Sai lầm về bảo mật WordPress: Bạn có biết rằng mỗi phút có khoảng 90,978 lần tấn công được thực hiện trên các trang web WordPress không? Khi trang web của bạn bị tấn công, tin tặc sẽ sử dụng nó để thực hiện tất cả các loại hoạt động độc hại như gửi email spam (đọc - lừa đảo qua mạng), tấn công các trang web khác, đưa liên kết spam, chuyển hướng khách truy cập, v.v.
Đây là lý do tại sao chủ sở hữu trang web WordPress như bạn phải xem xét các mối quan tâm về bảo mật của họ một cách nghiêm túc. Không có viên đạn bạc nào mà bạn có thể sử dụng để giải quyết tất cả các nhu cầu bảo mật của mình, mà thay vào đó, bạn cần thực hiện nhiều việc một cách chính xác. Trên internet, có vô số lời khuyên về cách giữ cho trang web của bạn an toàn và bảo mật. Một số trong số đó là những lời khuyên trái ngược nhau và một số chỉ là lỗi thời. Nhiều ý kiến về những gì chủ sở hữu trang web nên làm và không nên làm gây nhầm lẫn và giữa tất cả sự nhầm lẫn đó, sai lầm là không thể tránh khỏi.
Duy trì tính bảo mật của một trang web không phải là một công việc dễ dàng, đặc biệt là đối với những chủ sở hữu trang web mới, những người dễ mắc lỗi khiến họ dễ bị tấn công bởi các cuộc tấn công hack thông thường. Biết những lỗi bảo mật phổ biến mà chủ sở hữu trang web mắc phải sẽ giúp tránh chúng. Và đó là lý do tại sao chúng tôi đưa ra danh sách này để có thể ngăn chặn những sai lầm mà hầu hết các chủ sở hữu trang web WordPress mắc phải.
Những sai lầm hàng đầu về bảo mật WordPress mà Chủ sở hữu trang web mắc phải:
Chúng tôi khuyên bạn nên chạy kiểm tra bảo mật WordPress trước khi thực hiện bất kỳ biện pháp nào bên dưới -
1. Không cập nhật WordPress Core, Plugin &Themes
Luôn cập nhật lõi và tiện ích bổ sung của WordPress (tức là chủ đề và plugin) là một biện pháp bảo mật tốt. Cập nhật chúng không chỉ thêm nhiều tính năng hơn cho trang web mà còn giúp vá các lỗ hổng bảo mật. Do hệ sinh thái mà WordPress hoạt động, tin tức về các lỗ hổng bảo mật lan truyền rất nhanh và hacker cố gắng tận dụng tình hình. Nếu bạn không cập nhật trang web đã giúp vá lỗ hổng bảo mật, thì trang web của bạn sẽ trở nên dễ dàng bị xâm nhập.
Trong khi một số chủ sở hữu trang web không cập nhật trang web của họ vì họ không biết cách cập nhật được liên kết với bảo mật, những người khác sợ không tương thích. Các trang web WordPress có thể bị hỏng sau khi cập nhật lõi WordPress và các tiện ích bổ sung của nó.
Các bản nâng cấp của WordPress được thiết kế để tương thích với tất cả các phiên bản trước đó. Vì vậy, nếu trang web của bạn đang chạy phiên bản 4.1, bạn vẫn có thể cập nhật nó lên phiên bản mới nhất, chẳng hạn như 4.9. Nhưng bất chấp tất cả các biện pháp phòng ngừa, mỗi bản cập nhật đều mang đến tin tức về sự cố trang web. Dưới đây là một ví dụ từ phiên bản WordPress mới nhất 4.9.6.
Bạn có thể gặp phải các sự cố tương tự khi cập nhật tiện ích bổ sung WordPress, tức là chủ đề và plugin. Thường thì vấn đề không tương thích phát sinh trong các chủ đề và plugin do nhà phát triển đã vội vàng phát hành bản cập nhật mới hoặc có lẽ nhà phát triển không đủ năng lực. Các plugin và chủ đề có một thị trường thực sự cạnh tranh và trong nỗ lực để nổi bật so với phần còn lại, các nhà phát triển được thúc đẩy để thêm ngày càng nhiều tính năng mới trong khoảng thời gian ngắn nhất. Đôi khi họ không có đủ thời gian để xem liệu phiên bản có tương thích với mọi phiên bản WordPress trước đó hay không. Và vì vậy, nếu ai đó đang sử dụng phiên bản WordPress rất sớm và cập nhật một plugin chỉ hoạt động với một vài phiên bản WordPress mới nhất, trang web của anh ta sẽ bị hỏng.
Những lo ngại xung quanh vấn đề tương thích giữa WordPress Core và tiện ích bổ sung có thể khiến chủ sở hữu trang web bỏ qua các bản cập nhật bảo mật.
