Dưới đây là hướng dẫn hoàn chỉnh về bảo mật Wordpress cho người không chuyên. Trong hướng dẫn này, tôi sẽ đề cập đến mọi thứ bạn cần biết để giữ cho trang Wordpress của bạn an toàn. Các yêu cầu bảo mật sẽ khác nhau – nếu bạn đang điều hành một cửa hàng lớn, điều cuối cùng bạn cần là ai đó truy cập vào trang của bạn, lấy thông tin khách hàng của bạn, hack trang của bạn và gửi thư rác cho mọi người hoặc thậm chí là thời gian ngừng hoạt động trong bất kỳ khoảng thời gian nào.
Dù kích thước của trang Wordpress của bạn là bao nhiêu hay yêu cầu bảo mật của bạn là gì, tôi sẽ giúp bạn trong hướng dẫn này. Trước khi bắt đầu, tôi cần đề cập đến một số kiến thức cơ bản về bảo mật.
Một số kiến thức cơ bản về bảo mật
Bảo mật của bạn cuối cùng chỉ mạnh mẽ như điểm yếu lớn nhất của bạn. Nhiều người đọc điều này sẽ lo lắng về các cuộc tấn công bot – tôi sẽ đề cập đến vấn đề đó sau – nhưng nếu ai đó muốn xâm nhập vào trang web của bạn, điểm yếu lớn nhất chính là BẠN.
Bạn có thực hiện bất kỳ điều nào sau đây không?
- Sử dụng cùng một mật khẩu cho trang Wordpress và các trang khác?
- Giữ đăng nhập vào trang Wordpress của bạn? (nhấp vào nút ‘ghi nhớ tôi’ nhỏ đó?)
- Để máy tính của bạn không khóa?
- Ghi chú mật khẩu của bạn ở bất kỳ đâu?
- Ghi lại mật khẩu trên máy tính hoặc trực tuyến?
- Sử dụng tài khoản có tên là ‘admin’ trên trang Wordpress của bạn?
- Đăng nhập vào trang web của bạn bằng HTTP thông thường thay vì HTTPS bảo mật?
- Không cập nhật plugin hoặc chủ đề?
- Mua các chủ đề và plugin lậu (cracked, nulled)?
- Cung cấp quyền truy cập admin cho các nhà phát triển tạm thời?
- Cài đặt plugin hoặc chủ đề mà bạn tải xuống bất hợp pháp, ví dụ như thông qua torrent?
- Sử dụng FTP thay vì SFTP?
Dưới đây là những điểm yếu phổ biến mà tin tặc đang khai thác để xâm nhập vào các trang web, máy chủ và dữ liệu. Mức độ bạn có khả năng bị tấn công thông qua những điểm yếu này phụ thuộc vào giá trị của việc truy cập vào trang web, máy chủ hoặc dữ liệu của bạn đối với những kẻ tấn công. Tôi không nói rằng bạn nên ngừng thực hiện tất cả những điều này – bảo mật thường là một sự cân bằng giữa việc an toàn và tiếp tục công việc của bạn. Ví dụ, bạn thường cần phải cấp quyền quản trị cho các nhà phát triển, nhưng nếu bạn làm theo hướng dẫn này, bạn sẽ yên tâm rằng họ không để lại bất kỳ lối vào nào trên trang web của bạn.
Đầu tiên, bạn nên đảm bảo rằng bạn không sử dụng mật khẩu mà bạn đang dùng cho các trang Wordpress cho bất kỳ trang web nào khác. Thật không may, nhiều trang web lưu trữ mật khẩu dưới dạng văn bản rõ nghĩa, có nghĩa là một nhân viên không trung thực có thể truy cập vào mật khẩu của bạn hoặc thậm chí bán nó trên thị trường chợ đen. Nếu bạn nghĩ điều này là khó tin, hãy suy nghĩ lại. Sự xuất hiện của Bitcoin có nghĩa là tin tặc có thể bán danh sách mật khẩu mà không tiết lộ danh tính cá nhân của họ, làm cho việc đánh cắp mật khẩu trở nên có khả năng xảy ra cao hơn.
