàng trang nhà phát triển nên đã khá an toàn và hầu hết các lỗ hổng được đưa ra trong biểu đồ là do người dùng cài đặt các theme và plugin của bên thứ ba.

Bảo mật WordPress cấp độ 1 (No coding):

Cập nhật WordPress

Mỗi phiên bản mới của WordPress chứa các thay đổi có thể bao gồm các bản vá cho các lỗ hổng bảo mật được tìm thấy trong các phiên bản trước. Các phiên bản cũ của các nền tảng đã không được cập nhật trong một thời gian dài thường bị tấn công.

Sử dụng plugin bảo mật WordPress tốt nhất

Sau khi sao lưu, điều tiếp theo chúng ta cần làm là cài đặt một plugin nhằm kiểm tra và giám sát theo dõi mọi thứ xảy ra trên trang web của bạn.

Điều này bao gồm giám sát toàn bộ tập tin, các lần đăng nhập thất bại, quét phần mềm độc hại, v.v.

Rất may, điều này có thể được thực hiện dễ dàng bởi plugin bảo mật WordPress miễn phí tốt nhất là Sucuri Scanner .

Bạn cần cài đặt và kích hoạt plugin Sucuri Security miễn phí tại đây.

Sau khi kích hoạt, bạn cần vào menu Sucuri trong quản trị viên WordPress của mình. Điều đầu tiên bạn sẽ được yêu cầu là Tạo khóa API miễn phí. Điều này cho phép ghi nhật ký kiểm toán, kiểm tra tính toàn vẹn, thông báo qua email và các tính năng quan trọng khác.

Điều tiếp theo, bạn cần làm là nhấp vào tab ‘Hardening’ từ menu cài đặt. Đi qua mọi tùy chọn và nhấp vào nút Áp dụng ‘Hardening ‘.

Các tùy chọn này giúp bạn khóa các khu vực chính mà tin tặc thường sử dụng trong các cuộc tấn công.

Điều bạn nên tùy chỉnh tiếp theo là ‘Email Alerts’.

Cài đặt cảnh báo mặc định có thể làm spam hộp thư đến của bạn với email. Tôi khuyên bạn nên thiết lập lại để chỉ nhận thông báo cho các hành động chính như thay đổi bổ trợ, đăng ký người dùng mới, v.v. Bạn có thể định cấu hình cảnh báo bằng cách đi tới Cài đặt Sucuri » Alerts.

Đánh giá: Plugin bảo mật WordPress này rất mạnh, vì vậy hãy duyệt qua tất cả các tab và cài đặt để xem tất cả những gì nó làm như quét phần mềm độc hại, Nhật ký kiểm toán, Theo dõi đăng nhập thất bại, v.v.

Kích hoạt tường lửa ứng dụng web (WAF)

Cách dễ nhất để bảo vệ trang web của bạn và đảm bảo 100% bảo mật WordPress của bạn là sử dụng tường lửa ứng dụng web (WAF).

Tường lửa trang web chặn tất cả lưu lượng độc hại trước khi nó đến trang web của bạn.

Tường lửa trang web cấp độ DNS – Những tường lửa này định tuyến lưu lượng truy cập trang web của bạn thông qua các máy chủ proxy đám mây của họ. Điều này cho phép họ chỉ gửi lưu lượng truy cập an toàn đến máy chủ web của bạn.

Tường lửa cấp ứng dụng – Các plugin tường lửa này kiểm tra lưu lượng một khi nó đến máy chủ của bạn nhưng trước khi tải hầu hết các tập lệnh WordPress. Phương pháp này không hiệu quả như tường lửa cấp DNS trong việc giảm tải máy chủ.

Chúng tôi khuyên bạn nên sử dụng Sucuri là tường lửa ứng dụng web tốt nhất cho WordPress.

Ưu điểm tường lửa của Sucuri là nó cũng đi kèm với bảo đảm xóa phần mềm độc hại và bảo đảm loại bỏ danh sách đen. Về cơ bản nếu bạn bị hack trong khi sử dụng tường lửa của họ, họ đảm bảo rằng họ sẽ sửa trang web của bạn (cho dù bạn có bao nhiêu trang).

Đây là một bảo hành khá mạnh vì sửa chữa các trang web bị tấn công là tốn kém. Các chuyên gia bảo mật thường tính phí $ 250 mỗi giờ. Trong khi đó, bạn có thể nhận được toàn bộ ngăn xếp bảo mật Sucuri với giá 199 $ mỗi năm.

