Như các bạn đã biết thì WordPress là một mã nguồn mở thông dụng nhất dùng để làm website hoặc blog. Và cũng chính vì thông dụng nhất nên đây luôn là một trong các mục tiêu tấn công hàng đầu của các hacker. Và bạn phải chuẩn bị sẵn sàng cho cuộc tấn công sắp tới, sau đây mình sẽ giới thiệu cho các bạn một số cách khiến website/blog wordpress cứng cáp hơn ( khó bị tấn công hơn) và sẵn sàng hơn khi có tác động tiêu cực xảy ra.
Trước khi xem bài này thì bạn nên xem bài 1 trước: Hướng dẫn chi tiết bảo mật wordpress cho người mới – phần 1
Hãy cùng điểm qua 8 bước chuẩn bị bảo mật wordpress trước hacker
1/ Nâng cấp chứng chỉ SSL ngay hôm nay
Một phương thức giúp bảo vệ các dữ liệu được truyền tải vừa giúp bạn cải thiện thứ hạng SEO. Vâng, chứng chỉ SSL (Secure Sockets Layer) sẽ giúp bạn mã hóa các đoạn dữ liệu được gửi đi và tự giải mã khi đã tới tay đúng người nhận.
Bạn có thể tham khảo cách cài đặt chứng chỉ SSL tại bài viết này: Hướng dẫn cài đặt chứng chỉ SSL cho wordpress (chi tiết)
2/ Thường xuyên backup website (Hàng tuần, hàng ngày hay thậm chí hàng giờ)
Backup là hoạt động lưu trữ lại 1 bản sao dữ liệu website của bạn tại 1 thời điểm an toàn. File backup này được dùng để khôi phục website/ blog khi có sự cố xảy ra. Bạn có thể sử dụng một số phương pháp backup có sẵn trong host (thường một số nhà cung cấp hosting uy tín sẽ có cài đặt) hoặc dùng một số Plugin miễn phí và trả phí dưới đây:
3/ Thường xuyên cập nhật tất cả mọi thứ
Các lỗ hổng bảo mật luôn phát sinh và các nhà cung cấp dịch vụ của bạn cũng luôn tìm kiếm các biện pháp giúp plugin hay theme an toàn hơn, họ thường xuyên cập nhật các sản phẩm của mình. Bạn hãy đảm bảo rằng luôn cập nhật tất cả mọi thứ lên phiên bản mới nhất. Rất may, bạn có thể cài đặt cho wordpress tự động cập nhật một cách dễ dàng.
Bạn có thể quản lý việc cập nhật này bằng một số đoạn mã tùy chỉnh trong “wp-config”
Để cài đặt wordpress tự động cập nhật phiên bản. Bạn vào “wp-config” và chèn đoạn code sau:
define('WP_AUTO_UPDATE_CORE', true);
Để kích hoạt cho các plugin tự động cập nhật bạn chèn code sau:
add_filter( 'auto_update_plugin', '__return_true' );
Để kích hoạt cho theme tự động cập nhật bạn chèn code sau:
add_filter( 'auto_update_theme', '__return_true' );
4/ Sử dụng Plugin bảo mật cho wordpress
Bước này mình sẽ không nói tới nữa do mình đã nhắc lại khá nhiều lần trong các bài viết bảo mật trước.
5/ Bảo mật hosting
Trong hosting thường cài đặt các ứng dụng giúp bảo mật dữ liệu tốt hơn. Bạn hãy liên hệ với người cung cấp hosting và họ sẽ cài đặt hoặc hướng dẫn bạn cài đặt bảo mật cho hosting tốt hơn.
Đây là một ví dụ chức năng bắt người dùng phải nhập ID, mật khẩu khi truy xuất tới một vùng dữ liệu mà bạn đã cài bảo mật. Một số nhà cung cấp làm khá tốt việc bảo mật cho hosting có thể kể tới: inMotion, WPEngine, Kinsta và Pagely.
