Cách cấu hình iThemes Security

Tác giả Network Engineer, T.M.Một 05, 2021, 04:45:43 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Cách cấu hình iThemes Security


Như bạn có thể đã biết, một trong những plugin bảo mật mà mình khuyên dùng nhất là iThemes Security, trước đây được gọi là Better WP Security (thành thật mà nói, mình nghĩ đó là một cái tên hay hơn, mình không biết tại sao họ lại thay đổi nó), và nó là một bộ công cụ bảo mật hoàn chỉnh đáp ứng nhu cầu của bất kỳ trang web chuyên nghiệp nào và mình đang nói về phiên bản miễn phí.

Có những plugin bảo mật tương tự khác, nhưng hầu hết không cung cấp nhiều công cụ bảo mật hoặc tốt trong phiên bản miễn phí của nó.

Nó có nhiều ưu điểm nhưng hãy xem cách cấu hình nó một cách chính xác, đó là cách tốt nhất để biết plugin bảo mật WordPress này dùng để làm gì và nó hoạt động như thế nào.

1. Cài đặt iThemes Security

Tất nhiên, nó cài đặt giống như bất kỳ plugin WordPress nào khác, nó luôn được đánh dấu trong các plugin phổ biến của trình cài đặt plugin WordPress của bạn, vì nó có hơn một triệu lượt cài đặt đang hoạt động và luôn được cập nhật.

2. Cấu hình iThemes Security theo Wizard

Ngay sau khi bạn cài đặt và kích hoạt nó, hãy chuyển đến menu mới có tên là Security, nơi bạn sẽ chỉ tìm thấy vào lúc này, và không gì khác hơn, trình hướng dẫn cấu hình Wizard của nó.

Trước phiên bản 8.0 không có trình hướng dẫn cấu hình, chỉ có một số cài đặt ban đầu cơ bản, nhưng kể từ phiên bản này, plugin đã được thiết kế lại hoàn toàn, trong đó trình hướng dẫn Wizard là hoàn toàn cần thiết, vì nó giúp bạn dễ dàng cấu hình tất cả các cài đặt bảo mật của trang web của bạn một cách đơn giản.

Nếu bạn không chạy trình hướng dẫn thì bạn sẽ phải tìm hiểu qua các phần khác nhau của cài đặt plugin để tìm cài đặt bảo mật và không theo thứ tự hợp lý.

Vì vậy, trong trường hợp này, trình hướng dẫn cấu hình Wizard không phải là thứ tùy chọn, nhưng thực tế cần thiết cho một cấu hình plugin tốt.

Có thể tìm lại cài đặt trình hướng dẫn Wizard, nhưng mình đảm bảo với bạn rằng bạn sẽ gặp khó khăn khi tìm một số cài đặt, mặc dù công cụ tìm kiếm có plugin và trên thực tế, một số cài đặt sẽ không khả dụng vì chúng yêu cầu một số mô-đun hoạt động. không được kích hoạt trong trình hướng dẫn Wizard.

Chúng ta hãy đi qua các bước khác nhau của trình hướng dẫn cấu hình Wizard của iThemes Security.

2.1. Loại trang web (Type of site)

Trình hướng dẫn Wizard này đề xuất thực hiện một loạt các điều chỉnh nhanh chóng tùy thuộc vào loại trang web: thương mại điện tử, mạng các trang web, trang web của tổ chức phi lợi nhuận, blog, danh mục đầu tư hoặc tài liệu quảng cáo.


Bạn có thể bỏ qua trình hướng dẫn cấu hình Wizard này, nhưng ngay từ đầu, mình khuyên bạn nên sử dụng một trong các mẫu loại web, vì nó sẽ giúp bạn tiết kiệm một vài cài đặt, nhưng sau đó bạn luôn có thể truy cập tất cả các cài đặt khác, bất kể bạn chọn gì trong trình hướng dẫn Wizard này.

2.2. Trang web riêng hoặc trang web khách hàng

Bất kể bạn chọn loại trang web nào, bước tiếp theo của trình hướng dẫn Wizard sẽ hỏi bạn xem bạn đang cấu hình trang web cho chính mình hay cho khách hàng và bước này rất quan trọng, bởi vì nếu bạn chọn cho khách hàng, bạn sẽ được hỏi nếu bạn muốn cấu hình cài đặt bảo mật, trong số những thứ khác.


2.3. Người dùng là khách hàng (Client Users)

Và nếu bạn đã lắng nghe mình và đó là một trang web dành cho khách hàng, thì bước tiếp theo sẽ yêu cầu bạn chọn những người dùng nào được chỉ định cho khách hàng của bạn, nhóm họ lại thành một nhóm để giúp quản lý quyền của họ sau này dễ dàng hơn.


2.4. Hồ sơ có quyền quản lý bảo mật

Bước tiếp theo, sẽ là bước đầu tiên nếu trước đó bạn đã chọn đó là trang web của riêng mình, là chỉ định người dùng nào sẽ có thể quản lý tất cả cài đặt plugin, do người dùng của bạn hoạt động theo mặc định.


2.5. Khách hàng có thể cấu hình bảo mật hay không?

Tiếp theo, nếu đó là một trang web khách hàng, trình hướng dẫn Wizard sẽ hỏi bạn xem bạn có cho phép họ quản lý cài đặt plugin hay không. Lời khuyên của mình là nếu bạn định lo việc bảo trì trang web thì đừng cho phép, và nếu bạn sẽ giao trang web cho họ sau khi làm việc, bạn nên kích hoạt nó.