>>> Xem thêm: Cải thiện bảo mật WordPress của bạn với Tường lửa Sucuri

Lưu ý: Sucuri không phải là nhà cung cấp tường lửa cấp DNS duy nhất ngoài kia. Đối thủ cạnh tranh phổ biến khác là Cloudflare.

 

Bảo mật WordPress cấp độ 2:

Thay đổi tên người dùng mặc định ‘admin’

Tin tặc sử dụng một kỹ thuật gọi là tấn công Brute Force (dò mật khẩu), hacker cố gắng đoán sự kết hợp giữa tên người dùng và mật khẩu của bạn. Họ nhắm mục tiêu tài khoản quản trị viên vì nó có ủy quyền hoàn toàn trên trang web của bạn.

Để tên người dùng của bạn như mặc định là ‘ admin ‘ giúp họ dễ dàng xâm nhập vào trang web của bạn.

Vì thế hãy tạo một tên người dùng (user name) duy nhất và khó đoán.

Cách 1: Thêm người dùng mới đặt user name khác “admin” rồi xóa tài khoản người dùng cũ.

Để thay đổi tên quản trị viên WordPress của bạn, hãy truy cập Người dùng> Thêm mới .

 

 

Nhập tất cả các chi tiết cần thiết nhưng đảm bảo sử dụng tên người dùng duy nhất. Bây giờ, hãy tạo một tài khoản mới và phân quyền ‘ admin ‘ cho nó.

Sau khi hoàn thành, bạn cần đăng xuất khỏi wp-admin của mình. Đăng nhập lại bằng tài khoản mới. Bây giờ bạn có thể xóa tài khoản người dùng ‘admin’ trước đó. Tất cả các bài đăng được liên kết với tài khoản ‘admin’ sẽ được chuyển sang tài khoản mới vừa tạo.

Cách 2: Đổi user name thông qua php myadmin:

Sử dụng mật khẩu mạnh khó đoán

Mật khẩu yếu là một trong những nguyên nhân phổ biến nhất của hack. Để ngăn chặn các cuộc tấn công dò mật khẩu tự động của hacker, bạn cần sử dụng mật khẩu mạnh. Hãy nhớ rằng, đối với quản trị viên wordpress, hãy sử dụng mật khẩu mà bạn chưa từng sử dụng cho các tài khoản wp khác. Giữ một mật khẩu duy nhất chỉ dành riêng cho tài khoản này và không được sử dụng ở nơi khác.

Bây giờ, để làm cho mật khẩu của bạn mạnh mẽ, đây là ba mẹo bảo mật:

    • Sử dụng cụm mật khẩu thay vì mật khẩu. Cụm mật khẩu là một chuỗi các từ thay vì chỉ một từ. Ví dụ: thay vì đặt mật khẩu của bạn là ‘computer’ , bạn nên sử dụng ‘thisismycomputer’ ..

    • Tiếp theo, bạn phải luôn luôn sử dụng kết hợp các chữ cái, chữ số và ký hiệu, chẳng hạn như Jfk @ Bv123 $ . Nhưng nó vẫn không đủ mạnh.

Bằng cách kết hợp mẹo trên, bạn có thể tạo một mật khẩu siêu mạnh như ‘ ThisisJfk @ Bv123 $ ‘. Nó có một cụm từ, từ viết tắt, chữ in hoa, chữ thường, chữ số và ký hiệu không theo thứ tự cụ thể.

Bây giờ, bạn đã có cho mình một mật khẩu mạnh rất khó đoán.

Chọn nơi lưu trữ (hosting) đáng tin cậy

41% các vụ hack đã được kích hoạt do vấn đề bảo mật trên nền tảng lưu trữ, vì vậy việc chọn một công ty lưu trữ chất lượng cao là rất quan trọng. Một nền tảng lưu trữ tốt phải đáp ứng các tiêu chí sau:

  • Hỗ trợ cho các phiên bản mới nhất của PHP và MySQL
  • Tối ưu hóa cho WordPress
  • Quét phần mềm độc hại và tệp rác

Ngoài ra, đừng quên sao lưu cơ sở dữ liệu và tập tin.

Vô hiệu Hóa File Editing

WordPress xây dựng built-in code editor cho phép bạn chỉnh sửa theme và plugin ngay tại khu vực admin của WordPress. Một khi website của bạn bị hacker điều khiển , tính năng này có thể gây nguy hiểm đến bảo mật WordPress cho nên bạn nên vô hiệu hóa nó đi.

