Bảo mật website WordPress đơn giản với 8 cách
Theo thống kê của Google, có hơn 10 ngàn website bị gắn mã độc mỗi ngày và 50 ngàn website lừa đảo mỗi tuần.
Nếu như bạn thực sự muốn đầu tư nghiêm túc vào website WordPress thì ngay từ lúc này bạn nên trang bị cho mình những kiến thức về việc bảo mật cho nó. Trong bài viết này HudoTech sẽ chia sẻ cho các bạn các mẹo để bảo mật website WordPress để giúp bạn bảo vệ website của mình khỏi những tấn công từ tin tặc và các phần mềm độc hại.
1. TẠI SAO BẢO MẬT WEBSITE LẠI QUAN TRỌNG?
Bạn hãy thử tưởng tượng, nếu 1 ngày nào đó website của bạn bị chèn hàng nghìn bài viết ngôn ngữ nước ngoài và bạn cũng không rõ nội dung nó là gì và ai là người đăng.
Đột nhiên 1 ngày đẹp trời, website của bạn biến mất vô cớ, bạn bị đá ra khỏi quyền quản trị website. Và sẽ rất khó khăn khi bạn chưa từng gặp những tình huống như vậy.
Việc website của bạn bị tấn công không những mang lại rắc rối cho bạn mà còn có thể mang đến rắc rối cho khách hàng của bạn. Nó ảnh hưởng rất xấu đến uy tín thương hiệu của bạn đó, và tự nhiên bạn phải đi giải quyết một mớ hỗn độn và đôi khi phải tốn kha khá chi phí.
Thế nên để tránh ảnh hưởng xấu đến bạn, đặc biệt là việc kinh doanh thì bạn cần chú trọng nhiều hơn vào sự bảo mật website của mình, ở đây mình nói không chỉ nền tảng WordPress mà là tất cả những nền tảng khác đều cần quan tâm đến sự bảo mật.
Sau đây là những phương pháp giúp bạn bảo mật website WordPress của mình.
2. HÃY QUAN TÂM NHIỀU HƠN ĐẾN BƯỚC ĐẶT MẬT KHẨU
Qua nhiều lần làm việc với khách hàng, cũng như các bạn thực tập sinh mình nhận ra một điều là có rất nhiều bạn hời hợt trong việc đặt mật khẩu. Điển hình như:
- admin1234
- khongcomatkhau
- …
Và bạn sẽ bất ngờ hơn khi biết được mật khẩu được “tin dùng” nhất Thế giới lại là: 123456. Bất chấp mọi rủi ro vẫn có rất nhiều người dùng nó. Các biến thể khác được dùng như: 123456789, 123123, 1234567890, 987654321. Các mật khẩu này cũng nằm trong top 10. Waoo, thật khó tin khi có nhiều người dùng mật khẩu như vậy đấy.
Và điều gì sẽ xảy ra khi bạn sử dụng nó cho website của mình? Đó là website của bạn có thể bay màu bất kỳ lúc nào.
Sẽ có những đợt tấn công website bằng Brute Force. Brute Force khi vào Google Dịch sẽ có kết quả là: Lực lượng vũ phu :))). Giỡn tí cho vui thôi chứ nó là như vầy:
Brute Force là cách thức tấn công mạng bằng phần mềm dò tìm mật khẩu, phần mềm này sẽ xoay vòng các ký tự để tìm ra mật khẩu đúng. Nó hoạt động dựa trên các công thức toán học và sẽ nhanh hơn rất nhiều với việc dò tìm mật khẩu thủ công. Hình ảnh dưới đây thể hiện thời gian tấn công dựa trên độ dài và độ khó của mật khẩu:
Bạn có thể thấy, độ dài của mật khẩu càng lớn và độ khó càng cao thì thời gian hack mật khẩu càng lâu hơn, thậm chí là chú Hacker phải đầu thai lại đến mấy trăm kiếp mới có thể hack được mật khẩu của bạn. Còn đối với mật khẩu dạng: 123456 thì… 1 nốt nhạc thôi.
Vậy bạn đã tìm ra câu trả lời cho mình là nên đặt mật khẩu như thế nào chưa?
Song song với việc đặt mật khẩu thật khó thì với phần user bạn cũng nên làm tương tự. Đừng để nguyên dòng đăng nhập là Admin mà thay vào đó bằng 1 thứ khó hơn nhé. Như thế thì bạn đã cản được 1 bước chân của Hacker nữa rồi.
Để bảo mật website WordPress của bạn tốt hơn nữa thì bạn cũng nên lặp lại hành động này với các tài khoản khác như: hosting, doamin, database…
3. THƯỜNG XUYÊN CẬP NHẬT WORDPRESS VÀ PLUGIN
Bạn đừng để cho website của mình sử dụng các phiên bản lỗi thời vì độ bảo mật của nó rất kém.
