Cách bảo vệ trang web WordPress chống lại Malware

Tác giả Network Engineer, T.Mười 27, 2021, 10:17:49 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Cách bảo vệ trang web WordPress chống lại Malware


Malware (phần mềm độc hại) là một thuật ngữ thực sự bao gồm một bộ sưu tập lớn các chương trình có hại hoặc gây rối. Những phiền toái này đã tồn tại lâu hơn chính internet và việc bảo vệ trang web của bạn chống lại chúng vẫn là ưu tiên hàng đầu.

Để giữ cho trang web của bạn an toàn, trước tiên bạn cần biết mình đang chống lại những gì. Do đó, điều quan trọng là phải hiểu các loại phần mềm độc hại khác nhau và cách chúng có thể lây nhiễm và làm tổn thương trang web của bạn. Sau khi làm như vậy, bạn sẽ biết mình phải thực hiện các biện pháp bảo mật WordPress nào để ngăn chặn chúng.

Trong bài viết này, chúng ta sẽ thảo luận về phần mềm độc hại và giới thiệu cho bạn một số chủng phổ biến và nguy hiểm nhất. Minhf cũng sẽ chỉ cho bạn cách bạn có thể bảo vệ trang web của mình khỏi phần mềm độc hại WordPress bao gồm xóa phần mềm độc hại và cách khôi phục trang web WordPress bị tấn công.

1. Giới thiệu về phần mềm độc hại (Malware)

Ngay cả khi bạn chỉ tình cờ quen thuộc với bảo mật máy tính, nhiều khả năng bạn đã nghe từ 'phần mềm độc hại' trước đây. Bản thân thuật ngữ này là viết tắt của 'malware hoặc malicious software' và nó đề cập đến bất kỳ phần mềm nào được cố ý tạo ra để gây gián đoạn hoặc hư hỏng. Mục tiêu có thể là một máy tính, một máy chủ, một mạng hoặc một trang web.

Phần mềm độc hại thực sự có trước Internet, bắt đầu từ đầu những năm 70. Tuy nhiên, những ví dụ đầu tiên ít gây hại hơn, chẳng hạn như virus Creeper. Phần mềm này được tạo ra vào năm 1971 và chỉ đơn giản là sao chép chính nó giữa các máy tính được kết nối mà không gây ra bất kỳ thiệt hại nào. Những thứ tiên phong đáng chú ý khác đã được tạo ra để chơi khăm, chẳng hạn như Elk Cloner khét tiếng, đã tìm cách lây nhiễm hàng triệu hệ thống vào năm 1982.

Ngày nay, phần mềm độc hại không phải là thứ bị coi nhẹ. Những gì bắt đầu là thử nghiệm vô hại đã phát triển thành một trong những mối đe dọa lớn nhất đối với tất cả các hệ thống kỹ thuật số. Phần mềm độc hại cũng đã phát triển thành nhiều chủng khác nhau, có nhiều cách khác nhau để lây nhiễm và làm hỏng hệ thống mà nó ảnh hưởng. Các loại phần mềm độc hại mới được phát hành và phát hiện hàng ngày, với các ví dụ nổi bật gần đây bao gồm phần mềm độc hại WordPress  BabaYaga.

Thật dễ dàng để cho rằng bạn an toàn, nhưng thực sự không có thiết bị hoặc trang web nào an toàn 100% trước phần mềm độc hại. Ngay cả khi bạn chỉ chạy một trang web WordPress cơ bản, nó vẫn có thể bị lây nhiễm theo những cách có thể khiến bạn mất nội dung và thậm chí gây tổn hại cho bạn về mặt tài chính. Do đó, tốt nhất là bạn nên chuẩn bị và biết mình đang phải đối mặt với điều gì, vì vậy bạn có thể thực hiện các biện pháp thích hợp để bảo vệ mình khỏi bị nhiễm phần mềm độc hại hoặc trang web WordPress bị tấn công, sau đó xóa phần mềm độc hại một cách thích hợp.

