Trang web của bạn có giá trị:cho bạn và cho khách truy cập trang web của bạn. Ngoài ra, đối với tin tặc.
Để xây dựng khả năng phòng thủ tốt trước các cuộc tấn công độc hại, bạn cần có hướng dẫn vô nghĩa về cách bảo vệ trang web khỏi tin tặc .
Đây là hướng dẫn bảo vệ tin tặc!
Làm thế nào để chúng tôi tự tin như vậy? MalCare bảo vệ hơn 25000 trang web và nhóm hỗ trợ của chúng tôi tìm ra phần mềm độc hại khó nắm bắt nhất từ các trang web mỗi ngày. Chúng tôi biết một hoặc hai điều về cách bảo vệ trang web của bạn khỏi tin tặc và các cuộc tấn công độc hại khác.
TL; DR: Biện pháp bảo mật tốt nhất là cài đặt một plugin bảo mật chạy trên chế độ lái tự động. Chúng tôi cũng khuyên bạn nên triển khai tất cả các biện pháp bảo mật mà chúng tôi đã mô tả trong bài viết này.
Trước khi bạn bắt đầu
Việc xem một danh sách dài các biện pháp bảo mật để bảo vệ trang web khỏi tin tặc có thể khiến bạn hơi nản lòng. Chúng tôi nhận ra rằng. Vì vậy, để làm cho việc thực hiện các biện pháp bảo mật này dễ dàng hơn, chúng tôi đã tổ chức danh sách bảo vệ tin tặc này một cách dễ dàng. Chúng tôi khuyên bạn nên đánh dấu trang bài viết này và quay lại với nó khi bạn thực hiện theo cách của mình.
Có một số bước bảo vệ trong danh sách này:những việc bạn nên làm, những điều bạn không nên làm và một vài câu chuyện hoang đường cũng vậy.
Mục tiêu của bài viết này là làm sáng tỏ bảo mật, bằng cách cắt bỏ sự lộn xộn có sẵn ở những nơi khác. Tuy nhiên, điểm rút ra lớn nhất là việc bảo vệ trang web của bạn khỏi tin tặc và vi rút không phải là hoạt động một lần; nhưng hơn thế nữa khi chúng tôi tiến bộ.
6 bước cơ bản để bảo vệ trang web của bạn khỏi tin tặc ngay lập tức
Các biện pháp bảo vệ trong phần này là dễ thực hiện nhất và thành thật mà nói sẽ giúp bạn thiết lập một cách hợp lý. Thoạt nhìn, chúng có vẻ kỹ thuật hoặc tiên tiến, nhưng hãy lấy nó từ một người không phải là kỹ sư:bạn hiểu rồi!
1. Cài đặt tường lửa tốt
Tin tặc không xâm nhập vào các trang web theo cách thủ công. Một hacker giỏi sẽ tạo ra một bot có khả năng phát hiện ra các trang web dễ bị tấn công và tự động hóa hầu hết quy trình. Giờ đây, các bot được lập trình để thực hiện các hành động rất cụ thể. Họ không có tri giác.
Về cốt lõi, tường lửa là mã xác định các yêu cầu độc hại. Mọi yêu cầu về thông tin được gửi đến trang web của bạn trước tiên đều đi qua tường lửa. Nếu tường lửa phát hiện thấy yêu cầu độc hại hoặc được thực hiện từ một địa chỉ IP được cho là độc hại, thì yêu cầu sẽ bị chặn thay vì được xử lý.
Tránh thay đổi cấu hình tường lửa
Một số tường lửa sẽ cho phép bạn định cấu hình cài đặt. Tuy nhiên, chúng tôi không khuyên bạn nên sử dụng nó trừ khi bạn là một chuyên gia bảo mật trang web giỏi. Các quy tắc tường lửa được tạo ra sau khi nghiên cứu bảo mật quan trọng và nhiều lần loại bỏ phần mềm độc hại trực tiếp.
Ví dụ:hầu hết các plugin bảo mật của WordPress đều có các quy tắc ngăn bất kỳ ai không có quyền truy cập của quản trị viên truy cập vào tệp wp-config.php. Tệp wp-config.php là một tệp WordPress cốt lõi chứa nhiều thông tin nhạy cảm. Vì vậy, tường lửa sẽ kiểm tra mọi yêu cầu được gửi đến trang web để xem liệu nó có chứa văn bản “wp-config.php” hay không. Nếu quy tắc đó được kích hoạt, yêu cầu sẽ bị tường lửa từ chối.
