Bảo mật Wordpress

Tác giả Network Engineer, T.Sáu 10, 2020, 10:38:34 SÁNG

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Bảo mật Wordpress


1. Giới thiệu.

Hướng dẫn này có các biện pháp bảo mật đơn giản mà bạn có thể thực hiện để bảo mật trang web WordPress của mình, ngăn chặn các cuộc tấn công hack và giữ an toàn cho nội dung của bạn. Tôi sẽ bao gồm các giải pháp bảo mật và biện pháp phòng ngừa WordPress tốt nhất trong bài viết này.

Trong hướng dẫn bảo mật WordPress này, tôi sẽ giải quyết các câu hỏi sau:

       
  • WordPress có an toàn không và có bị hack không?
  • Làm cách nào để cải thiện bảo mật WordPress của tôi?
  • Làm cách nào để bảo vệ trang web WordPress của tôi khỏi phần mềm độc hại?
  • Điều gì làm cho một trang web WordPress không an toàn?
  • Tại sao trang web của tôi hiển thị là không bảo mật?
  • Làm cách nào tôi có thể cấp cho ai đó quyền truy cập an toàn vào trang web WordPress của mình?
  • Plugin bảo mật tốt nhất cho WordPress là gì?
  • Làm cách nào để kiểm tra xem trang web của tôi có an toàn không?
  • Làm cách nào để loại bỏ vi-rút khỏi WordPress?
Và nhiều thứ khác nữa. Bắt đầu nào.

2. Danh sách kiểm tra bảo mật WordPress.

Có nhiều hướng dẫn bảo mật WordPress với 20-30 cách hoặc thậm chí nhiều bước hơn về cách bảo vệ trang web WordPress của bạn. Nhiều bước trong số đó là hoàn toàn không cần thiết cho người dùng trung bình hoặc không có kiến thức về công nghệ thông tin.

Dưới đây là các bước nhanh chóng và đơn giản bạn nên thực hiện để giữ cho trang web WordPress của mình an toàn và bảo mật:

       
  • Sử dụng tên người dùng duy nhất với mật khẩu mạnh trên tất cả các tài khoản quản trị.
  • Bật và yêu cầu xác minh 2 bước trên tất cả các tài khoản quản trị.
  • Đừng cài đặt các giao diện và plugin từ các nguồn không đáng tin cậy.
  • Cấu hình WordPress, giao diện và plugin sẽ được cập nhật tự động.
  • Cấu hình WordPress để sao lưu tự động.
  • Sử dụng máy chủ VPS cách ly dựa trên container để bảo vệ trang web của bạn khỏi bị ô nhiễm bởi các trang web không an toàn khác trên cùng một máy chủ.
Sáu bước này sẽ khiến bạn mất vài phút để thực hiện và bạn sẽ không cần phải lo lắng về bảo mật WordPress sau đó. Thay vào đó, bạn sẽ có thể tập trung vào việc xây dựng một trang web tuyệt vời.

3. Tại sao WordPress rất dễ bị tổn thương và không an toàn?

WordPress rất nghiêm túc về bảo mật và là phần mềm rất an toàn. Nhóm bảo mật WordPress được tạo thành từ 50 chuyên gia bảo mật và nhà phát triển. Là phần mềm mã nguồn mở, có nhiều con mắt quan tâm đến nó và nó giữ cho toàn bộ hệ thống quản lý nội dung CMS an toàn và bảo mật.

Vậy tại sao bạn nghe về WordPress dễ bị tổn thương và không an toàn? WordPress là nền tảng viết blog và CMS được sử dụng rộng rãi nhất với thị phần hơn 35% toàn bộ web.
Sự phổ biến của các trang web WordPress khiến nó trở thành mục tiêu thường xuyên của các cuộc tấn công Brute Force nhằm tìm ra các trang web sử dụng tên người dùng mặc định và / hoặc mật khẩu yếu. Đây là thông tin nhạy cảm và là chìa khóa để giữ cho blog và website của bạn an toàn và bảo mật.

Một cuộc tấn công Brute Force là khi kẻ tấn công đăng nhập bằng nhiều mật khẩu với hy vọng đoán đúng. Kẻ tấn công kiểm tra một cách có hệ thống tất cả các tùy chọn có thể cho đến khi tìm thấy đúng.

Sử dụng xác thực hai yếu tố để đăng nhập bảng điều khiển quản trị viên WordPress của bạn như một biện pháp bảo vệ tấn công Brute Force hiệu quả.

