Trong bài viết này, bạn sẽ tìm hiểu cách bảo mật WordPress khỏi hacker tấn công. Sự phổ biến ngày càng tăng của WordPress cũng đã tạo ra nhiều mối quan tâm hơn đối với các hacker. Thống kê cho thấy rằng trong số 80 triệu trang web được cung cấp bởi WordPress, phần lớn trong số đó (70%+) dễ bị tấn công. Khi trang web của bạn bị tấn công, rất nhiều điều tồi tệ có thể xảy ra bên cạnh việc làm tổn hại danh tiếng trang web của bạn. Bạn có thể mất khách hàng, lưu lượng truy cập, tiền bạc, thông tin bí mật và chưa kể đến thời gian, căng thẳng và nỗ lực cần thiết để làm sạch trang web của bạn và đưa nó trở lại trạng thái bình thường.
Tại sao phải bảo vệ website?
WordPress là một mã nguồn hỗ trợ việc xây dựng blog, website bán hàng,… được ra đời vào năm 2003 với số lượng người dùng nhiều nhất thế giới. Là một nền tảng xây dựng website phổ biến nhất, WordPress chính là nơi vấn đề bảo mật website cần được quan tâm hàng đầu khi bạn đã có được trang web hoàn chỉnh.
WordPress chỉ là nền tảng để làm website và hoàn toàn không thể tự bảo vệ website của bạn. Do đó, bạn cần trang bị đầy đủ kiến thức về bảo mật web, tự tiến hành cài đặt một số yếu tố để tránh website không bị tấn công và mất sạch dữ liệu. Nhìn chung, các thao tác bảo mật trang web trên WordPress cũng khá đơn giản.
Lý do khiến website bị hack là gì?
Trường hợp bạn đã xây dựng website sau một thời gian dài, có thể là vài tháng đến hơn 1 năm trời, mất nhiều tiền, thời gian và công sức để có được thứ hạng cao nhưng một ngày lại bị hack. Lúc này, mọi nguồn thu thập, các tệp dữ liệu khách hàng tiềm năng đến từ website cũng sẽ biến mất.
Bạn vẫn có thể khôi phục lại website nhưng cần chi ra một số tiền không hề thấp cho những người có chuyên môn cao. Do đó, cách tốt nhất vẫn là bảo vệ website của mình trước những đợt tấn công từ hacker.
Nếu bạn chỉ mới bắt đầu làm web, chưa có độ cạnh tranh và chưa bị chú ý đến thì khả năng bị hack là rất ít. Một khi website của bạn đã được tối ưu, bắt đầu tăng traffic và được xếp hạng cao đối với những từ khóa nhất định thì bạn sẽ dễ dàng nằm trong tầm ngắm của những đợt chơi xấu từ đối thủ hoặc từ những hacker tấn công có chủ đích.
Cách bảo mật WordPress khỏi hacker tấn công
Bạn có thể tham khảo các cách sau đây để bảo mật WordPress khỏi hacker tấn công:
Cài đặt Sucuri
Mình sẽ không bao giờ đề xuất bất kỳ công cụ hoặc ứng dụng nào trừ khi nó thật sự quan trọng và hữu ích. Trong trường hợp này bạn thật sự nên cân nhắc đến việc cài đặt sucuri.
Nói một cách ngắn gọn, sucuri là một công ty cung cấp dịch vụ bảo mật cho các trang web (không chỉ WordPress). Chúng giúp bạn ‘dọn dẹp’ và khôi phục trang web của bạn trong trường hợp trang web bị ảnh hưởng bởi phần mềm độc hại, đồng thời họ cũng cung cấp một số công cụ để bảo mật và tăng cường sức mạnh cho trang web của bạn để không gặp rắc rối ngay từ ban đầu.
Mình đã sử dụng sucuri nhiều lần cho cả trang web của mình và của khách hàng. Một trong những điều ấn tượng nhất là trong trường hợp trang web của bạn bị phần mềm độc hại xâm nhập và ảnh hưởng, tất cả những gì bạn phải làm là đăng ký tài khoản với họ, gửi yêu cầu phần mềm độc hại và họ sẽ giải quyết trong một khoảng thời gian ngắn.
Thay vì loay hoay tìm cách giải quyết và phục hồi trang web khi bị hack thì bạn có thể hoàn toàn yên tâm giao cho Sucuri lo việc này. Bạn có thể dành thời gian của mình để thực hiện các biện pháp bảo vệ website khỏi hacker tấn công để tránh tình trạng tương tự xảy ra một lần nữa.