Thứ hai, đừng bao giờ để máy tính của bạn không được khóa – đó thực sự là một thói quen xấu. Hãy hình thành thói quen nhấn Windows+L hoặc CTRL+ALT+DELETE và sau đó nhấn ENTER. Cả hai phương pháp này đều khóa máy tính của bạn ngay lập tức. Nếu bạn sử dụng mac, hãy nhấn CONTROL+SHIFT+POWER để khóa mac ngay lập tức. Điều này chỉ hoạt động nếu bạn đã thiết lập mật khẩu cho tài khoản máy tính của mình nên hãy chắc chắn rằng bạn đã làm như vậy. Nếu bạn lưu trữ mật khẩu trên máy tính của mình hoặc bạn đang đăng nhập vào trang web Wordpress, điều này sẽ tăng cường bảo mật đáng kể. Bạn cũng có thể thiết lập một trình bảo vệ màn hình khóa máy tính của bạn sau vài phút không hoạt động, vì vậy hãy làm điều này trong trường hợp bạn quên khóa máy tính vì lý do nào đó.
Thứ ba, nếu bạn dự định ghi lại mật khẩu của mình ở đâu đó – trên giấy hoặc trên máy tính hoặc trực tuyến, hãy giữ giấy tờ an toàn (dưới bàn phím không phải là an toàn) và bảo vệ bằng mật khẩu cũng như mã hóa tệp chứa mật khẩu của bạn. Nếu bạn lưu trữ tệp mật khẩu trực tuyến với dịch vụ lưu trữ đám mây, hãy chú ý đến các cuộc tấn công nhằm vào công ty đó và nếu một cuộc tấn công thành công, hãy thay đổi mật khẩu của bạn.
Cuối cùng, hãy đảm bảo rằng bạn đã cài đặt phần mềm chống virus tốt trên máy tính của mình, cẩn thận về những gì bạn tải xuống hoặc nhấp vào trong email, học cách ngăn chặn các cuộc tấn công lừa đảo nhằm vào bạn và cài đặt một số phần mềm chống phần mềm độc hại như Malware Bytes cho PC hoặc Mac.
Tôi sẽ đi vào chi tiết hơn về việc bảo mật mọi thứ khác bên dưới, nhưng hãy thực hiện đúng những điều cơ bản này hoặc bạn có thể bị hack bất cứ lúc nào, bất kể các bước khác mà bạn thực hiện.
Chọn, nhớ và lưu trữ mật khẩu
Khi chọn mật khẩu, có hai sai lầm chính mà mọi người thường mắc phải. Thứ nhất là tái sử dụng mật khẩu mà họ đã sử dụng trên một trang web khác – hãy nhớ rằng, các trang web khác có thể lưu trữ mật khẩu của bạn dưới dạng rõ ràng (bạn đã bao giờ nhận được email với mật khẩu của mình chưa?). Thứ hai là họ sử dụng một mật khẩu quá đơn giản – ví dụ: davidha123. Nếu bạn làm một trong hai điều này, mật khẩu của bạn có nguy cơ bị hack.
Kỹ thuật tốt nhất cho mật khẩu là sử dụng một chuỗi ngẫu nhiên hoàn toàn – hãy gõ trên bàn phím của bạn một chút và bao gồm một số ký tự và số đặc biệt. Ví dụ: asd8u0io9478adupioAUI8034 là một mật khẩu tuyệt vời (nhưng đừng sử dụng nó ngay bây giờ!)
NHƯNG làm thế nào bạn có thể nhớ được mật khẩu đó? Chà, bạn không cần phải nhớ tất cả. Bạn có thể nhớ MỘT mật khẩu rất mạnh và lưu trữ một tệp tin chứa mật khẩu của bạn được mã hóa và bảo vệ bằng mật khẩu trên máy tính hoặc Dropbox.
Bạn có thể sử dụng BoxCryptor (miễn phí cho mục đích cá nhân) để mã hóa và bảo vệ bằng mật khẩu một trong các thư mục của bạn trên Dropbox. Bằng cách đó, bạn luôn có quyền truy cập vào tệp mật khẩu của mình nhưng nó luôn được bảo vệ.
