Làm thế nào để ngăn trang web WordPress của bạn bị tấn công?

Trình lướt web

Trong tình huống dịch COVID-19 như hiện tại, doanh nghiệp của bạn hiện phụ thuộc nhiều hơn vào trang web hơn bao giờ hết. Mặt khác, cuộc khủng hoảng cũng đem đến các tin tặc cố gắng tận dụng tối đa sự hỗn loạn và lo lắng. Điều này đã dẫn đến sự gia tăng đột biến chưa từng có về tội phạm mạng và vi phạm bảo mật trang web trong vài tháng qua. Các cuộc tấn công lừa đảo, chuyển hướng lưu lượng truy cập trang web đến các trang web giả mạo hoặc thậm chí là các trang web bị lỗi – đây chỉ là một số cách mà tin tặc đang tàn phá thế giới trực tuyến.

Mặc dù không có gì gọi là an toàn 100% khỏi tin tặc, nhưng giải pháp tốt nhất là được thông báo và chuẩn bị tốt hơn. Trong bài viết này, chúng tôi chia sẻ mười biện pháp an toàn hiệu quả mà bạn có thể thực hiện cho trang web WordPress của mình. Bắt đầu nào.

Mục lục

10 cách để bảo mật trang web WordPress của bạn

1. Thực hiện sao lưu trang web thường xuyên

2. Luôn cập nhật trang web của bạn

 3. Thực thi thông tin đăng nhập mạnh mẽ

 4. Sử dụng xác thực hai yếu tố

5. Sử dụng chứng chỉ SSL

6. Cài đặt một công cụ bảo mật WordPress

7. Thiết lập tường lửa trang web

8. Thực hiện ngăn chặn quốc gia.

9. Giới hạn số lượng người dùng quản trị

10. Quản lý trang web của bạn

Phần kết luận

10 cách để bảo mật trang web WordPress của bạn

1. Thực hiện sao lưu trang web thường xuyên

Trong những thời điểm quan trọng này, thời gian ngừng hoạt động của trang web có thể ảnh hưởng nghiêm trọng đến hình ảnh và uy tín thương hiệu của bạn, chưa kể đến việc thất thoát doanh thu. Ngoài ra, có những nguy cơ mất dữ liệu do tin tặc tìm cách đánh cắp dữ liệu khách hàng và tài chính của bạn.

Một bản sao lưu trang web là mạng lưới an toàn của bạn trong trường hợp này. Những gì bạn cần là sao lưu thường xuyên và định kỳ toàn bộ trang web của bạn bao gồm các tệp trang web và bản ghi cơ sở dữ liệu. Bằng cách này, ngay cả khi trang web của bạn bị vi phạm vào bất kỳ ngày nào, bạn có thể nhanh chóng khôi phục trang web của mình bằng các tệp sao lưu có sẵn.

Làm thế nào để bạn thực hiện một sao lưu trang web? Nếu bạn có kỹ thuật và thời gian, bạn có thể chọn sao lưu thủ công. Tuy nhiên, một giải pháp thay thế dễ dàng hơn là sử dụng các công cụ sao lưu như BlogVault hoặc Backupbuddy. Dễ sử dụng, các plugin này có thể tạo nhiều bản sao lưu trang web của bạn và lưu trữ chúng tại các vị trí an toàn và độc lập. Tuy nhiên, quá trình sao lưu đôi khi có thể làm chậm trang web của bạn. Plugin sao lưu BlogVault xử lý việc này bằng cách chạy các hoạt động sao lưu này trên máy chủ chuyên dụng của riêng nó để trang web của bạn không bị ảnh hưởng. Nó cũng cung cấp khôi phục bằng 1 cú nhấp chuột có thể tăng tốc quá trình khôi phục của bạn và giảm thiểu thời gian chết.

2. Luôn cập nhật trang web của bạn

Theo thống kê năm 2019, 70% các trang web WordPress hàng đầu dễ bị tấn công . Điều này chủ yếu là do các trang web này vẫn đang chạy các phiên bản WordPress cũ hoặc lỗi thời. Các phiên bản WordPress, đôi khi, có các lỗi bảo mật và lỗ hổng bảo mật mà tin tặc có thể khai thác .

trang web cập nhật

Các nhà phát triển WordPress định kỳ phát hành bản cập nhật với các bản sửa lỗi hoặc bản vá để giải quyết các vấn đề này. Tuy nhiên, nếu chủ sở hữu trang web WordPress không tải xuống các phiên bản mới và cập nhật trang web của họ, các lỗ hổng này rõ ràng vẫn tiếp tục tồn tại trong các bản cài đặt của họ.

Theo quy tắc, hãy giữ cho ba thành phần WordPress này – Core WordPress, Plugin, Theme – được cập nhật lên phiên bản mới nhất của chúng vì các phiên bản lỗi thời có thể khiến trang web của bạn dễ bị tấn công như tấn công SQL Injection, Phần mềm độc hại WP-VCD, trang web chuyển hướng đến thư rác , v.v.

