Bảo mật WordPress và ngăn ngừa Malware

Tác giả Network Engineer, T.Sáu 10, 2020, 02:43:44 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Bảo mật WordPress và ngăn ngừa Malware


Phần mềm độc hại là một thuật ngữ thực sự bao gồm một bộ sưu tập rộng rãi các chương trình gây hại hoặc gây rối. Những phiền toái này đã tồn tại lâu hơn chính internet và bảo mật trang web của bạn chống lại chúng vẫn là ưu tiên hàng đầu.

Để giữ cho trang web của bạn an toàn, trước tiên bạn cần biết bạn đang chống lại điều gì. Do đó, điều quan trọng là phải hiểu các loại phần mềm độc hại khác nhau và cách chúng có thể lây nhiễm và làm tổn thương trang web của bạn. Khi bạn làm như vậy, bạn sẽ biết những biện pháp bảo mật WordPress bạn phải thực hiện để ngăn chặn chúng.

Trong bài viết này, chúng ta sẽ thảo luận về phần mềm độc hại và giới thiệu cho bạn một số chủng phổ biến và nguy hiểm nhất. Chúng tôi cũng sẽ chỉ cho bạn cách bạn có thể bảo mật trang web của mình trước phần mềm độc hại WordPress, bao gồm loại bỏ phần mềm độc hại và cách khôi phục trang web WordPress bị hack.

1. Giới thiệu về phần mềm độc hại.

Ngay cả khi bạn chỉ quen thuộc với bảo mật máy tính, nhiều khả năng bạn đã nghe thấy từ 'phần mềm độc hại' trước đây. Bản thân thuật ngữ này là viết tắt của 'phần mềm độc hại' và nó dùng để chỉ bất kỳ phần mềm nào được tạo ra có chủ ý để gây ra sự gián đoạn hoặc thiệt hại. Mục tiêu có thể là máy tính, máy chủ, mạng - hoặc trang web.

Phần mềm độc hại thực sự có trước internet , trở lại từ đầu những năm 70. Các ví dụ đầu tiên được cho là ít gây hại hơn, tuy nhiên, chẳng hạn như virus Creeper . Phần mềm này được tạo ra vào năm 1971 và chỉ cần sao chép chính nó giữa các máy tính được kết nối mà không gây ra bất kỳ thiệt hại nào. Những người tiên phong đáng chú ý khác đã được tạo ra như trò đùa, chẳng hạn như Elk Cloner khét tiếng, đã tìm cách lây nhiễm hàng triệu hệ thống vào năm 1982.


Ngày nay, phần mềm độc hại không phải là thứ gì đó được xem nhẹ. Những gì bắt đầu như thử nghiệm vô hại đã trở thành một trong những mối đe dọa lớn nhất đối với tất cả các hệ thống kỹ thuật số. Phần mềm độc hại cũng đã phát triển thành nhiều chủng khác nhau, có nhiều cách lây nhiễm và làm hỏng các hệ thống mà nó ảnh hưởng. Các loại phần mềm độc hại mới được phát hành và phát hiện mỗi ngày, với các ví dụ nổi bật gần đây bao gồm cả phần mềm độc hại WordPress  BabaYaga.

Thật dễ dàng để cho rằng bạn an toàn, nhưng thực sự không có thiết bị hoặc trang web nào an toàn 100% trước phần mềm độc hại. Ngay cả khi bạn chỉ chạy một trang web WordPress cơ bản, nó vẫn có thể bị lây nhiễm theo những cách có thể khiến bạn mất nội dung và thậm chí làm tổn thương tài chính của bạn. Vì vậy, tốt nhất bạn nên chuẩn bị và biết bạn đang chống lại điều gì, vì vậy bạn có thể thực hiện các biện pháp thích hợp để bảo vệ bản thân khỏi bị nhiễm phần mềm độc hại hoặc trang web WordPress bị hack và sau đó xóa phần mềm độc hại một cách thích hợp.