Bạn nên chọn gói dịch vụ nào của Sucuri? Họ cung cấp 3 gói dịch vụ chính và trong hầu hết các trường hợp thì bạn chỉ cần đăng ký gói cơ bản với mức giá khoảng $10 một tháng.
Điều này sẽ cung cấp cho bạn quyền truy cập vào dịch vụ loại bỏ phần mềm độc hại của họ trong trường hợp bạn cần cũng như các công cụ phòng chống virus trên trang web của họ.
Hãy thực hiện theo các bước đơn giản bên dưới để kích hoạt Sucuri trên trang web WordPress của bạn:
Bước đầu tiên là đăng ký gói cơ bản và sau đó ‘Thêm trang web của bạn’ vào Dashboard:.
Tiếp theo, bạn cần định cấu hình Scanner ‘Server Site’ bằng cách cấp cho họ quyền truy cập qua FTP vào các tệp và thư mục trang web của bạn. Scanner sẽ theo dõi trang web của bạn (vài lần mỗi ngày), từ đó xác định các tệp bị ảnh hưởng và cũng thực hiện các hành động dọn dẹp nếu cần.
Bạn có thể nhập thông tin đăng nhập FTP của mình vào tùy chọn ‘Bật qua FTP’ hoặc sử dụng ‘Bật thủ công’ bằng cách tải xuống tệp được cung cấp và tải tệp đó lên thư mục gốc của bạn.
Phương thức tệp tốt hơn trong trường hợp bạn quyết định thay đổi thông tin đăng nhập FTP của mình.
Cài đặt và định cấu hình Plugin WordPress của họ, bạn cần cài đặt đặt plugin sucuri từ đây (giống như bạn làm với plugin WordPress thông thường), sau đó truy cập bảng điều khiển và kết nối nó với tài khoản sucuri của bạn.
Khi bạn thực hiện thành công các bước trên, sucuri đã được kích hoạt và đang tích cực bảo vệ trang web của bạn. Những gì bạn cần làm bây giờ là nhấp vào Cài đặt (trong Bảo mật Sucuri) và định cấu hình cài đặt của bạn như trong ảnh chụp màn hình bên dưới.
Điều này sẽ đảm bảo rằng bạn sẽ nhận được thông báo qua email về bất kỳ thay đổi nào trên trang web của mình hoặc bất kỳ lần đăng nhập thất bại nào. Ngoài ra, nó cũng sẽ kích hoạt tính năng “firewall” giúp bạn tự động chặn các địa chỉ IP đáng ngờ cố gắng đăng nhập vào WordPress.
Truy cập Dashboard (trong Bảo mật Sucuri) và bạn sẽ ngạc nhiên về số lượng bot cố gắng truy cập vào trang web của bạn.
Có nhiều cài đặt khác mà bạn có thể xem xét (trong Bảo mật Sucuri) nhưng cài đặt trên kết hợp với các bước được mô tả bên dưới sẽ cải thiện đáng kể tính bảo mật của Trang web WordPress của bạn.
Sử dụng mật khẩu mạnh
Một trong những yếu tố đầu tiên và quan trọng nhất mà bạn cần kiểm tra ngay bây giờ chính là mật khẩu tài khoản WordPress của bạn, đặc biệt là mật khẩu bạn dùng cho quản trị viên.
Đừng sử dụng mật khẩu quá đơn giản, ví dụ như mật khẩu chỉ bao gồm chữ cái, mà hãy dùng mật khẩu mạnh có bao gồm chữ cái, chữ số và cả ký tự đặc biệt.
Sau đây là một số ví dụ về dạng mật khẩu mà bạn nên sử dụng:
| Simple | Strong |
| SimplePassword | $1mpLePas$$w0rd! |
| WordPress123 | W0rD!!Pr3$$123 |
| JanieBrown | JAN1E$Br0wN |
Bạn có thể thay đổi mật khẩu của bất kỳ người dùng nào bằng cách chọn Người dùng → Tất cả người dùng từ menu bên trái. Từ danh sách người dùng, chọn Chỉnh sửa và cuộn xuống trường mật khẩu.
Thay đổi username mặc định
Điều đầu tiên hacker sẽ làm chính là tìm ra tên người dùng của quản trị viên, vì vậy những username như như admin, administrator và host là quá rõ ràng và bạn cần thay đổi chúng thành một thứ khó xác định hơn.