2.6. Hồ sơ người dùng khách hàng (Client user profiles)

Trong bước tiếp theo, bạn phải chọn hồ sơ người dùng WordPress nào là người dùng của khách hàng của bạn.


2.7. Thực thi chính sách mật khẩu (Password Enforcement)

Trên màn hình tiếp theo, chúng mình nhập mật khẩu đã được bảo mật vì bạn phải chọn xem bạn có muốn đặt mật khẩu mạnh cho người dùng hay không. Lời khuyên của mình là có, bạn nên kích hoạt nó, vì nó làm tăng yêu cầu mật khẩu WordPress.


2.8. Xác thực 2 yếu tố, tấn brute force và Bảo mật chuyên nghiệp

Với bước này chúng ta nhập đầy đủ các tính năng bảo mật.


Nó bao gồm 3 bước, trong đó bạn phải quyết định bảo mật trên màn hình đăng nhập, cụ thể là có bật bảo vệ hai yếu tố hay không, có áp dụng chính sách chặn chống lại các cuộc tấn công hay không và cuối cùng là bạn có muốn bật bảo mật bổ sung (Pro) bằng cách phát hiện không. Cấu hình máy chủ và IP, để thêm quy tắc bảo vệ bạn khỏi các cuộc tấn công.




Lời khuyên của mình là hãy kích hoạt mọi thứ.

Đặc biệt, nhận dạng hai yếu tố là bảo mật truy cập tốt nhất, vì nó yêu cầu xác minh hai lần và 3 phần thông tin:

  • Tên người dùng hoặc email của bạn
  • Mật khẩu của bạn
  • Xác minh trên thiết bị di động hoặc qua email của mã sử dụng một lần.

Sau khi bạn kích hoạt nhận dạng 2 yếu tố, mỗi người dùng trong hồ sơ của họ sẽ có thể xem lại mã QR để kích hoạt ứng dụng, khóa bí mật và mã xác thực.


Trong trường hợp mã xác thực, hãy viết chúng ra, vì nó sẽ chỉ hiển thị chúng một lần.

Còn về tính năng bảo vệ chống lại các cuộc tấn công brute force, mình nghĩ không còn gì để nói nữa, hãy kích hoạt nó có hoặc bật nó lên.

Cuối cùng, kiểm tra bảo mật Pro không có nghĩa là bạn phải trả tiền cho phiên bản trả phí của plugin, nhưng bằng cách kích hoạt chúng, bạn thêm một công cụ bảo vệ bổ sung dựa trên cấu hình máy chủ của bạn mà sau đó bạn có thể chạy.

2.9. Các nhóm người sử dụng (User groups)

Sau khi xem các tính năng bảo mật chính, chúng ta đi đến cấu hình của các nhóm người dùng.


Điều tốt nhất nên làm, đặc biệt nếu bạn đã cấu hình nhóm khách hàng hoặc nhóm tương tự, là sử dụng các nhóm mặc định, nếu không, bạn sẽ phải tạo chúng và gán cài đặt bảo mật cho chúng.

Nhưng bất kể bạn chọn gì, trong màn hình tiếp theo, bạn có khả năng cấu hình từng nhóm, hoặc những nhóm đã được tạo hoặc những nhóm tùy chỉnh mà bạn tạo.



Trong màn hình cấu hình, cài đặt được đề xuất của mình cho khách hàng sẽ là:

  • Manage iThemes Security - Đã tắt (nếu bạn định tự quản lý trang web, nếu không thì được bật).
  • Enable dashboard creation - Đã tắt (đây là một tùy chỉnh giao diện không cần thiết)
  • Strong passwords - Đã bật
  • Refuse compromised passwords - Đã bật (hệ thống kiểm tra xem email của người dùng có nằm trong danh sách email bị xâm phạm do vi phạm bảo mật trên các trang web khác hay không - rất khuyến khích)
  • Skip two-factor onboarding - Đã tắt (giúp thiết lập xác thực 2 bước dễ dàng hơn)
  • Application passwords - Đã bật (phương pháp truy cập an toàn hơn có trong WordPress).

Tùy chọn từ chối mật khẩu bị xâm phạm trong các vi phạm bảo mật đã biết đặc biệt mạnh mẽ và sẽ ngăn người dùng sử dụng mật khẩu được biết là đã bị xâm phạm trong các cuộc tấn công vào các trang web khác.

Tiếp tục với cài đặt theo nhóm người dùng, nếu chúng ta nói về cài đặt được đề xuất cho quản trị quản lý bảo mật và cấu hình plugin, thì cài đặt sẽ là những cài đặt khác:

  • Manage iThemes Security – Đã bật.
  • Enable dashboard creation – Đã bật
  • Strong passwords – Đã bật
  • Refuse compromised passwords – Đã bật
  • Skip two-factor onboarding – Đã tắt
  • Application Passwords – Đã bật

Như bạn thấy trong màn hình khác này, màn hình tiếp theo trong trình hướng dẫn Wizard thiết lập iThemes Security:


Sau đó, trình hướng dẫn sẽ yêu cầu bạn Wizard cấu hình các cài đặt này cho từng hồ sơ người dùng hiện có khác trong cài đặt WordPress của bạn và lời khuyên của mình là áp dụng các cài đặt tương tự như cho nhóm khách hàng, trừ khi bạn muốn cho phép một số cài đặt bổ sung cho hồ sơ, ví dụ cho các biên tập viên. Tuỳ bạn.