2. Các loại phần mềm độc hại khác nhau

Trước khi thảo luận về các bước bạn có thể thực hiện để bảo mật trang web của mình, trước tiên hãy giới thiệu cho bạn nhiều loại phần mềm độc hại. Đây là một số biến thể phần mềm độc hại phổ biến nhất mà bạn có thể gặp phải:


       
  • Virus: Mặc dù 'virus máy tính' thường được sử dụng để mô tả nhiều loại phần mềm độc hại, nhưng nó thực sự đề cập đến phần mềm tự sao chép bằng cách chèn mã của chính nó vào các chương trình khác. Điều này có thể có nhiều hình dạng, chẳng hạn như thêm nội dung spam vào trang web của bạn và lây nhiễm máy tính của khách truy cập.

       
  • Trojan horse:  Con ngựa thành Troian đề cập đến phần mềm giả vờ có một chức năng nhưng bí mật thực hiện các hành động khác, chẳng hạn như làm hỏng tập  tin WordPress,  tập  tin ftp hoặc tập  tin php hoặc khai thác tài nguyên hệ thống của bạn.

       
  • Spyware: Đây là một chương trình vẫn bị ẩn, để thu thập thông tin. Điều này có thể dẫn đến vi phạm dữ liệu và mất dữ liệu cá nhân.

       
  • Ransomware:  Như tên của nó, đây là phần mềm độc hại giữ bạn để đòi tiền chuộc. Khi bạn bị nhiễm bệnh, bạn sẽ không thể sử dụng trang web của mình cho đến khi bạn trả tiền cho người tạo để xóa trang web đó. Điều này có thể có những hậu quả thảm khốc, như đã thấy trong  vụ tấn công WannaCry , đã đóng cửa một số bệnh viện và đài phát thanh.

       
  • Phần mềm quảng cáo Adware: Phần mềm độc hại này chỉ đơn giản là buộc bạn phải tương tác với một quảng cáo, chẳng hạn như bằng cách nhấp vào nó, trước khi bạn có thể sử dụng trang web của mình. Điều này thường tương đối vô hại, mặc dù gây khó chịu và rất không mong muốn vì tất cả những gì nó có thể làm chỉ là một cú nhấp chuột.

       
  • Cryptocurrency miners: Đây là một trong những loại phần mềm độc hại mới nhất, lây nhiễm vào một trang web để sử dụng tài nguyên của nó để khai thác bitcoin . Điều này có thể làm chậm nghiêm trọng trang web của bạn và dẫn đến các lỗ hổng bảo mật bổ sung trong quá trình này.
Điều đáng chú ý là đây không phải là một danh sách toàn diện. Ví dụ, chúng tôi cũng có thể thảo luận về botnet , các cuộc tấn công Brute Force, wiber và sâu máy tính, nhưng chúng tôi nghĩ rằng bạn đã hiểu rõ. Phần mềm độc hại có nhiều hình dạng và kích cỡ, vì vậy câu hỏi là: làm thế nào để bạn tự bảo vệ mình khỏi bị nhiễm phần mềm độc hại?

4 cách để bảo vệ trang web WordPress của bạn chống lại phần mềm độc hại.

Để ngăn phần mềm độc hại lây nhiễm vào trang web của bạn, bạn sẽ cần thực hiện các bước để thắt chặt hệ thống phòng thủ của nó. Mặc dù điều này có vẻ khó khăn, đặc biệt là nếu bạn không quen với bảo mật trang web, điều quan trọng là hiểu được những lỗ hổng tiềm năng mà trang web của bạn có thể có và ngăn chặn chúng bị khai thác.

WordPress là một nền tảng rất an toàn, nhưng điều đó không có nghĩa là nó hoàn toàn không thể đánh lừa được. Trên thực tế, chúng tôi khuyên bạn nên dành thời gian để triển khai các tính năng và thói quen bảo mật WordPress nhất định trên trang web WordPress của mình. Với ý nghĩ đó, giờ đây chúng tôi sẽ chỉ cho bạn bốn trong số những cách tốt nhất để đảm bảo trang web của bạn có thể chống lại hầu hết các mối đe dọa.