Cách khắc phục sự cố này: Một dịch vụ dàn dựng có thể giải quyết vấn đề này. Quá trình tạo trang web trùng lặp với mục đích kiểm tra cài đặt lõi WordPress và các tiện ích bổ sung của nó được gọi là Staging. Các dịch vụ sao lưu như BlogVault hoặc thậm chí các nhà cung cấp dịch vụ lưu trữ web như Kinsta đều cung cấp môi trường dàn dựng. Kiểm tra với máy chủ lưu trữ web của bạn hoặc các dịch vụ sao lưu (nếu bạn đang sử dụng) để xem liệu họ có tùy chọn để phân chia một trang web hay không. Nếu không, hãy đăng ký với một dịch vụ cho phép bạn phân chia một trang web.
Bên cạnh việc cập nhật các plugin, chủ đề và lõi của bạn, chúng tôi thực sự khuyên bạn nên cập nhật các muối và khóa bảo mật WordPress của mình.
2. Sử dụng Tiện ích bổ sung Chất lượng kém
Không phải tất cả các plugin và chủ đề WordPress đều được tạo tốt. Một số bỏ qua việc kiểm tra đảm bảo chất lượng, trong khi một số khác được phát triển bởi các lập trình viên nghiệp dư. Điều quan trọng là người dùng phải chú ý đến những gì họ chọn sử dụng hoặc mua. Nhưng thật không may, nhiều người dùng WordPress không có bất kỳ kiến thức kỹ thuật nào khiến họ không thể tìm ra plugin hoặc chủ đề tốt như thế nào.
Cách khắc phục sự cố này: Để giúp những người dùng như vậy, chúng tôi đã liệt kê một số đặc điểm sẽ giúp tìm ra một chủ đề hoặc plugin tốt:
tôi. Đảm bảo rằng bạn nhận được các tiện ích bổ sung từ nguồn có uy tín như kho chứa Plugin WordPress hoặc người bán phổ biến như Elegant Themes, Themeforest, v.v.
ii. Đảm bảo các tiện ích bổ sung có xếp hạng tốt trên kho lưu trữ WordPress và được những người đã sử dụng chủ đề / plugin trên trang web của họ đánh giá . Tìm kiếm nhanh trên Google sẽ giúp bạn tìm thấy các đánh giá.
iii. Xác minh rằng plugin đã có từ lâu và đã đứng trước thử thách của thời gian. Tìm các bản cập nhật bảo mật và bản sửa lỗi được liệt kê trong kho lưu trữ WordPress hoặc trang web chính thức.
iv. Và đảm bảo rằng chúng thường xuyên được cập nhật và bản cập nhật gần đây đã được thực hiện cách đây chưa đầy 2 tháng.
3. Sử dụng Chủ đề &Plugin Bất hợp pháp
Rất nhiều trang web bán các chủ đề và plugin cao cấp miễn phí. Việc sử dụng các sản phẩm miễn phí này có thể gây ra thảm họa vì nhiều tiện ích bổ sung WordPress này có phần mềm độc hại được cố tình tiêm vào chúng. Việc cài đặt các tiện ích bổ sung bất hợp pháp này vào các trang web của bạn giống như mở cửa và mời tin tặc vào trang web của bạn. Sau khi kẻ tấn công cố gắng đột nhập vào trang web của bạn bằng mã xấu trong chủ đề / plugin bạn vừa cài đặt, chúng sẽ sử dụng trang web của bạn để thực hiện một số hoạt động độc hại như gửi email spam hoặc tấn công các trang web khác. Hơn nữa, việc có phần mềm độc hại trên trang web của bạn được coi là bị xâm phạm khiến các nhà cung cấp dịch vụ lưu trữ tạm ngưng các công cụ tìm kiếm tài khoản của bạn như Google để đưa trang web của bạn vào danh sách đen và tạm ngưng tài khoản AdWords của bạn.
Cách khắc phục sự cố này: Mua các chủ đề và plugin gốc từ các thị trường phổ biến như ThemeForest, Elegant Themes, v.v. Trong thời gian bán, người ta có thể mua các chủ đề và plugin với giá thấp hơn nhiều. Người ta có thể tìm kiếm các trang web chính thức của chủ đề hoặc plugin mà chúng tôi lựa chọn.
4. Giữ các plugin &chủ đề không được sử dụng trên trang web của bạn
Giữ các chủ đề và plugin không sử dụng trên trang web tạo cơ hội cho tin tặc xâm nhập vào trang web của bạn. Nhiều chủ sở hữu trang web không cập nhật các tiện ích bổ sung không hoạt động vì họ không biết về các lợi ích bảo mật. Đối với họ, các bản cập nhật mang lại các tính năng mới và vì họ không sử dụng plugin nên họ nghĩ rằng họ không cần các tính năng mới. Nếu bản cập nhật được phát hành để vá lỗ hổng bảo mật thì trang web của bạn vẫn gặp rủi ro cho đến khi bạn cập nhật nó.
