WordPress SEO

Bảo mật WordPress: 16 bước để bảo mật và bảo vệ trang web của bạn

Posted on by quocdien

Tìm hiểu cách bảo vệ trang web WordPress của bạn khỏi tin tặc với 16 mẹo bảo mật này và tìm hiểu những việc cần làm nếu trang web WP của bạn bị tấn công.

Khi nói đến bảo mật, không có loại bảo mật dành riêng cho WordPress nào tồn tại. Tất cả các vấn đề về bảo mật là chung cho tất cả các trang web hoặc ứng dụng.

Tuy nhiên, các vấn đề về bảo mật của WordPress rất được quan tâm vì nó cung cấp khoảng 40% web và là mã nguồn mở. Khi một người tìm thấy lỗ hổng trong lõi hoặc plugin của WordPress, các trang web khác sử dụng nó sẽ trở nên dễ bị tấn công vì tất cả chúng đều sử dụng cùng một mã.

Mặt khác, có rất nhiều plugin mà bạn có thể sử dụng để tăng cường bảo mật trang web của mình.

Trong cột này, bạn sẽ tìm hiểu cách tăng cường trang web WordPress của mình chống lại các loại lỗ hổng bảo mật khác nhau, mặc dù phạm vi của bài viết này rộng hơn và áp dụng cho tất cả các loại ứng dụng web.

Bảo vệ chống lại các lỗ hổng WordPress

Các loại lỗ hổng phổ biến nhất là:

  • Cửa hậu.
  • Hacks dược phẩm.
  • Nỗ lực Đăng nhập Brute-force.
  • Chuyển hướng độc hại.
  • Tập lệnh chéo trang web (XSS).
  • Từ chối dịch vụ (DDoS).

Đây là những loại lỗ hổng phổ biến, nhưng điều đó không có nghĩa là chúng chỉ giới hạn ở những lỗ hổng này. Nói chung, khi nghĩ về bảo mật, bạn nên nghĩ theo hướng 360 °.

Không có giới hạn nào về cách hack một trang web. Những kẻ tấn công có thể sử dụng nhiều kỹ thuật để truy cập trang web của bạn.

Ví dụ, chúng có thể ăn cắp PC của bạn và có quyền truy cập vật lý vào máy tính của bạn. Họ cũng có thể sử dụng các kỹ thuật giám sát để xem mật khẩu của bạn khi đăng nhập từ mạng công cộng vào trang web của bạn.

Hãy cùng tìm hiểu cách tăng cường cài đặt WordPress của chúng tôi để làm cho cuộc sống của những kẻ tấn công khó khăn hơn một chút.

Hãy tiếp tục đọc để tìm hiểu thêm về từng cách trong số 16 cách này để tăng cường bảo mật trang web WordPress của bạn:

  1. Sử dụng HTTPS.
  2. Luôn sử dụng mật khẩu mạnh.
  3. Sử dụng trình quản lý mật khẩu để lưu trữ mật khẩu của bạn.
  4. Bật Captcha trên biểu mẫu Đăng nhập.
  5. Ngăn chặn các nỗ lực đăng nhập brute-force.
  6. Sử dụng xác thực hai yếu tố.
  7. Giữ các plugin cập nhật.
  8. Đặt tiêu đề HTTP bảo mật.
  9. Đặt quyền tệp chính xác cho tệp WordPress.
  10. Tắt chỉnh sửa tệp từ WordPress.
  11. Tắt tất cả các tính năng không cần thiết.
  12. Ẩn phiên bản WordPress.
  13. Cài đặt tường lửa WordPress.
  14. Giữ các bản sao lưu.
  15. Sử dụng SFTP.
  16. Giám sát hoạt động của người dùng.

1. Bảo mật trang web của bạn bằng HTTPS

Không phải ngẫu nhiên mà chúng tôi bắt đầu bằng cách bảo mật trang web bằng HTTPS.

Mọi thứ bạn làm đều chảy qua mạng và dây cáp. HTTP trao đổi dữ liệu dưới dạng văn bản thuần túy giữa trình duyệt và máy chủ. Do đó, bất kỳ ai có quyền truy cập vào mạng giữa máy chủ và trình duyệt đều có thể xem dữ liệu chưa được mã hóa của bạn.