Ngoài ra, vì tin tặc cố gắng tấn công càng nhiều trang web càng tốt khi phát hiện ra lỗ hổng, điều này dẫn đến các IP của tin tặc nhẹ. Tường lửa của WordPress theo dõi và chặn trước các IP độc hại, dựa trên các cuộc tấn công này.
Tất nhiên, không có tường lửa nào là không thể phá hủy 100%. Nhưng tốt hơn hết là bạn nên có một bức tường lửa chặn hầu hết các phần mềm độc hại hơn là không có một bức tường lửa nào cả. Nhưng tất cả các bức tường lửa đều không giống nhau, và một số bức tường lửa có hiệu quả hơn nhiều so với những bức tường lửa khác. Vì vậy, chúng tôi đã lập danh sách các tường lửa WordPress tốt nhất để bạn lựa chọn.
2. Có chính sách mật khẩu mạnh và sử dụng trình quản lý mật khẩu
Chúng tôi đã bảo mật WordPress hơn một thập kỷ nay. Bạn sẽ ngạc nhiên khi biết có bao nhiêu trang web bị tấn công chỉ vì mật khẩu yếu.
Mật khẩu dễ đoán được sử dụng bởi hàng trăm nghìn trang web. 5% các trang web bị tấn công đã sử dụng MalCare để xóa phần mềm độc hại đã sử dụng mật khẩu yếu.
Tin tặc có một danh sách các mật khẩu như vậy được gọi là bảng cầu vồng và chúng liên tục tạo ra các bảng lớn hơn để sử dụng làm từ điển các loại. Sử dụng các bảng này, tin tặc có thể khởi động một cuộc tấn công được gọi là 'cuộc tấn công từ điển'.
Các cuộc tấn công từ điển hầu hết là một biến thể của các cuộc tấn công vũ phu. Nhưng đó không phải là cách duy nhất để hack mật khẩu. Do đó, bạn nên sử dụng mật khẩu mạnh.
Mật khẩu mạnh là sự kết hợp của các chữ cái, số và ký hiệu. Các kết hợp không phổ biến rất khó bẻ khóa và các thuật toán có thể mất nhiều năm để giải mã. Ngoài ra, mật khẩu càng dài thì càng khó bẻ khóa.
Bài viết này sẽ giúp bạn tạo mật khẩu hoành tráng của riêng mình.
Bạn cũng có thể sử dụng các plugin để thực thi mật khẩu mạnh từ tất cả người dùng WordPress của mình bằng plugin Trình quản lý chính sách mật khẩu dành cho WordPress. Plugin này sẽ giúp bạn tạo các chính sách buộc tất cả người dùng WordPress của bạn phải tạo mật khẩu mạnh khi tạo tài khoản của họ.
3. Cài đặt SSL và sử dụng HTTPS trên trang web của bạn
Chứng chỉ Lớp cổng bảo mật (SSL), là một giao thức bảo mật mã hóa tất cả thông tin liên lạc đến và đi từ một trang web. Cài đặt một cái sẽ đảm bảo rằng ngay cả khi một tin tặc chặn dữ liệu từ trang web của bạn, họ sẽ không bao giờ có thể hiểu nó là gì.
Chúng tôi đã tạo toàn bộ hướng dẫn về cách cài đặt chứng chỉ SSL đúng cách. Nghiêm túc mà nói, sự cường điệu là hợp lý. Nhận chứng chỉ SSL cho trang web của bạn ngay bây giờ. Như một phần thưởng bổ sung, bạn cũng sẽ nhận được các lợi ích về SEO.
4. Kiểm tra người dùng quản trị một cách cẩn thận
Hầu hết mọi người đều cho rằng tin tặc sẽ chỉ cài đặt phần mềm độc hại trên trang web của họ và bỏ đi. Đo không phải sự thật. Những tin tặc thực sự thông minh sẽ tạo một tài khoản ma với đặc quyền của quản trị viên để họ có thể truy cập lại bất cứ khi nào họ muốn.