Cách khắc phục sự cố này: Giải pháp duy nhất ở đây là loại bỏ các chủ đề và plugin WordPress không hoạt động. Đây là cách thực hiện:
Truy cập trang 'plugin đã cài đặt' từ bảng điều khiển WordPress trên trang web của bạn.
Trong trang, có một tùy chọn được gọi là ‘không hoạt động.’ Hãy chọn tùy chọn đó.
Nó sẽ dẫn đến một trang khác từ đó bạn có thể xóa các plugin không hoạt động . Nhưng trước khi nhấn vào nút "không hoạt động", chúng tôi khuyên bạn nên đảm bảo rằng bạn sẽ không yêu cầu plugin cụ thể đó trong tương lai gần.
5. Sử dụng Thực tiễn Đăng nhập Trang web Không hợp lệ
Hai phương pháp đăng nhập phổ biến và rất nguy hiểm là sử dụng thông tin đăng nhập dễ đoán và không đăng xuất khi trang web không được sử dụng. Chương trình của những kẻ tấn công cố gắng đăng nhập vào trang web của bạn bằng cách sử dụng kết hợp tên người dùng dễ nhớ (như quản trị viên) và mật khẩu (như password123) để tấn công trang web. Phương pháp hack trang web đặc biệt này được gọi là tấn công vũ phu.
Cách khắc phục sự cố này: Bạn nên sử dụng tên người dùng và mật khẩu duy nhất (nên đọc - Hướng dẫn bảo vệ trang đăng nhập WordPress). Một nhược điểm ở đây là thông tin đăng nhập duy nhất rất khó nhớ. Do đó, bạn phải duy trì một tài liệu mang các thông tin xác thực này. Và đảm bảo rằng tài liệu được mã hóa để ngăn chặn truy cập trái phép.
6. Cấp cho mọi người dùng quyền truy cập quản trị viên
Đặt mọi công dụng làm quản trị viên là một ý tưởng tồi, đặc biệt là đối với các trang web có số lượng lớn người dùng mà chủ sở hữu trang web không hề quen biết. WordPress cho phép chủ sở hữu trang web chỉ định các vai trò sau đây cho người dùng - Quản trị viên, Biên tập viên, Tác giả, Cộng tác viên, Người đăng ký, Trình quản lý SEO, Biên tập viên SEO. Sẽ rất rủi ro khi đặt mọi người là Quản trị viên vì nó cấp quyền truy cập vào tất cả các khu vực của trang web.
Việc cung cấp cho người dùng quyền truy cập không hạn chế vào toàn bộ trang web dẫn đến việc khai thác như đã thấy trong trường hợp này với TechCrunch (một trang web công nghệ nổi tiếng) đã bị tấn công bởi OurMine (một nhóm tin tặc). Sau khi có quyền truy cập vào tài khoản người dùng, OurMine đã có thể đăng trên trang web. Đây là ảnh chụp màn hình trang chủ khi người đọc thức dậy sau khi TechCrunch bị tấn công:
Cách khắc phục sự cố này: Mỗi vai trò người dùng trên WordPress chỉ cho phép truy cập vào các khu vực cụ thể của trang web. Dựa trên những gì bạn cần người dùng thực hiện trên trang web của mình, bạn có thể chỉ định các vai trò này. Tuân theo nguyên tắc này đảm bảo rằng chỉ những người bạn tin tưởng mới có thể truy cập toàn bộ trang web. Và nếu có gì sai, bạn biết ai là người phải chịu trách nhiệm.
7. Không sao lưu
Sao lưu là mạng lưới an toàn của bạn. Không có thiết bị tại chỗ có thể khiến bạn gặp rắc rối khi thảm họa xảy ra. Nếu trang web của bạn bị tấn công và bài đăng bị xóa, bạn có thể dễ dàng khôi phục trang web của mình trở lại bình thường bằng cách sử dụng các bản sao lưu. Nhưng chỉ sử dụng bất kỳ dịch vụ sao lưu nào là không nên vì nhiều dịch vụ sao lưu không hiệu quả. Đối với các trường hợp, nhiều plugin dự phòng lưu trữ các bản sao lưu trong máy chủ web của bạn. Một số người trong số họ lưu trữ các bản sao lưu ở một nơi duy nhất. Máy chủ trang web của bạn không phải là nơi lý tưởng để lưu trữ các bản sao lưu vì máy chủ sẽ gánh vác trách nhiệm sao lưu thay vì thực hiện các quy trình thông thường. Nó làm giảm tốc độ trang web của bạn. Chỉ lưu trữ một bản sao lưu có nghĩa là nếu bạn mất bản sao lưu đó, bạn sẽ không có bản sao lưu nào khác để lấy lại.
