Nâng cao bảo mật là cách đơn giản nhất giúp các nhà quản trị Website chúng ta đảm bảo an toàn cho website, giảm bớt tổn thất khi bị hacker tấn công. Dưới đây là 15 thủ thuật đơn giản giúp bạn nâng cao bảo mật website WordPress của mình mà có thể bạn chưa biết.

Khi nói tới thuật ngữ “bảo mật website” chúng ta thường liên tưởng tới các vụ xâm nhập dữ liệu hoặc tấn công website được thực hiện bởi các hacker. Thực tế là không có loại bảo mật nào chỉ dành riêng cho các CMS như WordPress. Bảo mật website luôn có những cách thức chung, tuy nhiên với mỗi mã nguồn sẽ có những phương thức bị xâm nhập riêng đặc biệt là với các mã nguồn mở.

Với WordPress – Mã nguồn phổ biến nhất hiện nay thì đây có thể coi như một “miếng mồi” béo bở cho mọi cuộc tấn công. Cũng bởi nó vốn dĩ là một mã nguồn mở nên thường có nhiều lỗ hổng, những lỗ hổng này đến từ rất nhiều nguồn ví dụ như một lỗ hổng từ lõi của mã nguồn hoặc các plugin miễn phí được Coder phát hiện ra. Nó sẽ là một thước ngắm cho những kẻ tọc mạch xâm nhập hoặc phá hoại website của bạn.

Và một khi lỗ hổng đó được phát hiện và công khai thì cho dù website của bạn chưa bị tấn công ngay lúc này, nhưng trong tương lai nó vẫn tiềm ẩn nhiều mối đe dọa vì đơn giản chúng ta đang sử dụng chung một loại CMS để phát triển website.

Dưới đây là 15 mẹo đơn giản giúp bạn nâng cao khả năng bảo mật cho website, giảm bớt rủi ro khi bị tin tặc nhòm ngó với mục đích xấu.

Dùng https bảo mật cao hơn

Về cơ bản giao thức http truyền tải và trao đổi dữ liệu giữa các mạng máy tính hoặc giữa trình duyệt với máy chủ thông qua các định dạng văn bản thuần túy. Do đó, bất kỳ ai có quyền truy cập vào mạng giữa máy chủ và trình duyệt đều có thể xem dữ liệu của bạn vì chúng không được mã hóa.

Với giao thức https dữ liệu của bạn sẽ được mã hóa và những kẻ tấn công sẽ không thể đọc dữ liệu được truyền ngay cả khi chúng có quyền truy cập vào mạng của bạn.

Vậy ngay khi website đi vào hoạt động, hãy bật ngay https trên giao thức truyền dữ liệu của WordPress. Có rất nhiều Plugin có thể hỗ trợ bạn vấn đề này, nếu không bạn có thể thuê một đơn vị chuyên cung cấp chứng chỉ SSL để cài đặt https cho website WordPress của mình.

Đặt mật khẩu độ khó cao

Một cách đơn giản để chiếm quyền điều khiển website thông qua việc truy cập vào trang quản trị website đó là dò ra các loại mật khẩu yếu. Thay vì sử dụng tên và các ký tự mật khẩu đơn giản phổ biến hãy sử dụng các loại mật khẩu có độ mạnh lớn, và thường xuyên lên lịch thay đổi chúng.

Ví dụ về các tên đăng nhập và mật khẩu yếu có thể kể đến như: Admin/ Admin123, Quantri/ quantri123….

Một mật khẩu mạnh có thể bao gồm các chữ cái viết thường và viết hoa và bao gồm cả các kí tự đặc biệt, chúng sẽ mạnh hơn nếu như mật khẩu đó bao gồm từ 10 kí tự trở nên. Bạn có thể đặt chúng như: Dkdgakjh@096932…. Tất nhiên, chúng phải có ý nghĩa gì đó để bạn dễ nhớ.

