Có hơn 56.000 plugin trong thư mục WordPress vào lúc này, nhưng điều đó có nghĩa là mỗi plugin là một mối đe dọa bảo mật tiềm ẩn cho trang web WordPress của bạn? Không làm bạn sợ hãi ngay từ đầu, nhưng WordPress là hệ thống quản lý nội dung bị tấn công nhiều nhất và rất nhiều lỗ hổng WordPress đến từ các plugin. Trên thực tế, Cơ sở dữ liệu về lỗ hổng WPScan cho thấy trong số tất cả lỗ hổng WordPress, lỗ hổng do plugin gây ra chiếm tới 23% (trong khi chủ đề chỉ chiếm 3%). Bảo mật là một trong những điều quan trọng nhất bạn nên quan tâm khi bắt đầu xây dựng một trang web. Có rất nhiều thứ phải lo lắng, nhưng plugin WordPress có phải là một trong số đó không?
Hãy đi sâu hơn để tìm hiểu xem các plugin có thể khiến trang web của bạn dễ bị tấn công hay không.
Điều gì có thể khiến một trang web dễ bị tổn thương?
Điều đầu tiên trong con đường làm cho trang web WordPress của bạn an toàn là xác định những gì có thể khiến nó dễ bị tấn công ngay từ đầu để biết những rủi ro nào cần loại bỏ. Vì vậy, hãy cùng xem nhanh một số yếu tố phổ biến nhất có thể gây ra lỗ hổng bảo mật:
- Mật khẩu yếu - Mật khẩu phổ biến nhất của năm 2017 là '123456' và 'password', vì vậy việc tạo mật khẩu mạnh (ít nhất 8 ký tự, với số và ký hiệu, một mật khẩu cho mỗi tài khoản, v.v.), phải là quy tắc bảo mật thứ n. .
- Mã hóa kém - Đôi khi do thiếu kỹ năng, kinh nghiệm, thời gian, thử nghiệm hoặc nhiều yếu tố khác, bất kỳ nhà phát triển nào cũng có thể mắc lỗi trong khi viết mã hoặc không tập trung vào bảo mật nhiều như chức năng.
- Thiếu cập nhật - Các bản cập nhật thường cung cấp một số bản vá bảo mật, sửa lỗi và cung cấp cho bạn phiên bản hiện tại (có khả năng) tốt nhất hiện có, vì vậy, các bản cài đặt lỗi thời dễ bị tấn công hơn.
- Chủ đề và plugin không an toàn - Các plugin và chủ đề là một số thành phần hàng đầu của các lỗ hổng WordPress. Chúng có thể gây ra lỗ hổng bảo mật theo nhiều cách - do lỗi thời; được xây dựng bởi các nhà phát triển thiếu kinh nghiệm; không tương thích với phiên bản WordPress mới nhất và nhiều phiên bản khác.
Làm cách nào để biết một plugin có an toàn không?
Vì các plugin có thể là nguyên nhân gây ra lỗ hổng bảo mật, điều quan trọng là phải tìm ra những plugin không đóng vai trò là cửa ngõ cho những tin tặc xấu lớn. Như đã nói trước đây, thư mục plugin WordPress hiện có hơn 50.000 plugin và thậm chí còn có sẵn ở khắp mọi nơi trên web, vậy làm thế nào để biết cái nào là an toàn để sử dụng? Tôi đã tạo một danh sách kiểm tra những điều bạn nên chú ý trước khi sử dụng một plugin mới.
Nguồn uy tín
Điều quan trọng là chỉ tải xuống các plugin từ các nguồn đáng tin cậy. Ví dụ:Truy cập các tài nguyên phổ biến và đáng tin cậy như WPMayor để khám phá các plugin có uy tín.
Số lượng cài đặt đang hoạt động
Nếu nhiều người đã cài đặt plugin, đó là một chỉ báo tốt về mức độ phổ biến của nó và kết hợp với các điểm khác trong danh sách kiểm tra, cho sự hài lòng chung về nó. Ví dụ:Plugin SEO WordPress phổ biến nhất Yoast SEO có hơn 5 triệu lượt cài đặt đang hoạt động tại thời điểm này.
Xếp hạng
Xếp hạng cao có nghĩa là những người cài đặt plugin thực sự thích nó và nó có thể không gây ra vấn đề nghiêm trọng. Để chắc chắn hơn, bạn luôn có thể kiểm tra phần nhận xét (nếu có) để xem chính xác những gì mọi người thích và không thích. Ví dụ:Slider Revolution là một trong những plugin WordPress bán chạy nhất với xếp hạng trung bình là 4,79, đây là một lựa chọn tốt.
Cập nhật mới nhất
Luôn kiểm tra xem các bản cập nhật có được phát hành thường xuyên hay không và bản cập nhật mới nhất có được phát hành gần đây hay không. Có một số cách để kiểm tra điều này, nhưng thông thường, có một phần trên trang web của plugin cụ thể nơi bạn có thể xem tất cả các bản phát hành, ngày tháng và thông tin quan trọng khác. Ví dụ:Caldera Forms đăng các bài viết sau khi cập nhật mô tả các tính năng mới, các bản sửa lỗi và thông tin chung về plugin trong phiên bản hiện tại của nó.
Khả năng tương thích với phiên bản WordPress mới nhất
Plugin phải tương thích với phiên bản mới nhất của WordPress. Một cách để kiểm tra đó là trong wordpress.org nếu plugin bạn quan tâm được tìm thấy ở đó. Ví dụ:Plugin WooCommerce tương thích với WordPress phiên bản 4.7 trở lên và nó được thử nghiệm lên đến phiên bản 4.9.8 (là phiên bản hiện tại).