Cách khắc phục sự cố này: Trước khi chọn một dịch vụ sao lưu, hãy kiểm tra các tính năng để xem nơi chúng lưu trữ các bản sao lưu. Nếu bạn không thể tìm thấy thông tin thích hợp, hãy gửi cho họ một thư hỏi trực tiếp về nơi họ lưu trữ các bản sao lưu và liệu họ có lưu trữ nó ở nhiều vị trí hay không. Để biết thêm về cách chọn bản sao lưu đáng tin cậy, hãy xem bài đăng này.
8. Không sử dụng dịch vụ bảo mật
Nhiều chủ sở hữu trang web, đặc biệt là những người có trang web nhỏ thu hút lưu lượng truy cập thấp hơn cho rằng trang web của họ không đáng kể và do đó sẽ không thu hút sự chú ý của tin tặc. Nhưng tin tặc ngày nay có rất nhiều lý do để tấn công một trang web nhỏ. Họ có thể sử dụng nó để lưu trữ tệp hoặc gửi thư rác cùng những thứ khác. Trên thực tế, nhiều nhóm tấn công thích tấn công trang web nhỏ vì các trang web nhỏ lỏng lẻo về bảo mật và do đó dễ bị tấn công hơn. Họ khởi động các cuộc tấn công brute force lớn trong đó các bot cố gắng đoán đúng tên người dùng và thông tin đăng nhập để đột nhập vào một trang web. Một trong những kỹ thuật hack được ưa thích nhất liên quan đến việc tận dụng các plugin và chủ đề dễ bị tấn công.
Cách khắc phục sự cố này: Dịch vụ bảo mật tiêu chuẩn cung cấp các tính năng bảo mật thiết yếu như Tường lửa WordPress giúp ngăn chặn tin tặc xâm nhập vào trang web của bạn.
Bên cạnh việc thực hiện các biện pháp trên để sửa chữa trang web của mình, bạn có thể thực hiện một số biện pháp bảo mật khác. Chúng tôi thực sự khuyên bạn nên làm theo hướng dẫn này - Bảo mật trang web WordPress của bạn với wp-config.php.
Bất cứ khi nào lỗ hổng trong plugin hoặc các chủ đề hoặc thậm chí là phần lõi xuất hiện, các nhà phát triển sẽ phát hành bản vá thông qua bản cập nhật. Do đó, việc cập nhật tất cả các chủ đề, plugin và lõi WordPress của bạn là một phương pháp bảo mật tốt. MalCare - một trong những plugin bảo mật WordPress tốt nhất hiện có cung cấp tính năng Quản lý trang web cho phép bạn cập nhật các plugin, chủ đề và lõi WordPress từ bảng điều khiển MalCare. Nó đặc biệt hữu ích cho những người có nhiều trang web cần duy trì. Đăng nhập vào từng trang web và cập nhật các chủ đề, plugin và cốt lõi là một công việc tốn nhiều thời gian. Các dịch vụ như MalCare giúp chủ sở hữu trang web tuân theo các phương pháp bảo mật tốt dễ dàng hơn.
Bên cạnh tường lửa và quản lý trang web, một plugin bảo mật cũng cung cấp dịch vụ quét hàng ngày. Nếu trang web của bạn bị nhiễm phần mềm độc hại, plugin sẽ giúp bạn sửa chữa trang web bị tấn công. Nếu bạn cảm thấy thoải mái hơn với một nhóm cung cấp dịch vụ bảo trì trang web WordPress trực tiếp cho bạn để quản lý toàn bộ bảo mật trang web của bạn, WP Buffs sẽ là một lựa chọn tuyệt vời. Họ chăm sóc các bản cập nhật, bảo mật, tốc độ trang web và các chỉnh sửa liên tục bất kể bạn đang quản lý 1 trang web hay 1000 trang web!
Tiếp theo là gì?
Sử dụng một plugin bảo mật tốt cho WordPress là bước đầu tiên để xây dựng một trang web an toàn hoặc giữ cho WordPress an toàn. Một số biện pháp bảo mật khác mà bạn có thể thực hiện bao gồm chặn IP, bảo vệ trang đăng nhập và làm theo hướng dẫn đầy đủ này về bảo mật WordPress để tìm hiểu thêm cách bảo mật trang web WordPress của bạn.
Nếu bạn đã từng phạm phải bất kỳ lỗi nào trong số những lỗi này trong quá khứ, hy vọng rằng bài đăng đã giúp bạn biết được bạn đã làm gì sai và cách khắc phục chúng. Chúng tôi hoan nghênh bất kỳ câu hỏi nào mà bạn có thể có liên quan đến những lỗi bảo mật WordPress này và các bản sửa lỗi của chúng. Vui lòng liên hệ với chúng tôi qua trang liên hệ của chúng tôi.