Và với điều này, chúng ta đã hoàn thành cấu hình của các nhóm.

2.10. Thiết lập toàn cục (Global settings)

Tại thời điểm này, chúng ta đến cài đặt bảo mật toàn cầu, trong màn hình đầu tiên, chúng mình sẽ có đề xuất chấp nhận cấu hình do plugin tạo dựa trên những gì chúng ta đã cấu hình trước đó, vì vậy chúng ta thực hiện điều đó.


Nhưng đừng vội, chúng ta sẽ có thể xem lại các cài đặt này trong các màn hình sau.

2.11. Cấp phép và phát hiện IP và máy chủ

Trong lần đầu tiên, chúng ta có thể thêm IP hiện tại của mình để được đưa vào danh sách trắng, cũng như bất kỳ IP nào khác cần thiết cho hoạt động bình thường của trang web của chúng mình, ví dụ: từ CloudFlare hoặc các cổng thanh toán.


Điều mình khuyên bạn là nên thay đổi phương pháp phát hiện IP thành quét kiểm tra bảo mật, đây là cách hiệu quả nhất.

2.12. Network Brute force

Trên màn hình tiếp theo, bạn có thể chọn địa chỉ email mà bạn tham gia vào mạng các trang web có iThemes Security đang hoạt động, vì vậy bạn có thể tận dụng kiến ​​thức được chia sẻ của các trang web khác khi tự động chặn IP hoặc máy chủ và tình cờ, bạn cũng có thể kích hoạt bản tin bảo mật (cái sau mình không khuyến khích, trong bảo mật bạn phải cập nhật, không phải một tuần).


Mình khuyên bạn nên tham gia hệ thống này bằng cách đặt địa chỉ email của bạn vì trong trường hợp mạng các trang web có iThemes Security phát hiện các cuộc tấn công brute force từ các IP hoặc máy chủ nhất định, trang web của bạn sẽ tận dụng kiến ​​thức được chia sẻ này và chặn những kẻ tấn công được phát hiện trên các trang web khác.

2.13. Trung tâm thông báo (Notification center)

Trong màn hình tiếp theo, bạn phải (bắt buộc) đặt một địa chỉ email mặc định cho các thông báo và xác định xem chúng sẽ được gửi đến ai.


Điều quan trọng là bạn phải kích hoạt chúng, vì chúng sẽ cảnh báo bạn về những thông tin quan trọng. Bạn thậm chí có thể cấu hình những người bạn muốn được thông báo ngoài việc gửi email với các sự kiện phù hợp nhất.

Và với điều này, chúng ta đang đi đến phần cuối của trình hướng dẫn.

2.14. Bảo mật trang web (Secure site)

Trong màn hình cuối cùng của trình hướng dẫn Wizard, bạn chỉ cần xác nhận và xem lại nếu muốn, cài đặt bảo mật nào sẽ được áp dụng theo các quyết định bạn đã thực hiện trong trình hướng dẫn Wizard này.


Nếu bạn bị thuyết phục, chỉ cần nhấp vào nút "Secure Site" và sau đó nhấp vào nút "Finish".


Khi bạn hoàn thành, màn hình đẹp mắt này sẽ xuất hiện, từ đó bạn có thể vào trang tổng quan hoặc cài đặt của iThemes Security.


Mẹo: Bất kỳ lúc nào trong trình hướng dẫn Wizard, bạn có thể xem lại cài đặt từ màn hình trước đó bằng cách nhấp vào phần tương ứng ở phía bên trái.

3. Cấu hình thủ công từng tính năng.

3.1. Security >> Dashboard

Trong trường hợp bạn quyết định truy cập vào màn hình iThemes Security, bạn sẽ tìm thấy một loạt các thẻ với các cảnh báo và thống kê khác nhau, tùy thuộc vào các mô-đun bạn đang hoạt động.


Các thẻ này có thể được kéo và di chuyển để thay đổi chúng theo ý muốn của bạn.

Ngoài ra, từ liên kết ở trên cùng, bạn có thể thêm hoặc ẩn các thẻ bạn muốn.


Nhưng không chỉ vậy, từ máy tính để bàn, bạn có một số nút, chẳng hạn như nút để thực hiện quét trang web.


Hoặc sao lưu cơ sở dữ liệu nhanh chóng.


3.2. Security >> Settings

Nếu bất kỳ lúc nào bạn muốn xem lại cài đặt bảo mật được thực hiện trong trình hướng dẫn Wizard hoặc nếu bạn bỏ qua trình hướng dẫn, bạn có thể truy cập cài đặt bảo mật từ liên kết ở đầu trang tổng quan hoặc từ menu bảo mật của plugin.


Bạn sẽ đến một màn hình nơi bạn sẽ tìm thấy các cài đặt và cấu hình giống như chúng ta đã thấy trong trình hướng dẫn cấu hình và một số khác, có thể sửa đổi chúng nếu bạn quyết định thực hiện bất kỳ thay đổi nào, thêm nhóm người dùng, v.v.


Có rất nhiều thứ để cấu hình, vì vậy chúng ta hãy xem qua tất cả các cài đặt...