Sử dụng các Plugin bảo mật

Tất nhiên là vậy, ngoài việc nâng cao bảo mật thủ công bạn cũng cần công cụ hỗ trợ. Hãy ngâm cứu một loại Plugin dễ sử dụng nhất đối với bạn và được công đồng WordPress đánh giá cao để cài đặt bảo vệ trang WordPress của mình.

Bạn có thể xem xét các Plugin chúng tôi liệt kê dưới đây…

• iThemes Security: Một Plugin mạnh mẽ giúp ngăn chặn những kẻ tấn công nhòm ngó website với nhiều tính năng bổ ích khác.

Thêm CAPTCHA vào biểu mẫu đăng nhập hoặc đăng ký

Thêm biểu mẫu Captcha là cách đơn giản chống lại việc tấn công vũ phu một cách tự động. Nó yêu cầu người dùng thực thực hiện các hành động điền các kí tự hoặc hình ảnh được nhìn thấy thực tế trên màn hình vào biểu mẫu và nếu nhập sai bạn có thể bị khóa đăng nhập trong khoảng thời gian nhất định.

Có nhiều công cụ giúp bạn cài đặt thêm mã Captcha trong khu vực đăng ký thành viên hoặc đăng nhập, hoặc bạn cũng có thể sử dụng một công cụ miễn phí của Google đó là Google reCAPTCHA. Với reCAPTCHA của Google nó chỉ cho phép bạn sử dụng trình nhập trong khoảng thời gian 2 phút. Những kẻ tấn công sẽ có ít thời gian hơn để tấn công website của bạn.

Thiết lập xác thực hai yếu tố (2FA)

Ngoài việc yêu cầu nhập Captcha trong khi đăng nhập vào khu vực quản trị bạn có thể sử dụng một cách khác đó là yêu cầu xác thực hai yếu tố khi người dùng đăng nhập.

Bạn có thể xem xét các plugin WordPress để thiết lập xác thực 2FA như Google Authenticator...

Luôn cập nhật các phiên bản mới nhất của Plugin và WordPress

Sự thật là cộng đồng WordPress rất đông đảo, chính vì vậy nó luôn có một đội ngũ phát triển và Coder đứng sau để ngâm cứu mọi thuật toán.

Các lỗ hổng bảo mật luôn tồn tại, chính vì thế nên các bản cập nhật chính là các bản vá các lỗ hổng bảo mật tồn tại trên mã nguồn trước đó. Hãy luôn cài đặt và cập nhật thường xuyên mã nguồn có nguồn gốc rõ ràng và đừng quên cập nhật chúng khi có phiên bản mới.

Luôn đặt Chmod cho tệp và Folder

Một cách khách để những kẻ tấn công thay đổi dữ liệu hoặc cài cắm thêm các đoạn mã độc chuyển hướng vào website của bạn là thực hiện tấn công vào các Folder chưa các tệp dữ liệu và chỉnh sửa các tệp đó.

Tuy nhiên bạn có thể ngăn chặn chúng bằng cách cài đặt các quyền đối với các tệp và thư mục lưu trữ trên Hosting của mình. Đối với các thư mục hãy Chmod về 775, với các tệp là 644, riêng file wp-config.php phải là 600.

Tắt tính năng chỉnh sửa tệp trong trang quản trị WordPress

Mưu mô của hacker là rất lớn. Trong nhiều trường hợp khi chúng đã chiếm quyền điều khiển của Website thông qua việc truy cập vào bảng điều khiển WordPress chúng sẽ không lộ danh.

Có thể bạn không phát hiện ra rằng bạn đã bị tấn công, chúng sẽ âm thầm thay đổi mọi thứ với mục đích khác nhau, ví dụ như chèn thêm các đoạn mã chuyển hướng hoặc chèn thêm các đường liên kết lạ vào nội dung.

Vậy nên, thay vì để mọi thứ hớ hênh hãy bảo vệ khu vực quan trọng nhất. Một trong các cách đó là tắt tính năng chỉnh sửa tệp trong trình chỉnh sửa tệp dữ liệu của WordPress.

