Bạn đang băn khoăn về cách triển khai các bản cập nhật bảo mật trên trang web WordPress của mình một cách an toàn?
Cập nhật bảo mật là cực kỳ quan trọng. Sự chậm trễ trong việc triển khai các bản cập nhật có thể khiến trang web của bạn bị tấn công. Nhưng nhiều lần cập nhật có thể gây ra các vấn đề về tính tương thích và có thể làm hỏng trang web của bạn.
Đó là một tình huống đáng chú ý.
May mắn thay, có một cách để cập nhật trang web của bạn mà không làm hỏng nó. Tất cả những gì bạn cần làm là sử dụng một trang web dàn dựng để kiểm tra các bản cập nhật và sau đó triển khai chúng trên trang web trực tiếp.
Trong bài viết này, chúng tôi sẽ hướng dẫn bạn từng bước trong quá trình cập nhật trang web của bạn một cách an toàn.
TL; DR: Để cập nhật trang web của bạn một cách an toàn, hãy sử dụng Plugin sao lưu &dàn dựng BlogVault. Nó sẽ tạo một bản sao của trang web trực tiếp của bạn (được gọi là trang web dàn dựng). Trên trang web dàn dựng, bạn có thể kiểm tra các bản cập nhật của WordPress, chủ đề và plugin mà không ảnh hưởng đến trang web trực tiếp của bạn. Khi bạn hài lòng rằng mọi thứ hoạt động tốt, bạn có thể hợp nhất các thay đổi từ giai đoạn sang trang web trực tiếp của mình.
Cập nhật bảo mật là gì? Tại sao chúng lại quan trọng?
Cập nhật là phiên bản mới của phần mềm thay thế phiên bản cũ. Giống như bất kỳ phần mềm nào khác, WordPress và các chủ đề cũng như plugin của nó cũng nhận được các bản cập nhật thường xuyên.
Có 5 loại cập nhật:bản vá bảo mật, sửa lỗi, tính năng mới, khả năng tương thích và cập nhật hiệu suất.
Tất cả các bản cập nhật đều mang lại lợi ích cho trang web của bạn, tuy nhiên, các bản cập nhật bảo mật là những bản quan trọng nhất.
Điều này là do bất kể phần mềm được xây dựng tốt đến đâu, phần mềm đó có xu hướng phát triển các lỗ hổng bảo mật theo thời gian có thể bị lợi dụng để tấn công trang web. Khi các nhà phát triển phần mềm tìm hiểu về nó, họ sẽ nhanh chóng sửa chữa lỗ hổng bảo mật và phát hành bản vá thông báo về bản cập nhật bảo mật.
Nếu chủ sở hữu trang web trì hoãn cập nhật plugin, chủ đề hoặc bản cập nhật cốt lõi của WordPress, thì lỗ hổng bảo mật vẫn còn, sẵn sàng bị khai thác bởi tin tặc. Do đó, điều quan trọng là phải cập nhật trang web của bạn.
Để hiểu tầm quan trọng của các bản cập nhật bảo mật trong WordPress, bạn cần giải quyết các lỗ hổng WordPress phổ biến ảnh hưởng đến các trang web WordPress.
Các lỗ hổng WordPress phổ biến:
Các lỗ hổng WordPress phổ biến nhất như sau:
i. Lỗ hổng chèn SQL
Trong mỗi trang web WordPress, có các trường đầu vào như biểu mẫu liên hệ, phần nhận xét, tìm kiếm, v.v. Các trường này thường được kích hoạt bởi một plugin. Sau khi khách truy cập chèn dữ liệu vào các trường này, dữ liệu sẽ được lưu trữ trong cơ sở dữ liệu của trang web. Để giữ cơ sở dữ liệu an toàn, các trường đầu vào đảm bảo rằng dữ liệu được xác minh và làm sạch trước khi gửi đến cơ sở dữ liệu.
Ví dụ:một biểu mẫu liên hệ tốt nhất nên chấp nhận tên, số điện thoại và địa chỉ email. Nhưng nếu nó không được định cấu hình đúng cách để làm sạch dữ liệu do khách truy cập nhập vào, nó sẽ dễ bị chèn SQL.