 

Bạn có thể làm điều đó một cách dễ dàng bằng cách thêm đoạn code sau vào file wp-config.php

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Cấu hình một số cài đặt quan trọng

Khóa bảo mật WordPress. Khóa cải thiện mã hóa thông tin được lưu trữ trong cookie của khách truy cập. Chúng cũng làm cho mật khẩu của bạn bị hack khó hơn, vì các yếu tố ngẫu nhiên được thêm vào nó. Các khóa có thể được thay đổi trong wp-config.php:

Thay đổi tiền tố vào bảng cơ sở dữ liệu. Điều này có thể giúp ngăn ngừa lỗ hổng SQL Injection. Bạn sẽ tìm thấy tiền tố cho tên bảng trong tệp wp-config.php của bạn:

$table_prefix = ‘wp_’;
// đổi thành
$table_prefix  = 'wp_minhtran';

Tiếp theo các bạn truy cập vào Database > Chuyển qua tab SQL:

Thay đổi tiền tố prefix_ trong Database

Sau đó các bạn dán đoạn code sau vào và nhấn vào Go để thực hiện câu lệnh.:

RENAME table `wp_commentmeta` TO `wp_minhtran_commentmeta`;
RENAME table `wp_comments` TO `wp_minhtran_comments`;
RENAME table `wp_links` TO `wp_minhtran_links`;
RENAME table `wp_options` TO `wp_minhtran_options`;
RENAME table `wp_postmeta` TO `wp_minhtran_postmeta`;
RENAME table `wp_posts` TO `wp_minhtran_posts`;
RENAME table `wp_terms` TO `wp_minhtran_terms`;
RENAME table `wp_termmeta` TO `wp_minhtran_termmeta`;
RENAME table `wp_term_relationships` TO `wp_minhtran_term_relationships`;
RENAME table `wp_term_taxonomy` TO `wp_minhtran_term_taxonomy`;
RENAME table `wp_usermeta` TO `wp_minhtran_usermeta`;
RENAME table `wp_users` TO `wp_minhtran_users`;

Bước tiếp theo: Bạn tìm đến bảng wp_options và cũng chuyển qua SQL sau đó dán đoạn code này vào:

SELECT * FROM `wp_minhtran_options` WHERE `option_name` LIKE '%wp_%'

Truy vấn bên trên sẽ liệt kê tất cả các field trong option_name sử dụng tiền tố wp_ mặc định, và sau khi hiển thị ra danh sách, bạn chọn từng cái và thay đổi wp_ bằng minhtran_

Bước tiếp theo: Bạn tìm đến bảng wp_usermeta và cũng chuyển qua SQL và dán đoạn code này vào:

SELECT * FROM wp_minhtran_usermeta WHERE meta_key LIKE '%wp_%'

Ok vậy là xong, ban đã đổi tiền tố các bảng trong cơ sở dữ liệu my phpadmin thành công!

Tránh cài theme và plugin không rõ nguồn gốc

Thông qua các lỗ hổng trong bảo mật trong plugin và theme, người dùng độc hại có quyền truy cập vào các trang web trong hơn 50% trường hợp. Do đó, điều quan trọng là phải cân nhắc tất cả ưu và nhược điểm trước khi sử dụng plugin hoặc theme của bên thứ ba cung cấp.

Sử dụng quyền tập tin / thư mục chính xác

Đây là một bước quan trọng khác trong việc cải thiện bảo mật wordpress. Cài đặt quyền thư mục 777 (mọi người đều có thể đọc, viết và thực thi) cho phép kẻ tấn công tải các tệp khác nhau vào thư mục này hoặc sửa đổi các tệp đã có. Bạn nên đặt các quyền sau (thông thường bạn có thể thực hiện việc này thông qua bảng cpanel hoặc FTP):

  • Tất cả các thư mục phải có quyền 755 hoặc 750
  • Tất cả các tệp phải có 644 hoặc 600
  • Đối với wp-config.php, đặt 600 quyền.

Vô hiệu hóa thông báo lỗi scribd

Nếu bất kỳ plugin hoặc theme nào của bạn có lỗi, thông báo về nó có thể xuất hiện trên trang web. Nó thường hiển thị đường dẫn đầy đủ đến thư mục trang web của bạn. Thông tin này rất hữu ích cho tin tặc. Bạn có thể tắt thông báo lỗi tập lệnh bằng cách thêm các dòng sau vào tệp wp-config.php:

error_reporting(0);

@ini_set(‘display_errors’, 0);

Bảo vệ thông qua tệp .htaccess

Xin lưu ý rằng các mã sau phải được đặt trong một tệp trong số các thẻ #BEGIN WordPress và # END wordpress.