Việc xem xét và xóa người dùng WordPress thường xuyên có thể giải quyết vấn đề này.
Có, nó có thể là một hoạt động tốn thời gian nếu bạn có một nhóm lớn quản lý trang web của mình. Nhưng nó đáng giá. Việc xóa những người dùng không còn đóng góp cho trang web của bạn là bước đầu tiên để bắt đầu. Sau đó, đặt mật khẩu mạnh là bắt buộc để người viết và biên tập viên của bạn không vô tình xâm phạm trang web của bạn.
Bạn có thể tuân theo các phương pháp bảo mật tuyệt vời cho mật khẩu của mình, nhưng nếu một trong các quản trị viên của bạn rơi vào tình trạng lừa đảo, chẳng hạn, thì trang web của bạn cũng sẽ bị ảnh hưởng.
Sử dụng đầy đủ các vai trò của người dùng WordPress để hạn chế quyền truy cập ở mức có thể. Ví dụ:nếu ai đó chỉ đang viết và tải lên các bài viết, hãy cấp cho họ quyền truy cập ‘Tác giả’ chứ không phải quyền truy cập ‘Quản trị viên’. Đọc bài viết của chúng tôi về các vai trò của WordPress để tìm ra cách hoàn thành mọi thứ một cách dễ dàng.
5. Sử dụng nhật ký hoạt động
Nhìn thấy điều gì đó bất ngờ trên trang web của bạn có thể đưa ra cảnh báo kịp thời trong một số tình huống. Hãy xem xét liệu tài khoản quản trị có được tạo mà bạn không biết hay không; hoặc một plugin bị vô hiệu hóa (ví dụ:một plugin bảo mật) mà không có sự đồng thuận.
Đây là tất cả các ví dụ về các hành động quản trị trang web hợp pháp, tuy nhiên chúng cũng có thể là dấu hiệu của việc truy cập trái phép. Nhật ký hoạt động sẽ cho bạn biết những gì đang xảy ra trên trang web của bạn và sau đó bạn có thể đánh giá xem những hành động này có hợp pháp hay không.
Một cách làm này đã giúp chúng tôi cứu được món thịt xông khói của chúng tôi rất nhiều lần.
Hầu hết các tin tặc đều cực kỳ cẩn thận để không bị bắt vì họ chỉ có thể kiểm soát trang web của bạn miễn là không bị bắt. Nhật ký hoạt động giúp báo hiệu những thay đổi, vì vậy bạn có thể bắt kịp hoạt động trái phép ngay từ đầu.
MalCare đi kèm với nhật ký hoạt động trên trang tổng quan và không cần cấu hình để thiết lập.
6. Thực hiện sao lưu thường xuyên
Sao lưu có thể là một trong những chiến thuật bị đánh giá thấp nhất mà bạn có thể áp dụng. Luôn sao lưu hàng ngày để bạn có thể nhanh chóng khôi phục trang web của mình trong trường hợp xảy ra sự cố nghiêm trọng.
Chọn một plugin sao lưu tốt và đáng tin cậy, vì sao lưu thủ công rất khó thực hiện chính xác nếu không có chuyên môn đáng kể.
Trên thực tế, trước khi bạn tiến hành bất kỳ bước nào trong bài viết này, hãy sao lưu toàn bộ trang web của bạn và thiết lập sao lưu hàng ngày ngay lập tức. Đây luôn là một phương pháp hay khi thực hiện bất kỳ thay đổi nào đối với trang web của bạn.
5 bước trung gian để bảo vệ trang web của bạn lên cấp độ tiếp theo
Các bước cơ bản trong bài viết là một bước khởi đầu tốt và không mất quá nhiều thời gian để thiết lập. Trong phần này, ngoài xác thực hai yếu tố và giới hạn nỗ lực đăng nhập, các bước là các biện pháp bảo mật liên tục.
Như chúng tôi đã nói trước đó trong bài viết này, điều quan trọng là phải suy nghĩ về bảo mật trang web một cách đúng đắn. Đây không phải là hoạt động hoặc thiết lập chỉ diễn ra một lần và phải được coi là một phần thường xuyên trong quản trị trang web của bạn.