Để tạo ra những mật khẩu mạnh mà bạn CÓ THỂ nhớ, hãy sử dụng sự kết hợp của các kỹ thuật sau:
- Sử dụng một cụm từ ba hoặc bốn từ dễ nhớ với bạn nhưng KHÔNG BAO GIỜ có thể đoán được từ việc đọc hồ sơ mạng xã hội của bạn, đọc thư từ hoặc biết bạn ngoài đời.
- Sử dụng cách viết sai của một hoặc nhiều từ.
- Thay thế các ký tự mà bạn chọn trong mật khẩu này bằng một ký tự không phải chữ số hoặc ký tự đặc biệt – ví dụ: bạn có thể chọn luôn thay thế ‘x’ bằng * hoặc ‘i’ bằng ! hoặc 1 hoặc |. Bằng cách chọn một vài thay thế ký tự cá nhân cho bạn, bạn làm cho việc đoán mật khẩu của bạn trở nên khó khăn hơn cho những kẻ tấn công.
- Viết hoa một số ký tự – ví dụ: bạn có thể chọn viết hoa chữ cái thứ 2 của từ đầu tiên, chữ cái thứ 4 của từ thứ hai và chữ cái thứ 1 của từ thứ ba. Bạn cần nhớ mật khẩu và 241 để biết các ký tự thứ 2, thứ 4 và thứ 1 sẽ được viết hoa.
- Xen kẽ các ký tự không phải chữ cái vào mật khẩu của bạn – ví dụ: nếu bạn có một mật khẩu bốn từ (với một số ký tự đã được thay thế và một số được viết hoa), thì bạn có thể tách các từ đó bằng các ký tự khác nhau.
Chuẩn bị cho tình huống xấu nhất và sao lưu trang Wordpress của bạn ra ngoài
Tấn công mạng không phải là cách duy nhất để trang Wordpress của bạn bị phá hủy – nó có thể bị hỏng do bão, hỏa hoạn, sự phá sản của công ty lưu trữ của bạn hoặc lỗi người dùng – chẳng hạn, bạn có thể chạy lệnh sai trên máy chủ của mình và vô tình xóa mọi thứ. Do đó, sao lưu không chỉ để bảo vệ bạn khỏi việc bị tấn công. Nếu bạn không sao lưu trang Wordpress của mình, ĐỪNG dựa vào việc nhà cung cấp dịch vụ lưu trữ làm điều đó cho bạn. Việc thiết lập sao lưu rất dễ dàng.
Cài đặt Updraft Plus (miễn phí) và thiết lập sao lưu ngoài trang web trong Updraft Plus – họ có nhiều tùy chọn trong phiên bản miễn phí. Tôi thích sao lưu lên Dropbox.
LƯU Ý: Phiên bản miễn phí của Updraft Plus sao lưu các tệp của bạn dưới dạng văn bản rõ, có nghĩa là nếu ai đó truy cập vào Dropbox của bạn, họ sẽ có quyền truy cập vào mật khẩu cơ sở dữ liệu của bạn (lưu trữ trong wp-config.php). Nếu bạn đã thiết lập mọi thứ khác một cách chính xác (đặc biệt là không cho phép đăng nhập từ xa vào MySQL), máy chủ của bạn vẫn sẽ an toàn ngay cả khi điều này xảy ra. Để đảm bảo an toàn tối đa, hãy sao lưu vào một ổ lưu trữ được mã hóa. Bạn cũng có thể sao lưu bằng SFTP lên một máy chủ khác mà bạn sở hữu hoặc thuê.
Nếu cần bạn cũng có thể mua bản PRO tại đây!
Ngăn chặn các cuộc tấn công bot vào Wordpress
Đây có lẽ là phàn nàn phổ biến nhất từ các người dùng Wordpress mới. Vấn đề này thực sự nổi bật vào năm 2013 khi một mạng bot khổng lồ được phát hiện đang phát triển từng ngày – cơ bản là nó tấn công vào các trang Wordpress được bảo vệ kém bằng cách sử dụng tên người dùng ‘admin’ và các mật khẩu thường dùng. Mỗi trang Wordpress bị tấn công sau đó được thêm vào mạng bot và được sử dụng để tấn công các trang khác.