Tệp wp-config.php rất quan trọng và có thể được bảo vệ khỏi truy cập bên ngoài bằng cách thêm các dòng sau vào .htaccess:

<files wp-config.php> order allow,deny deny from all </files>

/ wp-includes / là thư mục chứa nhiều tệp quan trọng từ bản nhân WordPress. WordPress đơn giản sẽ không hoạt động mà không có chúng. Để bảo vệ thư mục này, bạn có thể thêm các dòng sau vào tệp .htaccess ở thư mục gốc của trang:

RewriteEngine On

RewriteBase /

RewriteRule ^wp-admin/includes/ – [F,L]

RewriteRule !^wp-includes/ – [S=3]

RewriteRule ^wp-includes/[^/]+.php$ – [F,L]

RewriteRule ^wp-includes/js/tinymce/langs/.+.php – [F,L]

RewriteRule ^wp-includes/theme-compat/ – [F,L]

hoặc bạn có thể sử dụng quy tắc sau để chuyển hướng bất kỳ yêu cầu trực tiếp nào từ các tệp PHP đến một trang được chọn (trong ví dụ sau đây, máy chủ sẽ tạo trang 404 và mã trạng thái).

# Restrict access to PHP files from plugin and theme directories

RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php

RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/

RewriteRule wp-content/plugins/(.*\.php)$ – [R=404,L]

RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php

RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/

RewriteRule wp-content/themes/(.*\.php)$ – [R=404,L]

Bạn cũng có thể chặn mọi người xem nội dung của các thư mục trên trang web thông qua trình duyệt. Để thực hiện việc này, hãy thêm đoạn mã sau vào tệp .htaccess:

Options All -Indexes

Để bảo vệ tệp .htaccess, bạn nên viết như sau:

<Files .htaccess>

order allow,deny

deny from all

</Files>

Bảo vệ Debug Logs

Khi phát triển plugin và theme hoặc cài đặt WordPress, nhà phát triển hoặc quản trị viên hệ thống có thể kích hoạt nhật ký gỡ lỗi sẽ ghi lại tất cả các lỗi PHP.

WordPress sử dụng hằng số WP_DEBUG được xác định trong wp-config.php. Hằng số được sử dụng để bắt đầu chế độ gỡ lỗi trong WordPress. Theo mặc định, hằng số được đặt là false.

Các nhà phát triển và quản trị viên hệ thống cũng có thể bao gồm các hằng số so sánh WP_DEBUG_LOG và WP_DEBUG_DISPLAY trong WP_DEBUG. WP_DEBUG_LOG tạo một tệp nhật ký trong thư mục nội dung wp và WP_DEBUG_DISPLAY kiểm soát xem gỡ lỗi có được hiển thị trong các trang HTML hay không.

Bất kỳ điều nào ở trên sẽ hữu ích trong việc phát triển một chủ đề, plugin hoặc trang web. Tuy nhiên, nếu được phép trên một trang web đã hoàn thành, điều này có thể dẫn đến tiết lộ và cho phép kẻ tấn công xem lỗi và thông tin bổ sung về đăng ký. Bạn phải xóa hằng số WP_DEBUG khỏi tệp wp-config.php hoặc đặt thành sai, như hiển thị bên dưới:

define (‘WP_DEBUG’, false);

Sử dụng giao thức SSL

Nếu bạn muốn thông tin bạn truyền tải được bảo vệ, bạn cần sử dụng giao thức SSL để đảm bảo tính toàn vẹn và bảo mật của việc trao đổi dữ liệu.

Trước hết, hãy tìm hiểu xem nhà cung cấp của bạn có thể sử dụng SSL không. Nếu vậy, hãy mở tệp wp-config.php và thêm dòng sau:

define (‘FORCE_SSL_ADMIN’, true);

Xóa Readme và các tệp không mong muốn khác

Tệp readme.html nằm trong thư mục gốc của WordPress; nhiều plugin và theme cũng có các tệp tương tự. Một giải pháp phù hợp sẽ là loại bỏ chúng, vì chúng có thể được sử dụng để lấy dấu vân tay hoặc rình mò và thường chứa thông tin về phiên bản. Xóa các thư mục trên trang web của bạn khỏi các tệp này và bất kỳ tệp không mong muốn nào khác, bao gồm các tệp install.php và wp-config-sample.php.

Giới hạn số lần đăng nhập

Tin tặc sử dụng các cuộc tấn công brute force (dò mật khẩu tự động) để hack mật khẩu, mỗi lần họ cố gắng đăng nhập bằng một mật khẩu mới. Một trong những cách tốt nhất để bảo vệ trang web khỏi các cuộc tấn công như vậy là cài đặt Login LockDown hoặc Login Security Solution . Các plugin này giới hạn số lần thử đăng nhập trang web.

