Một vấn đề bảo mật WordPress đang được rất nhiều người chú ý và nổi lên gần đây là vấn đề tự động vô hiệu hóa Wordfence. Trong sự cố này, plugin bảo mật WordPress nổi tiếng Wordfence sẽ tự động bị vô hiệu hóa / xóa. Người dùng được thông báo qua e-mail.
Lý do chính đằng sau cuộc tấn công này là bạn đã cài đặt plugin Jetpack và nó có thể là cánh cửa cho phép tin tặc truy cập trang web của bạn bằng thông tin đăng nhập bị xâm phạm. Nếu Jetpack được tích hợp với trang web WordPress của bạn, nó có quyền tương tự như tài khoản quản trị trang web. Nó thường được cài đặt, những kẻ tấn công thường nhắm mục tiêu vào plugin này và các plugin phổ biến khác để đưa các tập lệnh và phần mềm độc hại vào. Vì vậy, bây giờ kẻ tấn công có toàn quyền kiểm soát, vô hiệu hóa hoặc cài đặt plugin, không có câu hỏi nào.
Triệu chứng
- Tự động vô hiệu hóa Wordfence.
- Wordfence đã bị xóa tự động.
- Kiểm tra tên plugin, nếu nó không phải là 'Wordfence Security' thì bạn đã bị tấn công. Ví dụ -‘Wordfence - Chống vi-rút, Tường lửa và Quét phần mềm độc hại. Câu 7.1.8 | Bằng Wordfence "hoặc" wordfence "viết thường.
- Người dùng mới đã được tạo
- Tệp nước ngoài và tệp đã sửa đổi
- Các liên kết chuyển hướng trong trang tổng quan Quản trị
- Trang web chuyển hướng đến các trang khó hiểu
Cách khắc phục
Bạn nên có một mật khẩu mạnh. Hơn nữa, bạn phải bật Xác thực hai bước cho đăng nhập WordPress của mình.
Trong phương pháp Xác thực hai bước để bảo vệ tài khoản, bạn không chỉ phải xác minh mật khẩu để đăng nhập mà còn cả thiết bị di động của mình. Phần tốt nhất của bảo mật này là, nếu ai đó đoán hoặc bẻ khóa mật khẩu của bạn, họ cần có quyền truy cập vào thiết bị di động của bạn để xâm nhập vào tài khoản của bạn.
WordPress.com cung cấp xác thực hai bước thông qua thiết bị di động. Họ xác minh danh tính của bạn bằng cách gửi mã thông qua một trong một số phương pháp. Khi họ đã xác thực thiết bị của bạn, bất cứ khi nào bạn đăng nhập bằng mật khẩu của mình, họ sẽ gửi một mã mới mà bạn cần trước khi đăng nhập. Đây là một bước xác thực nhỏ cho quá trình đăng nhập nhưng tăng tính bảo mật cho trang web của bạn và ngăn chặn các đăng nhập trái phép.
Dưới đây là các bước chi tiết Cách đặt Xác thực Hai bước trong WordPress.
Bằng cách làm theo các bước trên, bạn có thể ngăn Wordfence tự động bị vô hiệu hóa.
Các chuyên gia bảo mật của chúng tôi đã tạo danh sách kiểm tra Bảo mật WordPress để giảm nguy cơ lây nhiễm phần mềm độc hại.
Ngoài ra, hãy làm theo Danh sách kiểm tra các phương pháp mã hóa an toàn để giảm các lỗ hổng bảo mật.