3.3. Bảo mật truy cập - xác thực 2 yếu tố (2-factor authentication)

Phần này đặc biệt quan trọng, vì chúng mình sẽ củng cố cổng quản trị WordPress. Và đây là nơi nên kích hoạt xác thực 2 yếu tố hoặc xác minh kép. Chỉ cần kích hoạt nó và sau đó nhấp vào biểu tượng cho cài đặt công cụ.


Trong màn hình tiếp theo, bạn có 2 cài đặt quan trọng, chẳng hạn như lựa chọn phương pháp xác minh 2 yếu tố và bạn có muốn tắt nó trong lần đăng nhập đầu tiên hay không.

Các phương pháp xác minh 2 bước có sẵn (nếu bạn không chọn cài đặt được đề xuất "tất cả các phương pháp") là:

  • Mobile app - Người dùng sẽ phải cài đặt một ứng dụng trên thiết bị di động của họ, chẳng hạn như Google Authenticator hoặc Authy và để truy cập trang web, ngoài tên người dùng và mật khẩu, họ sẽ phải thêm mã sử dụng một lần với hẹn giờ từ ứng dụng đã chọn.
  • Email - Sau khi nhập tên người dùng và mật khẩu, người dùng sẽ cần thêm mã sẽ được gửi qua email cho họ.
  • Backup authentication codes - Đây là biện pháp bảo vệ trong trường hợp bạn mất điện thoại, quyền truy cập email hoặc gỡ cài đặt ứng dụng di động và bao gồm một loạt mã sử dụng một lần, bạn có thể sử dụng nếu bất kỳ phương pháp nào ở trên không thành công.

Tại đây, hãy chọn phương pháp bạn thích, nhưng luôn đảm bảo rằng các mã nhận dạng dự phòng đang hoạt động, trong trường hợp có lỗi.


Về quy trình cấu hình, bạn có thể vô hiệu hóa lần đăng nhập đầu tiên nhưng mình không khuyên bạn nên làm như vậy, nó luôn giúp ích cho người dùng và bạn có thể tùy chỉnh văn bản khi cần.

Để hoàn thành phần này và đó là điều bạn nên làm trong mọi cài đặt iThemes Security mà bạn sửa đổi, hãy lưu ý rằng ở đầu cài đặt có một liên kết đến các nhóm người dùng, vì vậy mìn khuyên bạn nên nhấp vào để xem lại cài đặt cho tính năng bảo mật này trong mỗi nhóm người dùng, vì có các cài đặt bổ sung, mà bạn có thể tùy chỉnh trong mỗi nhóm.

Đây là một hằng số trong một số bước của cấu hình plugin, vì vậy bất cứ khi nào bạn đang cấu hình thứ gì đó, sau khi lưu cài đặt chính, hãy xem có cần nhấp để cấu hình cài đặt bổ sung trong nhóm người dùng hay không.

Hơn nữa, các cài đặt cụ thể này cho nhóm người dùng bạn không có cách nào khác để truy cập, bạn phải thông qua tính năng bảo mật đăng nhập để thực hiện.


Trên màn hình tiếp theo của cài đặt tính năng này cho nhóm người dùng, bạn sẽ thấy 2 cài đặt bổ sung để xem xét cho từng nhóm người dùng được liệt kê trong thanh bên trái, trong trường hợp bạn muốn thay đổi chúng.


Các cài đặt và đề xuất của mình là:

  • Skip the two-factor onboarding - Đã tắt - Tốt nhất là luôn giải thích cho tất cả người dùng một chút về quy trình xác định 2 yếu tố.
  • App Passwords - Đã bật - Một phương pháp xác minh mà không ảnh hưởng đến mật khẩu của bạn.

3.3. Khoá (Lockouts)


Công cụ bảo mật này rất quan trọng để bảo vệ trang web của bạn, vì vậy lời khuyên của mình là kích hoạt 3 thành phần của mô-đun:

  • Ban users - Bật - Để có thể chặn địa chỉ IP và kiểu người dùng.
  • Local brute force - Bật - Bảo vệ trang web của bạn chống lại bọn tội phạm cố gắng truy cập trang web của bạn thông qua các cuộc tấn công brute force.
  • Network Brute Force - Bật - Như mình đã giải thích trước đây, bạn tham gia vào mạng toàn cầu của iThemes Security và tận dụng các cài đặt chặn trong trường hợp bị tấn công lớn.

Sau khi bạn kích hoạt tất cả 3 công cụ, hãy nhấp vào biểu tượng bánh xe phía trên bất kỳ công cụ nào hoặc trong phần Features >> Lockouts của thanh bên trái, bất kỳ công cụ nào bạn thích, để cấu hình cài đặt cho từng công cụ trong mô-đun này.

3.4. Cấm người dùng (Ban users)

Trong cài đặt cấm người dùng, hãy bật danh sách mặc định, danh sách này sẽ thêm vào tập tin .htaccess của bạn một số lệnh cấm đối với các IP tấn công đã biết và tác nhân người dùng.

Ngoài ra, hãy bật danh sách cấm và thêm bất kỳ tác nhân người dùng nào, chẳng hạn như bot và trình duyệt giả mạo, mà bạn phát hiện trên trang web của mình theo thời gian.


3.5. Local brute force


Trong các cài đặt này, mình khuyên bạn nên bật lệnh cấm người dùng "admin", một lỗ hổng lịch sử của các bản cài đặt WordPress cũ, nơi người dùng đầu tiên luôn được đặt tên như vậy.