1. Cập nhật mọi thứ
Hơn 90% các vụ hack xảy ra do tin tặc đã xác định được lỗ hổng trong chủ đề hoặc plugin và khai thác nó trên một số trang web.
Vậy lỗ hổng bảo mật là gì? Chủ đề và plugin là phần mềm. Giống như bất kỳ phần mềm nào khác, chúng là những đoạn mã luôn có lỗi. Một số lỗi tương đối vô hại và có thể chỉ gây ra một trục trặc nhỏ trong khi cập nhật. Những người khác có thể làm cho mã dễ bị khai thác.
Khi các lỗ hổng được phát hiện, hầu hết là bởi các nhà nghiên cứu bảo mật, chúng sẽ được tiết lộ cho nhà phát triển plugin để có các bản vá. Các nhà phát triển có trách nhiệm sẽ phát hành bản sửa lỗi và các trang web đã cài đặt plugin sẽ thấy rằng phiên bản cập nhật của plugin sẽ sớm có sẵn.
Sau khi bản sửa lỗi được phát hành, lỗ hổng bảo mật sẽ được tiết lộ công khai. Nếu bạn là một trong những trang web đã cập nhật plugin hoặc chủ đề với bản sửa lỗi bảo mật thì điều đó thật tuyệt vời. Nếu không, trang web của bạn sẽ trở thành mục tiêu của các tin tặc nghiệp dư (được gọi là bọn trẻ tập lệnh) tìm cách kiếm tiền nhanh chóng.
Do đó, cách tốt nhất là luôn cập nhật mọi thứ — từ WordPress đến plugin — luôn được cập nhật. Chúng tôi biết rằng các bản cập nhật đôi khi có thể phá vỡ trang web theo những cách không mong muốn, vì vậy, để tránh bất kỳ sự bất tiện nào, hãy sử dụng tính năng dàn dựng để cập nhật một cách an toàn. Nhưng hãy cập nhật mọi thứ.
Chúng tôi đã tạo một hướng dẫn về cách cập nhật các trang web WordPress một cách an toàn và ít bị gián đoạn nhất.
2. Chọn các chủ đề và plugin tốt
Nếu bạn nhận thấy từ phần trước, chúng tôi đề cập đến những nhà phát triển phát hành bản cập nhật vá lỗ hổng bảo mật là người chịu trách nhiệm. Nói tóm lại, các nhà phát triển giỏi tích cực bảo trì phần mềm của họ.
Đây hoàn toàn không phải là một tình trạng phổ biến. Đáng buồn nhưng là sự thật.
Vì vậy, chúng tôi thực sự ủng hộ việc sử dụng các plugin và chủ đề tốt cho trang web của bạn. Có thể hiểu, “tốt” là một thuật ngữ tương đối và hơi mơ hồ. Vì vậy, chúng tôi liệt kê các yếu tố bạn nên xem xét khi chọn một plugin cho trang web của mình:
- Cập nhật thường xuyên: Một plugin hoặc chủ đề liên tục phát hành các bản cập nhật và tiếp tục vá bất kỳ lỗ hổng nào mà nó phát hiện ra. Điều này sẽ cho bạn biết rằng nhà phát triển nghiêm túc về các rủi ro bảo mật của sản phẩm của họ.
- Số lượt cài đặt đang hoạt động: Một plugin phổ biến với hàng triệu lượt cài đặt sẽ luôn có mục tiêu sau lưng. Contact Form 7 là một ví dụ rất rõ ràng về xu hướng này. Mặt trái là các plugin phổ biến cũng có xu hướng an toàn hơn vì chúng thường có một nhóm lớn hơn và tốt hơn làm việc để cải thiện sản phẩm. Vì vậy, hãy lựa chọn một cách khôn ngoan, sau khi đã nghiên cứu đầy đủ.
- Sự tín nhiệm: Tránh cài đặt một plugin hoặc một chủ đề được phát triển bởi các dịch giả tự do mà chưa ai biết đến. Chỉ sử dụng các plugin và chủ đề được phát triển bởi các nhà phát triển và thương hiệu có uy tín. Nếu bạn đang mua hàng từ một thị trường, hãy đảm bảo rằng bạn tin tưởng nhà phát triển chứ không chỉ tin tưởng vào thị trường.
