Một số điều cần làm để site WordPress trở nên bảo mật hơn

Bảo mật Website WordPress là một chủ đề có tầm quan trọng lớn đối với mọi chủ sở hữu trang web. Google đưa vào danh sách đen hơn 10.000 trang web mỗi ngày vì phần mềm độc hại và khoảng 50.000 trang web lừa đảo mỗi tuần. Trong bài viết này, chúng tôi sẽ chia sẻ một số mẹo bảo mật WordPress hàng đầu để giúp bạn bảo vệ trang web của mình khỏi tin tặc và phần mềm độc hại.

Các lỗ hổng bảo mật của nền tảng WordPress đã tấn công hàng triệu website

WordPress đã công bố các lỗ hổng ở mức độ nghiêm trọng cao được công khai bởi chính nhóm phát triển cốt lõi. WordPress thông báo họ đã vá 4 lỗ hổng được xếp hạng mức độ nghiêm trọng. Tuy nhiên, The National Vulnerabilities Database (NVD) của Chính phủ Hoa Kỳ, nơi mà các lỗ hổng được ghi lại và công khai đã đánh giá các lỗ hổng này cao tới 8 trên thang điểm từ 1 đến 10, với 10 đại diện cho mức độ nguy hiểm cao nhất.

Thông báo của WordPress về chi tiết các lỗ hổng và mức độ nghiêm trọng rất ngắn gọn. Bốn lỗ hổng bảo mật là:

1. Chèn SQL do thiếu dữ liệu làm sạch trong WP_Meta_Query (mức độ nghiêm trọng: 7,4)

2. Tiêm đối tượng được xác thực trong nhiều trang web (mức độ nghiêm trọng :6,6)

3. Lỗ hổng XSS cho phép các tác giả (người dùng có đặc quyền thấp hơn) thêm một backdoor độc hại hoặc tiếp quản một trang web bằng cách lạm dụng các slugs bài đăng (mức độ nghiêm trọng: 8,0)

4. SQL Injection thông qua WP_Query do vệ sinh dữ liệu không đúng cách (mức độ nghiêm trọng: 8.0)

Các lỗ hổng bảo mật đã được tiết lộ một cách riêng tư cho WordPress, điều này đã tạo cơ hội cho WordPress vá các lỗi đó trước khi chúng được biết đến rộng rãi.

Bỏ túi một số cách bảo mật website WordPress

1. Giới hạn số lần truy cập

Nếu như để mặc định, trang đầu của WordPress sẽ không giới hạn số lần truy cập sai. Chính điều nào sẽ tạo cơ hội cho hacker mở các cuộc tấn công brute force. Brute force hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ra mật khẩu. Vì thế nên cần rất nhiều thời gian, tùy theo độ dài của mật khẩu nhưng khả năng để tìm ra là luôn luôn có thể nếu không giới hạn thời gian. Đồng thời, hãy khóa IP những người có số lần nhập mật khẩu sai quá nhiều.

2. Sử dụng xác thực 2 bước (Two-factor authentication WordPress plugin)

Bổ sung tính năng tính năng xác thực 2 bước (TFA/2FA) là biện pháp để chống hack WordPress hiệu quả. Plugin này sử dụng thuật toán TFA / 2FA tiêu chuẩn công nghiệp TOTP hoặc HOTP để tạo mật khẩu một lần. Các đoạn mã này sẽ có giá trị trong một thời gian nhất định và mỗi lần sử dụng sẽ hiển thị một đoạn mã khác nhau.

3. Sử dụng password mạnh

Mật khẩu là một phần rất quan trọng trong việc bảo mật WordPress và thật đáng tiếc khi điều đó lại không khiến nhiều người để ý. Nếu bạn đang sử dụng mật khẩu đơn giản như “123456” hay “abc1234”, bạn cần phải đổi mật khẩu ngay lập tức. Mặc dù các mật khẩu này rất dễ nhớ nhưng cũng cực kì dễ đoán. Người dùng nâng cao sẽ rất dễ dàng bẻ khóa mật khẩu và truy cập vào website mà không có một chút khó khăn nào. Hãy thử với các mật khẩu phức tạp hơn, chẳng hạn như kết hợp nhiều số, nhiều chữ và các ký tự đặc biệt như “%”, “&”, v.v.