Ngoài ra, bạn có thể cấu hình số lần đăng nhập:

  • Per host - Số lần cùng một máy chủ / máy tính / IP có thể cố gắng đăng nhập không chính xác trước khi nó vào danh sách chặn.
  • Per user - Số lần thử tối đa cho mỗi tên người dùng trước khi chặn.

Cài đặt cuối cùng là chỉ định thời gian người dùng và / hoặc máy chủ sẽ bị chặn sau những lần thử không thành công.
Số mặc định là có thể sử dụng được, hãy để nguyên trừ khi có nhu cầu đặc biệt.

3.6. Network brute force


Trong màn hình này, chỉ cần đặt email chính sẽ được kích hoạt nếu nó chưa được kích hoạt từ trình hướng dẫn cấu hình plugin.

Những gì mình không khuyến khích là kích hoạt tin tức bằng email, nó là một email hàng tuần không thêm bất cứ điều gì.

3.7. Kiểm tra trang web (Site check)


Mô-đun này, không hoạt động theo mặc định, bạn phải luôn đặt nó hoạt động. Vì vậy, plugin sẽ cảnh báo bạn khi có những thay đổi trong tập tin, đôi khi là do hack, và do đó bạn có thể biết và thông báo cho người dùng của mình về các vi phạm bảo mật.

Đây là một hệ thống phát hiện các thay đổi trong tập tin, điều cần thiết để có thể kiểm tra xem trang web của chúng ta có bị xâm phạm hay không vì nó đã bị sửa đổi mà chúng ta không biết.

Sau khi được kích hoạt, hãy chuyển đến cài đặt công cụ bằng cách nhấp vào biểu tượng "Bánh răng" trên màn hình hoặc từ menu bên trái Features >> Site Check.


Màn hình này là một cái gì đó đặc biệt. Đầu tiên, bạn có một trình duyệt thông qua các tập tin web của mình và ở bên phải danh sách các tập tin và thư mục bạn muốn loại trừ khỏi trình duyệt.

Để loại trừ một thư mục hoặc tập tin, bạn phải chọn nó và sau đó nhấp vào nút chọn dưới cùng, và đường dẫn của nó sẽ được thêm vào danh sách ở bên phải.

Cuối cùng, bạn cũng có thể loại trừ các tập tin có phần mở rộng bạn thêm vào hộp loại tập tin khỏi dấu kiểm.

3.8. Tiện ích (Utilities)

Cuối cùng, chúng ta có một loạt các tiện ích bổ sung, mà mình đã dự đoán rằng hầu hết chúng không hữu ích lắm, hoặc không ở mức độ mà iThemes Security cung cấp.


Tóm lại, đây là khuyến nghị của tôi:

  • Enforce SSL - Tắt - Nếu bạn không có hệ thống buộc SSL khác, nó có thể hoạt động, nhưng ngay cả WordPress cũng có công cụ này và nếu bạn muốn kiểm soát nhiều khía cạnh hơn của SSL, mình khuyên bạn tốt hơn nên sử dụng SG Optimizer từ SiteGround hoặc Redirection plugin.
  • Database backups - Tắt - Rất hạn chế, chỉ cho phép lưu bản sao cục bộ hoặc gửi qua email. Tốt hơn hãy sử dụng một plugin hệ thống sao lưu tốt cho WordPress.
  • Pro security checks - Bật - Như mình đã giải thích trong phần của hướng dẫn này về trình hướng dẫn cấu hình, rất thú vị khi bật nó, vì nó thêm các kiểm tra bổ sung dựa trên cấu hình máy chủ của bạn.

3.9. iThemes Security Tools

Từ màn hình cài đặt, bạn có thể truy cập, từ một liên kết ở dưới cùng bên trái (nó hơi bị ẩn), đến các công cụ iThemes Security.


Bằng cách triển khai từng công cụ, bạn sẽ có thể cấu hình các cài đặt rất quan trọng để bảo mật trang web của mình.

3.10. Xác định IP máy chủ


Nhấp vào nút "Run" để iThemes Security xác định IP máy chủ của bạn và dựa vào đó, tránh bị chặn không chủ ý và các lỗi khác.

3.11. Thay đổi người dùng có ID 1


Đây là một lỗ hổng bảo mật cơ bản của WordPress, theo đó người dùng đầu tiên, quản trị viên thực hiện cài đặt, mặc định nhận ID 1 trong cơ sở dữ liệu và điều này có thể bị tin tặc khai thác.

Chạy công cụ này để tự động thay đổi ID của người dùng này.

Cảnh báo: Nếu bạn giới hạn cài đặt iThemes Security cho người dùng quản trị của mình, bạn có thể mất quyền truy cập vào cài đặt giao diện, vì vậy trước khi thực hiện thay đổi này, hãy đảm bảo rằng bất kỳ người dùng quản trị nào cũng có thể quản lý iThemes Security trong cài đặt nhóm người dùng.

3.12. Thay đổi tiền tố cơ sở dữ liệu (database prefix)

Một mẹo bảo mật cơ bản khác là không bao giờ sử dụng tiền tố bảng mặc định của WordPress wp_và trong mô-đun này, bạn có thể dễ dàng thay đổi nó.


