10 Điều cần làm để bảo vệ WordPress khỏi bị Hack không đáng có
WordPress ngày càng được dùng phổ biến cho cá website hiện nay ở Việt Nam và thế giới. Sự chiếm lĩnh thị phần của CMS mã nguồn quản trị nội dung mở này khiến cho chính nó là mảnh đất màu mỡ để các hacker tấn công hoặc thử nghiệm. Có rất nhiều hacker tìm kiếm các lỗi bảo mật này và thông báo cho người dùng, đa số trong các hacker này chỉ là kiểm tra bảo mật và thực hiện việc hack như một trò chơi nhằm nâng cao tính bảo mật cho người dùng. Tuy nhiên, một số bộ phận nhỏ vẫn coi việc hack hoặc deface chiếm quyền kiểm soát trang web để ăn cắp thông tin cá nhân người dùng hay thậm chí chơi xấu đối thủ.
Xem thêm: Hơn cả Triệu Website WordPress bị hack 2017 bạn có biết
Với kiến thức ít ỏi về tin học của mình, Lamvt mạo muội xin giới thiệu tới các bạn 10 biện pháp cần làm để tránh khỏi những cuộc tấn công không đáng có. Các việc làm này không hoàn toàn có thể đảm bảo giữ cho website của bạn khỏi 100% các cuộc tấn công, tuy nhiên giảm thiểu được những lỗi bảo mật ngớ ngẩn cũng là vấn đề mà nhiều chủ website vẫn chưa để ý tới và thực hiện nó.
Contents
Chọn nhà cung cấp hosting chất lượng
Với kinh nghiệm hơn 10 năm sử dụng mã nguồn mở để thiết kế web từ NukeViet 1.0 cho đến Mambo, Joomla 1.0 rồi WordPress, Opencart, PhpBB, vBulletin, OS Commerce, Drupal… tôi vẫn lựa chọn nhà cung cấp HOSTVN.
Hiện tại HOSTVN đang hỗ trợ các phiên bản PHP từ 5.2 đến 5.6 và khách hàng có thể chủ động thay đổi các phiên bản sao cho phù hợp với nhu cầu sử dụng của mình.
Dữ liệu của khách hàng sử dụng dịch vụ hosting tại HOSTVN sẽ luôn được đảm bảo an toàn với cơ chế backup dữ liệu hàng ngày và áp dụng công nghệ CloudLinux nhằm hạn chế tối đa nguy cơ bị hacker tấn công xâm nhập dữ liệu qua Local Attack.
Các máy chủ Shared Hosting tại HOSTVN được cài đặt LiteSpeed WebServer giúp tăng tốc độ xử lý nhanh gấp 6 lần so với các hệ thống thông thường.
Ứng dụng Softaculous được cài đặt sẵn trên máy chủ giúp bạn có thể cài đặt các mã nguồn website như WordPress, Joomla… chỉ trong tích tắc.
Ngoài ra, điều mà tôi thấy thú vị nhất hơn hẳn các công ty cung cấp hosting khác đó là ví lý do bảo mật, hostvn không cho phép người dùng thay đổi mật khẩu trực tiếp trong cPanel mà chỉ cho phép thay đổi tại CRM quản lý manage.hostvn.net. Tuy nhiên, hình thức này vẫn sử dụng được cho cả DirectAdmin.
Kỹ thuật viên của hostvn không hỗ trợ hay cung cấp thông tin cho khách hàng qua các kênh hỗ trợ trực tiếp như Livechat, điện thoại khi thông tin chưa được xác minh, nhầm đảm bảo quyền lợi khách hàng.
Luôn luôn Cập nhật các phiên bản mới nhất của WordPress và các Plugin
Việc cập nhật các phiên bản mới của WordPress, theme, plugin là điều cần thiết, việc làm này không những chỉ cho WordPress mà cac mã nguồn mở bất kỳ bạn sử dụng cũng nên cập nhật thường xuyên.
Team phát triển mã nguồn mở WordPress luôn luôn có hàng ngàn những tình nguyện viên và hàng triệu khách hàng phản hồi về những lỗ hổng hay những lỗi bảo mật cơ bản hoặc cac tính năng còn chưa hoàn thiện với người dùng, vì vậy họ luôn luôn cập nhật thường xuyên các phiên bản mới và đặc biệt điều này được thông báo ngay trong phần quản trị của website thậm chí còn có khi email thông báo đến cho chính chủ nhân website.
Hãy lập bảo vệ cho thư mục quản trị web
Việc hạn chế người dùng truy cập vào vùng quản trị của website WordPress thông thường là yourdomain.com/admin hay yourdomain.com/wp-admin hoặc tập tin wp-login.php cũng là một biện pháp nhằm giảm thiểu những truy cập trái phép không đáng có.