- Phiên bản trả phí: Thông thường, các nhà cung cấp plugin trả phí dành nhiều thời gian và tiền bạc hơn cho việc tìm kiếm và vá các lỗ hổng. Nếu bạn có ngân sách quá eo hẹp, thì một plugin miễn phí sẽ có ý nghĩa hơn. Tuy nhiên, nếu lo lắng về tính bảo mật của trang web, chúng tôi thực sự khuyên bạn nên sử dụng các chủ đề và plugin cao cấp để thay thế.
Một lưu ý nhỏ là bạn có thể bị cám dỗ để sử dụng các plugin và chủ đề không có hiệu lực. Đừng làm điều đó. Rủi ro chỉ là không đáng có.
Phần mềm vô hiệu phát tán phần mềm độc hại. Đó là lý do tại sao bạn nhận được một sản phẩm cao cấp miễn phí. Nhưng ngay cả khi tệp zip không chứa bất kỳ mã độc hại rõ ràng nào, bất kỳ người dùng chủ đề hoặc plugin nào bị vô hiệu hóa đều biết rằng họ không thể cập nhật phần mềm. Điều đó làm cho trang web dễ bị tấn công, như chúng tôi đã nói trong phần trước.
3. Triển khai 2FA
Xác thực hai yếu tố (2FA) là một biện pháp bảo mật bổ sung một thiết bị hoặc mã thông báo khác mà bạn phải có quyền truy cập để đăng nhập, ngoài mật khẩu của bạn.
Có một số giao thức được sử dụng cho 2FA, như TOTP (mật khẩu một lần dựa trên thời gian) hoặc HOTP (mật khẩu một lần dựa trên HMAC). Mỗi cái đều có ưu và nhược điểm, nhưng vì mục đích bảo mật đăng nhập, chúng tôi không cần đi sâu vào các chi tiết đó.
Có một số ứng dụng trả phí và miễn phí có thể được sử dụng để thêm 2FA vào trang đăng nhập của bạn và chúng hỗ trợ các giao thức phổ biến nhất. Để được trợ giúp thêm, hãy xem bài viết này để biết cách thiết lập WordPress 2FA. Nếu bạn có nhiều cộng tác viên cho trang web của mình, bạn nên triển khai tính năng bảo mật này.
4. Chọn một máy chủ web tốt
Hầu hết mọi người đều nắm giữ các máy chủ web chịu trách nhiệm về bảo mật của trang web. Nhưng hiếm khi lỗi của máy chủ web nếu trang web của bạn bị tấn công. Trên thực tế, trong một số trường hợp hiếm hoi mà máy chủ web phải chịu trách nhiệm về một vi phạm bảo mật, thì sự phân tán là rất lớn. Hàng nghìn trang web bị ảnh hưởng.
Hầu hết thời gian, chiếc giày ở bên kia và một máy chủ web tốt là công cụ bảo vệ trang web của bạn khỏi tin tặc. Vì vậy, bạn nên hướng tới dịch vụ lưu trữ an toàn nhất. Dưới đây là danh sách các nhà cung cấp dịch vụ lưu trữ WordPress tốt nhất mà chúng tôi đã tổng hợp để giúp bạn chọn một máy chủ lưu trữ web tốt.
5. Giới hạn số lần đăng nhập
Một cách dễ dàng để chặn bot và kẻ tấn công brute force là từ chối nhập địa chỉ IP sau 3 lần thử không thành công. Tường lửa MalCare được tích hợp với tính năng này. Hạn chế các nỗ lực đăng nhập là một cách hiệu quả cao để bảo vệ trang web của bạn mà không có nhiều nhược điểm.
Bạn cũng có thể sử dụng plugin ‘Limit Loginizer’ khi cài đặt WordPress. Nhưng nếu bạn nhập sai mật khẩu của chính mình 3 lần, thì bạn sẽ phải yêu cầu máy chủ web bỏ chặn địa chỉ IP của bạn để thử lại.
2 bước của chuyên gia để thực sự tăng cường khả năng bảo vệ trang web của bạn
Ngay cả khi bạn đã quản lý để hoàn thành các bước trong các phần trước, bạn vẫn đang khá hài lòng trong việc bảo vệ trang web của mình khỏi tin tặc. Các biện pháp sau đây là hiệu quả, tuy nhiên chúng đòi hỏi một số điểm đáng chú ý trong mã.
