Các vấn đề về bảo mật với trang web sử dụng WordPress
Bảo mật là một vấn đề thực sự rất quan trọng trong nhiều lĩnh vực, mà bảo mật website có lẽ là một trong những điều mà bạn được nghe nhiều nhất qua các kênh thông tin: hôm kia website anh Bí bị hack, hôm nay website chị Mật bị đốt (DDOS).
Contents
Các quan điểm thần thánh về bảo mật
Có phải đây là vẻ mặt của bạn khi nghe về thông tin trên?
“Ồ phải rồi, người ta bị hack thì liên quan gì đến túi tiền của mình?”
“Chẳng thằng dở hơi nào đi hack web của mình đâu, vì trang của mình làm quái gì có giá trị để hack.”
Hay “Dùng WordPress thì bị hack suốt ấy mà”.
Với các quan điểm trên thì tình trạng “mất cắp” sẽ vấn tiếp diễn như phim truyền hình dài tập. Nếu bạn đang sở hữu một website, đặc biệt là website sử dụng WordPress thì hãy quan tâm đến vấn đề bảo mật, bởi vì:
Website sử dụng WordPress là mục tiêu tấn công phổ biến nhất.
Tại sao lại nói như vậy?
Dưới đây là biểu đồ thống kê các nền tảng website đang được sử dụng tại Việt Nam.
Như bạn có thể thấy, chỉ tính riêng tên miền .vn, WordPress cũng đã chiếm phần lớn sử dụng trong tổng các site.
Ai tấn công website của bạn?
Mọi đối tượng đều có thể là kẻ tấn công website của bạn. Có thể là một hoặc một nhóm người.
Mục đích của chúng là gì?
Nếu website của bạn hoặc công ty bạn có một số giá trị tương đối nào đó, thì đây là một trong các nguyên nhân thúc đẩy kẻ tấn công: Cạnh tranh không lành mạnh, đánh cắp thông tin, hoặc đòi tiền chuộc…
Một số trường hợp website bạn bị tấn công chỉ bởi vì các “hắc cơ” “thích thể hiện” mà thôi.
Trang WordPress của bạn bị khai thác như thế nào?
Bạn có biết trong bộ cài đặt mã nguồn WordPress có tới 1500 files – chưa kể đến các theme và plugin. Bộ mã này chứa khá nhiều các thư viện mã nguồn mở: jQuery, jQuery Masonry, jQuery Hotkeys, PHPMailer,…cho hacker có thể khai thác.
Cách thức tấn công có thể qua:
– Một số plugin hoặc theme hết hạn hay chứa lỗ hổng,
– Qua các phiên bản cũ của WordPress mà bạn đang sử dụng,
– Do bạn đặt mật khẩu kém an toàn,
– Hay một vấn đề phổ biến tại Việt Nam đó là xài theme, plugin chùa không rõ nguồn gốc.
Ảnh hưởng của những điều trên đối với bạn hoặc công ty bạn
Đối với trang cá nhân, việc bị tấn công có thể làm bạn bức xúc, vì tiếc công sức dành cho website hay bị lấy cắp thông tin,…
Nếu bạn sở hữu một website công ty riêng, đây quả thực là vấn đề khá nhức nhối ảnh hưởng tới uy tín, danh tiếng, niềm tin của khách hàng, lãng phí thời gian, chi phí khắc phục hậu quả.
Bạn nên làm gì để phòng tránh các cuộc tấn công website dùng WordPress?
– Điều đầu tiên bạn nên làm là không sử dụng các theme hay plugin “chùa”. Trên đời không có bữa ăn nào miễn phí, “bữa ăn miễn phí” này đều chứa các loại thuốc độc khiến website của bạn chết nhừ. Nếu bạn có ý định dùng theme trả phí, hãy mua trực tiếp để được update và hỗ trợ tốt nhất.
– Đặt mật khẩu đủ mạnh. Mật khẩu mạnh khiến bạn an tâm hơn và càng khó bị hack hơn tôi thường đặt mật khẩu như sau: Sfb=kL!J23UesaDO.
– Phân quyền sử dụng mức tối thiểu nhất có thể cho các thành viên, người dùng trên trang web
– Sao lưu và cập nhật dữ liệu thường xuyên. Cập nhật các phiên bản mới nhất của WordPress và các theme, plugin.
– “Chăm sóc” tốt các file .htaccess, robots.txt, sitemaps.xml; phân quyền các folder, file hợp lý, xóa hết các file dư thừa,
– Sử dụng một số plugin bảo mật trong WordPress: Wordefence, sucuri, iTheme Security,…
Lời kết
Trên đời này, có rất nhiều điều là vĩnh cửu, nhưng tuyệt nhiên, tình yêu không phải là một trong số đó. Cũng như thế, không một hệ thống nào là an toàn tuyệt đối. Bạn có thể không thích việc bảo mật nhưng hãy nên quan tâm đến nó để website của bạn luôn có thể sống lâu nhất.