3. Cập nhật trang web của bạn.

Bước đầu tiên này là dễ nhất và quan trọng nhất. Điều cực kỳ quan trọng là bạn đảm bảo luôn cập nhật mọi khía cạnh của trang web của mình càng sớm càng tốt. Điều này bao gồm cả chính WordPress, cũng như nhiều giao diện WordPress, tập tin WordPress và plugin WordPress bạn đã cài đặt. Các phiên bản cũ của phần mềm trang web của bạn có nhiều khả năng chứa các lỗ hổng bảo mật vì chúng không có các biện pháp bảo mật chống phần mềm độc hại mới nhất.

Chẳng hạn, có lẽ bạn đã bắt gặp các phiên bản mới của WordPress được gắn nhãn là 'cập nhật bảo mật'. Chúng thường được thiết kế để bảo vệ chống lại các loại phần mềm độc hại mới nhất và các rủi ro khác, với bảo mật chống phần mềm độc hại. Nếu bạn không dành thời gian để cài đặt các bản cập nhật này, bạn sẽ không khắc phục được các điểm yếu đã biết trên trang web của mình, những kẻ tấn công chắc chắn sẽ nhắm mục tiêu. Hãy dành thời gian cho các cài đặt WordPress này.

May mắn thay, cập nhật trang web của bạn rất đơn giản. Các phiên bản mới sẽ chỉ xuất hiện trong khu vực quản trị trang web của bạn, trong Dashboard > Updates:


Trên thực tế, nhiều máy chủ web thậm chí còn tự động cập nhật một số (hoặc tất cả) các phần của trang web của bạn. Mặc dù vậy, thật đáng để nỗ lực để đảm bảo rằng trang web của bạn luôn được cập nhật.

4. Bảo mật trang đăng nhập của bạn.

WordPress không có nhiều điểm yếu, nhưng một trong những điểm nổi bật nhất là trang đăng nhập trang web của bạn. Đây thực sự không phải là lỗi của WordPress. Thay vào đó, trang đăng nhập wp của bạn là mục tiêu vì hầu hết những kẻ tấn công sẽ tập trung nỗ lực của họ ở đó, để thử và truy cập vào trang web của bạn để lây nhiễm phần mềm độc hại. Vì vậy, điều quan trọng là phải hiểu làm thế nào bạn có thể củng cố trang đăng nhập của mình để ngăn chặn các cuộc tấn công như vậy.

Trước đây chúng ta đã nói về cách bạn có thể bảo vệ trang đăng nhập wp của mình, nhưng hãy nhanh chóng đi qua những điều cơ bản. Hai điều quan trọng nhất bạn có thể làm rất đơn giản: chọn tên người dùng và mật khẩu mạnh. Bạn nên luôn luôn tránh sử dụng 'admin' làm tên người dùng của mình, vì đây là tùy chọn phổ biến nhất và do đó rất dễ để tin tặc và bot đoán. Bạn cũng cần sử dụng một mật khẩu mạnh mà bạn có thể tạo trong chính WordPress.

Ngoài ra, bạn có thể muốn tiến xa hơn nữa bằng cách triển khai xác thực hai yếu tố, điều đó có nghĩa là người dùng sẽ yêu cầu thiết bị di động để đăng nhập. Bạn cũng có thể sử dụng một plugin như Login Attempts Reloaded, để ngăn người dùng có thể thực hiện vô tận cố gắng đột nhập vào tài khoản của bạn

5. Tạo bản sao lưu thường xuyên của trang web của bạn.

Một bản sao lưu về cơ bản là một bản sao của trang web của bạn, có thể được sử dụng để khôi phục nó về trạng thái trước đó. Đương nhiên, sao lưu chủ yếu được sử dụng khi trang web của bạn đã bị nhiễm, nhưng dù sao chúng cũng là một công cụ quan trọng để chiến đấu với phần mềm độc hại. Nếu trang web của bạn bị nhiễm và bạn không có bản sao lưu, bạn có thể đã mất hoàn toàn dữ liệu và nội dung của mình.