2. Các loại phần mềm độc hại khác nhau.

Trước khi thảo luận về các bước bạn có thể thực hiện để bảo vệ trang web của mình, trước tiên hãy giới thiệu với bạn về nhiều loại phần mềm độc hại. Đây là một số biến thể phần mềm độc hại phổ biến nhất mà bạn có thể gặp phải:

  • Virus: Trong khi 'virus máy tính' thường được sử dụng để mô tả nhiều loại phần mềm độc hại, nó thực sự đề cập đến phần mềm tự sao chép bằng cách chèn mã của chính nó vào các chương trình khác. Điều này có thể có nhiều hình dạng, chẳng hạn như thêm nội dung spam vào trang web của bạn và lây nhiễm vào máy tính của khách truy cập.

  • Trojan horse: Một Trojan horse đề cập đến phần mềm mà giả vờ để có một chức năng nhưng âm thầm thực hiện các hành động khác, chẳng hạn như làm hư tập tin WordPress của bạn, các tập tin FTP hoặc các tập tin php, hoặc khai thác tài nguyên của hệ thống.

  • Phần mềm gián điệp (Spyware): Đây là một chương trình vẫn còn ẩn để thu thập thông tin. Điều này có thể dẫn đến vi phạm dữ liệu và mất dữ liệu cá nhân.

  • Ransomware: Như tên của nó, đây là phần mềm độc hại giữ bạn đòi tiền chuộc. Sau khi bị nhiễm, bạn sẽ không thể sử dụng trang web của mình cho đến khi bạn trả tiền cho người sáng tạo để xóa nó. Điều này có thể gây ra những hậu quả thảm khốc, như đã thấy trong  cuộc tấn công WannaCry, làm đóng cửa một số bệnh viện và đài phát thanh.

  • Phần mềm quảng cáo (Adware): Phần mềm độc hại này chỉ buộc bạn phải tương tác với một quảng cáo, chẳng hạn như bằng cách nhấp vào nó, trước khi bạn có thể sử dụng trang web của mình. Điều này thường tương đối vô hại, mặc dù gây khó chịu và rất không mong muốn vì tất cả những gì nó có thể mất là một cú nhấp chuột.

  • Công cụ khai thác tiền điện tử (Cryptocurrency miners):  Đây là một trong những loại phần mềm độc hại mới nhất, lây nhiễm vào một trang web nhằm sử dụng tài nguyên của nó để khai thác bitcoin. Điều này có thể làm chậm nghiêm trọng trang web của bạn và dẫn đến các lỗ hổng bảo mật bổ sung trong quá trình này.

Cần lưu ý rằng đây không phải là một danh sách toàn diện. Ví dụ, chúng ta cũng có thể thảo luận về botnet, các cuộc tấn công brute force, wipers và sâu máy tính (computer worms), nhưng mình nghĩ bạn hiểu rõ. Phần mềm độc hại có nhiều hình dạng và kích cỡ, vì vậy câu hỏi đặt ra là: làm cách nào để bạn tự bảo vệ mình trước sự lây nhiễm phần mềm độc hại?

3. Bốn cách để bảo vệ trang web WordPress chống lại phần mềm độc hại.

Để ngăn phần mềm độc hại lây nhiễm vào trang web của bạn, bạn cần thực hiện các bước để thắt chặt khả năng phòng thủ của nó. Mặc dù điều này có vẻ khó khăn, đặc biệt nếu bạn không quen với bảo mật trang web, nhưng điều quan trọng là hiểu được trang web của bạn có thể có những lỗ hổng tiềm ẩn nào và ngăn chúng bị khai thác.