Nếu bạn không bảo vệ kết nối của mình, bạn có nguy cơ để lộ dữ liệu nhạy cảm cho những kẻ tấn công. Với HTTPS, dữ liệu của bạn sẽ được mã hóa và những kẻ tấn công sẽ không thể đọc dữ liệu được truyền ngay cả khi chúng có quyền truy cập vào mạng của bạn.

Vì vậy, bước số một để bảo mật trang web của bạn là bật HTTPS. Nếu bạn chưa chuyển sang HTTPS, bạn có thể sử dụng hướng dẫn này để chuyển WordPress của mình sang HTTPS.

  • Các công cụ & plugin WordPress bạn có thể sử dụng để chuyển HTTP sang HTTPS
  • Thay thế Tìm kiếm Tốt hơn.
  • Tập lệnh Tìm kiếm và Thay thế Cơ sở dữ liệu.

2. Luôn sử dụng mật khẩu mạnh

Cách phổ biến nhất mà tin tặc truy cập vào các trang web là thông qua mật khẩu yếu hoặc bị mã hóa. Những điều này khiến bạn dễ bị tấn công vũ phu.

Tăng cường bảo mật của bạn bằng cách sử dụng mật khẩu mạnh hơn bất kỳ cách nào khác được liệt kê bên dưới.

Luôn sử dụng mật khẩu mạnh và thường xuyên kiểm tra xem chúng đã được pwned chưa.

  • Các plugin WordPress để tăng cường bảo mật mật khẩu:
  • Không cho phép mật khẩu được viết.
  • Tải xuống Trình quản lý chính sách mật khẩu.
  • Mật khẩu bcrypt.

3. Sử dụng trình quản lý mật khẩu để lưu trữ mật khẩu của bạn

Khi bạn đăng nhập trong khi làm việc từ mạng công cộng, bạn không thể chắc chắn về việc ai đang xem những gì bạn đang nhập trên máy tính xách tay hoặc ghi lại mật khẩu của bạn.

Để giải quyết vấn đề này, hãy sử dụng trình quản lý mật khẩu để dễ dàng truy cập mật khẩu của bạn và lưu trữ chúng ở một nơi an toàn.

Ngay cả khi PC của bạn được truy cập, họ sẽ không thể lấy được mật khẩu của bạn. Trình quản lý mật khẩu dựa trên trình duyệt chứ không phải plugin WordPress.

Trình duyệt Trình quản lý Mật khẩu Thêm Ons:

  • LastPass.
  • 1 Mật mã.
  • NordPass.

4. Thêm CAPTCHA vào Biểu mẫu Đăng nhập & Đăng ký

Khi bạn đã bảo mật trang web của mình bằng HTTPS và sử dụng mật khẩu mạnh, bạn đã tạo ra một cuộc sống khá vất vả cho các tin tặc.

Nhưng bạn có thể làm cho nó khó khăn hơn bằng cách thêm CAPTCHA vào biểu mẫu đăng nhập.

Bảo mật WordPress: 16 bước để bảo mật & # 038; Bảo vệ trang web của bạn

Captchas là một cách tuyệt vời để bảo vệ các biểu mẫu đăng nhập của bạn chống lại các cuộc tấn công brute-force.

  • Các plugin để thêm Captcha trên WordPress Đăng nhập:
  • Đăng nhập Không có Captcha reCAPTCHA.
  • Đăng nhập Bảo mật reCAPTCHA.

5. Bảo vệ khỏi nỗ lực đăng nhập của Brute Force

Đăng nhập CAPTCHA sẽ cung cấp cho bạn sự bảo vệ chống lại các nỗ lực vũ phu cho đến một thời điểm nhất định, nhưng không hoàn toàn. Thông thường, sau khi mã thông báo xác thực được giải quyết, chúng có giá trị trong vài phút.

Ví dụ: reCaptcha của Google có giá trị trong 2 phút. Những kẻ tấn công có thể sử dụng hai phút đó để thử các nỗ lực đăng nhập brute-force vào biểu mẫu đăng nhập của bạn trong thời gian đó.

Để giải quyết vấn đề này, bạn nên chặn các lần đăng nhập không thành công bằng địa chỉ IP.

  • Các plugin WordPress để ngăn chặn các cuộc tấn công Brute-Force:
  • Nỗ lực đăng nhập giới hạn WP.
  • Giới hạn số lần đăng nhập được tải lại.

6. Thiết lập xác thực hai yếu tố (2FA)

Với mật khẩu an toàn và hình ảnh xác thực trên biểu mẫu đăng nhập, bạn được bảo vệ nhiều hơn, vâng.

Nhưng điều gì sẽ xảy ra nếu tin tặc sử dụng các phương pháp giám sát và ghi lại mật khẩu bạn gõ trên video để truy cập trang web của bạn?

Nếu họ có mật khẩu của bạn, chỉ xác thực hai yếu tố mới có thể bảo vệ trang web của bạn khỏi những kẻ tấn công.

Bảo mật WordPress: 16 bước để bảo mật & # 038; Bảo vệ trang web của bạn

Các plugin WordPress để thiết lập xác thực 2FA:

  • Hai yếu tố.
  • Google Authenticator.
  • Xác thực hai yếu tố trong WordPress (2FA, MFA).

7. Giữ cho WordPress Core và Plugins được cập nhật

Các lỗ hổng thường xảy ra đối với lõi và plugin của WordPress và khi chúng được tìm thấy và báo cáo. Đảm bảo cập nhật các plugin của bạn với phiên bản mới nhất để ngăn các trang web bị tấn công từ các lỗ hổng đã biết và được báo cáo trong tệp.

Tôi không khuyên bạn nên chuyển sang cập nhật tự động vì nó có thể dẫn đến việc phá vỡ các trang web của bạn mà bạn không biết.

Nhưng tôi thực sự khuyên bạn nên bật các bản cập nhật nhỏ của lõi WordPress bằng cách thêm dòng mã này vào wp-config.php vì các bản cập nhật này bao gồm các bản vá bảo mật cho lõi.

8. Đặt tiêu đề HTTP bảo mật

Tiêu đề bảo mật mang lại một lớp bảo vệ bổ sung bằng cách hạn chế các hành động có thể được thực hiện giữa trình duyệt và máy chủ khi một người duyệt qua trang web.

Tiêu đề bảo mật nhằm mục đích bảo vệ chống lại các cuộc tấn công Clickjacking và Cross-site Scripting (XSS).

Tiêu đề bảo mật là:

  • Nghiêm ngặt-Vận chuyển-An ninh (HSTS).
  • Nội dung-Bảo mật-Chính sách.
  • X-Frame-Options.
  • X-Nội dung-Loại-Tùy chọn.
  • Tìm nạp tiêu đề siêu dữ liệu.
  • Liên kết giới thiệu-Chính sách.
  • Kiểm soát bộ nhớ cache.
  • Xóa dữ liệu trang web.
  • Tính năng-Chính sách.

Chúng tôi sẽ không đi sâu vào giải thích từng tiêu đề bảo mật, nhưng đây là một số plugin để khắc phục chúng.

Các plugin WordPress để kích hoạt tiêu đề bảo mật:

  • Tiêu đề HTTP để cải thiện bảo mật trang web.
  • Tiêu đề Bảo mật GD.

9. Đặt Quyền tệp chính xác cho tệp WordPress

Quyền đối với tệp là các quy tắc trên hệ điều hành lưu trữ các tệp WordPress của bạn; các quy tắc này thiết lập cách các tệp có thể được đọc, chỉnh sửa và thực thi. Biện pháp bảo mật này là cần thiết, đặc biệt là khi bạn lưu trữ một trang web trên lưu trữ chia sẻ.

Nếu được đặt không chính xác, khi một trang web trên lưu trữ chia sẻ bị tấn công, những kẻ tấn công có thể truy cập các tệp trên trang web của bạn và đọc bất kỳ nội dung nào ở đó – cụ thể là wp-config.php – và có quyền truy cập hoàn toàn vào trang web của bạn.

  • Tất cả các tệp phải là 644.
  • Tất cả các thư mục phải là 775.
  • wp-config.php phải là 600.

Các quy tắc trên có nghĩa là tài khoản người dùng lưu trữ của bạn có thể đọc và sửa đổi các tệp và máy chủ web (WordPress) có thể sửa đổi, xóa và đọc các tệp và thư mục.

Những người dùng khác không thể đọc nội dung của wp-config.php. Nếu cài đặt 600 cho wp-config.php khiến trang web của bạn bị sập, hãy thay đổi nó thành 640 hoặc 644.

10. Tắt chỉnh sửa tệp từ WordPress

Đó là một tính năng đã biết trong WordPress mà bạn có thể chỉnh sửa tệp từ chương trình phụ trợ quản trị viên.

Nó thực sự không cần thiết vì các nhà phát triển sử dụng SFTP và hiếm khi sử dụng cái này.

11. Tắt tất cả các tính năng không cần thiết

WordPress đi kèm với nhiều tính năng mà bạn có thể không cần. Ví dụ: điểm cuối XML-RPC trong WordPress được tạo để giao tiếp với các ứng dụng bên ngoài. Những kẻ tấn công có thể sử dụng điểm cuối này để đăng nhập brute-force.

Tắt XML-RPC bằng cách sử dụng plugin Tắt XML-RPC-API.

Một vấn đề khác mà WordPress đã tích hợp sẵn là cung cấp điểm cuối REST-API để liệt kê tất cả người dùng trên trang web.

Nếu bạn thêm “/ wp-json / wp / v2 / users” vào bất kỳ cài đặt WordPress nào, bạn sẽ thấy danh sách tên người dùng và ID người dùng dưới dạng dữ liệu JSON.

Tắt REST-API của người dùng bằng cách thêm dòng mã này vào functions.php

function disable_users_rest_json ($ response, $ user, $ request) {

trở về ”;

} add_filter (‘rest_prepare_user’, ‘disable_users_rest_json’, 10, 3);

12. Ẩn phiên bản WordPress

WordPress tự động đưa nhận xét vào phiên bản WordPress trong HTML của trang. Nó cung cấp cho kẻ tấn công phiên bản WordPress đã cài đặt của bạn dưới dạng thông tin bổ sung.

Bảo mật WordPress: 16 bước để bảo mật & # 038; Bảo vệ trang web của bạn

Ví dụ: nếu bạn đang sử dụng phiên bản WordPress có lõi được báo cáo là có lỗ hổng, kẻ tấn công biết rằng anh ta có thể sử dụng kỹ thuật được báo cáo để hack trang web của bạn.

Ẩn các thẻ meta của phiên bản WordPress bằng cách sử dụng các plugin này:

  • Meta Generator và Version Info Remover.
  • WP Generator Remover của Dawsun.

13. Cài đặt tường lửa WordPress

Tường lửa là một ứng dụng web chạy trên các trang web và phân tích bất kỳ yêu cầu HTTP nào đến. Nó áp dụng logic phức tạp để lọc ra các yêu cầu có thể là mối đe dọa.

Người ta có thể thiết lập các quy tắc của nó bên trên các quy tắc có sẵn của tường lửa để chặn các yêu cầu. Một trong những kiểu tấn công phổ biến là SQL injection.

Giả sử bạn chạy một plugin WordPress dễ bị chèn SQL và bạn không biết về nó. Nếu bạn chạy tường lửa, ngay cả khi kẻ tấn công biết về lỗ hổng bảo mật trong plugin, anh ta sẽ không thể hack trang web.

Điều này là do tường lửa sẽ chặn những yêu cầu có chứa SQL injection.

Tường lửa sẽ chặn các yêu cầu đó từ IP và ngăn các yêu cầu nguy hiểm liên tiếp đến. Tường lửa cũng có thể ngăn chặn các cuộc tấn công DDoS bằng cách phát hiện quá nhiều yêu cầu từ một IP và chặn chúng.

Cũng có thể chạy tường lửa cấp DNS chạy trước khi các yêu cầu được gửi đến máy chủ web. Một ví dụ là tường lửa Cloudflare DNS.

Ưu điểm của phương pháp này là nó chống lại các cuộc tấn công DDoS mạnh mẽ hơn.

Tường lửa cấp ứng dụng chạy trên máy chủ cho phép các yêu cầu HTTP tấn công máy chủ web và sau đó chặn nó. Điều đó có nghĩa là máy chủ dành một số tài nguyên CPU / RAM để chặn chúng.

Với tường lửa cấp DNS, nó không sử dụng tài nguyên máy chủ, do đó nó bền vững hơn trước các cuộc tấn công.

Các plugin tường lửa của WordPress bạn có thể sử dụng:

  • Bảo mật Wordfence.
  • Sucuri.
  • Tất cả trong một WP Bảo mật & Tường lửa.
  • Bảo mật BulletProof.
  • Bảo vệ an ninh.