Xác thực đăng nhập trong hai giai đoạn

Phương pháp này làm cho việc truy cập thông qua một cuộc tấn công brute force hoặc thậm chí ngăn chặn nó trở nên khó khăn hơn nhiều. Vấn đề là sử dụng một mã bổ sung để đăng nhập. Ví dụ, mã này có thể được gửi đến điện thoại di động của bạn.

Kỹ thuật xác thực hai yếu tố yêu cầu người dùng đăng nhập bằng phương pháp xác thực hai bước. Bước đầu tiên là tên người dùng và mật khẩu, và bước thứ hai yêu cầu bạn xác thực bằng một thiết bị hoặc ứng dụng riêng biệt.

Hầu hết các trang web trực tuyến hàng đầu như Google, Facebook, Twitter, cho phép bạn kích hoạt nó cho tài khoản của mình. Bạn cũng có thể thêm chức năng tương tự vào trang web WordPress của mình.

Trước tiên, bạn cần cài đặt và kích hoạt plugin Two Factor Authentication. Sau khi kích hoạt, bạn cần nhấp vào liên kết ‘Two Factor Authentication’ trong thanh bên quản trị viên WordPress.

Cài đặt hai yếu tố xác thực

Tiếp theo, bạn cần cài đặt và mở một ứng dụng xác thực trên điện thoại của mình. Có một vài trong số chúng có sẵn như Google Authenticator, Authy và LastPass Authenticator.

Chúng tôi khuyên bạn nên sử dụng LastPass Authenticator hoặc Authy vì cả hai đều cho phép bạn sao lưu tài khoản của mình lên đám mây. Điều này rất hữu ích trong trường hợp điện thoại của bạn bị mất, đặt lại hoặc bạn mua điện thoại mới. Tất cả thông tin đăng nhập tài khoản của bạn sẽ được khôi phục dễ dàng.

Chúng tôi sẽ sử dụng LastPass Authenticator cho hướng dẫn. Tuy nhiên, các ứng ụng khác bạn cũng có thể làm tương tự!. Mở ứng dụng xác thực của bạn, rồi bấm vào nút Thêm.

Bạn sẽ được hỏi nếu bạn muốn quét một trang web bằng tay hoặc quét mã vạch. Bạn hãu chọn tùy chọn quét mã vạch và sau đó trỏ camera điện thoại của bạn vào Mã QR được hiển thị trên trang cài đặt của plugin.

Đó là tất cả những gì bạn cần làm, ứng dụng xác thực của bạn bây giờ sẽ lưu nó. Lần tới khi bạn đăng nhập vào trang web của mình, bạn sẽ được yêu cầu mã xác thực hai yếu tố sau khi bạn nhập mật khẩu.

Chỉ cần mở ứng dụng xác thực trên điện thoại của bạn và nhập mã bạn thấy trên đó.

Vô hiệu hóa lập chỉ mục và duyệt thư mục

Trình duyệt thư mục có thể được sử dụng bởi tin tặc để tìm hiểu xem bạn có bất kỳ tệp nào có lỗ hổng đã biết hay không, vì vậy chúng có thể tận dụng các tệp này để có quyền truy cập.

Người dùng cũng có thể sử dụng duyệt thư mục để xem xét các tập tin của bạn, sao chép hình ảnh, tìm hiểu cấu trúc thư mục của bạn và các thông tin khác. Đây là lý do tại sao bạn nên tắt lập chỉ mục và duyệt thư mục.

Bạn cần kết nối với trang web của mình bằng trình quản lý tệp của FTP hoặc cPanel. Tiếp theo, xác định vị trí tệp .htaccess trong thư mục gốc của trang web của bạn.

Sau đó, bạn cần thêm dòng sau vào cuối tệp .htaccess:

Options -Indexes

Đừng quên lưu và tải tệp .htaccess trở lại trang web của bạn.

Thêm câu hỏi bảo mật vào màn hình đăng nhập WordPress

Thêm một câu hỏi bảo mật vào màn hình đăng nhập WordPress của bạn khiến hacker khó truy cập trái phép hơn.

Bạn có thể thêm câu hỏi bảo mật bằng cách cài đặt plugin WP Security Questions . Sau khi kích hoạt, bạn cần truy cập trang Settings » Security Questions page để định cấu hình cài đặt plugin.