Cứ mỗi lần phát hành phiên bản mới thì cộng đồng hỗ trợ to lớn của WordPress sẻ tìm và phát hiện ra các lỗ hỏng bảo mật để kiến nghị lên. Từ đó đội ngũ của WordPress sẽ tiến hành vá lỗi và tung ra các bản cập nhật kịp thời, tránh tình trạng kẻ xấu lợi dụng và nó để hack website của bạn. Thế nên đừng ngần ngại việc cập nhật thường xuyên nhé.
Ngoài ra, nền tảng này còn có các nhà phát triển bên thứ 3, họ là những người sản xuất các Themes, Plugin hỗ trợ rất tốt cho WordPress. Bạn cũng cần cập nhật thường xuyên những plugin này để nâng cao trải nghiệm và bảo mật.
Lưu ý: trước khi tiến hành cập nhật, bạn nên tiến hành việc sao lưu (backup) dữ liệu website của bạn. Vì đôi khi có sự xung đột giữa các phần mềm với nhau làm ảnh hưởng đến website của bạn. Việc sao lưu dữ liệu thường xuyên cũng là cách tốt để bảo mật website WordPress của bạn.
4. THƯỜNG XUYÊN SAO LƯU DỮ LIỆU WEBSITE
Dữ liệu website là 1 phần rất quan trọng trên website của bạn, nó lưu trữ tất cả những giao diện, bài viết và tất tần tật những thứ trong website của bạn. Nếu như nó bị tấn công thì sẽ là 1 mất mát rất lớn đấy. Và nguy hiểm hơn khi bạn không sao lưu dữ liệu. Thế nên hãy tích cực sao lưu dữ liệu website của bạn nhé. Có các cách sau để sao lưu website WordPress của bạn.
- Sử dụng plugin: All – in- one – WP Migration. Đây là plugin giúp bạn sao lưu dữ liệu website 1 cách rất đơn giản chỉ với vài click chuột. Bạn cũng có thể sao chép toàn bộ trang web của mình thật tiện lợi.
- Backup thủ công: bạn cần vào host của bạn để tải dữ liệu website về bao gồm: các file của website và database.
- Backup tự động từ dịch vụ host: các nhà cung cấp dịch vụ host có cung cấp cho bạn dịch vụ sao lưu tự động hằng ngày, hằng tuần… hãy sử dụng nó nếu bạn có thể nhé. Vì nó rất tiện lợi trong các tình huống xảy ra sự cố website đấy.
5. HÃY LỰA CHỌN NHÀ CUNG CẤP HOST UY TÍN
Để cũng cố thêm bảo mật website WordPress thì bạn cần lựa chọn 1 nhà cung cấp host thực sự uy tín và có đầu tư. Nơi lưu trữ website của bạn được xem là quan trọng nhất trong các thứ cấu thành 1 website nên cần được đầu tư thật tốt, nhất là về mặt bảo mật. Những host tốt thường được nhà cung cấp chăm sóc rất kỹ và có những biện pháp để bảo vệ host trước các sự tấn công. Các biện pháp đó có thể là:
- Có công cụ để ngăn chặn các cuộc tấn công DDOS.
- Phần mềm của host luôn được cập nhật mới nhất để ngăn chặn việc tận dụng lỗ hỏng bảo mật của hacker.
- Có biện pháp backup nếu xảy ra sự cố lớn như: cháy, thiên tai…
- Luôn theo dõi các hoạt động của host và xử lý các hoạt động bất thường.
Bạn cũng không nên sử dụng host share nhé, tuy nó rẻ như rủi ro rất cao đấy, thậm chí chất lượng còn tệ nữa. Chẳng hạn như, nếu có 1 website bị dính virus trên host thì có thể xảy ra tình trạng lây nhiễm hàng loạt đến các website sử dụng cùng host và điều đó vô cùng nguy hiểm. Một trường hợp nữa là hacker có thể sử dụng các trang web khác để tấn công website của bạn.
6. SỬ DỤNG CLOUDFLARE ĐỂ BẢO MẬT WEBSITE WORDPRESS
Bạn đã từng nghe đến CloudFlare chưa?
CloudFlare là dịch vụ DNS trung gian, giúp điều phối lượng truy cập giữa máy chủ và các client qua lớp bảo vệ CloudFlare.
Để dễ hiểu hơn cho các bạn chưa biết thì mình xin phân tích như sau nhé. Khi 1 người nào đó truy cập vào website của bạn thì thay vì trực tiếp thông qua máy chủ phân giải tên miền DNS (Domain Name Server) để xem được dữ liệu của website thì sẽ thông qua trung gian là máy chủ phân giải tên miền của CloudFlare.
Nói thêm cho dễ hiểu. DNS (Domain Name Server) có chức năng chuyển đổi các tên miền đang sử dụng ở dạng www.domain.com thành địa chỉ IP tương ứng với tên miền đó và ngược lại.
CloudFlare là 1 giải pháp cực tốt khi nó giải quyết được 2 vấn đề quan trọng là tốc độ tải trang và bảo mật website. Có rất nhiều website đã tin dùng và có thể nói, nó thực sự ngon kể cả bản miễn phí.