6/ Giới hạn số lần đăng nhập
Theo mặc định, WordPress cho phép bất cứ ai nhập mật khẩu và thử lại không giới hạn cho bất kỳ tài khoản nào. Điều này dẫn đến các cuộc tấn công bằng hình thức dò mật khẩu thủ công từ các thông tin mà họ thu thập được của bạn hoặc đơn giản là họ cài đặt một công cụ có nhiệm vụ thử các mật khẩu bất kỳ thường được sử dụng.
May mắn thay, có rất nhiều plugin miễn phí như Login Lockdown và Loginizer Security để giúp bạn hạn chế những nỗ lực đăng nhập.
7/ Vô hiệu hóa PHP Execution
Trong hầu hết các trường hợp, tin tặc tạo ra backdoor bằng cách tạo ra các file PHP trông giống như các tập tin gốc của wordpress (hoặc chính là thư mục gốc nhưng đã bị ghi đè lên) và thường là wp-includes và wp-content. Bất cứ khi nào một trang web WordPress bị tấn công, cố gắng upload file .php độc hại vào các thư mục này, họ có thể dễ dàng tải lên và chạy các file bằng cách sử dụng các lỗ hổng được biết đến (nếu có) để tàn phá trên trang web của bạn. Một cách để bảo vệ mình khỏi các cuộc tấn công loại này đơn giản là thay đổi quyền nhưng đôi khi sẽ khiến việc xung đột với các Plugin. Bạn có thể ngăn chặn những mối đe dọa này bằng cách vô hiệu lệnh thực thi PHP của các tập tin này.
Vô hiệu hóa thực thi các file PHP là rất dễ dàng. Để bắt đầu, bạn hãy tạo ra một tập tin văn bản mới, đặt tên là .htaccess, sao chép và dán mã dưới đây vào nó.
<Files *.php> deny from all </Files>
Bây giờ, mở lên FTP client của bạn và tải lên các tập tin bạn vừa tạo vào các thư mục wp-includes và / wp-content / uploads /
Một điều cần lưu ý là đôi khi các tập tin được tải lên trong thư mục wp-includes có thể làm hỏng web của bạn. Trong những trường hợp đó, chỉ đơn giản là bạn hãy xóa các tập tin .htaccess tải lên hoặc loại bỏ các mã được thêm vào.
8. Bảo mật WordPress mục wp-admin với cách tạo thêm xác thực bước 2 với máy chủ web
Tạo một tập tin mật khẩu mới cho máy chủ web WordPress của bạn
Để mật khẩu bảo vệ khu vực admin WordPress của bạn, bạn phải tạo một tập tin htpasswd Apache. Các tập tin htpasswd giống như một cơ sở dữ liệu tên người dùng và mật khẩu mà máy chủ web sẽ sử dụng để xác thực người dùng. Bây giờ bạn cần tạo một tập tin htaccess của Apache:
Khi bạn tạo một tập tin htpasswd, bạn cũng phải tạo một tập tin .htaccess mới và tải lên thư mục wp-admin. Nếu trong file wp-admin đã có file htaccess thì bạn ghi thêm vào đó (nhớ sao lưu file htaccess về trước tránh trường hợp bị lỗi nhé – file htaccess thường bị ẩn nên bạn có thể dùng filezilla kết nối vào host thì sẽ thấy nó)
Thêm vào htaccess
# enable basic authentication AuthType Basic # this text is displayed in the login dialog AuthName “Restricted Area” # The absolute path of the Apache htpasswd file. You should edit this AuthUserFile /path/to/.htpasswd # Allows any user in the .htpasswd file to access the directory require valid-user
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Sau đó tải lên “wp-admin” và kể từ bây giờ nếu ai đó muốn truy cập vào wp-admin thì sẽ phải xác thực với server. Ảnh ví dụ phía dưới.
Lưu ý: Bạn nên cài đặt ssl để mã hóa tất cả dữ liệu nhé. Vì dữ liệu này cũng có thể bị đánh cắp đấy.