Ngăn chặn các tệp PHP của bên thứ ba đang chạy

Thư mục uploads của WordPress được thiết lập sẵn quyền write for all, vì các trang web WordPress cho phép người dùng của họ tải xuống nội dung mới. Đó là lý do tại sao thư mục wp-content / uploads của bạn nên được coi là mục tiêu tiềm năng để hacker tấn công.

Mối đe dọa tiềm năng lớn nhất là các tệp PHP tải xuống. WordPress sẽ không cho phép người dùng tải xuống các tệp PHP trong bảng điều khiển quản trị của họ; tuy nhiên, có thể xảy ra việc plugin hoặc theme cho phép tải xuống các tệp mà không cần sử dụng API WordPress được chỉ định. Điều này có thể dẫn đến việc tải xuống một tệp PHP độc hại và nguy cơ xảy ra việc thực thi nó trên máy chủ.

Cách tốt nhất để loại bỏ rủi ro bảo mật tiềm ẩn này là từ chối máy chủ web thực thi bất kỳ tệp PHP nào trong thư mục wp-content / uploads bằng cách sau:

<Directory “/var/www/wp-content/uploads/”>

<Files “*.php”>

Order Deny,Allow

Deny from All

</Files>

</Directory>

Vô hiệu hóa XML-RPC

Bắt đầu với phiên bản WordPRess 3.5, XML-RPC được kích hoạt theo mặc định. Tính năng này cho phép bạn kết nối từ xa thông qua nhiều ứng dụng blog khác đến trang web của bạn. Nó cũng được sử dụng để theo dõi và pingback. Thật không may, người dùng độc hại thường sử dụng cơ hội này để tấn công các trang web.

Để tắt tính năng này, bạn có thể sử dụng plugin Disable XML-RPC Pingback, giảm nguy cơ trang web của bạn bị tấn công.

Bảo vệ WordPress khỏi việc tiêm XSS

Các lập trình viên luôn cố gắng bảo vệ các yêu cầu GET và POST; tuy nhiên, đôi khi điều này là không đủ. Cần phải bảo vệ blog khỏi các lần tiêm XSS và cố gắng sửa đổi các biến GLOBALS và _REQUEST.

Đoạn mã sau chặn sử dụng phép tiêm XSS và cố gắng sửa đổi các biến GLOBALS và _REQUEST. Dán mã vào tệp .htaccess của bạn ở thư mục gốc của trang web.

Options +FollowSymLinks

RewriteEngine On

RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]

RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]

RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})

RewriteRule ^(.*)$ index.php [F,L]

Ẩn phiên bản WordPress

WordPress tự động chèn số phiên bản của nó vào mã nguồn của các trang. Thật không may, không phải lúc nào cũng có thể cập nhật động cơ kịp thời. Điều này có nghĩa là attacker sẽ biết bạn có phiên bản WordPress nào và nhược điểm của nó, kẻ tấn công có thể gây ra nhiều rắc rối cho bạn. Để ẩn phiên bản WordPress, hãy mở file functions.php, nằm trong thư mục có chủ đề hoạt động của blog của bạn (wp-content / Themes /  thư mục Themes bạn đang dùng /) và thêm đoạn mã sau vào đó:

remove_action (‘wp_head’, ‘wp_generator’);

hoặc là

// remove version info from head and feeds

function complete_version_removal() {

return ”;

}

add_filter(‘the_generator’, ‘complete_version_removal’);

Viết một plugin để bảo vệ chống lại các yêu cầu URL độc hại

Tin tặc thường cố gắng tìm các điểm yếu bằng tất cả các loại yêu cầu độc hại. WordPress được bảo vệ tốt, nhưng có thêm sự bảo vệ sẽ đảm bảo rằng trang wordpress của bạn sẽ được an toàn tuyệt đối.

Tạo một tệp mới có tên blockbadqueries.php và đặt nó vào thư mục wp-content / plugin. Sau đó, chỉ cần kích hoạt nó thông qua bảng quản trị như bất kỳ plugin nào khác.