Bạn sẽ cần dùng đến CloudFlare khi nào? Đó là khi bạn sử dụng host đặt máy chủ ở nước ngoài hoặc bạn muốn giấu đi địa chỉ IP máy chủ của bạn. Việc che giấu địa chỉ IP cũng là 1 phương pháp để bảo mật website WordPress của bạn đấy.
Những phương thức bảo mật mà CloudFlare mang lại như:
- Hạn chế tối đa các cuộc tấn công DDOS và rất nhiều các cách tấn công cơ bản khác.
- Cung cấp SSL miễn phí cho website của bạn.
- Có thể chặn IP, hạn chế truy nhập đến các quốc gia chỉ định.
- Công nghệ tường lửa
- Bảo vệ các trang đăng nhập
- …
Như vậy, việc tận dụng CloudFlare là 1 phương pháp tốt để tăng cường bảo mật cho website của bạn.
7. TẮT CHỨC NĂNG CHỈNH SỬA GIAO DIỆN
Nếu bạn đã quen với WordPress thì bạn chắc chắn biết được rằng, bạn có thể chỉnh sửa code giao diện website ngay ở Dashboard. Bạn chỉ cần vài thao tác là đã có thể bước vào chức năng đó. Nó sẽ rất nguy hiểm nếu như bạn không phải 1 người rành về code và cũng như rất rất nguy hiểm nếu website của bạn bị ai đó chỉnh sửa. Chỉ cần thay đổi 1 vài dấu, 1 vài dòng thôi là web bạn toang ngay.
Vậy điều bạn cần làm là tắt quyền chỉnh sửa đi bằng việc giản như sau.
Bạn hãy copy và thêm đoạn mã này vào file wp-config.php trong website của mình
// Disallow file editdefine( 'DISALLOW_FILE_EDIT', true );Chúc bạn thành công nhé.
8. THAY ĐỔI ĐƯỜNG DẪN ĐĂNG NHẬP
Chắc bạn đã quá quen với việc đăng nhập WordPress bằng đường dẫn sau https://domain.com/wp-admin. Và đối với mình, nó tiềm ẩn những nguy hiểm nhất định. Bất cứ ai cũng có thể bước vào trang đăng nhập của bạn 1 cách rất dễ dàng. Điều bạn nên làm ở đây là làm cho nó khó hơn bằng cách thay đổi đường dẫn đó.
Ví dụ: https://domain.com/websitecuatoi
Như thế thì bạn có thể ngăn chặn được 1 bước tấn công rồi.
HudoTech sẽ hướng dẫn bạn 1 cách đơn giản nhất đó là sử dụng plugin.
Bước 1: Bạn tải về Plugin WP Helper. Plugin này tích hợp nhiều ứng dụng mà bạn có thể sử dụng để không phải cài đặt nhiều plugin khác, trong đó có các chức năng về bảo mật.
Bước 2: Bạn vào chức năng bảo mật của plugin
Bước 3: Bạn nhập đường dẫn bạn mong muốn vào ô “đường dẫn đăng nhập mơi” rồi lưu lại là xong nhé.
Trong plugin này còn có chức năng xác thực CAPTCHA khi bạn đăng nhập vào nữa đấy. Hãy tự tìm hiểu thêm để tăng cường bảo mật website WordPress của bạn.
9. THAY ĐỔI TIỀN TỐ CƠ SỞ DỮ LIỆU
Mặc định tiền tố cơ sở dữ liệu trên website WordPress sẽ là WP_. Với tiền tố này thì hacker có thể dễ dàng hack được website của bạn, vì thế mình khuyên bạn nên thay đổi nó thành 1 cái gì đó khác hơn.
Ví dụ: WP_hudo1.
Bạn nên sao lưu cơ sở dữ liệu lại trước khi làm nhé. Và nếu như bạn không tự tin vào khả năng code của mình thì bạn không nên làm, vì nó ảnh hưởng nghiêm trọng đến website nếu làm sai.
10. ĐẶT MẬT KHẨU TRANG ĐĂNG NHẬP
Việc đặt mật khẩu trang đăng nhập tương tự như bạn thiết lập 1 lớp bảo vệ khác cho website của mình. Điều này ngăn chặn tốt hoặc làm tốn nhiều thời gian hơn bởi các cuộc tấn công bằng cách dò tìm mật khẩu. Thế nên bạn hãy đặt mật khẩu cho trang đăng nhập. Mình sẽ hướng dẫn bạn trong 1 bài viết khác với phương pháp này.
11. KẾT LUẬN
Bạn có thể thấy vấn đề an ninh mạng hiện nay đang rất đau đầu. Để bảo vệ các tài sản mạng của bạn thì bạn nên áp dụng nhiều phương pháp bảo mật để tránh những cuộc tấn công không mong muốn. Với những gì mình chia sẻ, mong bạn có thể tăng cường hơn tính bảo mật website WordPress của mình. Cảm ơn bạn đã đọc bài viết này, hẹn gặp lại trong những bài viết khác nhé.
Nguồn: Blog Tuấn Digital