Điều này có nghĩa là một tin tặc có thể đóng giả là một khách truy cập và chèn một mã độc hại sẽ được lưu trữ trong cơ sở dữ liệu. Tin tặc có thể thực thi đoạn mã sau để lấy cắp thông tin từ cơ sở dữ liệu và giành quyền truy cập vào trang web của bạn.
ii. Lỗ hổng về kịch bản trên nhiều trang web
Tương tự như SQL injection, các plugin có thể phát triển các lỗ hổng XSS kịch bản trang chéo. Mặc dù tin tặc sử dụng lỗ hổng này để giành quyền kiểm soát trang web của bạn, họ cũng có thể sử dụng lỗ hổng này để trích xuất dữ liệu từ khách truy cập của bạn.
Giả sử rằng một lỗ hổng tập lệnh trên nhiều trang web trong plugin nhận xét cho phép tin tặc chèn một liên kết độc hại vào trang web của bạn. Khi khách truy cập, không biết về mục đích xấu của liên kết nhấp vào liên kết đó, liên kết sẽ yêu cầu khách truy cập cho phép truy cập cookie trình duyệt của họ.
Đối với khách truy cập, nó có thể giống như trang web đang yêu cầu sự cho phép. Rất có thể họ sẽ mắc lừa và cho phép truy cập vào cookie trình duyệt của họ. Cookie chứa thông tin nhạy cảm như thông tin đăng nhập, thông tin xác thực ngân hàng điện tử, v.v.
iii. Khai thác Hack dược
Việc khai thác hack dược phẩm được sử dụng để bán hoặc quảng bá ma túy bất hợp pháp.
Tin tặc lợi dụng lỗ hổng trong plugin hoặc chủ đề hoặc cốt lõi của trang web của bạn để giành quyền truy cập vào trang web của bạn. Sau đó, họ tìm các trang xếp hạng cao nhất của bạn và đưa quảng cáo cho các loại thuốc bất hợp pháp như viagra, cialis, levitra, v.v.
Các trang của bạn sẽ sớm bắt đầu xếp hạng cho các sản phẩm dược phẩm bất hợp pháp.
Và khi khách truy cập vào trang web của bạn, họ nhấp vào quảng cáo và được chuyển hướng đến trang web của tin tặc.
Pharma tấn công chiếm đoạt các nỗ lực SEO của bạn và khiến khách truy cập của bạn mất đi.
iv. Khai thác cửa sau
Cửa hậu là một điểm vào ẩn trên trang web của bạn. Nó thường được tìm thấy trong các plugin và chủ đề vi phạm bản quyền.
Nhiều chủ sở hữu trang web sử dụng phần mềm vi phạm bản quyền vì họ không có khả năng mua phiên bản gốc. Nhưng phần mềm vi phạm bản quyền thường đi kèm với một cửa hậu được cài đặt sẵn. Điều này có nghĩa là khi bạn cài đặt phần mềm trên trang web của mình, nó sẽ cung cấp một điểm xâm nhập cho tin tặc.
v. Khai thác lừa đảo
Tin tặc sử dụng các thủ đoạn lừa đảo để truy cập vào trang web của bạn và gửi email spam. Mục đích của email là lừa mọi người chia sẻ thông tin nhạy cảm như thẻ tín dụng hoặc thông tin đăng nhập ngân hàng.
Dịch vụ email có các biện pháp chống lừa đảo mạnh mẽ. Nếu họ phát hiện ra rằng trang web WordPress của bạn đang gửi email spam, họ sẽ đưa trang web của bạn vào danh sách đen.
Đây là những lỗ hổng WordPress phổ biến nhất. Bạn hẳn đã nhận thấy một chủ đề đang chạy trong chúng! Chúng được gây ra bởi các lỗ hổng bảo mật trong phần mềm được cài đặt trên trang web của bạn.
Điều này cho thấy tầm quan trọng của việc triển khai các bản cập nhật bảo mật ngay khi chúng được phát hành.
Tuy nhiên, chúng tôi hiểu rằng các bản cập nhật xuất hiện khá thường xuyên, rất khó để theo dõi. Trong phần tiếp theo, chúng tôi sẽ hướng dẫn bạn cách cập nhật các thông tin cập nhật của bạn.
Các bản cập nhật bảo mật WordPress là loại bản cập nhật quan trọng nhất mà bạn không thể bỏ qua. Nhấp để TweetCách kiểm tra các bản cập nhật bảo mật WordPress?