Luôn sao lưu cơ sở dữ liệu trước đó nhưng thay đổi nó khá an toàn.

Trừ khi tập tin wp-config.php hoặc cơ sở dữ liệu được bảo vệ chống ghi, thay đổi là tự động và không gây lỗi.

3.13. Kiểm tra quyền đối với tập tin

Công cụ này chỉ đọc quyền ghi của các thư mục và tập tin trong cài đặt WordPress của bạn, để bạn có thể thực hiện hành động nếu cần trong mô-đun System Settings mà chúng ta sẽ thấy sau.

Vì vậy, hãy nhấp vào nút để kiểm tra tình trạng hiện tại, nếu có bất kỳ cảnh báo nào thì chúng ta sẽ khắc phục chúng.

3.14. Quy tắc cấu hình máy chủ

Công cụ này có thể hiển thị cho bạn 3 trạng thái có thể có:

  • Đó là không có quy tắc để viết.
  • Đó là các quy tắc để viết.
  • Hiển thị các quy tắc được viết trong tập tin .htaccess.

Công cụ này chủ yếu dùng để hiển thị các quy tắc được iThemes Security áp dụng trong tập tin .htaccess để bảo vệ trang web của bạn, dựa trên cấu hình và cài đặt bạn đã kích hoạt.
Hầu hết các quy tắc này được cấu hình trong cài đặt hệ thống, mà chúng ta sẽ thấy ở phần sau.

3.15. Các quy tắc trong wp-config.php

Giống như công cụ trước, nhưng trong trường hợp này áp dụng cho các quy tắc mà plugin thêm vào tập tin cấu hình WordPress wp-config.php.

Một lần nữa nó là một trình xem và một chút khác, các quy tắc này được áp dụng từ cài đặt WordPress của plugin, chúng ta cũng sẽ thấy bên dưới.

3.16. Thay đổi SALT của WordPress

Công cụ này cho phép bạn thay đổi ngay lập tức các SALT trong tập tin wp-config.php của WordPress, với kết quả là tất cả người dùng đã đăng nhập (bao gồm cả bạn) buộc phải ngắt kết nối.

Hữu ích khi bạn nghi ngờ rằng đã có những lần đăng nhập không mong muốn và bạn cần phải loại bỏ tất cả mọi người để áp dụng một số hạn chế tạm thời (chẳng hạn như chế độ ngủ).

3.17. Kiểm tra bảo mật chuyên nghiệp (Pro security checks)

Nếu bạn đã kích hoạt công cụ này trong các tính năng (mô-đun) của iThemes Security tại đây, bạn có thể chạy nó, áp dụng các cài đặt liên quan để bảo mật trang web của bạn, cũng như các mẹo để cải thiện nó.

3.18. Cài đặt bảo mật nâng cao

Một tính năng gần như ẩn nhưng rất quan trọng khác là cài đặt nâng cao của iThemes Security.
Để truy cập các cài đặt này, bạn có một liên kết trên trang cài đặt plugin.


Có 3 phần trong các cài đặt này:

  • System tweaks - Cài đặt để tăng cường bảo mật bằng cách hạn chế quyền truy cập tập tin và thực thi PHP trên máy chủ của bạn, đặc biệt là giảm các lỗ hổng trong quá trình tải lên tập tin.
  • WordPress tweaks - Tại đây bạn có thể cải thiện bảo mật bằng cách loại bỏ khả năng chỉnh sửa tập tin khỏi màn hình WordPress và giới hạn cách API và người dùng truy cập trang web của bạn.
  • Hide backend - Không phải là phương pháp bảo mật lý tưởng để truy cập WordPress nhưng nó sẽ loại bỏ rất nhiều nỗ lực tấn công brute force vào các URL thông thường mà từ đó truy cập vào quản trị WordPress.

Thật thú vị phải không? Hãy cùng xem chi tiết từng phần...

3.19. System settings

Mô-đun này có tất cả các cài đặt của nó không hoạt động theo mặc định và bạn đã muộn để kích hoạt chúng vì có những cài đặt rất quan trọng để bảo mật WordPress mà bạn phải kích hoạt hoặc bật nó lên.

Dưới đây là tóm tắt về những gì bạn nên kích hoạt hay không và tại sao:

Truy cập tập tin:

Protect system files – Active: Bảo vệ tập tin hệ thống bằng cách sử dụng các quy tắc trong .htaccess
Disable directory browsing – Active: Đây là quy tắc bảo mật cơ bản mà hầu hết tất cả các hosting hiện nay đều có nhưng chỉ trong trường hợp kích hoạt nó.

Thực thi PHP:

  • Disable PHP on uploads / plugins / themes – Active: Thêm tập tin .htaccess vào các plugin, giao diện và thư mục tải lên (nơi lưu trữ hình ảnh và tài liệu bạn tải lên) để PHP không thể được thực thi từ chúng. Và các plugin và giao diện vẫn hoạt động (mình được hỏi điều này rất nhiều).

Vì vậy, hãy đặt nó như trong ảnh chụp màn hình sau và lưu các thay đổi:


3.20. WordPress settings

Đây là một mô-đun quan trọng khác mà bạn cần xem xét để tăng cường bảo mật cho WordPress, đặc biệt là vì tất cả các cài đặt của nó đều được cấu hình không an toàn theo mặc định.