Tính khả dụng của Hỗ trợ
Điều quan trọng là phải kiểm tra xem có kênh hỗ trợ cho plugin hay không, vì đó là một dấu hiệu rất lớn về thực tế, rằng các nhà phát triển plugin quan tâm đến những gì người dùng nghĩ và muốn trợ giúp. Ví dụ:BlogVault có một hệ thống vé dễ tìm và sử dụng trong trang web của họ cũng như tài liệu rộng rãi.
Khả năng tương thích
Đảm bảo rằng plugin không gây ra xung đột với các plugin khác. Bạn có thể kiểm tra các nhận xét hoặc đánh giá của người dùng để xem liệu có khiếu nại hay không. Các tác giả của plugin cũng đặt tên cho các plugin tương thích khá thường xuyên. Tất cả các vấn đề về khả năng tương thích có thể là một trở ngại nghiêm trọng để có được trang web mà bạn muốn. Ví dụ:WPML có một nhóm tương thích đảm bảo rằng WPML hoàn toàn tương thích với các chủ đề và plugin WordPress khác nhau.
Tài liệu
Điều này thường chứa giải thích chi tiết (và hướng dẫn) về các tính năng, ghi chú phát hành và thông tin quan trọng khác về plugin có thể hữu ích. Ví dụ:Visual Composer có một trong những tài liệu và video hướng dẫn được đánh giá cao nhất cho người mới bắt đầu cũng như nhà phát triển và được cập nhật thường xuyên.
Quét bảo mật
Nếu bạn thực sự không chắc chắn, hãy thử chạy nó qua quá trình quét bảo mật. Ví dụ:Một trong những plugin bảo mật WordPress tốt nhất là MalCare. Nó phát hiện phần mềm độc hại, phần mềm lỗi thời, trạng thái danh sách đen, giúp bạn làm sạch trang web và thực hiện các biện pháp củng cố trang web.
Những plugin nào cần chú ý?
Ngoài danh sách kiểm tra, có một số plugin cụ thể đã được gắn nhãn là không an toàn hoặc có lỗ hổng bảo mật. Các plugin có thể đã lỗi thời hoặc có phiên bản có nhiều lỗ hổng, vì vậy, có một số trang web bạn có thể truy cập để xem thông tin mới nhất về sự an toàn trong môi trường WordPress bao gồm danh sách plugin không an toàn, các lỗ hổng cụ thể và trạng thái của chúng (nếu có đã được sửa hay chưa), các phiên bản của plugin chứa các lỗ hổng nghiêm trọng và thông tin quan trọng hơn.
Dưới đây là danh sách các tài nguyên cần xem:
- mining-db - Cơ sở dữ liệu khai thác là “một kho lưu trữ các hoạt động khai thác công khai và phần mềm dễ bị tấn công tương ứng”.
- cvedetails - Cơ sở dữ liệu lỗ hổng bảo mật.
- pluginvulnerabilities - Dịch vụ bảo vệ bạn khỏi các lỗ hổng plugin theo nhiều cách.
Cách bảo mật dữ liệu của bạn?
Khi bạn nghĩ rằng trang web của mình là an toàn, luôn có khả năng kẻ tấn công thông minh hơn hoặc tìm ra cách mới để gây rối dữ liệu của bạn. Để tránh điều đó, có một số điều quan trọng bạn nên cân nhắc thực hiện - cập nhật thường xuyên và sao lưu. Hãy coi đây là câu thần chú bảo mật của WordPress vì đây là điều ít nhất bạn có thể làm để bảo vệ trang web của mình.
Cập nhật thường xuyên
Vào năm 2017, 39,3% trang web WordPress bị tấn công có phiên bản lỗi thời, vì vậy bạn có thể thấy rằng cài đặt lỗi thời có thể khiến trang web của bạn dễ bị tấn công hơn. Để làm cho bạn cảm thấy tốt hơn (hoặc an toàn hơn) trong năm 2016, con số này là 61% , nhưng điều đó không có nghĩa là bạn nên kéo dài thời gian WordPress lỗi thời.
Lõi WordPress không phải là lõi duy nhất có thể có lỗ hổng bảo mật. Như đã nêu trước đây, một phần lớn các vụ hack xảy ra do lỗ hổng trong plugin và chủ đề, vì vậy nếu có sẵn bản cập nhật, có thể là do lỗ hổng bảo mật đã được tìm thấy và các nhà phát triển đã loại bỏ nó trong bản phát hành tiếp theo. Việc bỏ lỡ bản cập nhật có nghĩa là tạo cơ hội cho những kẻ tấn công khai thác lỗ hổng bảo mật và tấn công trang web của bạn.
Sao lưu
Unfortunately, most people don’t think of backups unless they’ve experienced a situation when they have lost their data and have no way to retrieve it. There are many reasons you should always back up your site – issues with hosting, update complication, common hack attacks, and, many more.
It is not uncommon that people lose all of their data thanks to any of these reasons and restoring it can be a long and tedious process if it’s even possible. One of the best solutions to always be sure that you don’t lose data and it can easily be restored is regular backups, obviously.
Making regular backups might seem like a time-consuming thing at first, considering that it is advised to make backups frequently (as often as once a day), but there are services that make the process substantially easier and quicker.
So, Are Plugins Safe?
Ultimately, your WordPress site is as secure as you make it. There are many things that can make your WordPress site vulnerable, and yes, plugins are one of them, but it all comes down to the decisions you make while choosing a WordPress security plugin and dealing with the security of your site in general. There are simple steps you can take to really secure your website, so if you choose the plugins that are safe, update all installations and backup regularly, there is nothing to worry about.
Have you ever faced security issues on your WordPress installation that were related to plugins? Hãy cho chúng tôi biết trong phần bình luận!
Author of the Post: Irma Edite Girupniece is a video making machine who still believes she’s going to be an astronaut one day.