Có hai cách để kiểm tra các bản cập nhật bảo mật:
- Kiểm tra thủ công từ trang tổng quan WordPress (lý tưởng cho một trang web)
- Kiểm tra bằng cách sử dụng plugin quản lý trang web (lý tưởng cho nhiều trang web)
1. Kiểm tra thủ công từ trang tổng quan WordPress
Cập nhật các trang web WordPress theo cách thủ công là phù hợp nhất cho các chủ sở hữu trang web duy nhất. Tất cả những gì bạn cần làm là:
→ Đăng nhập vào trang web của bạn.
→ Từ trình đơn, đi tới trang tổng quan> cập nhật.
→ Trên trang Cập nhật, bạn sẽ tìm thấy tất cả phần mềm đã lỗi thời (lõi, plugin và chủ đề) cùng với thông tin chi tiết của phiên bản mới. Khi bạn nhấp vào Xem chi tiết phiên bản liên kết, bạn sẽ tìm thấy thông tin về bản cập nhật. Nếu bản cập nhật chứa các bản vá bảo mật wp, bản cập nhật đó sẽ được đề cập trong chi tiết phiên bản.
→ Thông thường trong chi tiết phiên bản, bạn sẽ thấy rằng nhà phát triển đã triển khai các loại thay đổi khác nhau trong một bản cập nhật. Ví dụ:trong một plugin mà chúng tôi đã cập nhật gần đây, chúng tôi nhận thấy rằng bản cập nhật sẽ khắc phục được cả lỗi và sự cố tương thích.
→ Theo thời gian, các bản cập nhật mang đến các tính năng mới cũng như các bản vá bảo mật. Điều này có thể là một chút khó khăn. Ngay cả khi bạn không muốn có các tính năng mới, bạn vẫn phải cập nhật WordPress của mình để đảm bảo rằng nó không dễ bị tấn công.
2. Kiểm tra bằng cách sử dụng plugin quản lý trang web
Theo dõi các cập nhật trên một trang web là đủ khó. Theo dõi các bản cập nhật trên nhiều trang web là một cơn ác mộng.
Nhưng một plugin như BlogVault sẽ cho phép bạn kiểm tra các bản cập nhật cho nhiều trang web WordPress từ một trang tổng quan.
→ Đăng ký với BlogVault và thêm các trang web của bạn vào trang tổng quan.
→ Bạn sẽ thấy ngay có bao nhiêu plugin và chủ đề đang chờ xử lý trên mỗi trang web.
→ Để tìm hiểu chi tiết cập nhật, bạn cần chọn trang web và sau đó nhấp vào Quản lý .
→ Sau đó, chỉ cần nhấp vào các phiên bản mới để xem chi tiết cập nhật.
Như vậy, chúng ta đã đến phần cuối của cách kiểm tra các bản cập nhật. Bây giờ, hãy đi sâu vào cách triển khai các bản cập nhật bảo mật một cách an toàn.
Cách thực hiện cập nhật bảo mật WordPress một cách an toàn?
Có hai cách để thực hiện cập nhật bảo mật. Đó là:
- Đang cập nhật trên trang tổ chức (an toàn)
- Cập nhật trực tiếp từ trang tổng quan (không an toàn)
Cập nhật trực tiếp từ bảng điều khiển của trang web được biết là nguyên nhân khiến các trang web bị hỏng. Sửa chữa và cố gắng khôi phục một trang web bị hỏng là một quá trình khó khăn và tốn nhiều thời gian. Đó là lý do tại sao chúng tôi sẽ tránh làm điều đó và tập trung vào phương pháp an toàn hơn.
1. Cập nhật trên Trang web dàn dựng
Bước 1: Tạo trang web dàn dựng WordPress
Trang web dàn dựng là một bản sao chính xác của trang web của bạn.
Như chúng tôi đã đề cập trước đó, các bản cập nhật có thể khiến trang web của bạn gặp sự cố. Môi trường tổ chức sẽ giúp bạn kiểm tra các bản cập nhật trước khi tạo chúng trên trang web trực tiếp của bạn.
Có rất nhiều plugin sẽ giúp bạn tạo môi trường tổ chức. Plugin BlogVault của chúng tôi cung cấp một môi trường dàn dựng WordPress miễn phí và nó thực sự dễ dàng để thiết lập.