Tắt và xóa mọi Plugin và chủ đề không dùng đến

Khi cài đặt các trình cắm mở rộng hoặc các chủ đề giao diện của WordPress, nếu không dùng tới hãy xóa chúng ngay lập tức.

Bởi vì nếu bạn không xóa chúng, nó vẫn tồn tại trên trang WordPress của bạn và tất nhiên bạn sẽ thường không cập nhật chúng, lúc đó sẽ có những lỗ hổng giúp tin tặc có thể khai thác.

Thay đổi tiền tố đăng nhập và ID người dùng

Bạn có thể nhờ đội ngũ kỹ thuật website thay đổi tiền tố “WP_” trên cơ sở dữ liệu của WordPress, nhân tiện đổi luôn ID của người quản trị cấp cao.

Ẩn phiên bản WordPress mà bạn đang sử dụng

Nếu bạn đang sử dụng phiên bản WordPress có lõi đã được phát hiện là có lỗ hổng, kẻ tấn công biết rằng anh ta có thể sử dụng nguồn dữ liệu đã được phân tích trước đó để khai thác các lỗ hổng bảo mật của website.

Cài đặt tường lửa WordPress

Tường lửa là một ứng dụng web chạy trên các trang web và phân tích bất kỳ yêu cầu HTTP nào đến. Nó áp dụng các thuật toán logic phức tạp để lọc ra các yêu cầu có khả năng là mối đe dọa. Một trong những kiểu tấn công phổ biến là SQL injection.

Giả sử bạn chạy một plugin WordPress dễ bị chèn SQL và bạn không biết về nó. Nếu bạn chạy tường lửa, ngay cả khi kẻ tấn công biết về lỗ hổng bảo mật trong plugin chúng cũng sẽ không thể hack trang web của bạn

Điều này là do tường lửa sẽ chặn những yêu cầu có chứa SQL injection. Tường lửa sẽ chặn các yêu cầu đó từ IP và ngăn các yêu cầu nguy hiểm liên tiếp đến. Tường lửa cũng có thể giúp ngăn chặn các cuộc tấn công DDoS bằng cách phát hiện quá nhiều yêu cầu từ một IP và chặn chúng.

Một số công cụ tường lửa cho WordPress bạn có thể tham khảo…

• Cloudflare firewall
• Wordfence Security
• Sucuri.net
• All In One WP Security & Firewall
• BulletProof Security

Sao lưu dữ liệu định kỳ

Sao lưu dữ liệu định kỳ là cách đơn giản giúp bạn có thể khôi phục trang web một cách nhanh chóng khi không may bị tấn công. Tất nhiên trước khi khôi phục hãy nâng cấp bảo mật trang web trước khi tải chúng lên Hosting, Sever.

Sử dụng SFTP

Rất nhiều nhà phát triển đã sử dụng SFTP để kết nối với máy chủ web. Giống như HTTPS, SFTP sử dụng mã hóa để truyền tệp qua mạng, khiến nó không thể đọc dưới dạng văn bản thuần túy ngay cả khi một người có quyền truy cập vào mạng đó.

Luôn giám sát hoạt động người dùng

Chúng ta đang đề cập tới những mối hiểm họa bắt nguồn từ bên ngoài nhưng lại chưa đề cập tới những mối nguy cơ từ bên trong nội bộ.

Nếu không may một trong những nhân viên của doanh nghiệp bạn thực hiện các hành động mờ ám thì sẽ thế nào? Hãy lường trước mọi điều có thể xảy ra.

Bằng việc theo dõi hành vi người dùng bạn có thể giảm thiểu mọi nguy cơ trang web của doanh nghiệp có thể bị xâm nhập bởi chính nhân viên của doanh nghiệp, nhất là khi anh ta có quyền quản trị cấp cao và sắp nghỉ việc.

Vậy nên, để bảo mật website WordPress của doanh nghiệp bạn bạn phải nâng cao cảnh giác trên mọi góc độ với các giải pháp được nêu trên.

Cảm ơn các bạn đã theo dõi bài viết. Hy vọng chúng tôi đã mang đến cho bạn thông tin hữu ích.

Nguồn sưu tầm