<?php

/*

Plugin Name: Block Bad Queries

Plugin URI: perishablepress.com/press/2009/12/22/protect-wordpress-against-malicious-url-requests

Description: Protect WordPress Against Malicious URL Requests

Author URI: perishablepress.com

Author: Perishable Press

Version: 1.0

*/

global $user_ID;

 

if($user_ID) {

if(!current_user_can(‘level_10’)) {

if (strlen($_SERVER[‘REQUEST_URI’]) > 255 ||

strpos($_SERVER[‘REQUEST_URI’], “eval(“) ||

strpos($_SERVER[‘REQUEST_URI’], “CONCAT”) ||

strpos($_SERVER[‘REQUEST_URI’], “UNION+SELECT”) ||

strpos($_SERVER[‘REQUEST_URI’], “base64”)) {

@header(“HTTP/1.1 414 Request-URI Too Long”);

@header(“Status: 414 Request-URI Too Long”);

@header(“Connection: Close”);

@exit;

}

}

}

?>

Làm thế nào nó hoạt động? Nó khá đơn giản. Plugin này kiểm tra tất cả các yêu cầu dài (hơn 255 ký tự) và tính khả dụng của các hàm eval hoặc base64 trong URI. Nếu xảy ra trường hợp này, trình duyệt của người dùng tạo ra trang lỗi 414.

Chia sẻ plugin bảo mật WordPress

Có rất nhiều plugin bảo mật có sẵn trên Internet. Các tính năng chính của chúng thường là bảo vệ chống lại các cuộc tấn công, cũng như các tường lửa khác nhau theo dõi mã và các nỗ lực truy cập vào bảng quản trị.

Các vấn đề bảo mật chính có thể được khắc phục bằng các khuyến nghị ở trên, cùng với lưu trữ đáng tin cậy. Tuy nhiên, nếu bạn muốn sử dụng tường lửa và giám sát, sẽ rất hữu ích khi chú ý đến các plugin sau.

Wordfence

Link tải bản Premium: Click here

Khi nói đến các plugin bảo mật WordPress , Wordfence luôn là ứng dụng đầu tiên được nhắc đến. Plugin đã đạt 4,9 sao trên 5. Khi chọn plugin bảo mật, Wordfence với kết quả ấn tượng như vậy xứng đáng với sự chú ý của bạn. Nó đã trở nên phổ biến như vậy nhờ nhiều tính năng hữu ích:

  • Kiểm tra an ninh mở rộng
  • Chặn người dùng bằng IP
  • Đăng nhập hệ thống an toàn
  • Khả năng tương thích IPv6
  • Hỗ trợ đầy đủ cho các trang web WooC Commerce
  • Tìm kiếm mã độc hại
  • Đánh giá tổn thương
  • Bức tường lửa
  • Bảng điều khiển quản trị viên duy nhất cho nhiều blog

 

All In One WP Security & Firewall

Đây là một plugin bảo mật WordPress dễ sử dụng, mạnh mẽ và đáng tin cậy . Nó giảm rủi ro bảo mật bằng cách xác minh lỗ hổng, loại bỏ nó và thực hiện các phương pháp và phương pháp bảo vệ WordPress mới nhất được đề xuất. Plugin miễn phí 100%.

Các tính năng chính của plugin:

  • Bảo mật tài khoản người dùng
  • Bảo mật xác thực người dùng
  • Bảo mật đăng ký người dùng
  • Bảo mật cơ sở dữ liệu
  • Bảo mật hệ thống tập tin
  • Sao lưu và khôi phục các tệp HTACCESS và WP-CONFIG.PHP
  • Danh sách người dùng đen
  • Bức tường lửa
  • Ngăn chặn các cuộc tấn công
  • Quét tập tin để thay đổi so với nhân của wordpress
  • Bảo vệ thư rác

Cách thiết lập plugin Wordfence Security

Trước tiên bạn hãy cài đặt và kích hoạt plugin Wordfence Security: Thông báo sau sẽ xuất hiện trên bảng điều khiển của bạn:

Điền email của bạn vào trường tương ứng, tùy chọn nhận hoặc không nhận thông báo, và đồng ý với những quy định, chính sách sử dụng của Wordfence.

Nếu bạn có key bản quyền có thể kích hoạt ở đây luôn. Ở đây chúng tôi đang sử dụng phiên bản miễn phí y nên bỏ qua bước trên bằng cách bấm vào No Thanks.

Bước 1: Thiết lập các biện pháp bảo mật đăng nhập

Đầu tiên hãy vào Wordfence > Login Security: Bạn sẽ được đưa đến tab Xác thực 2 bước

Chuyển sang tab Settings:

Tại đây, bạn có thể tùy chọn cài đặt các chức năng:

  • Enable 2FA for these roles: Kích hoạt vai trò sử dụng chức năng Xác thực 2 bước
  • Require 2FA for all administrators: Bắt buộc Xác thực 2 bước cho tất cả các tài khoản quản trị
  • Allow remembering device for 30 days: Nhớ thiết bị trong 30 ngày.
  • Require 2FA for XML-RPC call authentication: Bắt buộc Xác thực 2 bước khi truy xuất XML-RPC
  • Disable XML-RPC authentication: Tắt xác thực XML-RPC
  • Enable reCAPTCHA on the login and user registration pagesKích hoạt reCAPTCHA trên trang đăng nhập và đăng ký người dùng

Sau khi cài đặt những mục cần thiết cho việc bảo vệ đăng nhập. Bạn Lưu cài đặt để nó được áp dụng cho website.