Không bao giờ, không bao giờ sử dụng tài khoản có tên ‘admin’. Nếu bạn đã có một tài khoản admin, bạn có thể an toàn xóa nó bằng cách tạo một người dùng mới với tên khác, cấp quyền admin cho người dùng đó, đăng xuất rồi đăng nhập lại bằng người dùng mới, sau đó xóa tài khoản ‘admin’ và gán tất cả các bài viết và trang cho người dùng admin mới.
Cài đặt Wordfence (miễn phí) và cấu hình nó đúng cách để khóa các nỗ lực đăng nhập thất bại, gửi email cho bạn mỗi khi một người dùng có quyền admin đăng nhập và một số tính năng hữu ích khác.
Nếu bạn chọn phiên bản trả phí của Wordfence, sẽ có thêm một số tính năng (ví dụ: chặn các quốc gia như Nga, Trung Quốc và Ukraine vì đây là nguồn gốc của nhiều hacker), nhưng phiên bản miễn phí cũng đã đủ tốt.
Ngăn chặn hacker theo dõi lưu lượng đăng nhập và mật khẩu Wordpress của bạn
Nếu bạn không có chứng chỉ SSL trên trang web của mình, điều đó có nghĩa là mỗi lần bạn đăng nhập vào trang web, tên người dùng và mật khẩu của bạn sẽ được gửi dưới dạng văn bản rõ. Nghe có vẻ đáng sợ đúng không? Ai cũng có thể đọc được sao? Thực tế thì không phải ai cũng có thể. Những người có thể truy cập vào mật khẩu của bạn bao gồm bất kỳ ai có quyền truy cập vào bất kỳ router nào giữa máy tính của bạn và máy chủ của bạn. Ví dụ: nếu bạn đang ở nhà, đó là router của chính bạn (trẻ con tinh nghịch? mượn wifi ‘miễn phí’ của hàng xóm? truy cập trang Wordpress của bạn từ Starbucks hoặc quán cà phê internet?), nhà cung cấp dịch vụ internet của bạn (có thể khá an toàn, nhưng tùy thuộc vào mức độ bảo mật, bất kỳ nhân viên nào cũng có thể theo dõi mật khẩu của bạn) và các router trên đường đến máy chủ của bạn cũng như công ty lưu trữ của bạn.
Để ngăn chặn điều này, bạn cần một chứng chỉ SSL và đảm bảo rằng tất cả các lần đăng nhập đều sử dụng SSL. SSL trước đây khá đắt, nhưng hiện nay không còn như vậy nữa. Hãy tạo một tài khoản Cloudflare miễn phí và trong vòng 24 giờ, bạn sẽ có một chứng chỉ SSL có thể sử dụng để ngăn chặn việc theo dõi lưu lượng và mật khẩu. Cloudflare cũng hữu ích để ngăn chặn các cuộc tấn công bot vì nó ghi nhớ các địa chỉ IP vi phạm và bảo vệ bạn khỏi các cuộc tấn công trong tương lai từ các địa chỉ IP đó.
Chỉnh sửa tệp wp-config.php của bạn để buộc đăng nhập SSL và SSL cho tất cả các quyền truy cập bảng điều khiển. Có một hướng dẫn ở đây, nhưng cơ bản là – thêm hai dòng sau vào tệp wp-config.php của bạn:
define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);Bây giờ tất cả các lần đăng nhập sẽ chuyển sang sử dụng chứng chỉ SSL của Cloudflare và không ai có thể theo dõi mật khẩu của bạn vì chúng sẽ không còn ở dạng văn bản rõ nữa.
HostArmada miễn phí SSL, bạn có thể đăng ký HostArmada để sử dụng SSL FREE!
