Sự đa dạng về hình thức tấn công và khai thác nội dung trên WordPress cũng kéo theo nhiều cách bảo mật website từ đơn giản đến phức tạp. Trong khi ứng dụng những phương thức bảo mật WordPress phức tạp, hãy chắc chắn là bạn đã thiết lập website WordPress của mình bảo mật hơn vì đôi khi những thiết lập rất đơn giản lại là manh mối để các hacker đột nhập vào website.
Nếu bạn chưa chắc chắn website của mình có thiết lập bảo mật hay chưa, hãy kiểm tra các lời khuyên dưới đây và hãy làm ngay nếu bạn chưa làm.
6 cách bảo mật website Wordpress cơ bản
1. Không sử dụng tài khoản tên “admin”
Qua nhiều lần kiểm tra và hỗ trợ nhiều người, mình để ý là có rất nhiều người đặt tên tài khoản quản trị website với tên là “admin“, “administrator“. Đây quả thực là một sai lầm tai hại.
Việc sử dụng các tên tài khoản phổ biến kiểu thế này không an toàn là bởi trên thế giới hiện nay có một hình thức tấn công là Brute Force Attack; nghĩa là sẽ liên tục đăng nhập vào website của bạn với các danh sách tài khoản và mật khẩu có sẵn mà một cách nào đó hacker có được.
Do vậy, việc tài khoản phổ biến như “admin” có thể dễ dàng bị phát hiện ra mật khẩu thông qua hình thức Brute Force Attack này. Nên khi cài đặt website thì hãy đặt cho mình một cái username thật khác biệt và khó đoán như kiểu “thachdeptrainhatvietnam” chẳng hạn.
Còn nếu bạn đã lỡ dùng một username tên là “admin” thì cũng đừng có lo, bạn có thể dùng plugin iThemes Security (mục Advanced) để đổi trực tiếp từ user này.
2. Sử dụng mật khẩu phức tạp
Cũng giống như việc dùng username là “admin”, việc sử dụng mật khẩu quá đơn giản có thể sẽ dễ bị các hình thức tấn công dò mật khẩu kiểu Brute Force Attack dò ra sau một thời gian nhất định.
Tốt nhất, hãy đặt mật khẩu bao gồm chữ hoa chữ thường, số và ký tự đặc biệt là tốt nhất. Bạn không cần quá lo về việc không thể nhớ mật khẩu này, bạn có thể sử dụng các phần mềm như LastPass, StickyPassword để lưu mật khẩu vào và tự động đăng nhập vào các lần sau.
Tips: Sử dụng công cụ Strong Password Generator để tạo mật khẩu mạnh.
3. Cập nhật plugin, theme, WordPress lên phiên bản mới nhất
Một lời khuyên nữa cũng rất quan trọng đó là thường xuyên cập nhật phiên bản các plugin, WordPress và theme bạn đang sử dụng trên website lên phiên bản mới nhất. Vì rất có thể các phiên bản cũ tồn tại một số lỗ hồng “chết người” nên việc cập nhật kịp thời sẽ tránh bạn được các nguy cơ đó.
Việc cập nhật plugin, phiên bản WordPress đơn giản cực kỳ, đó là mỗi khi nó có phiên bản mới sẽ đều thông báo và hiển thị trên website, vào đó chọn cập nhật là nó tự động lên phiên bản mới hết.
4. Sử dụng host chất lượng
Nếu bạn đang sử dụng các dịch vụ host thông thường (Shared Host) thì việc quan trọng là nên dùng host tại nhà cung cấp nào để đảm bảo nhất.
Bởi vì các gói Shared Host đều nằm cùng trên một máy chủ, mà chỉ cần một website trong cả tập thể website có trên máy chủ bị nhiễm mã độc thì các website khác cũng sẽ có nguy cơ bị xâm nhập thông qua hình thức Local Attack. Tuy nhiên với các nhà cung cấp hosting sử dụng CloudLinux OS như AZDIGI, StableHost, A2Hosting,…thì bạn sẽ không cần phải lo việc này bởi vì mỗi người dùng là một hệ thống tập tin ảo hóa riêng, không bị ảnh hưởng khi website khác trên cùng máy chủ bị tấn công.
Do vậy, bạn hãy nên chọn ra các dịch vụ host có uy tín mà gửi gắm thay vì sử dụng các nhà cung cấp ít người dùng, chưa được xác minh.
5. Tránh xa sản phẩm null – vi phạm bản quyền
Các sản phẩm null mà mình đang nói đến ở đây là các sản phẩm trả phí như plugin trả phí, theme trả phí được chia sẻ công khai rộng rãi tại một số website chuyên chia sẻ các mặt hàng này.
Bạn phải biết rằng, việc sử dụng các sản phẩm trả phí mà được chia sẻ như vậy không chỉ vi phạm nghiêm trọng đối với vấn đề bản quyền sản phẩm, mà bạn đang trực tiếp đưa mình đến gần hơn các loại mã độc.
Một bài nghiên cứu đã chỉ ra rằng, đa phần các sản phẩm null tràn lan trên mạng hiện nay đều có mã độc và nó có thể khai thác bất hợp pháp tài nguyên host của bạn, chèn backlink ẩn hoặc tệ hơn là đánh sập.