Tuy nhiên, với bản sao lưu, bạn chỉ cần khôi phục phiên bản đã lưu, 'khởi động lại' trang web của bạn đến một điểm trước khi nó bị tấn công. Tùy thuộc vào độ tuổi của bản sao lưu, bạn có thể vẫn bị mất một số dữ liệu, nhưng không nhiều như thể bạn chưa thực hiện biện pháp phòng ngừa này.

Có nhiều cách để tạo bản sao lưu trong WordPress. Một số plugin chứa các tính năng sao lưu, chẳng hạn như UpdraftPlus cực kỳ phổ biến. Bạn cũng sẽ thấy rằng một số máy chủ web cung cấp chức năng này như một phần trong kế hoạch của họ và sẽ tự động tạo bản sao lưu cho bạn theo các khoảng thời gian cụ thể.

Cuối cùng, bạn cũng có thể nhận được một gói hỗ trợ bao gồm các bản sao lưu thông thường. Điều này đảm bảo rằng bạn sẽ luôn có kế hoạch B, nếu trường hợp xấu nhất xảy ra.

6. Cài đặt Plugin bảo mật.

Chúng tôi đã cài vào một số plugin có thể bảo vệ các khía cạnh cụ thể của trang web của bạn. Tuy nhiên, cũng có một số plugin cung cấp một hệ thống bảo mật hoàn chỉnh cho trang web WordPress của bạn. Trên thực tế, có rất nhiều thứ mà chúng ta hiếm khi đặt tên ngay cả một phần trong số chúng ở đây. Thay vào đó, hãy xem nhanh một số tùy chọn phổ biến nhất.
Trước tiên, chúng tôi đã có Sucuri Security, đây là một plugin miễn phí cung cấp rất nhiều tính năng:


Trong số những thứ khác, Sucuri quét trang web của bạn để tìm phần mềm độc hại và luôn cập nhật những mối đe dọa mới nhất. Nó sẽ gửi cho bạn thông báo về bất kỳ vấn đề bảo mật nào và giám sát tất cả các tập tin của trang web của bạn để phát hiện bất kỳ điều gì có khả năng gây hại.

Tiếp theo là Bảo mật Wordfence:



Tính năng tốt nhất của plugin này được cho là tường lửa mạnh mẽ của nó. Tuy nhiên, Wordfence cũng bao gồm một chương trình quét phần mềm độc hại và có thể giám sát lưu lượng truy cập và các nỗ lực hack trong thời gian thực.

Cuối cùng, All In One WP Security & Firewall là một tùy chọn mạnh mẽ khác:


Như đã hứa, đây là một giải pháp toàn diện bao gồm quét bảo mật, sao lưu tự động và tường lửa. Trên hết, nó hoàn toàn miễn phí. Với loại plugin này được cài đặt, bạn sẽ có ít việc phải làm hơn khi bảo vệ trang web WordPress của mình.

7. Phần kết luận.

Giữ cho trang web của bạn không có phần mềm độc hại là một trong những nhiệm vụ quan trọng nhất của bạn và bạn không nên xem nhẹ. WordPress làm cho việc này trở nên đơn giản hơn rất nhiều, vì nó cung cấp một nền tảng an toàn, nhưng vẫn dễ dàng để bạn tự mở các lỗ hổng nếu bạn không đề phòng.

Trong bài viết này, chúng tôi đã đề cập đến một số trong những nhiệm vụ này mà bạn có thể thực hiện để tăng cường phòng thủ cho trang web của mình. Bao gồm các:

       
  • Giữ cho trang web của bạn được cập nhật.
  • Bảo mật trang đăng nhập của bạn.
  • Tạo bản sao lưu thường xuyên của trang web của bạn.
  • Cài đặt một plugin bảo mật.
Nếu bạn cần trợ giúp để bảo mật trang web WordPress của bạn, đừng ngần ngại tiếp cận dịch vụ bảo trì của chúng tôi, bao gồm quét và dọn dẹp phần mềm độc hại hàng ngày để giữ cho trang web của bạn an toàn và bảo mật.