Giả sử rằng bạn đã đăng ký với BlogVault và thêm các trang web của mình vào trang tổng quan:
→ Đi tới Giai đoạn và nhấp vào Thêm giai đoạn .
→ BlogVault sẽ yêu cầu bạn chọn phiên bản PHP và sao lưu sự lựa chọn của bạn.
→ Sẽ mất vài phút để tạo một trang web dàn dựng. Khi nó đã sẵn sàng, bạn có thể bắt đầu kiểm tra các bản cập nhật.
Bước 2: Kiểm tra các bản cập nhật trên Staging Site
Để kiểm tra các bản cập nhật, bạn cần đăng nhập vào trang web dàn dựng mà bạn vừa tạo. URL của trang tổ chức sẽ trông giống như thế này - https://yoursite.d.wpstage.net/
Bạn có thể đăng nhập vào trang web dàn dựng của mình bằng thông tin đăng nhập người dùng thông thường của mình. Nhưng khi bạn mở URL dàn dựng, bạn sẽ nhận thấy rằng nó được bảo vệ bằng mật khẩu. Nó có mật khẩu để đảm bảo trang web dàn dựng của bạn là riêng tư và không thể truy cập công khai hoặc bất kỳ công cụ tìm kiếm nào.
Bạn cần quay lại trang tổng quan BlogVault và lấy tên người dùng và mật khẩu của mình từ Giai đoạn tiết diện. Sử dụng nó để truy cập trang web dàn dựng của bạn.
→ Để đi đến trang đăng nhập của trang web dàn dựng của bạn, bạn cần thêm / wp-admin / ở cuối URL dàn dựng như thế này https://yoursite.d.wpstage.net/wp-admin
→ Sử dụng thông tin đăng nhập người dùng thông thường của bạn để đăng nhập vào trang tổng quan WordPress.
→ Để triển khai cập nhật, hãy đi tới trang tổng quan> cập nhật.
→ Trên trang Cập nhật, bạn sẽ tìm thấy tất cả phần mềm đã lỗi thời cùng với thông tin chi tiết của phiên bản mới. Để triển khai các bản cập nhật, bạn chỉ cần chọn plugin hoặc chủ đề hoặc cốt lõi và nhấn Cập nhật nút.
→ Sau khi triển khai các bản cập nhật, bạn cần kiểm tra xem trang web của mình có hoạt động bình thường không . Chúng tôi khuyên bạn nên kiểm tra tất cả các trang và chức năng quan trọng. Điều này sẽ bao gồm trang chủ của bạn, blog, trang giỏ hàng, trang thanh toán, v.v.
When you are ready, we’ll move to the next step.
Step 3:Update Live Site
If you find that the updates did not cause any harm to your site, you can proceed to make the same updates on the live site.
You don’t have to log in to your live site and implement the updates again. You can simply merge the staging site with the live one.
→ On the BlogVault dashboard, go to the Staging section and click on Merge .
→ BlogVault will start syncing the live site with the staging site. In the end, it’ll generate a page where you can view the differences between the staging site and the live site. You don’t have to merge the entire site. Just select the plugins, themes, and the core that you just tested and click on Next.
→ Then enter your FTP credentials and your staging site will be merged with the live one.
Lưu ý: If you don’t know what your FTP credentials are, you can find them out with the help of these videos or by reaching out to your WordPress hosts and its hosting platforms.
With that, we have come to the end of how to safely implement updates.
Updates can break websites hence it’s important to learn how to update site security. This is exactly what this article taught me. Nhấp để TweetWhat Next?
As we mentioned earlier, software updates will fix any vulnerabilities and help in keeping your site safe from hackers and bots. But software vulnerabilities are not the only threat that a WordPress website faces. There are other vulnerabilities that a hacker can use to break into your website. Take, for instance, weak user credentials.
To protect your website from all types of vulnerabilities and hack attacks (like DDoS attacks, brute force attacks, etc), we suggest using a WordPress updates and WordPress security plugin like MalCare.
The plugin will protect your site with a firewall and limit login attempts with login protection measures. It’ll help you implement site hardening measures. And scan your site on a daily basis. If any malicious activities are detected, you’ll be informed about it immediately.
Install MalCare to Protect Your Site 24×7