Ngoài ra, hãy xem lại vai trò người dùng của bạn và đảm bảo rằng chỉ có một quản trị viên cho trang web. Những người dùng khác (tác giả khách mời, tác giả) có thể được đặt làm ‘Cộng tác viên’. Xóa bất kỳ người dùng nào khác không hợp lệ hoặc đặt vai trò của họ thành ‘Không’.
Kích hoạt bảo mật 2 lớp
Hầu hết chúng ta đều đã từng sử dụng tính năng xác thực 2 lớp đối với tài khoản ngân hàng, tài khoản Gmail, Facebook,…
Và đối với tài khoản WordPress thì bạn cũng có thể kích hoạt được bảo mật 2 lớp bằng cách cài đặt plugin Wordfence Security cho trang quản trị.
Bảo vệ thư mục wp-login, wp-config, .htaccess và wp-admin
Bảo vệ các thư mục wp-login, wp-config, .htaccess và wp-admin được xem là một trong những bước quan trọng nhất để bạn có thể bảo mật WordPress khỏi hacker tấn công.
Bằng cách bảo vệ và hạn chế quyền truy cập vào thư mục wp-config, .htaccess, wp-login và wp-admin, bạn đã thực hiện một bước tiến lớn để có thể ngăn chặn hacker. Việc này không yêu cầu bất kỳ kiến thức kỹ thuật nào, bạn chỉ cần truy cập vào FTP và làm theo các bước dưới đây:
Quan trọng: Bạn nên thêm Public IP của mình vào vùng tô màu cam ở trên, nếu không bạn sẽ không thể đăng nhập vào trang web của chính mình!
Nếu bạn nhập sai IP ở đó, bạn sẽ không thể đăng nhập vào bảng điều khiển WordPress của mình. Bạn có thể thêm nhiều IP (một IP trên mỗi dòng, trước dòng chữ ‘allow from’).
Có thể đối với một số người thì điều này là quá phức tạp nhưng đó là cách tốt nhất và hiệu quả nhất để ngăn không cho mọi người (ngoài các IP được phép) truy cập vào trang web của bạn. Điều này không ảnh hưởng đến chức năng của trang web hoặc chiến dịch SEO của bạn nhưng nó lại tăng cường bảo mật.
Bước tiếp theo là bảo vệ truy cập trái phép vào thư mục wp-admin của bạn. Bạn có thể làm điều này bằng cách làm theo các bước dưới đây:
Quan trọng: Bạn nên thêm Public IP của mình vào vùng tô màu cam ở trên, nếu không bạn sẽ không thể đăng nhập vào trang web của chính mình!
Các quy tắc tương tự được áp dụng như đã giải thích ở trên. Điều này có nghĩa là để có thể đăng nhập vào trang web của mình, bạn cần thêm IP công khai của mình vào vùng tô màu cam.
Bảo vệ xmlrpc.php
Bảo vệ xmlrpc là việc bạn có thể tùy chọn làm hay không cũng được nhưng mình khuyên rằng nên làm. Bên cạnh việc bảo vệ các tệp trên, một cách phổ biến để xâm nhập vào các trang web WordPress là thông qua xmlrpc. Xmlrpc.php là một tệp được sử dụng để giao tiếp từ xa với WordPress.
Tin tặc có thể sử dụng xmlrpc (được bật theo mặc định từ WordPress 3.8) để thực hiện DDoS (Tấn công từ chối dịch vụ phân tán), có thể gây ra sự cố máy chủ và khiến trang web ngừng hoạt động.
Bạn cần bật XMLRPC nếu bạn đang sử dụng các dịch vụ như JetPack, ứng dụng WordPress dành cho thiết bị di động chính thức, pingback & trackback.
Để đảm bảo rằng không có chương trình nào có thể truy cập và thực thi tệp, hãy thêm tệp này vào .htaccess của bạn.
Cập nhật WordPress phiên bản mới nhất
Hầu hết các lần hacker có thể truy cập trái phép vào trang web của bạn thông qua các plugin. Các plugin miễn phí và trả phí đều có lỗ hổng và cách tốt nhất là nâng cấp chúng lên phiên bản mới nhất.
Các công ty phần mềm (đặc biệt là các plugin trả phí) đã bắt đầu xem xét các vấn đề bảo mật nghiêm túc hơn và họ cố gắng khắc phục mọi lỗ hổng bảo mật để bảo vệ khách hàng và tất nhiên là cả danh tiếng của họ.