3. Thực thi đăng nhập mạnh mẽ

Thông tin đăng nhập người dùng yếu là một trong những lý do hàng đầu khiến tin tặc nhắm mục tiêu vào các trang đăng nhập WordPress. Chúng triển khai các cuộc tấn công brute force vào các trang đăng nhập để giành quyền truy cập vào tài khoản bằng cách đoán thông tin đăng nhập. Một khi họ có được quyền truy cập trái phép, họ có thể lây nhiễm các tệp phụ trợ của bạn hoặc đánh cắp dữ liệu.

Để giúp mọi thứ dễ dàng hơn cho tin tặc, người dùng WordPress, bao gồm cả người dùng quản trị, sử dụng tên người dùng yếu như “admin” hoặc “admin123” hoặc mật khẩu như “password” hoặc “123456.”

Theo nguyên tắc đơn giản, hãy sử dụng tên người dùng duy nhất cho từng người dùng, bao gồm cả người dùng quản trị. Ngoài ra, hãy thực thi việc sử dụng mật khẩu mạnh có độ dài ít nhất 8-10 ký tự và sử dụng kết hợp các bảng chữ cái, số, ký tự viết hoa và viết thường và các ký tự đặc biệt.

4. Sử dụng xác thực hai yếu tố

Còn được gọi là 2FA, Xác thực hai yếu tố là một cơ chế hiệu quả chống lại các vi phạm trang đăng nhập. 2FA cung cấp bảo vệ hai lớp cho tài khoản WordPress, nơi người dùng trước tiên cần nhập tên người dùng và mật khẩu của họ, sau đó là một mã duy nhất chỉ được gửi đến điện thoại thông minh của người dùng. Việc thực hiện biện pháp này khiến tin tặc khó có thể truy cập vào tài khoản WordPress của bạn.

cam nhỏ
(Nguồn ảnh: miniOrange )

Để thực hiện biện pháp này cho trang web của mình, bạn có thể sử dụng các plugin 2FA như MiniOrange hoặc Google Authenticator dễ cài đặt và định cấu hình.

5. Sử dụng chứng chỉ SSL

Hãy xem nhanh URL trang web của bạn trong bất kỳ trình duyệt nào. Nó có hiển thị biểu tượng “ổ khóa” hay bắt đầu bằng “https” không? Nếu có, thì trang web của bạn đã được chứng nhận SSL. Chứng nhận SSL là gì? Viết tắt của Secure Socket Layer, lớp này mã hóa và bảo mật dữ liệu được truyền giữa trình duyệt và máy chủ trang web của bạn.

https ssl bảo mật

Tại sao bạn cần bảo mật dữ liệu này? Bởi vì tin tặc thường cố gắng đánh chặn dữ liệu trong khi đang được chuyển. Điều này có thể bao gồm dữ liệu nhạy cảm như số thẻ tín dụng hoặc bất kỳ chi tiết cá nhân nào được nhập vào biểu mẫu trực tuyến

Chứng nhận SSL bảo mật dữ liệu này thông qua các kỹ thuật mã hóa mới nhất, vì vậy tin tặc không thể sử dụng dữ liệu ngay cả khi chúng quản lý để đánh cắp nó. Bạn có thể lấy chứng chỉ SSL từ nhà cung cấp máy chủ lưu trữ web của mình hoặc cài đặt công cụ của bên thứ ba như Let’s Encrypt.

6. Cài đặt một công cụ bảo mật WordPress

Các trang web WordPress là mục yêu thích của tin tặc nhờ sự phổ biến của nền tảng này. Bản chất ngày càng phát triển của các cuộc tấn công cần các giải pháp bảo mật được thiết kế đặc biệt cho WordPress. May mắn thay, bạn sẽ tìm thấy một số công cụ miễn phí và trả phí trên thị trường. Tuy nhiên, chúng tôi khuyên bạn nên đầu tư vào các plugin bảo mật như MalCare và Sucuri tích hợp tính năng quét và loại bỏ phần mềm độc hại với các biện pháp bảo mật WordPress được cập nhật.

Các plugin này rất dễ cài đặt, giống như các plugin WordPress khác và quét định kỳ trang web của bạn mà không cần bất kỳ sự can thiệp thủ công nào. Bạn sẽ được thông báo ngay lập tức về bất kỳ vấn đề nào để bạn có thể thực hiện dọn dẹp khẩn cấp và khôi phục trang web của mình mà không mất thời gian.

7. Thiết lập tường lửa trang web

Là chủ sở hữu trang web, lưu lượng truy cập tăng là một tin tuyệt vời, nhưng chỉ khi nó là xác thực. Bạn có thể ngăn tin tặc tránh xa trang web của mình bằng cách thiết lập tường lửa cho trang web. Tường lửa giám sát mọi yêu cầu được thực hiện đến trang web của bạn và chặn các yêu cầu đáng ngờ trong khi vẫn cho phép các yêu cầu từ các địa chỉ IP tốt và an toàn đi qua trang web của bạn. Tóm lại, tường lửa là tuyến phòng thủ đầu tiên của trang web của bạn chống lại các cuộc tấn công phần mềm độc hại như tấn công DDOS, SQL Injection & HTML injection.