Cuộc tấn công phổ biến thứ hai là vào phần mềm WordPress lỗi thời, các phiên bản lỗi thời của PHP, các giao diện và plugin lỗi thời. Đây là lý do tại sao nó là chìa khóa để luôn cập nhật mọi thứ cho website Wordpress của bạn.

Cả hai loại tấn công này đều được tự động hóa trên tất cả các nền tảng lưu trữ, vì vậy chúng không chỉ nhắm mục tiêu cụ thể vào blog và website của bạn.

Nếu họ thành công trong việc lây nhiễm một blog hoặc website không được bảo mật đầy đủ, họ thậm chí có thể lây nhiễm chéo tất cả các blog khác được lưu trữ trên cùng một máy chủ. Đừng để bất kỳ điều này xảy ra với bạn.

4. Các plugin bảo mật WordPress tốt nhất: Xác định bất kỳ lỗ hổng hiện có nào.

Có một số plugin bảo mật WordPress và các công cụ khác mà bạn có thể sử dụng để tìm hiểu xem blog của bạn có điểm yếu hiện tại không.

Họ quét phần mềm độc hại, mã độc và tập lệnh, phần mềm lỗi thời và các vấn đề bảo mật đã biết khác. Các plugin bảo mật WordPress này có thể giúp giữ cho blog, website của bạn được an toàn. Dưới đây là một số tùy chọn tốt nhất mà tất cả bao gồm các phiên bản miễn phí:

       
  • Sucuri SiteCheck: Cũng có một plugin Sucuri nhưng đây là một công cụ dựa trên trình duyệt để quét và kiểm tra nhanh.

       
  • Search Console: Security & Manual Actions thông báo cho bạn biết khi Google phát hiện phần mềm độc hại hoặc các vấn đề bảo mật khác với trang web WordPress của bạn.

       
  • Wordfence Security: Plugin bảo mật WordPress phổ biến nhất được sử dụng bởi hơn 3 triệu trang web. Tính năng bảo mật đăng nhập, tường lửa và chương trình quét phần mềm độc hại.

       
  • iTheme Security Plugin: Plugin này được sử dụng trên hơn 900.000 trang web WordPress.

       
  • All In One WP Security & Firewall: Được kích hoạt trên hơn 800.000 trang web WordPress. Tất cả các tính năng trên plugin này là hoàn toàn miễn phí để sử dụng.
5. Lưu trữ website, blog của bạn với một công ty lưu trữ web shared hosting an toàn.

Một lỗ hổng là lây nhiễm chéo. Nếu trang web của bạn được lưu trữ trên một máy chủ chia sẻ không được bảo vệ và khi một trang web có thể khai thác bị tấn công thì các trang web khác trên máy chủ đó cũng có thể bị lây nhiễm.

Điều này đã xảy ra với website của tôi một vài lần khi được lưu trữ trên GoDaddy. Ban đầu, tôi đổ lỗi cho các vụ hack về sự thiếu kinh nghiệm của bản thân hoặc không sử dụng các cách bảo mật tốt nhất.

Vì tôi đã học được cách qua những vụ hack này xảy ra, nó khiến tôi cảnh giác khi sử dụng các máy chủ không được bảo vệ tốt. Bảo vệ tốt nhất khỏi lây nhiễm chéo là sử dụng máy chủ WordPress an toàn. Hỏi nhà cung cấp web shared hosting của bạn về những biện pháp phòng ngừa an ninh nào mà họ thực hiện về việc lây nhiễm chéo.

Trang web của tôi được người đọc hỗ trợ. Nếu bạn mua hàng thông qua một số liên kết trên trang web của tôi, tôi có thể kiếm được một khoản hoa hồng qua liên kết này. Điều này giúp giữ cho quảng cáo trang web của tôi và theo dõi miễn phí. Nó không thay đổi giá bạn phải trả. Tôi chỉ giới thiệu các sản phẩm mà tôi thực sự tin là có giá trị.

Ngay bây giờ, website của tôi được lưu trữ trên GreenGeek và tôi rất vui khi báo cáo rằng tôi chưa có bất kỳ vấn đề bảo mật nào.

Tôi là một khách hàng trả tiền vui vẻ cho các dịch vụ của GreenGeek vì họ có một số biện pháp bảo mật, cấu hình máy chủ và các tính năng bổ sung mà bạn có thể tận dụng khi sử dụng cài đặt WordPress của mình:

       
  • Tất cả các blog WordPress được tự động cập nhật ngay khi có bản phát hành mới . Tôi không phải thực hiện bất kỳ hành động nào.