Đề xuất cấu hình an toàn của mình cho mô-đun này như sau:

Disable File Editor – Disable: Tắt trình chỉnh sửa nội bộ của WordPress cho các plugin và giao diện, cùng với trình chỉnh sửa tập tin cho Yoast SEO và các plugin khác. Nó không vô hiệu hóa CSS bổ sung của tùy biến. Thông thường, tin tặc đầu tiên có quyền truy cập và sau đó cố gắng nâng cấp quyền sử dụng các trình chỉnh sửa này để đưa mã vào.

Quyền truy cập API:

XML-RPC – XML-RPC disabled: Nếu bạn không sử dụng ứng dụng WordPress dành cho thiết bị di động, JetPack hoặc pingbacks (cài đặt được đề xuất), bạn sẽ làm tốt để vô hiệu hóa lỗ hổng WordPress cũ này.
Multiple authentication attempts per XML-RPC request – Disable: Ngay cả khi bạn đã bật XML-RPC, hãy luôn tắt tính năng này.
REST API – Restricted Access: Ngay cả khi bất kỳ ứng dụng nào sử dụng API REST, hãy hạn chế quyền truy cập để yêu cầu người dùng đã đăng nhập.

Users:

  • Login with email address or username - Only email address: Mặc dù WordPress cho phép truy cập bằng người dùng hoặc email nhưng an toàn hơn khi chỉ cho phép bằng email, nó luôn có các ký tự đặc biệt và chúng dài hơn tên.
  • Force unique alias – Enable: Tránh sử dụng tên người dùng làm bí danh và do đó không cung cấp manh mối cho tin tặc.
  • Disable extra user archives – Disable: Nếu một tác giả không có bài báo đã xuất bản, nó sẽ không tạo tập tin tác giả của anh ấy để không cung cấp manh mối cho tin tặc.

Một lần nữa, cấu hình được đề xuất của mình để bảo mật tốt hơn giống như cấu hình trong ảnh chụp màn hình này:


Dù sao, nếu bất kỳ ứng dụng nào ngừng hoạt động vì nó cần nhiều quyền truy cập hơn vào API hoặc có người dùng không hài lòng với việc phải truy cập theo cách khác, bạn có thể thay đổi một số cài đặt nếu cần, nhưng luôn biết các hàm ý bảo mật mà mình đã giải thích trước.

3.21. Hide Backend

Công cụ này được sử dụng để ẩn truy cập thông qua wp-login.php hoặc wp-admin, thay đổi địa chỉ mặc định để truy cập WordPress cho một trong các lựa chọn của bạn.


Mặc dù công cụ tốt nhất để đảm bảo quyền truy cập là đăng nhập 2 yếu tố, nhưng điều này bổ sung, giúp bạn tiết kiệm rất nhiều lần đăng nhập tự động brute force và thêm một lớp tùy chỉnh vào trang web của bạn trong quá trình này.

Đơn giản chỉ cần kích hoạt nó và chọn các slugs đăng nhập và đăng ký (URL) bạn muốn thay vì những cái mặc định của WordPress.

Bạn cũng có thể bật chuyển hướng tùy chỉnh cho người dùng / bot đang cố gắng truy cập thông qua các URL WordPress thông thường. Bạn có thể đặt một URL đầy đủ hoặc một slug của trang web của bạn.

Chỉ nên thêm hành động đăng nhập tùy chỉnh nếu plugin yêu cầu.

4. Cấu hình - Cài đặt bảo mật chung (Global security settings)

Một phần vẫn được cấu hình một nửa cho dù chúng ta có xem qua tất cả các cài đặt và thậm chí cả trình hướng dẫn là cài đặt bảo mật trong phần cấu hình, và bạn không nên bỏ lỡ kiểm tra chúng, vì có một số cài đặt bảo mật thực sự quan trọng.

Hãy xem lại cấu hình được đề xuất trong từng cài đặt...

Write to files – Enable - Điều cần thiết là bạn phải cho phép iThemes Security có thể thêm quy tắc vào tập tin cấu hình WordPress (.htaccess và wp-config.php), nếu không hầu hết các cài đặt và cấu hình của bạn sẽ không có hiệu lực.
Lockouts

  • Lockout minutes - Thời gian mà bất kỳ người dùng nào sẽ không thể đăng nhập sau nhiều lần thử không thành công - Khuyến nghị: Không dưới 5 phút.
  • Days to remember locks - Số ngày plugin ghi nhớ người dùng / máy chủ bị khóa và sẽ không cho phép người đó đăng nhập - Khuyến nghị: tối thiểu 1 ngày.
  • Ban repeat offender – Enable - Liệu plugin có nên thêm IP vào danh sách chặn sau khi vượt quá ngưỡng tái phạm hay không.
  • Ban threshold - Đề xuất tối đa là 3.
  • Lockout messages - Tại đây bạn có thể tùy chỉnh thông báo mà người dùng sẽ thấy khi plugin chặn quyền truy cập của họ khi nó không thành công - Khuyến nghị: Giải thích rõ từng trường hợp, để giúp người dùng bình thường, bot và tin tặc thậm chí sẽ không đọc được tin nhắn.

Authorized hosts

  • Automatically authorize hosts temporarily – Enable - Thêm danh sách các địa chỉ IP mà bạn muốn cấp quyền để plugin không chặn chúng do nhầm lẫn. Ví dụ tốt nhất là IP của riêng bạn hoặc của các dịch vụ yêu cầu nó.

