Các Phương pháp Bảo Mật Website WordPress 2023 Chống Hack Hiệu Quả Nhất Định Bạn Phải Biết

WordPress là một nền tảng mã nguồn mở được viết bằng ngôn ngữ PHP và là hệ thống quản lý nội dung được sử dụng rộng rãi nhất trên thế giới, với gần 30% trang web hiện đang chạy trên mã nguồn này.

Mặc dù WordPress là nền tảng xây dựng website phổ biến nhất và có lượng người dùng lớn nhất, nhưng đây cũng là nền tảng bị tất công nhiều nhất. WordPress không thể tự bảo vệ trang web của bạn. Thay vào đó, bạn nên tự nghiên cứu để bảo mật trang web và thực hiện một số bước đơn giản để tránh bị hack trang web và mất dữ liệu. Trong bài viết này mình sẽ giới thiệu 1 số phương pháp bảo mật website WordPres chống hack đơn giản, giúp bạn bảo vệ website của bạn tốt nhất.

Nguyên nhân chính dẫn đến Website WordPress bị nhiễm mã độc (hack) là gì

Nói về việc hack thì có rất nhiều cách và nhiều nguyên nhân dẫn tới việc bị hack website, nhưng mình sẽ chỉ nói 3 lý do chính thường gặp:

• Theme hoặc plugin bạn đang dùng bị dính virus, bạn “thích” sử dụng themes, plugins miễn phí được share tràn lan trên mạng.
• Host của bạn bị hacker tấn công.
• Để người khác biết mật khẩu quản trị viên website của bạn.

Vậy, điều gì sẽ xảy ra nếu website của bạn bị tấn công hoặc nhiễm virus?

• Dễ bị hack mất website, đặt backlink xấu, chèn quảng cáo Adsense lạ, chuyển hướng đến web đen, xóa mất dữ liệu, mất quyền truy cập Admin
• Ảnh hưởng đến SEO: Google gửi một cảnh báo qua Email cho bạn thông qua Google Search Console (cần đăng ký trước đó) cho biết tình hình và cảnh báo nguy hiểm đến trình duyệt mỗi người dùng khi truy cập vào đường link của website bạn. Chưa nói ảnh hướng đến thứ hạng như nào nhưng khác hàng sẽ mất dần niềm tin cho một website suốt ngày có cánh bảo đó nguy hiểm từ Google.
• Ảnh hưởng đến uy tín website, doanh nghiệp, công việc kinh doanh: Website bạn không thể truy cập và có những trải nghiệm tồi tệ khi khách truy cập nó sẽ giết website của bạn dần dần nếu như không tìm cách khắc phục xử lý mã độc càng sớm càng tốt. Bạn hãy đặt mình vào vị trí khách hàng xem liệu bạn có bỏ tiền ra mua một sản phẩm ở website báo nguy hiểm hay Google có muốn một website có chứa virus xếp top kết quả tìm kiếm hay không?

Các phương pháp bảo mật Website WordPress 2023 chống hack hiệu quả

1. Sử dụng xác thực 2 bước (Two-factor authentication WordPress plugin)

Bổ sung tính năng tính năng xác thực 2 bước (TFA/2FA) đối với cả hosting và website của bạn là biện pháp để chống hack WordPress hiệu quả. Plugin này sử dụng thuật toán TFA / 2FA tiêu chuẩn công nghiệp TOTP hoặc HOTP để tạo mật khẩu một lần. Các đoạn mã này sẽ có giá trị trong một thời gian nhất định và mỗi lần sử dụng sẽ hiển thị một đoạn mã khác nhau.

2. Sử dụng Tên đăng nhập – Mật khẩu khó đoán

Thực tế có rất nhiều công cụ dò tìm mật khẩu trên mạng chia sẻ tràn lan, cách làm cũng khá đơn giản, một hacker tay mơ, hacker tập sự cũng có thể tự mò cách chạy tool dò mật khẩu một website. Các thức dò ở đây ở file từ điển được chuẩn bị sẵn, mật khẩu của bạn dễ mò ví dụ như 123, anhyeuem, 123456…. thì chỉ trong vài giây sẽ phá được. Độ khó mật khẩu được tăng lên khi bạn chèn các ký tự đặc biệt như !@#$, thêm các ký tự in hoa xen kẽ in thường, mật khẩu trên 8 ký tự. Bạn kết hợp tất cả các điều trên thì gần như mật khẩu không thể dò được ở công nghệ hiện tại.