       
  • Có một bản sao lưu hàng đêm của tất cả các dữ liệu trong trường hợp khẩn cấp. May mắn thay, tôi chưa phải đối phó với các bản sao lưu.

       
  • Họ có sự cô lập dựa trên container, điều đó có nghĩa là blog của bạn được tách biệt khỏi các blog khác và không thể bị lây nhiễm bởi sự lây nhiễm chéo.

       
  • Bảo vệ thư rác được xây dựng theo và theo dõi phần mềm độc hại và vi rút theo thời gian thực.

       
  • Bạn cũng nhận được một tên miền miễn phí và chứng chỉ SSL miễn phí từ Let's Encrypt. Điều này sẽ ngăn trang web của bạn bị gắn nhãn là không bảo mật trên các trình duyệt khác nhau.

       
  • Hỗ trợ khách hàng 24/7 qua trò chuyện trực tiếp, email hoặc điện thoại trong trường hợp cần thiết.
5. Bật tính năng xác minh 2 bước.

Xác minh hai yếu tố bổ sung thêm một lớp bảo mật cho URL đăng nhập WordPress của bạn và ngăn chặn hoàn toàn tất cả các cuộc tấn công Brute Force.

Không có quyền truy cập vào điện thoại của bạn, đơn giản là không thể vượt qua trang đăng nhập ngay cả khi kẻ tấn công biết tên người dùng và mật khẩu.

Bật Secure Sign On trong Jetpack là một trong những cách dễ nhất để kích hoạt xác thực hai yếu tố trong WordPress. Điều này cho phép bạn đăng nhập vào trang web bằng thông tin đăng nhập   Đăng nhập để xem liên kết của bạn. Và   Đăng nhập để xem liên kết cho phép bạn yêu cầu xác thực hai yếu tố.
Xác thực hai bước cho WordPress.

       
  • Kích hoạt hai bước trên tài khoản   Đăng nhập để xem liên kết của bạn trong mục Two-Step Authentication trong thẻ Security.
  • Cài đặt và kích hoạt plugin Jetpack trong khu vực quản trị WordPress của bạn.
  • Bật tùy chọn Single Sign On.
  • Đánh dấu vào ô để Require Two-Step Authentication.
  • Chèn mã này vào tập tin in.php của giao diện để vô hiệu hóa biểu mẫu đăng nhập mặc định của WordPress:
Mã nguồn [Chọn]
add_filter( 'jetpack_remove_login_form', '__return_true' );

Bây giờ bạn chỉ có thể đăng nhập vào blog bằng cách sử dụng chi tiết đăng nhập   Đăng nhập để xem liên kết của bạn. Và những điều này đòi hỏi xác thực hai yếu tố từ điện thoại của bạn. Đăng nhập mặc định đã bị vô hiệu hóa.

Cho đến nay, xác thực hai bước là cách tốt nhất để ngăn chặn mọi người cố gắng thực hiện theo cách của họ vào bảng điều khiển wp-admin của bạn. Tôi khuyên bạn nên thực hiện nó.

Trước đây, tôi đã sử dụng một số cách hack khác nhau để ngăn chặn các cuộc tấn công này như thay đổi URL của trang đăng nhập mặc định của WordPress và chặn tất cả các địa chỉ IP ngoại trừ việc tôi cố gắng đăng nhập nhưng xác thực hai bước là một giải pháp thanh lịch hơn nhiều.

7. Chặn các nỗ lực đăng nhập không mong muốn, Brute Force.

Nếu bạn vì bất kỳ lý do gì không thể bật xác thực hai bước, đây là một sự thay thế hợp lý.

Jetpack's Protect giống như một tường lửa ứng dụng web cho WordPress của bạn. Nó theo dõi tất cả các lần đăng nhập thất bại trên mạng của các trang web được lưu trữ bởi WordPress. Sau đó, nó  sẽ tự động chặn tất cả những lần thử không mong muốn này từ các địa chỉ IP xấu này từ phần còn lại của mạng.

Một trong những cách phổ biến khác mà tin tặc cố gắng Brute Force trang web của bạn là thông qua XML-RPC. Jetpack Protect cũng chặn tất cả các cuộc tấn công XML-RPC, do đó bạn không cần phải làm gì thêm để vô hiệu hóa XML-RPC nếu bạn đang sử dụng Jetpack.

Kích hoạt plugin Jetpack và bật Protect add-onđể bật tính năng này. Đây là một ảnh chụp màn hình từ một trong những blog của tôi:
8. Cấu hình tự động cập nhật WordPress và plugin.