Chúng tôi muốn nhắc lại rằng hầu hết các vụ hack xảy ra đều do các lỗ hổng bảo mật, vì vậy việc quan tâm đến các lỗ hổng đó sẽ bảo vệ trang web của bạn khỏi tin tặc và vi rút khá tốt. Nếu không thoải mái khi tự mình thử các bước sau, bạn có thể bỏ qua chúng hoặc gửi chúng cho nhà phát triển của bạn để thực hiện. Dù bằng cách nào, trang web của bạn vẫn được bảo vệ tốt khỏi tin tặc.
1. Chặn thực thi PHP trong thư mục tải lên
Có cả một lớp lỗ hổng được gọi là lỗ hổng Thực thi mã từ xa cho phép tin tặc tải mã PHP độc hại lên thư mục Tải lên. Thông thường, thư mục Tải lên không có nghĩa là chứa bất kỳ mã thực thi nào. Nó có nghĩa là để chứa các tệp phương tiện của bạn. Nhưng bản chất của thư mục Tải lên là nó cho phép các tệp và thư mục được lưu trữ bên trong nó.
Khi mã được tải lên trang web của bạn, tin tặc có thể chạy mã và giành quyền kiểm soát hiệu quả trang web của bạn. Tuy nhiên, nếu bạn chặn thực thi PHP trong thư mục Tải lên thì cuộc tấn công không bao giờ có thể xảy ra.
Nếu bạn đang sử dụng MalCare, bạn có thể chặn thực thi PHP trong thư mục Tải lên bằng cách nhấp vào nút như một phần của các biện pháp tăng cường WordPress.
2. Thay đổi khóa bảo mật của WordPress
Nếu bạn đã bị tấn công gần đây, bạn có thể thay đổi khóa bảo mật WordPress của mình. Đây là một chuỗi được băm cùng với tên người dùng và mật khẩu của bạn để quản lý các phiên đã đăng nhập cho người dùng.
Bạn có thể đặt chuỗi này thành bất kỳ thứ gì, tuy nhiên giống như với mật khẩu, tốt nhất là sử dụng chuỗi chữ và số được tạo ngẫu nhiên. Đọc thêm về khóa bảo mật và cách thay đổi chúng.
2 Mẹo THƯỞNG để bảo vệ trang web chống lại tin tặc
1. Cập nhật cho bạn tin tức an ninh
Luôn cập nhật thông tin, đặt câu hỏi và tư vấn với cộng đồng là tất cả những cách tuyệt vời để theo dõi các vụ tấn công mới nhất và những thay đổi trong bối cảnh mối đe dọa. Ví dụ:nếu một lỗ hổng plugin được phát hiện, bạn có thể hủy kích hoạt nó khỏi trang tổng quan của mình cho đến khi bản cập nhật có sẵn và được cài đặt. Bất kể sự bất tiện nào bạn gặp phải sẽ trở nên nhạt nhòa so với những tổn thất do một trang web bị tấn công gây ra.
2 . Tiến hành kiểm tra bảo mật thường xuyên
Nhiều chủ sở hữu trang web lầm tưởng rằng trang web của họ quá nhỏ để được coi là đáng bị hack. Điều này không có gì gần với sự thật. Tin tặc xảy ra vì nhiều lý do và nếu trang web của bạn không sinh lợi về mặt dữ liệu người dùng, nó vẫn có đủ quyền hạn SEO để được sử dụng như một trang web lừa đảo.
Kiểm tra bảo mật thường xuyên sẽ giúp phát hiện ra các hoạt động không an toàn cũng như các lỗ hổng tiềm ẩn trong trang web của bạn. Bằng cách theo dõi các diễn biến trên trang web của bạn — thông qua nhật ký hoạt động hoặc xem xét người dùng, chẳng hạn — bạn sẽ tiết kiệm cho mình rất nhiều đau buồn về lâu dài.
Những điều sẽ KHÔNG giúp bảo vệ trang web của bạn
Chúng tôi ủng hộ việc có ý thức về an ninh, nhưng không hoang tưởng. Ngoài ra, chúng tôi đã thấy rằng có rất nhiều lời khuyên tồi cho các chủ sở hữu trang web ngoài tự nhiên. Lời khuyên có thể đến từ một nơi tốt, tuy nhiên nó có thể gây ra những hậu quả không mong muốn, như tạo ra trải nghiệm người dùng kém hoặc khóa bạn khỏi trang web của chính mình!