Logging

  • How logs should be saved - Ở đây chúng ta cấu hình nơi lưu trữ nhật ký hoạt động của iThemes Security - Khuyến nghị: Chỉ dành cho cơ sở dữ liệu.
  • Days to store logs in the database - Cố gắng không lưu trữ chúng quá nhiều ngày nếu không cơ sở dữ liệu của bạn sẽ phát triển quá lớn - Khuyến nghị: tối đa 15 ngày.

IP detection - Tại đây bạn chọn phương pháp mà plugin sẽ sử dụng để phát hiện IP - Khuyến nghị: Quét kiểm tra bảo mật.

UI tweaks

  • Hide security menu in admin bar - Theo mặc định có menu bảo mật trong thanh menu quản trị, hầu như không cần thiết, ngoại trừ trường hợp bạn tắt cảnh báo qua email đối với các thay đổi tập tin. Khuyến nghị: Bật để ẩn nó.
  • Enable grade report – Enable - Khi được bật, bạn sẽ có thể xem một loại đánh giá bảo mật cho trang web của mình trong bảng điều khiển bảo mật.

Trong trường hợp bạn có bất kỳ nghi ngờ nào, đây là ảnh chụp màn hình với các cấu hình được đề xuất của các cài đặt chung này, với các cấu hình bị thiếu trong ảnh chụp màn hình ở trên.


5. Trung tâm cảnh báo (Notification Center)

Mặc dù ngay từ đầu, chúng ta đã cấu hình cài đặt cơ bản cho cảnh báo, khi bạn kích hoạt mô-đun và cấu hình cài đặt, các tùy chọn mới sẽ được tạo cho cảnh báo, cả quản trị và người dùng, vì vậy, khi bạn hoàn tất việc cấu hình plugin, bạn nên thực hiện trung tâm cảnh báo và xem xét nó, bởi vì chắc chắn sẽ có các cài đặt thú vị để cấu hình.


Điều đầu tiên, ngay sau khi bạn đăng nhập, là khả năng thay đổi địa chỉ email của email thông báo về các sự cố và các mối đe dọa khác nhau.

Nếu bạn không đặt bất cứ điều gì, nếu bạn để trống, quản trị sẽ sử dụng một cái gì đó, trừ khi bạn muốn đặt một cái khác, một cái sai chẳng hạn, để họ không trả lời.

Tiếp theo, bạn phải quyết định ai sẽ nhận được các cảnh báo bảo mật và mình khuyên bạn nên giới hạn nó cho các quản trị, hoặc tốt hơn nhiều cho những người thực sự biết cách đối phó với loại cảnh báo bảo mật này, thường là người quản lý kỹ thuật hoặc bảo trì của web hoặc là bạn, nếu bạn là quản trị.

Lưu các thay đổi và hãy xem lại những gì chúng ta có thể cấu hình trong trung tâm thông báo.


Điều tiếp theo là nếu chúng ta muốn nhận cảnh báo khi người dùng hoặc IP bị chặn, và lời khuyên của mình là không nên kích hoạt nó, có thể có nhiều email được nhận và trong điều này, cũng như mọi thứ, nhiều cảnh báo kết thúc giống như hữu ích như không có cảnh báo, bởi vì bạn sẽ không chú ý đến chúng.


Khác với trường hợp cảnh báo trong trường hợp thay đổi tập tin, thường liên quan đến bảo mật nên lời khuyên của mình là kích hoạt chúng.

Bạn có thể nhận được email sau khi cập nhật plugin hoặc bản thân WordPress, nhưng nó không thường xuyên như khi bị khóa và bạn nên kiểm tra các thay đổi tập tin luôn là điều nên làm.

Email thông báo thay đổi tập tin sẽ đưa bạn đến nhật ký của các tập tin đã thay đổi.

Và bạn cũng có thể kiểm tra chúng sau trong nhật ký của plugin.


Cuối cùng, chúng ta kết thúc với việc cấu hình các tin nhắn sẽ đến người dùng để kích hoạt và xác nhận xác thực hai yếu tố qua email.


Điều quan trọng ở đây là các thông báo rõ ràng, dễ hiểu cho người dùng, để hoàn tất quá trình xác minh khi đăng nhập.

6. Mô-đun thanh toán (Payment modules)

Ngoài các mô-đun miễn phí ở trên, bạn cũng có thể truy cập các mô-đun trả phí từ $ 48 mỗi năm, đây là những mô-đun thú vị nhất:

  • Thiết bị đáng tin cậy.
  • Tóm tắt các bản cập nhật.
  • Hồ sơ bảo mật cho mỗi người dùng, cũng như mỗi nhóm.
  • Hỗ trợ tùy chỉnh cao cấp.

7. IThemes Security có phải là plugin bảo mật tốt nhất cho WordPress không?

  • Mặc dù có những sở thích cho mọi thứ, nhưng mình thường khuyên dùng iThemes Security vì...
  • Nó giải thích mọi thứ rất tốt, với rất nhiều văn bản để biết bạn đang làm gì và tại sao
  • Nó có tất cả các yếu tố cần thiết
  • Nó cung cấp các công cụ bảo mật miễn phí mà trong các plugin khác bạn phải trả phí.
  • Những gì nó làm, nó làm tốt
  • Nó rất dễ dàng để cấu hình (bây giờ nhiều hơn với hướng dẫn này)