Lý do chính khiến các nhà phát triển phát hành phiên bản mới thường xuyên là do lỗ hổng bảo mật được tìm thấy trong các phiên bản cũ hơn. Phần lớn các thỏa hiệp bảo mật xảy ra thông qua các plugin lỗi thời.

Cập nhật tự động làm việc để giữ cho website bạn được an toàn. Luôn nâng cấp lên phiên bản mới nhất của WordPress. Thực hiện tương tự cho phiên bản mới nhất của giao diện thiết kế blog và plugin bạn sử dụng.

Nâng cấp là các quy trình đơn giản, tự động, chỉ bằng một cú nhấp chuột trong giao diện quản trị WordPress. Khi có bản cập nhật mới, WordPress sẽ thông báo cho bạn trên bảng điều khiển của bạn.

Các phiên bản gần đây nhất có tính năng cập nhật bên dưới tự động. Bạn có thể thấy rằng máy chủ của bạn tự động cập nhật cho bạn phiên bản mới nhất trong khi bạn ngủ.

Các bản cập nhật tự động của giao diện và plugin sẽ đến với bản phát hành WordPress 5.5 vào tháng 8 năm 2020. Hiện tại bạn có thể thử nghiệm tính năng này. Bạn cũng có thể tự động cập nhật các giao diện và plugin của mình bằng các tùy chọn sau:

Jetpack cho phép bạn đặt tất cả các plugin của mình được cập nhật tự động. Ngay cả đối với các trang web của bạn. Đây là cách thực hiện:

       
  • Đăng nhập vào tài khoản   Đăng nhập để xem liên kết của bạn.
  • Tìm phần Plugin trong phần Tools.
  • Nhấp vào trên Manage Plugins, ở góc trên bên phải.
  • Đơn giản chỉ cần bật trên Autubdates trên tất cả các plugin.
Nếu máy chủ web của bạn không tự động cập nhật WordPress và các plugin của nó và bạn không muốn sử dụng plugin Jetpack, thì đây là một giải pháp kỹ thuật khác.

Trong thư mục WordPress của bạn trên máy chủ web, bạn có thể chỉnh sửa tập tin wp-config.php để cập nhật WordPress tự động. Đây là mã bạn cần chèn vào tập tin wp-config.php của bạn:

Mã nguồn [Chọn]
define( 'WP_AUTO_UPDATE_CORE', true );
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );


Điều này sẽ giúp bạn tự động cập nhật phần mềm WordPress mà cả giao diện và plugin của bạn.

9. Giới hạn số lượng plugin và giao diện được cài đặt.

Giữ các điểm vào của các cuộc tấn công xuống mức tối thiểu. Chỉ cài đặt các giao diện và plugin mà bạn chủ động sử dụng và cần thiết để chạy blog của bạn. Loại bỏ bất cứ thứ gì không được sử dụng.

Giảm thiểu số lượng các plugin bạn sử dụng. Jetpack là ví dụ thay thế một số plugin khác nhau.

Đừng tải về các giao diện và plugin từ các nguồn không xác định. Chỉ sử dụng các giao diện và các plugin từ các trang web chính thức của các nguồn tin cậy như các giao diện và plugin cao cấp.

Đây là những dấu hiệu chất lượng tìm thấy trong plugin hoặc giao diện:

       
  • Số lượng tải xuống và số người dùng WordPress đang hoạt động cao.
  • Cập nhật thường xuyên và cập nhật mới nhất gần đây.
  • Tỷ lệ đánh giá và khuyên dùng cao.
10. Tạo tài khoản người dùng mới và hạn chế truy cập trái phép.

Tin tặc xâm nhập vào tài khoản WordPress của bạn càng khó hơn khi cả tên người dùng và mật khẩu phải bị bẻ khóa trước tiên. Tên người dùng và quản trị trực tuyến là mục tiêu thường xuyên nhất của các cuộc tấn công Brute Force. Đó là một mục tiêu dễ dàng và nên được xóa và không nên được sử dụng.
Giảm số người có quyền truy cập quản trị vào blog của bạn đến mức tối thiểu. Bất cứ ai không cần quyền truy cập quản trị không nên có nó. Điều này là dễ dàng để làm với tính năng vai trò và khả năng.

Dưới đây là cách tạo người dùng mới và xóa người dùng mặc định của người quản trị trực tuyến.