WordPress là một nền tảng rất an toàn, nhưng điều đó không có nghĩa là nó hoàn toàn an toàn. Trên thực tế, bạn nên dành thời gian để triển khai các tính năng và quy trình bảo mật WordPress nhất định trên trang web WordPress của mình. Với ý nghĩ đó, bây giờ mình sẽ chỉ cho bạn bốn trong số những cách tốt nhất để đảm bảo trang web của bạn có thể chống lại hầu hết các mối đe dọa.

3.1. Cập nhật trang web của bạn.

Bước đầu tiên này vừa là dễ nhất vừa là bước quan trọng nhất. Điều tối quan trọng là bạn phải đảm bảo luôn cập nhật mọi khía cạnh của trang web của mình càng sớm càng tốt. Điều này bao gồm cả bản thân WordPress, cũng như nhiều giao diện WordPress, tập tin WordPress và plugin WordPress mà bạn đã cài đặt. Các phiên bản cũ của phần mềm trang web của bạn có nhiều khả năng chứa các lỗ hổng bảo mật hơn vì chúng không có các biện pháp bảo mật chống phần mềm độc hại mới nhất.

Ví dụ: có thể bạn đã bắt gặp các phiên bản mới của WordPress được gắn nhãn là 'các bản cập nhật bảo mật'. Chúng thường được thiết kế để bảo vệ chống lại các loại phần mềm độc hại mới nhất và các rủi ro khác, với tính năng bảo mật chống phần mềm độc hại. Nếu bạn không dành thời gian để cài đặt các bản cập nhật này, bạn sẽ không khắc phục được các điểm yếu đã biết trên trang web của mình mà những kẻ tấn công chắc chắn sẽ nhắm mục tiêu. Dành thời gian cho các cài đặt WordPress này.

May mắn thay, việc cập nhật trang web của bạn rất đơn giản. Các phiên bản mới sẽ chỉ xuất hiện trong khu vực quản trị trang web của bạn, trong Dashboard > Updates


Trên thực tế, nhiều máy chủ web thậm chí còn tự động cập nhật một số (hoặc tất cả) phần của trang web của bạn. Mặc dù vậy, bạn nên nỗ lực để đảm bảo rằng trang web của bạn luôn được cập nhật.

3.2. Bảo mật trang đăng nhập của bạn.

WordPress không có nhiều điểm yếu, nhưng một trong những điểm nổi bật nhất là trang đăng nhập của trang web của bạn. Đây thực sự không phải là lỗi của chính WordPress. Thay vào đó, trang đăng nhập WordPress của bạn là mục tiêu vì hầu hết những kẻ tấn công sẽ tập trung nỗ lực của họ vào đó, để cố gắng giành quyền truy cập vào trang web của bạn nhằm lây nhiễm phần mềm độc hại. Do đó, điều quan trọng là phải hiểu cách bạn có thể củng cố trang đăng nhập của mình để ngăn chặn các cuộc tấn công như vậy.

Trước đây mình đã nói về cách bạn có thể bảo vệ trang đăng nhập WordPress của mình, nhưng chúng ta hãy nhanh chóng đi qua các khái niệm cơ bản. Hai điều quan trọng nhất bạn có thể làm rất đơn giản: chọn tên người dùng và mật khẩu mạnh. Bạn nên luôn tránh sử dụng 'admin' làm tên người dùng của mình, vì đây là tùy chọn phổ biến nhất và do đó, hacker và bot rất dễ đoán. Bạn cũng cần sử dụng một mật khẩu mạnh, bạn có thể tạo mật khẩu này trong chính WordPress.


Ngoài ra, bạn có thể muốn tiến xa hơn nữa bằng cách triển khai xác thực hai yếu tố, có nghĩa là người dùng sẽ yêu cầu thiết bị di động để đăng nhập. Bạn cũng có thể sử dụng một plugin như Limit Login Attempts Reloaded, để ngăn người dùng có thể thực hiện cố gắng xâm nhập vào tài khoản của bạn.