Một tool dò các mật khẩu khó trên 8 ký tự, có chữ thường và in hoa, bao gồm cả ký tự đặc biệt mất thời gian khoảng vài chục ngàn năm thậm chí là cả triệu năm nếu như bạn tăng độ dài mật khẩu lên một chút. Đây được coi như là biện pháp cứng rắn loại trừ được kẻ xấu có ý định dò mật khẩu bằng tool.

3. Cập nhật phiên bản WordPress, Cập nhật Theme, Plugin lên bản mới nhất

Hãy liên tục cập nhật lên bản mới nhất để Website đạt tình trạng bảo mật và khắc phục các bản vá lỗi hiện có. Nếu website bạn dùng bản WordPress / Theme / Plugin bản cũ có một lỗi nghiêm trọng, bạn chưa kịp cập nhật lên thì Website bạn sẽ có khả năng bị hack nếu kẻ xấu quét được phiên bản bạn đang sử dụng đấy nhé. Cho nên hãy cập nhật tất cả các thứ mình kể trên càng sớm càng tốt. Bạn cũng đừng sợ lỗi hay xung đột gì vì nó được đưa vào kiểm tra kỹ lưỡng bởi các lập trình viên giàu kinh nghiệm, hoặc bạn có thể đợi vài ngày sau cập nhật cũng chưa muộn.

Bên cạnh Theme, Plugin, WordPress cập nhật liên tục bạn nên sử dụng bản mới nhất cho PHP.

4. Sử dụng chứng chỉ bảo mật SSL / HTTPS

Một website có cài SSL giúp trình duyệt hiển thị chế độ Duyệt Web an toàn, ngược lại nó hiện ra cảnh báo Không bảo mật màu đỏ. Cài SSL giúp cho dữ liệu của bạn và khách hàng được truyền đi theo mã hóa không thể giải mã được, nên đảm bảo tính bảo mật những thông tin quan trọng liên quan đến cá nhân, tài khoản ngân hàng, thẻ ATM

Đối với các trang bình thường khác, lý do lớn nhất cho điều này là trang đăng nhập WordPress của bạn. Nếu bạn không chạy qua kết nối HTTPS, tên id đăng nhập người dùng và mật khẩu của bạn sẽ được gửi dưới dạng văn bản rõ ràng qua internet. Các hosting bây giờ đều hỗ trợ cài đặt miễn phí SSL nên bạn chỉ cần gửi một ticket đến bộ phận hỗ trợ nhờ họ cài đặt trong thời gian nhanh chóng.

5. Xóa / Loại bỏ các Theme và Plugin không sử dụng

Việc bạn xóa hết các theme plugin không sử dụng giúp tiết kiệm dung lượng hosting của bạn đồng thời loại bỏ các tập tin có thể nhiễm virus mã độc đang được ẩn bên trong các file theme plugin này. Bạn sử dụng cái nào thì bật lên còn lại hãy vô hiệu hóa và xóa chúng ngay lập tức.

6. Không xét duyệt bình luận, không click vào bình luận có đường link lạ

Có một số người cố tình đặt backlink xấu hoặc cố gắng khai thác lỗ hổng website của bạn thông qua các bình luận, rất may WordPress có chức năng xét duyệt bình luận trước khi nó có thể xuất hiện ra ngoài nội dung bài viết. Chỉ nên giữ những bình luận bạn coi là độc giả thực sự còn các bình luận đi kèm đường link chưa rõ nguồn gốc thì cho vào thùng rác hoặc không xét duyệt.

Bạn cũng có thể sử dụng Plugin Akismet Spam Protection miễn phí trên kho WordPress, plugin này cũng ngăn chặn rất tốt các bình luận spam cho các website bị spam bình luận số lượng lớn, bạn có thể tải về và cài đặt nó tại đây.

7. Bảo mật File Config: wp-config.php

File wp-config.php giống như trái tim và linh hồn của quá trình cài đặt WordPress. Cho đến nay, nó là tệp quan trọng nhất trên website khi nói đến bảo mật WordPress. Nó chứa thông tin đăng nhập cơ sở dữ liệu và các khóa bảo mật xử lý việc mã hóa thông tin trong cookie.

8. Phân quyền truy cập (CHMOD) các file cấu hình quan trọng

Theo mặc định, các file trong Cpanel (hosting) của bạn được phân quyền CHMOD là 644 và thư mục được phần quyền 755. Đối với các file chứa cấu hình toàn bộ website của bạn cần được bảo mật tốt hơn các file khác nên chúng ta sẽ thay đổi quyền truy cập vào các tệp này nghiêm ngặt hơn. 2 file cấu hình quan trọng mình muốn nói đến là wp-config.php và .htaccess.

9. Giới hạn số lần đăng nhập sai

Có thể một ngày nào đó, các hacker cố tình đăng nhập vào website bạn, để tránh tình trạng này bạn nên cài đặt plugin hỗ trợ ngăn chặn đăng nhập nếu như 1 thiết bị nhập sai quá nhiều lần.
Một trong những Plugin hỗ trợ công việc khá tốt là plugin Login Lockdown. Plugin này sẽ phát hiện số lần đăng nhập sai ở mỗi IP.

10. Thêm các tiêu đề bảo mật (Security Headers)

Một bước khác bạn có thể thực hiện để tăng cường bảo mật WordPress của mình là tận dụng các bảo mật HTTP Header. Chúng thường được cấu hình ở cấp máy chủ và cho trình duyệt biết cách hoạt động khi xử lý nội dung trang web của bạn. Có rất nhiều bảo mật HTTP Header khác nhau, nhưng dưới đây thường là những Header quan trọng nhất.

• Content-Security Policy.
• X-XSS-Protection.
• Strict-Transport-Security.
• X-Frame-Options.
• Public-Key-Pins.
• X-Content-Type.

11. Thay đổi đường dẫn đăng nhập /wp-admin (wp-login.php)

Mỗi khi đăng nhập tài khoản Admin bạn hay vào đường link https://tên web site/wp-admin hoặc https://tên website/wp-login.php. Đây là đường linh được cài đặt mặc định cho tất cả các Website WordPress lúc mới đầu. Hoàn toàn có thể thay đổi đường dẫn này sang một cái tên ngẫu nhiên hoặc bạn đặt tùy ý chỉ mình bạn biết. Cách này tránh được hacker hack website của bạn phần nào bởi vì hacker thường tấn công các Website bảo mật kém và tạm thời ngó lơ đi các Website được quản lý bởi Admin có một chút kỹ năng bảo mật.

Để đổi đường dẫn đăng nhập, bạn có thể sử dụng plugin bảo mật có tên là WPS Hide Login. Plugin này bạn có thể tải miễn phí trên kho Plugin của WordPress. Cài đặt plugin này vào Website rồi mở nó ra chúng ta bắt đầu thiết lập cài đặt.

12. Sao lưu lại toàn bộ Website và lưu trữ vào một nơi an toàn

Sao lưu giờ đây đơn giản hơn bao giờ hết vì đã có các plugin hỗ trợ việc này, bạn không cần phải sao lưu phục hồi thủ công cho mất thời gian. Sao lưu dữ liệu giúp bạn lấy lại toàn bộ mã nguồn, cơ sở dữ liệu về trạng thái an toàn trước đó. Bạn nên sao lưu định kỳ khoảng một tuần một lần hoặc 1 tháng 1 lần rồi lưu trữ nó lên đám mây (Google Drive, Ondrive) cho chắc ăn. Không nên lưu file backup vào ổ cứng máy tính hoặc USB vì dễ mất, đánh rơi USB, máy tính bạn cũng có thể nhiễm virus, lỗi Win.

13. Tắt XML – RPC không dùng đến

Trong bất kỳ Website WordPress nào bạn để ý sẽ thấy một file nằm trong thư mục gốc public_html có tên xmlrpc.php. XML-RPC là một script là một đoạn mã script mới được sử dụng từ bản 3.5 trở lên, đến nay nó luôn được bật mặc định trong bản cốt lõi WordPress

XML – RPC là giao thức để kết nối với website WordPress thông qua các file XML. Hiện tại có thể hỗ trợ các API của các CMS như WordPress API, Blogger API, Movable API, Pingback API, MetaWeblog API,…

Thông thường trên WordPress, chúng ta sẽ sử dụng đến XML-RPC khi thiết lập đăng bài từ một ứng dụng khác bên ngoài như Windows Live Writer, hoặc các dịch vụ kết nối với website để đăng bài như IFTTT chẳng hạn.

Nhưng từ khi XML-RPC được sử dụng phổ biến trên WordPress, nó lại làm dấy lên về nguy cơ bị tấn công brute force attack để dò mật khẩu hoặc nặng hơn là gửi một lượng lớn request đến máy chủ để làm tê liệt máy chủ, hình thức tấn công này được gọi là HTTP Flood Attack, là một kiểu tấn công DDoS.

14. Tắt duyệt thư mục hiển thị

Theo mặc định các tập tin được công khai và một người lạ hoàn toàn có thể xem nội dung bên trong đó có gì, bằng cách truy cập đường dẫn sau:

http://example.com/wp-includes/

Tất cả nội dung hiện thị công khai ra bên ngoài, tin tặc hoàn toàn có thể lợi dụng sở hở này để khai tác các lỗ hổng bảo mật.

15. Vô hiệu hóa thực thi PHP trong một số thư mục nhất định

Cách này áp dụng cho Website nào có sử dụng hình ảnh và mình thấy tất cả các Website hiện nay đều có sử dụng hình ảnh dù nhiều hay ít. Mỗi khi bạn, hoặc người nào đó up bài viết lên kèm theo hình ảnh minh họa cho nội dung, dù vô tình hay cố ý, có một xác suất ảnh bạn up lên chứa virus và các mã thực thi php được chèn vào ảnh. Chúng ta nên vô hiệu hóa tất cả các đoạn code php khi tải lên các tệp hình ảnh hoặc một tệp bất kỳ, không cho phép chúng được thực thi.

16. Giới hạn nỗ lực đăng nhập bằng Plugin

Giới hạn nỗ lực đăng nhập giúp ngăn chặn các Tool tự động dò mật khẩu (kiểu tấn công cổ điển Brute Force Attack), thêm một lớp bảo mật khác sau phương pháp xác thực 2 yếu tố, góp phần tăng gấp đôi bảo mật đăng nhập cho Website WordPress của bạn. Cách làm cũng cực kỳ dễ với các plugin bảo mật đã được tích hợp sẵn các tính năng này. Chúng ta chỉ cần cấu hình lại tùy theo nhu cầu của mỗi người. Bạn có thể dùng plugin Wordfence Premium

17. Bảo mật trang đăng nhập và đăng ký bằng Recapcha V3

Bạn có thể dùng Google để bảo mật trang đăng nhập và đăng ký của mình, khi đăng nhập bạn sẽ nhìn thấy biểu tượng ReCapcha của Google hiện ra. Recapcha có nhiệm vụ phát hiện spam, bot spam và ngăn chặn chúng, giúp Website có thêm một lớp bảo mật chống lại các Tool dò lỗ hổng từ hacker.

18. Cài đặt Cloudflare để tăng bảo mật Website WordPress

Cloudflare, Inc. là một công ty Hoa Kỳ cung cấp mạng phân phối nội dung, dịch vụ bảo mật Internet và các dịch vụ phân phối máy chủ tên miền, đứng giữa khách truy cập và nhà cung cấp dịch vụ lưu trữ của người dùng Cloudflare, hoạt động như một reverse proxy cho các trang web.

Cloudflare bạn có thể đăng ký tài khoản miễn phí để quản lý tên miền, trỏ tên miền đến hosting, chống DDos cho Website, thêm tường lửa bảo mật, thêm các quy tắc bảo mật, chặn các Bot cào nội dung và áp dụng chúng nhanh chóng mà không cần đăng nhập vào WordPress.

Dưới đây là một số tùy chọn bạn có thể cài đặt để tăng bảo mật với Cloudflare:

• Bật Proxy Cloudflare
• Bật chế độ chiến đấu Bot (Bot Fight Mode)
• Bật chế độ chiến đấu bot cho Cloudflare
• Cài đặt các Quy tắc (Rules) cho khách truy cập
• Bật Full SSL trên Cloudflare

Nếu biết cách sử dụng Cloudflare thì nó cực kỳ mạnh mẽ trong việt set rules theo nhu cầu của bạn, đặc biệt có thể chặn một số loại bot cào nội dung (Crawl).

Kết Luận

Trong bài viết này Thietkewebsite4u.com đã chia sẻ cho các bạn tất tần tật các phương pháp bảo mật tốt nhất cho Website WordPress. Áp dụng các phương pháp này giúp cho Website của bạn an toàn hơn và bảo mật hơn.

Từ khóa: bảo mật website, bảo mật website hiệu quả, bảo mật website wordpress, bảo mật wordpress, cách bảo mật wordpress, tăng bảo mật wordpress