       
  • Bạn tạo một người dùng bằng cách truy cập vào Usersvà sau đó là Add New trong menu WordPress.
  • Khi tạo người dùng mới, hãy đảm bảo cung cấp cho nó vai trò của một Administrator. Điều đó sẽ đảm bảo rằng bạn có toàn quyền đối với bảo mật trang web WordPress của mình.
  • Bây giờ hãy đăng xuất khỏi tài khoản quản trị mặc định của người dùng và đăng nhập với các chi tiết người dùng mới vừa tạo.
  • Trong Users, hãy  xóa tên người dùng quản trị mặc định .
  • Đảm bảo chọn tùy chọn để chuyển các bài đăng cũ của bạn sang tên người dùng mới khi xóa tài khoản quản trị của người dùng.
11. Sử dụng mật khẩu mạnh và an toàn.

Đừng sử dụng mật khẩu đơn giản cho tài khoản WordPress của bạn. Mật khẩu đơn giản có thể giúp bạn dễ nhớ, nhưng chúng cũng dễ bị hacker tấn công hơn.

Sử dụng mật khẩu mạnh và an toàn thay thế. Mật khẩu của bạn phải là:

       
  • Ít nhất mười hai ký tự.
  • Bao gồm số, ký tự đặc biệt, chữ hoa và chữ thường.
Đây là một công cụ miễn phí của Norton giúp bạn tạo một mật khẩu mạnh.   Đăng nhập để xem liên kết
12. Đặt một nickname mới.

Bạn không muốn tên người dùng mới của mình là tên tác giả được hiển thị trên tất cả các bài đăng. Bằng cách này, tin tặc sẽ có một cách dễ dàng để tìm tên người dùng mới của bạn.

Đặt tên nickname của tài khoản của bạn thành tên khác với tên người dùng của bạn. Đây là cách thực hiện:

       
  • Tới "Users" dưới "Your Profile".
  • Chọn một tên nickname mới trong trường Nickname.
  • Đặt Display name publicly as thành tên nickname mới của bạn.
13. Không cho phép khách truy cập web có thể đăng ký User mới.

Bạn không cần có một trang web cho đăng ký thành viên? Vậy thì không có lý do để cho phép khách truy cập đăng ký tài khoản khách.

Kiểm tra xem bạn đã tắt đăng ký chưa. Nhấp vào Settings và đảm bảo rằng tùy chọn Anyone can register không được đánh dấu tick.

14. Không cho phép ping.

WordPress với tùy chọn pingback được kích hoạt có thể được sử dụng trong các cuộc tấn công DDOS chống lại các trang web khác. Tùy chọn này được bật theo mặc định, vì vậy điều quan trọng là phải tắt nó.

Trong Settings, đi tới Discussion trong Default Article Settings hãy bỏ đánh tick Allow link notifications (pingbacks and trackbacks)

15. Hãy sao lưu tự động thường xuyên.

Thực hiện sao lưu tự động hàng ngày hoặc hàng tuần nội dung và cơ sở dữ liệu của bạn là điều cần thiết. Các nhà cung cấp lưu trữ tốt thực hiện sao lưu hệ thống của họ về phía họ.

Tại thời điểm bạn thiết lập trang web WordPress trên GreenGeek, bạn có thể chọn tự động cập nhật và sao lưu tự động:
Bạn vẫn có thể tự chịu trách nhiệm cá nhân trong việc thực hiện sao lưu thường xuyên. WordPress bao gồm hai phần:

       
  • Cơ sở dữ liệu: nơi lưu trữ tất cả các cài đặt, trang, bài đăng và nhận xét.
  • Tập tin: bao gồm phương tiện truyền thông, tệp đính kèm, giao diện và plugin.
Bạn nên thực hiện sao lưu thường xuyên toàn bộ trang web. Có rất nhiều lựa chọn. Plugin miễn phí tốt nhất là UpdraftPlus, được sử dụng trên hơn 2 triệu blog và website.

Trong trường hợp trang web của bạn bị tấn công hoặc bị nhiễm vi-rút hoặc phần mềm độc hại, bạn sẽ có thể khôi phục bản sao lưu đầy đủ các chức năng.

Các bước đơn giản này có thể được thực hiện tương đối nhanh chóng để cải thiện bảo mật WordPress của bạn và sẽ khiến trang web của bạn khó xâm nhập hơn rất nhiều.

Bạn có thể sẽ không có vấn đề hack. Bạn sẽ cảm thấy an toàn hơn. Bạn sẽ có thể tập trung thời gian của mình vào việc viết nội dung thú vị và xây dựng số lượng truy cập.