3.3. Tạo bản sao lưu thường xuyên cho trang web của bạn.

Bản sao lưu về cơ bản là một bản sao trang web của bạn, có thể được sử dụng để khôi phục nó về trạng thái trước đó. Đương nhiên, các bản sao lưu chủ yếu được sử dụng khi trang web của bạn đã bị nhiễm virus, nhưng chúng vẫn là một công cụ quan trọng để chống lại phần mềm độc hại. Nếu trang web của bạn bị nhiễm và bạn không có bản sao lưu, bạn có thể đã mất toàn bộ dữ liệu và nội dung của mình.

Tuy nhiên, với một bản sao lưu, bạn có thể chỉ cần khôi phục phiên bản đã lưu, khởi động lại trang web của bạn đến thời điểm trước khi nó bị tấn công. Tùy thuộc vào độ cũ của bản sao lưu, bạn có thể vẫn mất một số dữ liệu, nhưng gần như không nhiều hoặc trắng tay nếu bạn không thực hiện biện pháp phòng ngừa này.

Có nhiều cách để tạo bản sao lưu trong WordPress. Một số plugin chứa các tính năng sao lưu, chẳng hạn như UpdraftPlus vô cùng phổ biến. Bạn cũng sẽ thấy rằng một số máy chủ web cung cấp chức năng này như một phần trong kế hoạch của họ và sẽ tự động tạo bản sao lưu cho bạn vào những khoảng thời gian cụ thể.

Cuối cùng, bạn cũng có thể nhận được một kế hoạch hỗ trợ bao gồm các bản sao lưu thường xuyên. Điều này đảm bảo rằng bạn sẽ luôn có một kế hoạch B, nếu tình huống xấu nhất xảy ra.

3.4. Cài đặt một Plugin bảo mật.

Mình đã đề cập đến một số plugin có thể bảo vệ các khía cạnh cụ thể của trang web của bạn. Tuy nhiên, cũng có một số plugin cung cấp hệ thống bảo mật hoàn chỉnh cho trang WordPress của bạn. Trên thực tế, có rất nhiều mà chúng ta khó có thể gọi tên dù chỉ một phần nhỏ của chúng ở đây. Thay vào đó, chúng ta hãy xem nhanh một số tùy chọn phổ biến nhất.

Đầu tiên, chúng ta có Sucuri Security, là một plugin miễn phí cung cấp rất nhiều tính năng:


Trong số những thứ khác, Sucuri quét trang web của bạn để tìm phần mềm độc hại và tự cập nhật các mối đe dọa mới nhất. Nó sẽ gửi cho bạn thông báo về bất kỳ vấn đề bảo mật nào và giám sát tất cả các tập tin trên trang web của bạn để phát hiện bất kỳ thứ gì có thể gây hại.

Tiếp theo là Wordfence Security. Tính năng tốt nhất của plugin này được cho là tường lửa mạnh mẽ của nó. Tuy nhiên, Wordfence cũng bao gồm một trình quét phần mềm độc hại và có thể theo dõi lưu lượng truy cập và các nỗ lực tấn công trong thời gian thực.


Cuối cùng, All In One WP Security & Firewall là một lựa chọn mạnh mẽ khác.


Như đã hứa với tên gọi, đây là một giải pháp toàn diện bao gồm quét bảo mật, sao lưu tự động và tường lửa. Hơn hết, nó hoàn toàn miễn phí. Với loại plugin này được cài đặt, bạn sẽ có ít việc phải làm hơn khi nói đến việc bảo mật trang web WordPress của mình.

Giữ cho trang web của bạn không bị nhiễm phần mềm độc hại là một trong những nhiệm vụ quan trọng nhất của bạn và là một trong những nhiệm vụ bạn không nên xem nhẹ. WordPress làm cho việc này trở nên đơn giản hơn rất nhiều, vì nó cung cấp một nền tảng an toàn, nhưng bạn vẫn dễ dàng để lộ các lỗ hổng bảo mật nếu bạn không đề phòng.