Để làm điều này một cách tốt nhất là bạn dùng file .htacess để giới hạn địa chỉ IP của người dùng và chỉ cho phép một số người trong đơn vị tin tưởng của bạn truy cập vào. Để làm được điều này ta copy đoạn code sau đây đưa vào trong file .htacess của bạn và nhớ cho phép các địa chỉ IP máy của các bạn nhé.
<Files wp-login.php>
order deny,allow
Deny from all
Allow from xx.xxx.xxx.xxx
</Files>
xx.xxx.xxx.xxx chính là địa chỉ IP mà bạn cho phép truy cập
Ngoài ra bạn cũng có thể dùng thêm một plugin nhằm giới hạn sự truy cập và đoán dò mật khẩu của bạn.
Không nên sử dụng user truy cập mặc định admin khi cài đặt web
Đối với quá trình cài đặt WordPress, sự gợi ý trong quá trình cài đặt đó là sử dụng tên đăng nhập là admin, bạn hoàn toàn có thể thay đổi tên đăng nhập này để hạn chế hơn những dò đoán về tên đăng nhập và mật khẩu.
5. Sử dụng PassWord (mật khẩu) đăng nhập một cách thông minh
Rất nhiều bạn sử dụng password đăng nhập một cách rất cẩu thả ví dụ tên ngày tháng năm sinh hoặc thậm chí 123456 hay 123abc …. điều này thường là miếng mồi ngon cho các hacker tập sự. Họ cũng chả mấy khi gây hại cho website của bạn nếu website của bạn không có gì quý giá với họ 🙂
Chúng ta nên sử dụng mật khẩu với 12 ký tự bao gồm chữ HOA, chữ thường, ký tự đặc biệt @%@$ và các chữ số kết hợp lại.\
Sử dụng đăng nhập và xác thực 2 bước
Vào tháng 4 năm 2013 WordPress đã thông báo rằng họ cho phép người dùng sử dụng phương pháp đăng nhập 2 bước. Việc đăng nhập hai bước này đảm bảo bảo mật hơn cho người dùng, các bạn có thể tìm kiếm cho mình một plugin để xác thực việc đăng nhập hai bước một cách tốt nhất.
Đảm bảo chắc chắn việc cài đặt plugin bảo mật cho website bạn
Chúng tôi khuyên bạn nên sử dụng plugin cho việc bảo mật, các plugin này thường xuyên quét và phát hiện những dấu hiệu nghi ngờ và thông báo ngay cho admin quản trị web, vì vậy việc phòng chống các cuộc tấn công sẽ giảm thiểu đi rất nhiều.
Đảm bảo rằng domain của bạn đã sử dụng dịch vụ Cloudflare
Cloudflare là một dịch vụ miễn phí, nó cũng dễ dàng giúp bạn tránh khỏi những vụ tấn công DDoS từ chối dịch vụ đơn giản, nhằm giảm thiểu những tổn thất không đáng có.
Hãy đảm bảo rằng bạn đã bảo mật cho các dịch vụ online khác mà bạn sử dụng
Bạn đang sử dụng rất nhiều các dịch vụ online liên quan mật thiết đến website của bạn ví dụ điện thoại, máy tính, email, facebook. Hãy đảm bảo rằng các thiết bị và các dịch vụ đó cũng được bảo mật một cách tốt nhất. Điều chắc chắn rằng, bạn nên thay đổi mật khẩu truy cập vào phần quản trị hosting và tên miền một cách thường xuyên, nhằm tránh những sai lầm đáng tiếc.
Đảm bảo máy tính và các thiết bị thông minh của bạn đã được bảo mật
Máy tính hay các thiết bị thông minh của bạn là nơi chứa các tài liệu dữ liệu và các mật khẩu truy cập vào tất cả các dịch vụ của bạn, vì vậy hãy đảm bảo rằng bạn luôn có một phần mềm diệt virut uy tín cho riêng các thiết bị của mình.
Mạn đàm: Việc bảo mật cũng như người tạo ra các cái khóa và có chìa khóa của nó, nhưng việc mở khóa lại cũng là việc làm của rất nhiều những cá nhân khác. Các cụ luôn dạy rằng: Cái khóa cái cửa cũng chỉ gọi là phòng thôi chứ chống làm sao được kẻ gian.
Bạn đã đọc bài này chưa: PitStop trong SEO tổng thể: Điều mà Chiên Da SEO cũng không thể biết
Hãy chia sẻ những điều đơn giản này để những người bạn của bạn được biết nhé.