Bên cạnh việc nâng cấp, hãy xem lại danh sách các plugin đã cài đặt và nếu bạn thấy một số plugin chưa được cập nhật trong vài tháng thì hãy xem xét hủy kích hoạt chúng, thay thế chúng bằng các plugin khác được cập nhật thường xuyên hơn hoặc xóa chúng.
Kiểm tra cài đặt “Bình luận” và các biểu mẫu
Khi bạn nhận được comment về bài đăng của mình, hãy kiểm tra cài đặt ‘Thảo luận’ và đảm bảo rằng tất cả nhận xét đều được phê duyệt thủ công. Điều này có thể bổ sung thêm công việc quản trị từ phía bạn nhưng đó là cách tốt nhất để đảm bảo rằng không có nhận xét spam nào được nhập vào.
Ngoài ra, hãy kiểm tra xem bạn đã kích hoạt akismet chưa và bạn có sử dụng Captcha trên tất cả các biểu mẫu liên hệ của mình không.
Kiểm tra cài đặt Server
Bên cạnh việc cài đặt WordPress của bạn, một cách khác mà tin tặc có thể xâm nhập vào hệ thống của bạn là thông qua máy chủ web của bạn.
Những gì bạn có thể dễ dàng làm là sử dụng mật khẩu mạnh cho tài khoản quản trị viên và FTP, đồng thời bật thông báo qua email để nhận thông báo mỗi khi ai đó đăng nhập vào máy chủ. Bạn có thể cần kiểm tra với nhà cung cấp dịch vụ lưu trữ của mình về cách thực hiện việc này vì mỗi loại máy chủ lưu trữ sẽ khác nhau.
Chuyển đến máy chủ VPS an toàn hơn
Bất kỳ blogger hoặc doanh nghiệp nào cũng nên sử dụng VPS cho trang web của họ. Nếu bạn vẫn đang sử dụng dịch vụ lưu trữ chia sẻ, thì đã đến lúc xem xét lại và chuyển sang VPS của riêng bạn. Chi phí không nhiều mỗi tháng nhưng những lợi ích, đặc biệt là khi nói đến bảo mật, là vô giá.
Có rất nhiều công ty lưu trữ cung cấp VPS cho WordPress, hãy dành chút thời gian và tìm một máy chủ VPS đáng tin cậy với sự hỗ trợ tốt và nhanh chóng. Khi bạn gặp rắc rối về bảo mật, bạn sẽ cần sự hỗ trợ của công ty cung cấp dịch vụ lưu trữ và họ cần đáp ứng các yêu cầu của bạn một cách nhanh chóng nhưng cũng theo một cách hiệu quả.
Thường xuyên sao lưu dữ liệu WordPress
Mặc dù đây có thể không phải là một biện pháp bảo mật thật sự, nhưng điều đầu tiên bạn cần sau một cuộc tấn công là sao lưu toàn bộ trang web của bạn để sử dụng nó để khôi phục về trạng thái của website trước đó.
Để loại bỏ nguy cơ có thể bị tấn công bất ngờ:
- Đảm bảo rằng bạn sao lưu cả tệp WordPress và Cơ sở dữ liệu của mình (ít nhất một lần mỗi tuần).
- Bạn cần giữ các tệp sao lưu ở một vị trí an toàn (ngoài máy chủ của trang web của bạn)
- Bạn cần biết cách sử dụng bản sao lưu để khôi phục trang web của mình. Đây là một bước quan trọng và bạn cần phân bổ thời gian để thực hiện kiểm tra và ghi lại quy trình để bạn biết chính xác những gì bạn cần phải làm khi cần thiết và chịu nhiều căng thẳng.
Bạn có thể sử dụng Plugin Backup WordPress miễn phí và có các tùy chọn để lên lịch sao lưu cho cả tệp và cơ sở dữ liệu.
Kết luận
Vậy với những cách mà Đào tạo Digital Marketing đã tổng hợp phía trên, hy vọng bạn đã tìm được cách bảo mật WordPress khỏi hacker tấn công. Nếu bạn có một trang web WordPress nhưng không thực hiện bất kỳ biện pháp nào để cải thiện bảo mật, thì bây giờ là thời điểm thích hợp để hành động. Đừng trì hoãn nữa mà hãy đặt điều này làm ưu tiên hàng đầu của bạn trong quá trình SEO hơn bất kỳ điều gì khác mà bạn có thể đang làm. Điều này sẽ không làm bạn mất nhiều thời gian nhưng nó có thể giúp bạn tiết kiệm rất nhiều thời gian, tiền bạc trong tương lai.