Giảm thiểu các cuộc tấn công cửa sau vào Wordpress
Đây là vấn đề khó hoàn toàn ngăn chặn. Đó là lý do tại sao bạn nên luôn có sao lưu hàng ngày đến một địa điểm ngoài trang web. Cuộc tấn công cửa sau là khi mã trên trang web của bạn (ví dụ: trong một plugin bạn đã cài đặt) chứa lỗ hổng bảo mật. Gần đây đã có khá nhiều vấn đề như vậy, chẳng hạn như lỗ hổng Rev Slider, lỗ hổng Fancybox, cả hai đều cho phép truy cập hoàn toàn vào máy chủ của bạn.
Để tránh điều này, bạn cần cập nhật các plugin trước khi bạn bị tấn công. Bạn cũng có thể đảm bảo rằng bạn sử dụng các plugin đáng tin cậy, nhưng rất khó để chắc chắn 100% rằng một plugin là an toàn nếu không đọc từng dòng mã.
Một kỹ thuật khác để thực hiện các cuộc tấn công cửa sau là các nhà phát triển mà bạn thuê, chèn các cửa sau của riêng họ trực tiếp vào mã của bạn. Họ có thể sửa đổi các tệp cốt lõi của Wordpress để thực hiện việc này. Nếu vậy, Wordfence sẽ cảnh báo bạn nếu nó được cấu hình đúng cách.
- Cập nhật các plugin khi có bản cập nhật
- Chọn tự động cập nhật cho Wordpress (bạn đã có sao lưu hàng ngày trong trường hợp có sự cố, đúng không?)
- Cài đặt Wordfence để quét bất kỳ thay đổi mã nào do các nhà phát triển hoặc plugin thực hiện
- Cân nhắc sử dụng phiên bản ‘sandboxed’ của trang web của bạn với các người dùng và mật khẩu admin khác nhau khi bạn thuê một nhà phát triển bên ngoài. Bằng cách này, bạn có thể kiểm tra và quét trên trang dev.yourdomain.com của bạn để tìm bất kỳ lỗ hổng bảo mật nào trước khi chúng có cơ hội ảnh hưởng đến máy chủ trực tiếp của bạn.
- Chỉ cấp quyền admin cho những người bạn tin tưởng – ít nhất bạn nên biết địa chỉ của họ
Một lưu ý về các giao diện với các plugin đi kèm – ví dụ: các giao diện từ Themeforest:
Nếu bạn mua các giao diện trên Themeforest hoặc bất kỳ giao diện nào đi kèm với các plugin, plugin sẽ không thông báo cho bạn về các bản cập nhật và nó sẽ không thể cập nhật bằng phương pháp cập nhật bình thường của Wordpress. Điều này là vì tác giả của giao diện đã tích hợp các tệp plugin, được cập nhật tại thời điểm viết giao diện, trực tiếp vào các thư mục của giao diện.
Nếu bạn có một giao diện như vậy, hãy thiết lập thông báo cho các email từ Themeforest. Ví dụ, bạn có thể cấu hình Gmail để theo dõi các email từ địa chỉ email của Themeforest chứa từ ‘upgrade’ hoặc ‘update’. Bạn cũng có thể kết hợp thông báo này với dịch vụ như IFTTT để gửi SMS cho bạn, nhưng thông báo Gmail có thể đã đủ. Cập nhật giao diện của bạn một cách nghiêm ngặt – nếu có điều gì đó sai, hãy khôi phục bằng Updraft hoặc phục hồi bằng Updraft.
Giữ cho máy chủ và cơ sở dữ liệu của bạn an toàn
Nhiều nhà cung cấp hosting có bảo mật kém – họ cho phép đăng nhập từ xa vào MySQL (tại sao người dùng Wordpress lại sử dụng đăng nhập MySQL từ xa thay vì SSH??), họ gửi mật khẩu root qua email, họ cho phép FTP thay vì SFTP. Nếu bạn đang có một nhà cung cấp như vậy, hãy xem xét việc thay đổi.