4. Cài đặt chứng chỉ SSL

Xem hướng dẫn

Ngày nay, Single Sockets Layer (SSL) rất có lợi cho tất cả các loại website. Sử dụng chứng chỉ SSL là một biện pháp để bảo đảm an toàn các dữ liệu thông tin truyền đi giữa trình duyệt và máy chủ. Điều này khiến tin tặc khó để xâm phạm kết nối và giả mạo thông tin của bạn. Bên cạnh tính bảo mật, các website có chứng chỉ SSL sẽ được Google một vị trí cao hơn tất cả các website không có nó.

Chứng chỉ SSL giữ cho website của bạn luôn an toàn

5. Cập nhật các phiên bản mới nhất

Luôn luôn cập nhật WordPress cũng là một phương pháp để giữ cho website của bạn an toàn. Với mỗi bản cập nhật, các nhà phát triển sẽ vá thêm một số lỗi để mang lại cho bạn trải nghiệm bảo mật website WordPress tốt hơn. Bằng cách cập nhật các phiên bản mới nhất, bạn cũng sẽ khỏi tầm ngắm của các hacker đang có ý định tấn công vào các lỗ hổng bảo mật.

6. Xóa hết các file hoặc plugin ko cần thiết đi

7. Lấy log của system để xác định các access lạ (KHÔNG BẮT BUỘC)

8. Update version của WordPress hoặc Plugin lên bản có thể hoặc bản mới nhất

– không được setting chế độ auto update mà phải tự update hoặc chỉ cho tự update những cái nhỏ thôi
– thêm dòng dưới vào file wp-config.php

9. Cài thêm plugin SiteGuard WP Plugin

Link download

– cài đặt authentication capcha
– setting số lần cho phép login thất bại

10. Xóa hết các theme và plugin ko cần thiết đi

11. Cho tất cả file hệ thống của WP vào 1 folder cho vào ngay dưới file index.php

Link hướng dẫn

12. Folder tổng hợp file wp ở mục số 11 ko được đặt tên là wordpress hoặc wp

13. Vị trí các file upload ko để thành default (vd: http://******/upload/)

Link hướng dẫn

14. Không cho tự tạo các thẻ lạ nữa

các elements được tạo từ function của wp_head / wp_footer cho comment out hết đi
không cho hiển thị vị trí folder của admin
Link hướng dẫn : click vào đây

15. Chống click jacking (không cho hiển thị iframe)

Setting babwngf PHP hoặc Apache
Link tham khảo : click vào đây
Link hướng dẫn : click vào đây

16. Cài đặt 2 lớp bảo mật cho màn hình admin (NẾU CÓ THỂ THÌ NÊN LÀM)

17 Cài đặt basic authentication cho admin (NẾU CÓ THỂ THÌ NÊN LÀM)

18. Tăng cường bảo mật cho file wp-config.php (NẾU CÓ THỂ THÌ NÊN LÀM)

– update security key của WordPress
– chuyển vị trí file wp-config.php
– thay đổi permission thành 400 hoặc 440

19. Tăng cường bảo mật cho Database (NẾU CÓ THỂ THÌ NÊN LÀM)

xóa bỏ tên mặc định wp_ trong tên DB đi

20. Ở trong /uploads/ cho thêm file .htaccess vào và không cho thực hiện lệnh PHP trong đó (NẾU CÓ THỂ THÌ NÊN LÀM)

21. Setting block cho script trong wp-includes (KHÔNG BẮT BUỘC)

thêm code dưới vào file .htaccess

22. Không cho edit file ở Dashboard nữa (KHÔNG BẮT BUỘC)