Bước 2: Quét toàn trang web

Chức năng Wordfence Scan cho phép plugin xem qua trang web của bạn để tìm bất kỳ mã độc hại hoặc mô hình lây nhiễm nào. Về cơ bản, nó giống như sử dụng một ứng dụng chống virus để quét máy tính, bạn có thể sử dụng nó để xác định vị trí và vá các lỗ hổng hiện có, nhưng tốt hơn hết là thường xuyên quét trang web của bạn.

Để sử dụng tính năng này, bạn cần truy cập Wordfence / Scan và nhấp vào nút Bắt đầu quét (Start New Scan):

Wordfence Scan sẽ bắt đầu kiểm tra trang web của bạn. Nếu quá trình quét tìm thấy bất kỳ vấn đề lỗ hổng nào trên trang web WordPress của bạn, nó sẽ cung cấp cho bạn tùy chọn xóa hoặc khôi phục mọi tệp bị nhiễm về phiên bản gốc của chúng. Việc cần làm trong trường hợp này là tùy thuộc vào bạn, nhưng được cảnh báo rằng việc xóa bất kỳ tệp quan trọng nào có khả năng phá vỡ trang web của bạn. Nếu bạn tìm thấy một lỗ hổng, trong hầu hết các trường hợp khôi phục lại một bản sao lưu sạch có thể là phương án tốt nhất.

Bước # 3: Cách thiết lập cảnh báo bảo mật

Ở đầu phần này, chúng tôi đã hướng dẫn bạn trong quá trình nhập email của bạn để nhận thông báo bảo mật từ Wordfence Security. Khi được định cấu hình để làm như vậy, plugin có thể gửi cho bạn thông báo về một số vấn đề bảo mật, từ khối IP tự động đến khóa đăng nhập. Đi đến Wordfence / All Options và cuộn xuống cho đến khi bạn tìm thấy phần Email Alert Preferences:

Hầu hết các tùy chọn mặc định được thấy ở trên là tuyệt vời từ quan điểm bảo mật, nhưng những tùy chọn khác có thể hơi khó chịu nếu bạn nhận được email mỗi khi chúng xảy ra. Ví dụ: chúng tôi khuyên bạn nên tắt tùy chọn để nhận thông báo mỗi khi ai đó sử dụng chức năng ‘mất mật khẩu’. Đây là một sự kiện tương đối chuẩn và trong hầu hết trong các trường hợp, nó sẽ chỉ dẫn đến việc spam hộp thư đến của bạn.

Điều tương tự cũng áp dụng cho việc nhận thông báo khi quản trị viên đăng nhập. Tùy thuộc vào số lượng quản trị viên mà trang web WordPress của bạn có, điều này có thể trở nên khá khó sử dụng, vì vậy hãy bỏ tùy chọn đó. Thay vào đó, hãy bật tùy chọn ngay bên dưới, thông báo cho bạn khi quản trị viên đăng nhập từ  thiết bị mới:

Trong trường hợp này, bạn có thể nhanh chóng đánh giá xem đăng nhập của quản trị viên có khác thường hay không tùy thuộc vào vị trí của họ và thiết bị họ đang sử dụng. Nó thực tế hơn nhiều so với cài đặt mặc định và tất cả những gì bạn phải làm là đánh dấu vào một tùy chọn để kích hoạt nó.

Chúng tôi đã hướng dẫn bạn các bước cơ bản để bảo vệ trang web WordPress của bạn bằng Wordfence Security.

Kết luận

WordPress là CMS phổ biến nhất thế giới, được sử dụng bởi hàng trăm triệu trang web. Do số lượng người dùng cực lớn, nó là một mục tiêu tiềm năng cho tin tặc (attacker).

Điều quan trọng cần lưu ý là hầu hết các vụ hack đều được thực hiện bởi robot và các trang web bị tấn công ồ ạt chủ yếu để gửi thư rác hoặc lây lan vi-rút. Các khuyến nghị nêu trên sẽ bảo vệ bạn khỏi 99% hack tự động. Webaffiliatevn.com Chúc bạn bảo mật tốt trang web  wordpress của mình!

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *