Đối với nhiều trang web WordPress, chỉ cần thực hiện các bước nhỏ để bảo mật trang web là đủ để giữ cho trang web không bị tấn công. Đọc về nó ở đây.
WordPress là mục tiêu tấn công thường xuyên. Tin tặc đang nhắm mục tiêu chủ đề, các tệp WordPress cốt lõi, plugin và thậm chí cả trang đăng nhập.
Đây là các bước cần thực hiện để ít có khả năng bị tấn công và có thể khôi phục dễ dàng hơn nếu điều đó vẫn xảy ra.
Cách tin tặc tấn công WordPress
Tất cả các trang web đều đang bị tấn công liên tục – cho dù đó là diễn đàn phpBB hay trang WordPress – tất cả các trang web đều đang bị tin tặc thăm dò. Không có gì lạ khi một tin tặc quét hàng nghìn trang hoặc cố gắng đăng nhập hàng trăm lần mỗi ngày.
Và đó chỉ là một tin tặc. Các trang web đang bị tấn công bởi một số tin tặc cùng một lúc.
Thông thường, đó không phải là một người đang cố gắng hack bạn. Tin tặc sử dụng phần mềm tự động để thu thập dữ liệu web nhằm thăm dò các điểm yếu cụ thể của trang web.
Các chương trình phần mềm tự động thu thập dữ liệu web này được gọi là chương trình. Tôi gọi chúng là chương trình hacker để phân biệt chúng với bot quét (phần mềm đang cố gắng sao chép nội dung).
Bảo mật trang web WordPress của bạn bằng tường lửa
Tường lửa là một chương trình phần mềm chặn kẻ xâm nhập. Theo tôi, tường lửa WordPress tốt nhất là một plugin có tên là Wordfence.
Những gì Wordfence làm là kiểm tra xem hành vi của khách truy cập trang web có khớp với hành vi của một bot lạm dụng hay không. Nếu bot vi phạm các quy tắc nhất định, chẳng hạn như yêu cầu quá nhiều trang web trong một khoảng thời gian ngắn, Wordfence sau đó sẽ tự động chặn bot.
Wordfence cũng được lập trình để cho phép các bot hợp pháp như Google và Bing trên trang web.
Có những tính năng nâng cao cho phép nhà xuất bản xem những con bot nào đang tấn công một trang web và xem con bot đó đến từ đâu, chẳng hạn như nếu nó là một con bot xấu đến từ Amazon Web Services hoặc Bluehost chẳng hạn. Wordfence cung cấp cho nhà xuất bản khả năng chặn bot bằng địa chỉ IP của họ, toàn bộ dải địa chỉ IP hoặc thậm chí bằng tác nhân người dùng trình duyệt giả mạo mà bot đang sử dụng.
Giới thiệu về Đại lý người dùng (UA)
Tác nhân người dùng đang xác định thông tin mà trình duyệt gửi để cho một trang web biết đó là trình duyệt nào (Chrome, Firefox, Vivaldi) và hệ điều hành mà nó đang hoạt động (Windows 10, Mac OS X).
Ví dụ: đây là chuỗi tác nhân người dùng cho trình duyệt Safari 11 trên máy tính Mac OS X:
Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit / 605.1.15 (KHTML, như Gecko) Phiên bản / 11.1.2 Safari / 605.1.15
Các bot sử dụng nhiều tác nhân người dùng khác nhau để đánh lừa các trang web và đột nhập. Ví dụ: một số bot giả vờ là một trình duyệt trên Windows XP.
Số lượng người dùng thực tế trên Win XP gần bằng 0, tôi có thể tạo một quy tắc với Wordfence để chặn tất cả các tác nhân người dùng với Windows XP làm hệ điều hành và với một quy tắc đó, tôi có thể chặn hàng nghìn bot xấu, bất kể điều gì. quốc gia họ đến hoặc địa chỉ IP.
Các bot xấu đôi khi sẽ phản hồi bằng cách thay đổi tác nhân người dùng khác, do đó, bằng cách kết hợp các quy tắc này, nhà xuất bản có cơ hội ngăn chặn một loạt các bot của hacker xấu.
Và đó là với phiên bản Wordfence miễn phí.
Phiên bản trả phí có thể chặn toàn bộ quốc gia. Vì vậy, nếu bạn không có khách truy cập trang web hợp pháp từ các quốc gia nhất định, bạn có thể chặn mọi khách truy cập đến từ các quốc gia đó.
WordPress Phòng thủ Chống lại Khai thác
Ngoài ra, phiên bản trả phí của Wordfence sẽ bảo vệ bạn trước nhiều chủ đề và plugin bị xâm phạm trước khi các plugin đó được sửa.
Sau khi các nhà nghiên cứu Wordfence biết về một hành vi khai thác, họ sẽ cập nhật phiên bản cao cấp của tường lửa để cung cấp cho người đăng ký sự bảo vệ khỏi những khai thác đó, đôi khi vài tuần trước khi khai thác được nhà phát triển chủ đề hoặc plugin bị xâm phạm khắc phục.
Tăng cường bảo mật trang web
Một plugin miễn phí khác cung cấp một lớp bảo vệ bổ sung được gọi là Sucuri Security. Sucuri (thuộc sở hữu của GoDaddy) giúp tăng cường bảo mật WordPress để chặn các bot xấu lợi dụng một số loại tấn công nhất định. Nó cũng có tính năng quét phần mềm độc hại giúp kiểm tra tất cả các tệp để xem liệu chúng có bị thay đổi hay không.
Sucuri sẽ cảnh báo cho bạn mỗi khi ai đó đăng nhập vào trang web của bạn, giúp nhà xuất bản xác định xem có tin tặc đang đăng nhập hay không. Sucuri cũng có thể cảnh báo nhà xuất bản nếu tệp đã bị thay đổi, điều mà tin tặc làm.
Đây là những tính năng của phiên bản miễn phí của Sucuri:
- Kiểm tra Hoạt động Bảo mật.
- Giám sát tính toàn vẹn của tệp.
- Quét phần mềm độc hại từ xa.
- Giám sát danh sách đen.
- Tăng cường bảo mật hiệu quả.
- Các hành động bảo mật sau hack.
- Thông báo bảo mật.
- Phiên bản trả phí của Sucuri có tường lửa trang web.
Giới hạn đăng nhập vào trang web của bạn
WordFence có thể chặn các chương trình liên tục điền tên người dùng và mật khẩu trên trang đăng nhập WordPress.
Nhưng nếu bạn muốn tập trung vào việc hạn chế những lần đăng nhập đó, có một plugin có tên là Limit Login Attempts Reloaded cho phép các nhà xuất bản tự động chặn tất cả những kẻ tin tặc nhập một số tổ hợp tên và mật khẩu không thành công.
Ví dụ: bạn có thể đặt nó để chặn tin tặc sau ba lần thử đoán mật khẩu.
Đây là các tính năng của trình chặn đăng nhập:
- Giới hạn số lần thử lại khi đăng nhập (mỗi IP). Điều này hoàn toàn có thể tùy chỉnh.
- Thông báo cho người dùng về số lần thử lại hoặc thời gian khóa còn lại trên trang đăng nhập.
- Ghi nhật ký tùy chọn và thông báo email tùy chọn.
- Có thể đưa IP và Tên người dùng vào danh sách trắng / danh sách đen.
- Khả năng tương thích của Tường lửa Trang web Sucuri.
- Bảo vệ cổng XMLRPC.
- Bảo vệ trang đăng nhập Woocommerce.
- Khả năng tương thích nhiều trang web với các cài đặt MU bổ sung.
- Tuân thủ GDPR. Với tính năng này được bật, tất cả các IP đã đăng nhập sẽ bị xáo trộn (băm md5).
Hỗ trợ nguồn gốc IP tùy chỉnh (Cloudflare, Sucuri, v.v.)Plugin Limit Login Reloaded cung cấp một cách nhanh chóng để tắt các chương trình hack đang cố gắng đoán mật khẩu.
Sao lưu trang web WordPress của bạn
Điều quan trọng là phải tự động tạo bản sao lưu hàng ngày cho trang web của bạn. Bất kỳ sự kiện thảm khốc nào xảy ra với trang web đều có thể được khôi phục bằng một bản sao lưu.
Có rất nhiều giải pháp sao lưu nhưng giải pháp mà tôi nhận thấy là vô cùng hữu ích được gọi là UpdraftPlus WordPress Backup Plugin. UpdraftPlus được hơn hai triệu người dùng tin cậy, đây là một sự lựa chọn được đánh giá cao.
Nó có thể được cấu hình để gửi email các bản sao lưu hàng ngày hoặc gửi chúng đến một vị trí lưu trữ đám mây như Dropbox.
Tôi đã từng vô tình xóa tất cả các tệp bố cục chủ đề khỏi một trang web, xóa hoàn toàn giao diện của trang web. Nhưng tôi đã có thể khôi phục trang web về chính xác như trước đây bằng cách sử dụng bản sao lưu UpdraftPlus. Nó rất dễ thực hiện và tôi rất biết ơn.
Cập nhật tất cả chủ đề và plugin
Điều quan trọng là phải luôn cập nhật tất cả các chủ đề và plugin. WordPress cung cấp một cách tự động cập nhật tất cả các plugin, điều này thuận tiện cho các nhà xuất bản hoặc doanh nghiệp không đăng nhập và cập nhật thường xuyên.
Bằng cách bật tính năng tự động cập nhật, nhà xuất bản có thể yên tâm có phần mềm cập nhật nhất. Có một plugin lỗi thời là một trong những nguyên nhân hàng đầu dẫn đến việc bị tấn công.
Cách bảo vệ trang web WordPress khỏi tin tặc
Có những lý do để không bật tính năng tự động cập nhật, nhưng những tiêu cực có xu hướng hiếm khi xảy ra. Ví dụ: một plugin đã cập nhật có thể không tương thích với các plugin khác.
Nhưng đối với các trang web không thay đổi thường xuyên, tính năng tự động cập nhật có thể là một điều tốt để bật.
Cẩn thận với các plugin bị bỏ rơi
Cảnh báo cuối cùng về các plugin bị bỏ rơi. Một số plugin có thể tiếp tục hoạt động trong nhiều năm sau khi chúng bị nhà phát triển bỏ qua. Điều có thể xảy ra là những plugin cũ này có thể chứa một lỗ hổng. Nhưng bởi vì chúng bị bỏ rơi, chúng sẽ không bao giờ được sửa chữa.
Một vấn đề khác là đôi khi tin tặc mua các plugin cũ và cập nhật chúng với phần mềm độc hại và vi rút.
Kiểm tra tất cả các plugin WordPress của bạn để đảm bảo rằng chúng không bị bỏ rơi và có vẻ như được cập nhật khá thường xuyên.
Bảo vệ trang web WordPress của bạn khỏi tin tặc
Đối với nhiều trang web, chỉ cần thực hiện các bước nhỏ này để bảo mật một trang web là đủ để giữ cho các trang web không bị tấn công. Các phiên bản miễn phí của các plugin này cung cấp một lượng bảo vệ đặc biệt và các phiên bản cao cấp cung cấp khả năng bảo vệ nhiều hơn.
Có rất nhiều plugin kiểu bảo mật và một số trong số đó đã thực sự chứa các lỗ hổng bảo mật. Theo tôi Wordfence và Sucuri là những lựa chọn hàng đầu để bảo mật WordPress.