Vì vậy, vui lòng không làm những điều sau đây.
1. Ẩn trang đăng nhập wp của bạn
Nhiều plugin bảo mật vẫn tin rằng thủ thuật lâu đời này hoạt động.
Nếu tin tặc không thể tìm thấy trang đăng nhập, họ không thể thực hiện các cuộc tấn công vũ phu, phải không? Không thật sự lắm. Thay vào đó:
- Nó làm cho trang web của bạn rất khó sử dụng. Nếu bạn quên URL đăng nhập mới, thì việc khôi phục tài khoản của bạn có thể gặp khó khăn.
- Nếu bạn sử dụng các URL mặc định đi kèm với plugin bảo mật, thì tin tặc sẽ dễ dàng đoán ra URL mới của bạn.
- Ngay cả khi tin tặc không thể tìm thấy trang đăng nhập wp, chúng vẫn có thể tấn công trang web của bạn bằng cách sử dụng lỗ hổng XML-RPC.
Tùy chọn này cuối cùng không đạt được kết quả gì và có thể gây ra khá nhiều rắc rối.
2. Chặn địa lý
Chặn địa lý về cơ bản là chặn lưu lượng truy cập từ các quốc gia nơi sản phẩm hoặc dịch vụ của bạn không có sẵn hoặc không có liên quan. Đây thường được coi là một biện pháp bảo mật nhưng nó thực sự là một cách để giảm thanh toán cho các tài nguyên máy chủ đã tiêu thụ.
Rất có thể bạn nghĩ rằng lưu lượng truy cập từ Gabon không giúp ích gì cho doanh nghiệp của bạn. Nhưng chặn tất cả lưu lượng truy cập từ Gabon không giải quyết được gì cả. Với một VPN tốt, bất kỳ ai cũng có thể vượt qua tính năng chặn địa lý của Netflix.
Ngoài ra, bạn có nguy cơ chặn Googlebot và cả chính bạn nữa!
3. Bảo vệ bằng mật khẩu thư mục wp-admin
Thư mục wp-admin là một trong những thư mục quan trọng nhất trong bất kỳ cài đặt WordPress nào. Vì vậy, theo lẽ tự nhiên, mọi hacker đều muốn xâm nhập vào nó. Các chuyên gia bảo mật ban đầu nghĩ rằng mật khẩu bảo vệ thư mục sẽ là một ý tưởng hay, nhưng từ đó chúng tôi nhận ra rằng đó không phải là phương pháp hay.
Mật khẩu bảo vệ thư mục wp-admin của bạn phá vỡ chức năng AJAX trên trang web WordPress của bạn và khiến nhiều plugin hoạt động sai. Nếu bạn đang chạy một trang web WooCommerce, mã AJAX bị hỏng có thể phá hỏng chức năng tìm kiếm của bạn và các phần tử UX quan trọng khác.
Tại sao bạn nên bảo vệ trang web của mình khỏi tin tặc?
Bài viết này đã có rất nhiều thông tin về cách bảo vệ trang web của bạn khỏi tin tặc và có lẽ chúng tôi đã đề cập đến vấn đề này một vài lần, nhưng nó vẫn phải lặp lại. Trang web của bạn có giá trị.
Khi chúng tôi nói rằng nó có giá trị, chúng tôi không chỉ nói về bạn và khách truy cập của bạn. Có thể bạn có một cửa hàng trực tuyến nhỏ hoặc một blog sở thích mà một nhóm nhỏ người truy cập thường xuyên. Thỏa thuận là ngay cả khi tiền trực tiếp thu được từ việc hack trang web của bạn là không lớn, lợi ích của việc có một trang web sạch để mua hàng bất hợp pháp hoặc hàng chợ xám vẫn khiến cho tin tặc này trở nên đáng giá.
Vì vậy, một trang web nhỏ không được bảo vệ chống lại ý định bất chính.
Thứ hai, tất cả chúng ta đều có trách nhiệm bảo vệ dữ liệu và danh tính của người dùng. Họ đang đặt một lượng tin tưởng nhất định vào một trang web bằng cách truy cập vào trang web đó, và chúng ta nên lưu ý và cân nhắc đến họ trong khi xem xét tính bảo mật của trang web.
Kết luận
Bạn có thể ngăn chặn tin tặc bằng cách cảnh giác và chủ động tiếp cận bảo mật. Điều quan trọng là phải nhận ra rằng việc bảo vệ trang web của bạn khỏi tin tặc và các cuộc tấn công nguy hiểm là một quá trình liên tục. Có những bước bạn có thể thực hiện một lần, nhưng chủ yếu là bạn cần nhận thức được những thay đổi trong bối cảnh mối đe dọa.
Hơn nữa, không có một bài báo cụ thể, dứt khoát nào có thể giúp bạn ngăn chặn tất cả các vụ tấn công có thể xảy ra đối với trang web của bạn. Bất kỳ bài báo hoặc trang web hoặc chuyên gia nào tuyên bố làm như vậy là không trung thực.
Vì vậy, mặc dù chúng tôi không thực sự hứa hẹn rằng bài viết này sẽ giữ cho trang web của bạn an toàn và bảo mật mãi mãi, nhưng chúng tôi đã cung cấp cho bạn một số mẹo bảo mật chung sẽ khiến trang web của bạn khá khó bị tấn công. Sử dụng các mẹo trong bài viết này, bạn sẽ có thể vá một số lỗi trong bảo mật trang web của mình.
Câu hỏi thường gặp
Làm cách nào để bảo vệ trang web của tôi khỏi tin tặc?
Có một số bước bạn có thể thực hiện để bảo vệ trang web của mình khỏi tin tặc. Dưới đây là một số mẹo bảo mật hàng đầu:
1. Cài đặt plugin bảo mật với tường lửa tốt
2. Triển khai xác thực hai yếu tố
3. Giới hạn số lần đăng nhập
4. Luôn cập nhật các plugin và chủ đề của bạn
5. Cài đặt SSL
6. Chọn một máy chủ web có uy tín
Tại sao tôi nên bảo vệ trang web của mình khỏi tin tặc?
Tin tặc luôn có được rất nhiều lợi nhuận từ việc tấn công trang web của bạn. Ngoài tổn thất tiền tệ thực tế mà bạn có thể phải đối mặt, dữ liệu của khách truy cập của bạn sẽ bị xâm phạm và họ cũng sẽ phải đối mặt với nguy cơ bị đánh cắp dữ liệu.
Các trang web tốt không cần phải lớn để sinh lợi. Có rất nhiều hoạt động bất chính và bất hợp pháp cũng có thể được thực hiện trên một trang web nhỏ bị tấn công.
Tôi có nên triển khai xác thực hai yếu tố không?
Có, xác thực hai yếu tố là một hệ thống tuyệt vời để đăng nhập trang web. Nó yêu cầu một mã thông báo bổ sung khi đăng nhập, ngoài tên người dùng và mật khẩu. Tiền đề ở đây là, ngay cả khi một tin tặc đã lấy được thông tin đăng nhập của bạn bằng cách nào đó, họ không có khả năng có thiết bị của bạn (hoặc bất cứ thứ gì bạn sử dụng để nhận mã thông báo thứ hai). Đây là một cơ chế hiệu quả để ngăn chặn truy cập trái phép và đã được sử dụng rộng rãi trên internet.
Tôi nên thực hiện bao nhiêu biện pháp để bảo vệ trang web của mình khỏi tin tặc?
Đó là một quan niệm sai lầm phổ biến rằng làm mọi thứ giúp trang web của bạn an toàn nhất có thể. Một trong những lý do khiến chúng tôi bỏ sót rất nhiều thông tin thường thấy từ bài viết này là bởi vì làm mọi thứ không thực sự làm cho trang web của bạn an toàn hơn. Ngược lại, vì ít lợi ích bổ sung, bạn sẽ khiến trang web của mình khó sử dụng hơn.
Bài viết này bao gồm các biện pháp bạn có thể thực hiện một cách an toàn để tăng cường bảo vệ trang web chống lại tin tặc mà không phải hy sinh quá nhiều về mặt trải nghiệm người dùng.