- Cấu hình máy chủ của bạn để không cho phép đăng nhập MySQL. Hãy nhờ nhà phát triển/nhà cung cấp hosting của bạn thực hiện điều này hoặc nếu bạn có quyền truy cập SSH vào máy chủ của mình, việc này rất đơn giản – đăng nhập và chạy:
sudo mysql_secure_installation- Sử dụng xác thực khóa để truy cập máy chủ của bạn bằng putty/SSH.
- Sử dụng SFTP để truy cập các tệp trên máy chủ của bạn. Tốt nhất là cũng sử dụng xác thực khóa cho điều này như đã được mô tả ở đây.
- Sử dụng các mật khẩu khác nhau cho tài khoản FTP của bạn, tài khoản root trên máy chủ và tài khoản quản trị Wordpress của bạn.
Bạn có thể đăng ký sử dụng HostArmada, hosting này giá cả thực sự rẻ, bảo mật chất lượng, và đội ngũ phục phụ phải nói là tuyệt vời! Quicksite.vn hiện đang sử dụng HostArmada!
Giảm thiểu các cuộc tấn công từ chối dịch vụ vào Wordpress
Cuộc tấn công từ chối dịch vụ (DoS) là khi một mạng bot tấn công máy chủ của bạn với hàng nghìn yêu cầu đồng thời, lý tưởng là đối với các tệp lớn hoặc các trang phức tạp. Nếu máy chủ của bạn được cấu hình kém, nó sẽ không thể xử lý kịp thời và sẽ bị sập, ngăn chặn người dùng hợp pháp truy cập vào trang web của bạn. Tôi cho rằng đây là một dạng tấn công mềm, vì bất kỳ thiệt hại nào cũng chỉ là tạm thời – họ không thực sự truy cập vào trang web của bạn, chỉ ngăn chặn người khác truy cập – nhưng vẫn là một mối lo ngại về bảo mật, vì vậy đây là những gì bạn cần làm:
- Cài đặt Swift Performance AI hoặc FlyingPress và bật bộ nhớ cache trang. Điều này sẽ giảm thiểu vấn đề nếu một mạng bot tấn công bạn vì lý do nào đó.
- Cấu hình Wordfence để chặn các địa chỉ IP vi phạm. Có các tùy chọn để khóa các địa chỉ IP nếu chúng truy cập nhiều hơn X trang trong thời gian dưới Y giây.
- Cài đặt và cấu hình Cloudflare – nó thực hiện một số công việc để chặn các địa chỉ IP từ chối dịch vụ.
- Cân nhắc cài đặt fail2ban – nó hoạt động ở cấp độ trên Wordpress, vì vậy nó còn nhẹ nhàng hơn trên máy chủ của bạn và đã giúp giảm thiểu các cuộc tấn công từ chối dịch vụ từ lâu.
Cân nhắc sử dụng xác thực hai yếu tố để bảo mật đăng nhập tối ưu
Nếu bạn đã thiết lập SSL, sử dụng mật khẩu mạnh và thực hiện tất cả các bước trong hướng dẫn trên, trang web của bạn sẽ rất an toàn. Tuy nhiên, để bảo mật đăng nhập ở mức tối ưu, bạn nên cân nhắc sử dụng xác thực hai yếu tố.
Cơ chế hoạt động là bạn đăng nhập vào trang Wordpress của mình bằng tên người dùng và mật khẩu, sau đó trang web sẽ gửi một tin nhắn SMS đến điện thoại của bạn. Bạn nhập mã nhận được trên điện thoại vào trang đăng nhập và chỉ sau đó bạn mới được phép đăng nhập. Đây là một phương pháp bảo mật hơn vì bạn phải có điện thoại bên mình. Wordfence cung cấp tùy chọn này nếu bạn quyết định muốn có thêm lớp bảo mật này.
Tóm tắt
Tôi nghĩ rằng tôi đã đề cập đến tất cả những điều bạn cần biết về bảo mật Wordpress dành cho người không chuyên và không biết code. Nếu có bất kỳ điều gì bạn nghĩ rằng tôi đã bỏ sót hoặc nếu có điều gì bạn muốn tôi giải thích thêm, hãy cho tôi biết trong phần bình luận bên dưới.