Lưu ý: Nếu bạn quyết định cài đặt tường lửa, chúng có thể có các tính năng như bảo vệ brute-force đăng nhập hoặc xác thực 2F và bạn có thể sử dụng các tính năng của chúng thay vì cài đặt các plugin được đề cập ở trên.

14. Giữ sao lưu

Nếu bạn bị tấn công, cách tốt nhất để khôi phục là khôi phục trang web từ phiên bản mới nhất không bị nhiễm.

Nếu bạn không lưu trữ các bản sao lưu trang web, việc dọn dẹp trang web có thể là một hoạt động tốn thời gian. Và trong một số trường hợp, có thể không khôi phục được tất cả thông tin vì phần mềm độc hại đã xóa tất cả dữ liệu.

Để tránh những trường hợp như vậy, hãy thường xuyên sao lưu cơ sở dữ liệu và tệp trang web của bạn.

Kiểm tra với bộ phận hỗ trợ lưu trữ của bạn xem họ có cung cấp chức năng sao lưu hàng ngày hay không và kích hoạt nó. Nếu không, bạn có thể sử dụng các plugin này để chạy sao lưu:

  • BackWPup.
  • UpdraftPlus.
  • BackupBuddy.
  • BlogVault.

15. Sử dụng SFTP

Nhiều nhà phát triển đã sử dụng SFTP để kết nối với máy chủ web, nhưng điều quan trọng là phải nhắc nhở về điều này, đề phòng trường hợp bạn vẫn chưa sử dụng.

Giống như HTTPS, SFTP sử dụng mã hóa để truyền tệp qua mạng, khiến tệp không thể đọc dưới dạng văn bản thuần túy ngay cả khi một người có quyền truy cập vào mạng.

16. Giám sát hoạt động của người dùng

Chúng tôi đã thảo luận về nhiều cách để bảo mật trang web của bạn khỏi những tin tặc không xác định. Nhưng điều gì xảy ra khi một trong những nhân viên của bạn có quyền truy cập quản trị trang web làm những việc mờ ám chẳng hạn như thêm liên kết trong nội dung?

Không có phương pháp nào ở trên có thể phát hiện ra một nhân viên mờ ám.

Điều đó có thể được thực hiện bằng cách xem nhật ký hoạt động. Bằng cách xem xét hoạt động của từng người dùng, bạn có thể thấy rằng một trong những nhân viên đã chỉnh sửa một bài báo mà họ không nên làm.

Bạn cũng có thể xem xét hoạt động có vẻ đáng ngờ và xem những thay đổi nào đã được thực hiện.

Các plugin WordPress để theo dõi hoạt động của người dùng:

  • Hoạt động đăng nhập.
  • Nhật ký hoạt động của người dùng.
  • Nhật ký hoạt động WP.

Lưu ý rằng bạn có thể muốn giới hạn khoảng thời gian (hoặc số lượng bản ghi) mà các plugin này lưu giữ. Nếu có quá nhiều, nó sẽ làm quá tải cơ sở dữ liệu của bạn và có thể ảnh hưởng đến hiệu suất và tốc độ trang web.

Làm gì nếu bạn bị tấn công?

Ngay cả khi có tất cả lời khuyên từ các chuyên gia bảo mật và biết các cách để bảo vệ trang web của bạn khỏi bị tấn công, chúng vẫn xảy ra.

Nếu trang web của bạn bị tấn công, bạn cần thực hiện các bước sau để khôi phục:

  • Trước tiên, hãy thay đổi tất cả email và các mật khẩu cá nhân khác vì tin tặc có thể đã truy cập vào email của bạn trước và do đó có thể truy cập vào trang web của bạn.
  • Khôi phục trang web của bạn về bản sao lưu không bị tấn công mới nhất đã biết.
  • Đặt lại mật khẩu của tất cả người dùng trang web.
  • Cập nhật tất cả các plugin nếu có sẵn các bản cập nhật.

Phần kết luận

Hãy suy nghĩ 360 ° khi nói đến bảo mật. Nhấn mạnh tầm quan trọng của bảo mật đối với tất cả nhân viên của bạn để họ hiểu những hậu quả mà công ty có thể phải gánh chịu nếu họ không tuân theo các quy tắc bảo mật.

Nếu bạn bị tấn công,] hãy khôi phục trang web của bạn từ bản sao lưu và thay đổi tất cả mật khẩu cho trang web và email của bạn càng sớm càng tốt.

quocdien

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *