Phần mềm độc hại khiến các doanh nghiệp thiệt hại hàng tỷ đô la mỗi năm về doanh thu bị mất, chi phí pháp lý, thiệt hại cho thương hiệu và đánh cắp dữ liệu. Để làm cho vấn đề tồi tệ hơn, tin tặc liên tục phát triển các chiến thuật của họ, do đó, phần mềm độc hại liên tục thay đổi và ngày càng khó phát hiện hơn.
Gần như ngày nào cũng có các vụ vi phạm dữ liệu, và phần đáng sợ là số người đang mất vào tay tin tặc. Khi quản trị viên WordPress cố gắng bảo vệ các trang web WordPress của họ, họ sẽ nhận được lời khuyên trực tuyến. Trong khi lời khuyên là có chủ đích tốt, một số trong số đó là rất kém.
Nhưng nó không phải là tất cả các tin xấu. Thực tế thì hoàn toàn ngược lại, bởi vì bạn đã đến đúng nơi.
Tin tốt là chúng tôi, tại MalCare, bảo vệ hơn 100.000 trang web WordPress mỗi ngày, vì vậy chúng tôi biết nhiều về bảo mật WordPress . Tin vui là chúng tôi sẽ hướng dẫn bạn từng bước những điều bạn cần biết để bảo mật trang web WordPress. Tin tốt nhất là bạn không cần phải là chuyên gia bảo mật WordPress để bảo vệ trang web của mình khỏi tin tặc.
TL; DR Có được sự bảo mật tốt nhất cho trang WordPress bằng cách cài đặt MalCare. MalCare là một plugin bảo mật WordPress tốt nhất trong lớp, quét sâu trang web của bạn hàng ngày, dọn sạch các bản hack trong vài phút và bảo vệ trang web của bạn bằng tường lửa tiên tiến. MalCare được xây dựng bởi một nhóm chuyên gia bảo mật và họ có thể truy cập ngay lập tức nếu bạn gặp bất kỳ sự cố nào.
Bảo mật WordPress là gì?
Bảo mật WordPress là bảo vệ trang web, dữ liệu và khách truy cập của bạn — khỏi phần mềm độc hại và hậu quả gây hại của chúng. Bảo vệ trang web của bạn giống như xây hàng rào, có khóa ở cửa trước và cài đặt hệ thống bảo mật. Bạn hy vọng rằng nó không bao giờ cần thiết, nhưng nếu có, bạn muốn nó vững chắc.
Bạn có thể tự hỏi liệu WordPress có an toàn không và liệu nó có phải là một lựa chọn tốt để xây dựng một trang web hay không. Câu trả lời ngắn gọn là có, WordPress an toàn. Trên thực tế, WordPress cung cấp gần 45% Internet và một số thương hiệu lớn nhất sử dụng nó cho các trang web của họ.
Hầu hết các vụ hack đều thành công do lỗ hổng bảo mật hoặc chính sách mật khẩu kém. Chúng tôi sẽ chỉ cho bạn cách bạn có thể bảo vệ trang web WordPress của mình khỏi bị tấn công bằng một số mẹo bảo mật WordPress. Những thủ thuật này không yêu cầu bạn biết mã hóa hoặc cách chỉnh sửa tệp WordPress. Trang web của bạn sẽ vẫn được bảo vệ và bạn đã chinh phục thành công bảo mật WordPress.
Các phương pháp hay nhất về bảo mật WordPress (14 Mẹo)
Bảo mật WordPress có vẻ khó hơn nhiều so với thực tế. Có thể khiến bạn nản lòng khi đọc về các cách tấn công WordPress khác nhau như đưa thư rác, tấn công lừa đảo hoặc thậm chí là chuyển hướng độc hại.
Tuy nhiên, không cần phải lo lắng. Nếu bạn thực hiện các biện pháp bảo mật WordPress sau đây, bạn chắc chắn có một trang web an toàn và bảo vệ dữ liệu của mình khỏi các tin tặc đang cố gắng lấy cắp nó.
1. Cài đặt plugin bảo mật WordPress
Cách quan trọng nhất để bảo vệ trang web WordPress của bạn là cài đặt một plugin bảo mật WordPress, như MalCare.
Chúng tôi khuyên dùng MalCare vì những lý do sau:
- Quét sâu hàng ngày trang web WordPress để tìm phần mềm độc hại
- Tự động xóa phần mềm độc hại chỉ với 1 cú nhấp chuột
- Loại bỏ phần mềm độc hại và cửa hậu để ngăn tái nhiễm
- Tường lửa nâng cao
- Phát hiện lỗ hổng bảo mật
- Bảo vệ bằng vũ lực
- Bảo vệ bot thông minh
- Nhật ký hoạt động
- Không sử dụng tài nguyên máy chủ của trang web
MalCare là một plugin bảo mật hoàn chỉnh kết hợp 3 khía cạnh quan trọng nhất của bảo mật WordPress:trình quét phần mềm độc hại, trình dọn phần mềm độc hại và tường lửa nâng cao .
Để bảo vệ trang web của bạn với MalCare, tất cả những gì bạn cần làm là cài đặt nó và để plugin tiếp quản. MalCare đồng bộ hóa trang web của bạn với máy chủ của chúng tôi, sau đó thiết lập quá trình quét sâu hàng ngày.
Nếu có bất kỳ phần mềm độc hại nào được phát hiện trên trang web của bạn, MalCare sẽ cảnh báo cho bạn và bạn có thể tự động xóa phần mềm độc hại chỉ bằng một cú nhấp chuột . MalCare loại bỏ phần mềm độc hại khỏi trang web của bạn một cách phẫu thuật, đồng thời đảm bảo trang web của bạn vẫn hoàn toàn nguyên vẹn. Bạn cũng có thể liên hệ với nhóm các chuyên gia bảo mật WordPress của chúng tôi, những người có thể giúp bạn giải quyết mọi vấn đề sâu hơn về hack.
Bạn có thể sử dụng MalCare để bảo vệ trang đăng nhập WordPress của mình khỏi các cuộc tấn công vũ phu và giới hạn số lần đăng nhập. Những cuộc tấn công này đã được biết là áp đảo các trang web, khiến người dùng thực sự không thể tham gia. Tương tự, plugin đi kèm với bảo vệ bot , ngăn chặn các bot xấu quét dữ liệu trang web của bạn hoặc tấn công trang web của bạn với rất nhiều yêu cầu khiến trang web ngừng hoạt động. Mặc dù vậy, vẫn có những bot tốt, như bot theo dõi thời gian hoạt động hoặc googlebot được sử dụng để lập chỉ mục, vì vậy MalCare sẽ ngăn chặn những bot xấu một cách thông minh trong khi vẫn cho phép những bot tốt vào.
Phần tốt nhất về MalCare là hiệu suất trang web của bạn không bị ảnh hưởng bằng cách quét hoặc dọn dẹp. Nếu bạn có trang web thương mại điện tử hoặc thành viên, các plugin khác sẽ có tác động đáng chú ý đến trải nghiệm người dùng. Điều này là do các plugin như Wordfence và Sucuri sử dụng tài nguyên trang web của bạn để chạy quá trình quét của chúng. Điều này đã khiến một số máy chủ web cấm Wordfence hoàn toàn.
2. Sử dụng tường lửa ứng dụng web cho trang web của bạn
Tường lửa ứng dụng web, còn được gọi là tường lửa trang web, bảo vệ trang web WordPress của bạn bằng cách chặn lưu lượng truy cập độc hại. Tường lửa là một thành phần thiết yếu của bảo mật WordPress vì nó đảm bảo rằng lưu lượng truy cập độc hại không bao giờ đến trang web của bạn bằng cách chặn nó.
MalCare có tường lửa nâng cao, được tích hợp với plugin bảo mật. Khi bạn cài đặt plugin, tường lửa sẽ có hiệu lực, bảo vệ trang web WordPress của bạn khỏi bị nhiễm phần mềm độc hại. Các lợi ích của việc sử dụng tường lửa của MalCare là:
- Bảo vệ trang web của bạn chống lại các cuộc tấn công đưa vào SQL, thực thi mã từ xa, tấn công đưa vào spam, tấn công tập lệnh trên nhiều trang web, v.v.
- Ngăn tin tặc khai thác lỗ hổng bảo mật trên trang web của bạn
- Bảo vệ IP toàn cầu cho hơn 100.000 trang web
- Tường lửa nâng cao học hỏi từ mỗi trang web được bảo vệ để chủ động chặn lưu lượng truy cập xấu từ những người khác
- Tải bằng WordPress, vì vậy hãy kiểm tra tất cả lưu lượng truy cập đến xem có mục đích xấu không
- Không cần cấu hình; hoạt động hiệu quả
- Đi kèm với tất cả các gói bảo mật của MalCare
Có nhiều loại tường lửa trang web khác nhau, được phân loại theo nơi chúng được cài đặt và cách chúng hoạt động. Các tường lửa hiệu quả nhất tải trước WordPress, như MalCare và Sucuri, vì vậy chúng có thể lọc ra tất cả các lưu lượng truy cập xấu. Tường lửa ở cấp plugin, như Wordfence, có thể lọc ra hầu hết lưu lượng truy cập xấu, nhưng không phải tất cả.
3. Quét sâu trang web WordPress của bạn hàng ngày
Trụ cột đầu tiên của bảo mật WordPress là phát hiện phần mềm độc hại càng sớm càng tốt. Bạn có thể làm điều đó bằng cách quét trang web của mình bằng trình quét phần mềm độc hại WordPress. Chúng tôi khuyên bạn nên cài đặt MalCare, có một trình quét phần mềm độc hại miễn phí và một loạt các lợi ích:
- Quét sâu tự động hàng ngày
- Xác định ngay cả phần mềm độc hại và backdoor được ẩn giấu tốt nhất
- Máy quét nâng cao không chỉ đối sánh chữ ký mà hầu hết các máy quét khác sử dụng
- Xác định phần mềm độc hại dựa trên hơn 100 tín hiệu để đánh giá rủi ro
- Quét các tệp WordPress cốt lõi, cơ sở dữ liệu trang web cũng như các tệp và thư mục plugin và chủ đề; cả phiên bản miễn phí và cao cấp
- 95% + độ chính xác không có kết quả dương tính giả
- Không sử dụng tài nguyên trang web để chạy quét
Với MalCare, bạn sẽ có câu trả lời chắc chắn về việc trang web của mình có bị hack hay không. Sau khi có kết quả quét, bạn có thể nâng cấp để dọn dẹp trang web của mình trong vài phút.
Quan trọng: Nếu bạn phát hiện ra phần mềm độc hại trên trang web của mình, hãy làm sạch nó ngay lập tức. Phần mềm độc hại trở nên tồi tệ hơn theo thời gian, vì tin tặc có thời gian để phát tán phần mềm độc hại qua trang web của bạn, lấy cắp dữ liệu của bạn và lây nhiễm sang thiết bị cũng như các trang web khác. Điều quan trọng là bạn phải ưu tiên xóa phần mềm độc hại, nếu không, bạn có nguy cơ bị Google đưa vào danh sách đen trang web của bạn hoặc máy chủ web của bạn tạm ngưng trang web đó.
Không phải tất cả các máy quét phần mềm độc hại đều được xây dựng giống nhau và có các mức độ hiệu quả khác nhau. Hầu hết các trình quét phần mềm độc hại sử dụng cơ sở dữ liệu chữ ký để phát hiện phần mềm độc hại trên các trang web. Họ so sánh mã trên trang web với tất cả các chữ ký và nếu có chữ ký trùng khớp, mã sẽ bị gắn cờ là phần mềm độc hại.
Có một số vấn đề khi chỉ dựa vào cơ sở dữ liệu chữ ký để phát hiện phần mềm độc hại.
Thứ nhất, cơ sở dữ liệu cần được cập nhật mọi lúc. Vì phần mềm độc hại về cơ bản là mã, nó có thể có vô số hoán vị, vì vậy một biến thể mới hơn có khả năng đi qua các máy quét phù hợp mà không bị gắn cờ.
Thứ hai, nhóm duy trì cơ sở dữ liệu cần phải nhìn thấy phần mềm độc hại để thêm nó vào cơ sở dữ liệu. Điều này thật dễ dàng với các plugin và chủ đề miễn phí, nhưng phần mềm cao cấp thường bị thiếu hụt một chút. Chúng tôi đã thấy phần mềm độc hại không bị phát hiện trong các trình tạo trang như Elementor và Divi, hoặc trong các chủ đề phổ biến từ Envato và Themeforest vì lý do này.
4. Luôn cập nhật mọi thứ trên trang web WordPress của bạn
Lý do chính khiến các trang web bị tấn công là do các lỗ hổng bảo mật. Lỗ hổng bảo mật là lỗi trong mã cho phép truy cập trái phép vào một trang web, chẳng hạn như tải lên tệp không an toàn hoặc đưa vào SQL.
Cốt lõi, plugin và chủ đề của WordPress đều được xây dựng bằng mã và mặc dù đã nỗ lực hết sức và các nhà phát triển tài năng, lỗ hổng bảo mật kỳ lạ vẫn có thể tồn tại. Các nhà nghiên cứu bảo mật thường phát hiện ra những vấn đề này và tiết lộ chúng cho các nhà phát triển một cách kín đáo để họ có thể giải quyết vấn đề. Các nhà phát triển có trách nhiệm sau đó sẽ phát hành các bản vá bảo mật cho sản phẩm của họ thông qua các bản cập nhật.
Sau khi các bản cập nhật được phát hành, các nhà nghiên cứu bảo mật sẽ tiết lộ công khai các phát hiện để cảnh báo người dùng về các lỗ hổng trên trang web của họ. Vì lỗ hổng bảo mật hiện đã được công chúng biết đến nên tin tặc sẽ cố gắng tấn công các trang web chưa được cập nhật. Thường thì họ sẽ thành công. Do đó, điều tối quan trọng là phải cập nhật mọi thứ trên trang web của bạn càng sớm càng tốt.
Cập nhật trang web của bạn có thể hơi khó khăn, đặc biệt là vì các bản cập nhật được biết là có thể phá vỡ các trang web đôi khi. Tốt nhất, bạn nên sao lưu trang web của mình trước, sử dụng dàn máy để kiểm tra các bản cập nhật trước và chỉ sau đó cập nhật trên trang web trực tiếp của bạn. BlogVault xử lý tất cả các khía cạnh này ở một nơi và bạn có thể cập nhật trang web WordPress của mình một cách an toàn.
Quan trọng: Không bao giờ sử dụng các chủ đề và plugin vô hiệu. Chúng thường chứa đầy phần mềm độc hại và vì chúng vi phạm bản quyền nên chúng không nhận được bản cập nhật từ nhà phát triển.
5. Thực thi chính sách mật khẩu mạnh
Sau các lỗ hổng, lý do lớn nhất tiếp theo khiến các trang WordPress bị tấn công là do mật khẩu kém. Mật khẩu thường là liên kết yếu nhất trong bảo mật WordPress của bạn vì 2 lý do:
- Dễ nhớ, do đó dễ đoán: Chúng tôi đã thấy vô số trang web bị tấn công vì quản trị viên đã đặt mật khẩu như:pass @ 123, P @ ssword, hoặc một số kết hợp tương tự. Tin tặc sử dụng các chương trình thử các mật khẩu phổ biến, với các cách kết hợp khác nhau để xâm nhập vào các trang web WordPress. Đôi khi, các bot có thể thử lên tới vài trăm lần mỗi phút.
- Dữ liệu bị rò rỉ do vi phạm: Mật khẩu khó nhớ, vì vậy mọi người có xu hướng sử dụng lại chúng trên các trang web và sản phẩm khác nhau. Tuy nhiên, nếu một trong những trang web đó bị tấn công và có sự vi phạm dữ liệu, thông tin đăng nhập của bạn sẽ bị xâm phạm. Tin tặc có cả mã thông báo — địa chỉ email và mật khẩu của bạn — cần thiết để xâm nhập vào trang web của bạn.
Bạn có thể sử dụng một plugin để thực thi mật khẩu mạnh cho tất cả người dùng của mình. Người dùng sẽ được yêu cầu đặt mật khẩu mạnh không bị xâm phạm khi vi phạm dữ liệu. Có thể hiểu, mật khẩu mạnh cũng khó nhớ, vì vậy chúng tôi khuyên bạn nên sử dụng trình quản lý mật khẩu. Sự bất tiện nhỏ này chắc chắn đáng giá với sự bảo mật mà nó mang lại cho trang web của bạn.
6. Bật xác thực hai yếu tố
Nếu bạn đã áp dụng các bước trong phần trước, thì bạn có một mật khẩu mạnh. Nhưng điều đó không thay đổi thực tế là chỉ có mật khẩu giữa trang web của bạn và tin tặc.
Xác thực hai yếu tố là một lớp bảo mật bổ sung cho thông tin đăng nhập vào trang web của bạn. Thông thường, bạn cần tên người dùng và mật khẩu để đăng nhập vào trang web của mình và tên người dùng thường là địa chỉ email của bạn. Có nghĩa là, nếu kẻ tấn công biết địa chỉ email của bạn, chúng chỉ phải đoán một yếu tố xác thực — mật khẩu của bạn — để có quyền truy cập.
Thêm một yếu tố xác thực khác sẽ tăng cường bảo mật WordPress đáng kể và nó rất đơn giản để thực hiện. Bạn có thể cài đặt một plugin để làm điều đó mà không cần phải loay hoay với mã.
Dưới đây là một số plugin miễn phí sẽ cho phép xác thực hai yếu tố trên trang web của bạn:
- WP 2FA
- Google Authenticator
- Xác minh 2 bước trong WordPress
Phiên bản miễn phí của Wordfence cũng có tính năng này, iThemes Security cũng vậy. Tuy nhiên, chúng tôi khuyên bạn không nên sử dụng iThemes cho bất kỳ điều gì khác ngoài xác thực hai yếu tố, vì nhiều lý do.
7. Sử dụng SSL
SSL là một giao thức bảo mật được các trang web sử dụng để mã hóa thông tin liên lạc. Khi ai đó truy cập trang web của bạn, dữ liệu được gửi từ trình duyệt của họ đến máy chủ trang web của bạn, sau đó quay lại. Đây là cách giao tiếp diễn ra qua Internet và nhiều thông tin được truyền theo cách này.
Rất dễ cài đặt chứng chỉ SSL. Hơn hết, SSL là một khoản đầu tư đáng giá về thời gian vì một số lý do:
- Mã hóa dữ liệu được gửi đến và đi từ máy chủ trang web, giúp bảo vệ dữ liệu không bị những người không được ủy quyền đọc được
- Các trang web hỗ trợ SSL có ổ khóa màu xanh lục bên cạnh URL của chúng trong hầu hết các trình duyệt, đây là một huy hiệu đáng tin cậy đối với khách truy cập
- Google tích cực quảng bá SSL và sẽ hiển thị thông báo "Trang web không an toàn" trong kết quả tìm kiếm nếu trang web không có SSL
Cách thức hoạt động của SSL là mã hóa thông tin liên lạc, vì vậy ngay cả khi một người không được phép nghe trộm, họ sẽ không thể hiểu những gì đang được truyền đi.
Sẽ rất hữu ích nếu bạn nghĩ về nó như một cuộc trò chuyện qua điện thoại. Tốt nhất, cuộc trò chuyện qua điện thoại là riêng tư đối với hai người ở hai đầu cuộc gọi. Tuy nhiên, nếu người thứ ba có thể truy cập vào đường dây điện thoại đó, thông tin được trao đổi sẽ bị xâm phạm.
Tương tự, thông tin liên lạc đến và đi từ trang web của bạn có thể bị xâm phạm. Tuy nhiên, trong trường hợp trang web của bạn, dữ liệu được trao đổi có thể nhạy cảm, chẳng hạn như thông tin nhận dạng hoặc mật khẩu, đó là lý do tại sao mã hóa là cần thiết.
Việc thiết lập với SSL thực sự đơn giản rất dễ dàng và thường được các máy chủ web cung cấp như một phần của dịch vụ của họ.
8. Sao lưu trang web của bạn hàng ngày
Phần mềm độc hại đã được biết là xóa sạch các trang web hoặc khiến các máy chủ web xóa các trang web cùng với các bản sao lưu của chúng. Đôi khi phần mềm độc hại có thể trở nên tồi tệ đến mức mọi người buộc phải bắt đầu trang web của họ từ đầu. Tuy nhiên, nếu bạn đã sao lưu trang web của mình, bạn vẫn có cơ hội chiến đấu để cứu trang web của mình.
Các bản sao lưu trang web WordPress tốt nhất là tự động, thường xuyên, được mã hóa để bảo mật, với khả năng khôi phục đáng tin cậy và hoàn toàn độc lập với máy chủ lưu trữ web của bạn. Nhiều plugin sao lưu lưu trữ các bản sao lưu trên cùng một máy chủ với trang web của bạn, do đó, có nguy cơ bị ảnh hưởng bởi bất kỳ điều gì xảy ra với trang web trực tiếp của bạn. Sao lưu máy chủ web chỉ hoạt động trong các trường hợp tốt nhất, vì máy chủ web có thể rất vui khi xóa các trang web bị nhiễm phần mềm độc hại.
9. Chọn một máy chủ web tốt
Có một quan niệm sai lầm phổ biến rằng máy chủ web chịu trách nhiệm về việc lây nhiễm phần mềm độc hại, vì mọi người nhầm tưởng rằng máy chủ web không bảo mật máy chủ của họ. Ngược lại, máy chủ web sẽ mất rất nhiều thứ nếu phần mềm độc hại được phát hiện trên máy chủ của họ, và do đó bảo mật của họ thường kín nước.
Chúng tôi nói "thường" vì máy chủ web đôi khi cũng phải đối mặt với việc vi phạm dữ liệu. Vào tháng 11 năm 2021, GoDaddy đã có một vi phạm làm lộ SFTP và thông tin đăng nhập cơ sở dữ liệu của 1,2 triệu người dùng. Vì GoDaddy là một trong những máy chủ web lớn nhất, con số tương ứng là rất lớn.
Tuy nhiên đây là một ngoại lệ và không phải là quy tắc. Nói chung, các máy chủ web tốt có tường lửa mạng và rất nhiều cơ sở hạ tầng bảo mật khác để bảo vệ máy chủ của họ khỏi phần mềm độc hại.
Nếu bạn đang tìm kiếm một máy chủ web tốt, đây là những thứ bạn nên tìm kiếm:
- Cơ sở hạ tầng cập nhật
- Các chứng nhận và chính sách bảo mật đã xuất bản
- Các điều khoản và điều kiện rõ ràng, chẳng hạn như cách họ đối phó với phần mềm độc hại
- Hỗ trợ kịp thời
Chọn một nhà cung cấp dịch vụ lưu trữ web tốt cũng giống như việc xây dựng một nền tảng vững chắc cho trang web của bạn. Khi bạn đã có nó, bạn có thể quên nó đi.
10. Harden WordPress Security
Làm cứng WordPress là một thuật ngữ bảo vệ cho các biện pháp bạn có thể thực hiện để tăng cường bảo mật WordPress của mình. Nói một cách chính xác, việc đặt mật khẩu mạnh và sử dụng xác thực hai yếu tố về mặt kỹ thuật cũng đang làm khó WordPress, nhưng những điều đó có tác động to lớn đến bảo mật, trong khi những điểm này là tốt.
Có một số cách để thực hiện các biện pháp sau trên trang web của bạn. Nếu bạn cảm thấy thoải mái với việc viết mã, thì bạn có thể thực hiện chúng theo cách thủ công. Chúng tôi đã liên kết đến các bài báo cho bạn biết các bước chính xác cần thực hiện. Ngoài ra, bạn có thể sử dụng MalCare để áp dụng các biện pháp này cho bạn hoặc bảo vệ trang web WordPress của bạn khỏi các lỗ hổng đang bị khai thác.
- Chặn thực thi PHP trong thư mục / wp-uploads :Một tin tặc có thể tải một tệp PHP lên trang web của bạn, thực thi nó và chiếm quyền kiểm soát trang web của bạn. Loại hack này được biết đến như một cuộc tấn công thực thi mã từ xa. Thư mục / wp-uploads không cần phải có mã thực thi, vì vậy, việc chặn thực thi PHP sẽ ngăn chặn hoàn toàn kiểu tấn công này.
- Giới hạn số lần đăng nhập: Tin tặc sử dụng bot để thực hiện các cuộc tấn công vũ phu vào trang đăng nhập, thử nhiều mật khẩu khác nhau. Bạn có thể giới hạn số lần thử không chính xác mà người dùng có thể có tại một thời điểm, bằng cách tạm thời khóa người dùng hoặc triển khai hình ảnh xác thực. Biện pháp này làm giảm tổng số lần thử đoán mật khẩu chính xác của bot và bảo vệ trang web khỏi bị cưỡng bức.
- Tắt XML-RPC: Hàm XML-RPC là một hàm cũ được WordPress sử dụng để giao tiếp với các hệ thống khác. Nó hầu như đã được thay thế bởi REST API trong những năm gần đây, nhưng nó vẫn được đưa vào các phiên bản sau để tương thích ngược. Tuy nhiên, nó có thể được sử dụng để đăng nhập vào trang web và đó là lý do tại sao nó được coi là một lỗ hổng bảo mật.
Có rất nhiều bài báo nói về việc tăng cường WordPress để bảo vệ nó khỏi tin tặc. Một số biện pháp này hoạt động tốt; những người khác có tác động bảo mật tối thiểu trong khi cản trở khả năng sử dụng trang web của bạn. Sự đánh đổi thường không đáng giá. Chúng tôi sẽ đề cập đến một số biện pháp thuộc danh mục này trong phần sau.
11. Xóa mọi plugin hoặc chủ đề không sử dụng
Thỉnh thoảng, hãy xem lại danh sách các plugin và chủ đề đã cài đặt. Nếu chúng không được sử dụng tích cực, chúng có xu hướng bị bỏ qua để cập nhật. Sau đó, nếu các lỗ hổng được tìm thấy, chúng sẽ trở thành một liên kết yếu trong bảo mật WordPress của bạn.
Cách tốt nhất là xóa mọi chủ đề và plugin không sử dụng khỏi trang web WordPress của bạn. Ít nhất, hãy loại bỏ những cái đã ngừng hoạt động.
12. Thực hiện các chính sách quản lý người dùng
Tin tặc luôn sẵn sàng truy cập vào trang web của bạn và cách nhanh nhất, hiệu quả nhất để làm điều đó là giành quyền kiểm soát tài khoản quản trị viên. Họ cũng có thể truy cập vào tài khoản người dùng và nâng cấp tài khoản để cấp cho họ đặc quyền quản trị bằng cách sử dụng phần mềm độc hại, mặc dù điều này khó thực hiện hơn. Dù bằng cách nào, tài khoản người dùng có thể là một cổng vào trang web của bạn.
Vì lý do này, có các bước bạn nên thực hiện để đảm bảo không có tài khoản người dùng nào hiện bị xâm phạm và ngăn chúng bị xâm phạm trong tương lai:
- Cài đặt nhật ký hoạt động: Những thay đổi không mong muốn đối với người dùng, tệp, bài đăng, cài đặt, plugin, chủ đề hoặc bất kỳ phần nào khác của trang web có thể là dấu hiệu ban đầu của tài khoản người dùng bị xâm phạm. Trên thực tế, nhiều tin tặc lợi dụng việc ghi nhật ký không đủ để che giấu các hoạt động của họ.
- Đánh giá người dùng thường xuyên: Việc quản lý một trang web có thể thay đổi theo thời gian, giống như việc người viết và người biên tập đến và đi. Theo dõi người dùng và xóa bất kỳ người nào không còn cần truy cập vào trang web. Tài khoản người dùng không hoạt động có cùng mật khẩu như trước đây. Nếu họ sử dụng lại mật khẩu của mình ở nơi khác và đó là một phần của vi phạm, do đó trang web của bạn sẽ dễ bị tấn công.
- Thực hiện chính sách ít đặc quyền nhất: Đảm bảo chỉ cấp cho mỗi người dùng nhiều quyền truy cập mà họ yêu cầu vào trang web của bạn. Một nhà văn không cần quyền truy cập của quản trị viên cũng như không cần một biên tập viên. Giới hạn hoàn toàn số lượng người dùng quản trị viên.
Bạn có thể quản lý người dùng dễ dàng từ bên trong wp-admin. MalCare bao gồm nhật ký hoạt động như một phần trong các kế hoạch bảo mật của nó.
13. Sử dụng SFTP / SSH
Nếu bạn không quen với mã hoặc quản lý các tệp và thư mục của WordPress, bạn sẽ không cần phải thay đổi sang SFTP hoặc sử dụng SSH. Tuy nhiên, nếu bạn sử dụng FTP, hãy cân nhắc chuyển sang SFTP để thay thế.
Nó hoạt động giống hệt như FTP, ngoại trừ việc dữ liệu truyền đi được mã hóa và được truyền bằng SSH. Điều đó có nghĩa là dữ liệu không thể đọc được khi đang truyền, giống như cách SSL hoạt động để đảm bảo việc truyền dữ liệu qua HTTP.
14. Quản lý nhiều cài đặt WordPress
Có nhiều lý do tại sao có thể có nhiều hơn một cài đặt WordPress trong cùng một thư mục trang web. Có lẽ đó là một trang web dàn dựng, một miền phụ, hoặc thậm chí là một thiết kế cũ cuối cùng đã được thay thế bằng một thiết kế mới. Bất kể lý do là gì, cài đặt WordPress lồng nhau là một trong những nguyên nhân chính gây ra sự tái nhiễm phần mềm độc hại.
Các bản cài đặt WordPress cũ hơn có xu hướng có các lỗ hổng bảo mật dễ bị bỏ qua vì chúng không nằm trên trang web chính. Do đó, chúng rất dễ bị hack. Vì phần mềm độc hại dễ dàng lây lan giữa các tệp và thư mục WordPress, điều này dẫn đến trang web chính bị nhiễm.
Ngay cả khi quản trị viên xóa phần mềm độc hại khỏi trang web chính, trừ khi họ cũng làm như vậy đối với các cài đặt lồng nhau, phần mềm độc hại sẽ chỉ xuất hiện trở lại. Phần mềm độc hại wp-vcd là một ví dụ tuyệt vời về phần mềm độc hại nguy hiểm tuyệt đối không chịu nhúc nhích.
Những quan niệm sai lầm phổ biến về bảo mật WordPress
Có rất nhiều thông tin xấu có sẵn về bảo mật WordPress. Tất cả đều có mục đích tốt, nhưng tuy nhiên lại rất tệ. Là chuyên gia bảo mật, chúng tôi muốn lật tẩy một số quan niệm nghiêm trọng nhất mà chúng tôi đã thấy trôi nổi trên Internet.
WordPress không an toàn
Ngược lại, WordPress được phát triển tốt như một CMS an toàn. Rõ ràng là nó không bắt đầu là an toàn nhất, nhưng theo thời gian, các nút thắt bảo mật đã được loại bỏ. Các bản phát hành và bản vá đã được giải quyết và hiện nó là một trong những lựa chọn tốt nhất hiện có.
Lý do mà WordPress nhìn thấy nhiều hơn tỷ lệ tin tặc và phần mềm độc hại hợp lý là vì sự phổ biến rộng rãi của nó. Nhiều trang web hơn được cung cấp bởi WordPress, vì vậy việc tin tặc tìm thấy lỗ hổng bảo mật trong đó là điều hoàn toàn hợp lý, vì phần thưởng lớn hơn.
Trên thực tế, vì mối đe dọa tấn công thường xuyên này, WordPress đã loại bỏ nhiều vấn đề bảo mật vẫn tồn tại trong các CMS khác.
Máy chủ lưu trữ web của bạn chịu trách nhiệm về phần mềm độc hại trên trang web của bạn
Ít nhất, 95% trường hợp thì không. Các trang web chủ yếu bị tấn công vì lỗ hổng bảo mật hoặc mật khẩu bị xâm phạm. Cả hai thứ đó đều nằm trong quyền kiểm soát — và do đó là trách nhiệm — của chủ sở hữu và quản trị viên trang web.
Máy chủ web có rất nhiều thứ để mất nếu có phần mềm độc hại được phát hiện trên máy chủ của họ. Đó là lý do tại sao họ có thể rất vui khi tạm ngưng các trang web có chứa phần mềm độc hại.
Nhiều plugin bảo mật WordPress sẽ bảo vệ trang web của bạn tốt hơn
Chúng ta có thể thấy logic đằng sau quan niệm sai lầm này:nếu một plugin bảo mật tốt ở một khía cạnh và một plugin khác tốt ở khía cạnh khác, bằng cách sử dụng cả hai, tôi sẽ bao gồm tất cả các cơ sở của mình. Ồ không.
Chúng tôi đã thực hiện một loạt bài trong đó chúng tôi đã kiểm tra tất cả các plugin bảo mật chính khá kỹ lưỡng. iThemes Security, Jetpack và Sucuri đều không phát hiện được phần mềm độc hại trên các trang web bị tấn công của chúng tôi. Và đó chỉ là một ví dụ về thất bại.
Một plugin bảo mật — chúng tôi rõ ràng khuyên dùng MalCare — phải có khả năng quét, làm sạch và bảo vệ thành thạo để nó xứng đáng với danh hiệu plugin bảo mật. Wordfence xuất hiện sau một thời gian ngắn, nhưng nó sẽ tiêu hao tài nguyên máy chủ của bạn một cách hời hợt.
Tất cả lời khuyên về tăng cường độ cứng cho WordPress đều tốt
Đừng làm bất kỳ điều nào sau đây vì chúng gây ra nhiều vấn đề hơn là giải quyết hoặc chúng không hiệu quả như các biện pháp bảo mật:
- Ẩn số phiên bản WordPress
- Thay đổi url đăng nhập
- Thay đổi tiền tố cơ sở dữ liệu
Ngoài ra, hãy tránh những điều sau đây. Bạn không cần phải định cấu hình quá nhỏ các cài đặt bảo mật của mình, vì nó có thể trở thành vấn đề nếu bạn đang quản lý nhiều trang web.
- Chặn địa lý: Geoblocking liên quan đến việc đưa vào danh sách đen một loạt các IP tương ứng với vị trí địa lý mà bạn muốn loại bỏ trang web của mình. Nó có thể là một thành phố, một quốc gia hoặc một khu vực. Tuy nhiên, các IP không phải lúc nào cũng chính xác 100%, vì vậy bạn có thể sẽ không có được những khách truy cập mà bạn muốn. Hơn nữa, nếu bạn chặn một số quốc gia, các chương trình tìm kiếm hoạt động từ các quốc gia đó sẽ không thể lập chỉ mục trang web của bạn.
- Bảo vệ các tệp lõi riêng lẻ: Một tường lửa tốt sẽ giải quyết vấn đề này và một máy quét đáng tin cậy sẽ nhanh chóng tìm thấy phần mềm độc hại trong các tệp lõi của WordPress.
Trang web của tôi quá nhỏ để có thể bị tấn công
Các trang web có giá trị cho dù nó có hiển nhiên hay không. Tất cả các trang web đều có nội dung có thể được sử dụng cho nhiều mục đích. Chủ sở hữu trang web có xu hướng tin rằng các trang web nhỏ hơn bay dưới tầm ngắm của tin tặc. Đây không phải là sự thật. Mặc dù các trang web lớn hơn có nhiều giá trị hơn nhưng không phủ nhận hoàn toàn giá trị của một trang web nhỏ.
Ví dụ:một trang web nhỏ có thể không phải là một cửa hàng và do đó không có thông tin chi tiết về tài chính. Nhưng nó có thể được sử dụng như một phần của mạng botnet. Hoặc nó có thể có một phần nhỏ chuyên dụng sau đây, có thể bị khai thác để thực hiện các mưu đồ lừa đảo qua địa chỉ email của họ.
Bởi vì mọi người có xu hướng sử dụng cùng một mật khẩu cho các tài khoản khác nhau, về mặt lý thuyết có thể xâm nhập vào một trang web hoặc hệ thống khác bằng cách sử dụng thông tin này. Trang web của bạn đóng một vai trò nhỏ nhưng rất quan trọng trong chuỗi sự kiện này.
Tại sao bảo mật WordPress lại quan trọng?
Một trang web WordPress bị tấn công là một cơn ác mộng đối với tất cả mọi người có liên quan. Doanh nghiệp mất doanh thu và danh tiếng thương hiệu . Tin tặc có thể đánh cắp dữ liệu, danh tính và mật khẩu của khách truy cập trang web của bạn . Phần mềm độc hại có thể lây lan từ trang web của bạn sang các trang web và thiết bị khác. Bạn sẽ thấy thứ hạng SEO của mình giảm mạnh , Google có thể đưa trang web của bạn vào danh sách đen , máy chủ web của bạn có thể tạm ngưng tài khoản của bạn . Tất cả chỉ vì tin tặc và phần mềm độc hại của chúng.
Tác động của một trang web bị tấn công có thể dẫn đến hậu quả xấu trên diện rộng. Và những hậu quả đó không chỉ giới hạn ở các trang web riêng lẻ hoặc chủ sở hữu và quản trị viên của chúng, mà có những tác động sâu rộng.
Bài học rút ra
Bảo mật WordPress rất quan trọng vì nó bảo vệ trang web WordPress, doanh nghiệp của bạn, khách truy cập, máy chủ lưu trữ web của bạn và chính bạn khỏi thiệt hại mà phần mềm độc hại có thể gây ra cho mọi người. Tóm lại, bảo mật WordPress có nghĩa là bảo vệ góc Internet của bạn khỏi những kẻ xấu. Cách tốt nhất để làm điều đó là cài đặt một plugin bảo mật như MalCare.
Câu hỏi thường gặp
Các biện pháp bảo mật WordPress tốt nhất là gì?
Các biện pháp bảo mật WordPress tốt nhất là:
- Cài đặt một plugin bảo mật có thể quét và làm sạch phần mềm độc hại
- Cài đặt tường lửa để chặn lưu lượng truy cập xấu
- Quét trang web của bạn hàng ngày để tìm phần mềm độc hại
- Luôn cập nhật WordPress, plugin và chủ đề của bạn
- Triển khai xác thực hai yếu tố
- Đảm bảo rằng bạn sử dụng mật khẩu mạnh
- Cài đặt chứng chỉ SSL
Các yêu cầu bảo mật phải có là gì?
Yêu cầu bảo mật quan trọng nhất đối với một trang web WordPress là một plugin bảo mật tốt có thể quét và làm sạch phần mềm độc hại. Nó cũng có thể bảo vệ trang WordPress khỏi tin tặc bằng tường lửa.
Làm cách nào để bảo mật trang web WordPress của tôi?
Cách tốt nhất để bảo mật trang web WordPress của bạn là cài đặt một plugin bảo mật WordPress. MalCare là một plugin bảo mật tốt nhất trong lớp có thể phát hiện phần mềm độc hại trong các tệp trang web của bạn và trong cơ sở dữ liệu và làm sạch nó trong vài phút. Ngoài ra, một plugin bảo mật tốt sẽ đi kèm với tường lửa ngăn chặn lưu lượng truy cập độc hại khai thác các lỗ hổng trên trang web.
Tại sao bảo mật WordPress lại quan trọng?
Bảo mật WordPress rất quan trọng để bảo vệ trang web WordPress của bạn khỏi tin tặc muốn đánh cắp dữ liệu của bạn và của khách truy cập. Phần mềm độc hại gây ra hàng tỷ đô la doanh thu bị mất mỗi năm. Quản trị viên WordPress nên thực hiện các bước để bảo vệ trang web, dữ liệu và khách truy cập của họ khỏi những thiệt hại mà phần mềm độc hại có thể gây ra.
WordPress bảo mật như thế nào?
WordPress rất an toàn, tuy nhiên không có phần mềm nào chống được hack 100%. Điều đó bao gồm WordPress, các plugin và chủ đề của nó. Tuy nhiên, có thể bảo vệ khỏi bị tấn công bằng cách cài đặt một plugin bảo mật và bảo mật WordPress tốt hơn.