Chúng tôi sẽ trình bày cách bạn có thể thiết lập nó trong phần tiếp theo.

8. Thực hiện ngăn chặn dựa trên quốc gia.

Tin tặc hoạt động từ các quốc gia khác nhau trên toàn cầu. Một số quốc gia hàng đầu về tin tặc bao gồm Hoa Kỳ, Nga, Trung Quốc và Brazil. Chặn theo quốc gia là một biện pháp phòng ngừa mà bạn có thể chặn tất cả các yêu cầu IP có nguồn gốc từ một quốc gia đã chọn. Điều này có nghĩa là ngoài tin tặc, những người dùng khác có trụ sở tại quốc gia hoặc khu vực địa lý này không thể truy cập vào trang web của bạn.

Các plugin bảo mật như MalCare có tường lửa sẵn có để chặn lưu lượng truy cập đáng ngờ vào trang web của bạn. Ngoài ra, họ cũng cho phép bạn triển khai tính năng chặn quốc gia hoặc chặn địa lý của WordPress trong một vài cú nhấp chuột từ trang tổng quan của họ.

9. Giới hạn số lượng người dùng quản trị

Tin tặc thường cố gắng truy cập bất hợp pháp vào tài khoản của quản trị viên trang WordPress hoặc người dùng có đặc quyền “quản trị”. Điều này là do những tài khoản này có đặc quyền cao nhất và có thể được sử dụng để gây thiệt hại tối đa cho trang web.

WordPress cho phép bạn định cấu hình 6 vai trò người dùng khác nhau – Quản trị viên cấp cao, Quản trị viên, Biên tập viên, Tác giả, Người đóng góp và Người đăng ký. Ngoài các vai trò quản trị viên, các vai trò khác có ít đặc quyền hơn. Như một biện pháp an toàn, hãy giới hạn số lượng người dùng quản trị cho trang web của bạn hoặc chỉ cung cấp đặc quyền này cho những người dùng đáng tin cậy nhất của bạn.

10. Gia cố bảo mật cho trang web của bạn

Làm “cứng” hay gia cố bảo mật cho trang web là một tập hợp các biện pháp an toàn được WordPress khuyến nghị. Nó bao gồm 12 phương pháp như tắt trình chỉnh sửa tệp, chặn thực thi PHP trong các thư mục không đáng tin cậy và thay đổi khóa bảo mật.

Tuy nhiên, việc triển khai chúng theo cách thủ công đòi hỏi phải có bí quyết WordPress đáng kể và đầu tư cả thời gian và công sức. Hầu hết các plugin bảo mật cho phép bạn dễ dàng kích hoạt các biện pháp tăng cường này thông qua một vài cú nhấp chuột trên trang tổng quan của chúng.

Kết luận

Ngày nay, Internet là cách để tiếp thị doanh nghiệp của bạn trong những thời điểm quan trọng này. Bên cạnh những áp lực của việc điều hành doanh nghiệp, việc bảo mật trang web của bạn có thể là một nguyên nhân chính gây lo lắng khác. Chúng tôi hy vọng rằng bạn có thể tích hợp các biện pháp này vào chiến lược bảo trì trang web của mình để quản lý trang web và cải thiện hoạt động kinh doanh.

Dưới đây là tóm tắt nhanh về những mẹo này dành cho bạn.

  1. Thực hiện sao lưu trang web thường xuyên.
  2. Giữ cho trang web của bạn được cập nhật.
  3. Thực thi thông tin đăng nhập mạnh mẽ
  4. Sử dụng Xác thực Hai Yếu tố.
  5. Nhận chứng chỉ SSL cho trang web của bạn.
  6. Cài đặt một công cụ bảo mật WordPress.
  7. Thiết lập tường lửa trang web.
  8. Thực hiện chặn quốc gia.
  9. Giới hạn số lượng người dùng quản trị.
  10. Làm “cứng” trang web của bạn.

May mắn thay, các plugin bảo mật WordPress như Sucuri và MalCare tích hợp hầu hết các biện pháp này vào các gói của họ. Bằng cách này, bạn có thể tránh cài đặt quá nhiều công cụ cho mỗi biện pháp an toàn này. Hãy cho chúng tôi biết bạn thực hiện 10 mẹo bảo mật này như thế nào. Có lời khuyên nào khác mà chúng tôi đã bỏ qua không? Cho chúng tôi biết suy nghĩ của bạn trong các ý kiến ​​dưới đây.

Khóa Học OWASP WEB HACKING

CyberGuard / Security365 – Nguyen Tran Tuong Vinh

Comments