6. Tránh CHMOD 777
Nếu bạn chỉ nghe qua CHMOD mà chưa hiểu lắm về nó thì hãy khoan tìm hiểu vì nó khá dài dòng, mà mình chỉ cần cho các bạn biết là hãy tránh việc CHMOD thư mục thành 777. Với thiết lập phân quyền 777, nghĩa là bạn đang thiết lập thư mục đó với độ mở tối đa khiến tất cả user trên server đều có quyền ghi/xóa/thực thi thư mục đó và các tập tin bên trong, đây là nguyên nhân của việc tại sao website bạn bỗng dưng xuất hiện các loại mã độc không rõ lai lịch.
Nếu bạn sử dụng Shared Host, bạn cần biết rằng cách CHMOD chuẩn nhất phải là 755 cho thư mục, 644 cho các tập tin. Đối với tập tin nhạy cảm như wp-config.php thì hãy CHMOD thành 444 hoặc 440 hoặc 400.
Lời kết
Ở trên là tổng hợp 6 cách bảo mật website Wordpress cơ bản nhưng rất quan trọng trong quãng thời gian bạn quản trị website WordPress cần phải ghi nhớ để tránh các vấn đề đáng tiếc xảy ra, nhưng may mắn là 6 cách trên đều dễ dàng thực hiện.
Xem thêm các bài viết khác trong chuỗi bài Bảo mật Wordperss
Nếu bạn chưa chắc chắn website của mình có thiết lập bảo mật hay chưa, hãy kiểm tra các lời khuyên dưới đây và hãy làm ngay nếu bạn chưa làm.
6 cách bảo mật website Wordpress cơ bản
1. Không sử dụng tài khoản tên “admin”
Qua nhiều lần kiểm tra và hỗ trợ nhiều người, mình để ý là có rất nhiều người đặt tên tài khoản quản trị website với tên là “admin“, “administrator“. Đây quả thực là một sai lầm tai hại.
Việc sử dụng các tên tài khoản phổ biến kiểu thế này không an toàn là bởi trên thế giới hiện nay có một hình thức tấn công là Brute Force Attack; nghĩa là sẽ liên tục đăng nhập vào website của bạn với các danh sách tài khoản và mật khẩu có sẵn mà một cách nào đó hacker có được.
Do vậy, việc tài khoản phổ biến như “admin” có thể dễ dàng bị phát hiện ra mật khẩu thông qua hình thức Brute Force Attack này. Nên khi cài đặt website thì hãy đặt cho mình một cái username thật khác biệt và khó đoán như kiểu “thachdeptrainhatvietnam” chẳng hạn.
Còn nếu bạn đã lỡ dùng một username tên là “admin” thì cũng đừng có lo, bạn có thể dùng plugin iThemes Security (mục Advanced) để đổi trực tiếp từ user này.
2. Sử dụng mật khẩu phức tạp
Cũng giống như việc dùng username là “admin”, việc sử dụng mật khẩu quá đơn giản có thể sẽ dễ bị các hình thức tấn công dò mật khẩu kiểu Brute Force Attack dò ra sau một thời gian nhất định.
Tốt nhất, hãy đặt mật khẩu bao gồm chữ hoa chữ thường, số và ký tự đặc biệt là tốt nhất. Bạn không cần quá lo về việc không thể nhớ mật khẩu này, bạn có thể sử dụng các phần mềm như LastPass, StickyPassword để lưu mật khẩu vào và tự động đăng nhập vào các lần sau.
Tips: Sử dụng công cụ Strong Password Generator để tạo mật khẩu mạnh.
3. Cập nhật plugin, theme, WordPress lên phiên bản mới nhất
Một lời khuyên nữa cũng rất quan trọng đó là thường xuyên cập nhật phiên bản các plugin, WordPress và theme bạn đang sử dụng trên website lên phiên bản mới nhất. Vì rất có thể các phiên bản cũ tồn tại một số lỗ hồng “chết người” nên việc cập nhật kịp thời sẽ tránh bạn được các nguy cơ đó.
Việc cập nhật plugin, phiên bản WordPress đơn giản cực kỳ, đó là mỗi khi nó có phiên bản mới sẽ đều thông báo và hiển thị trên website, vào đó chọn cập nhật là nó tự động lên phiên bản mới hết.
4. Sử dụng host chất lượng
Nếu bạn đang sử dụng các dịch vụ host thông thường (Shared Host) thì việc quan trọng là nên dùng host tại nhà cung cấp nào để đảm bảo nhất.
Bởi vì các gói Shared Host đều nằm cùng trên một máy chủ, mà chỉ cần một website trong cả tập thể website có trên máy chủ bị nhiễm mã độc thì các website khác cũng sẽ có nguy cơ bị xâm nhập thông qua hình thức Local Attack. Tuy nhiên với các nhà cung cấp hosting sử dụng CloudLinux OS như AZDIGI, StableHost, A2Hosting,…thì bạn sẽ không cần phải lo việc này bởi vì mỗi người dùng là một hệ thống tập tin ảo hóa riêng, không bị ảnh hưởng khi website khác trên cùng máy chủ bị tấn công.
Do vậy, bạn hãy nên chọn ra các dịch vụ host có uy tín mà gửi gắm thay vì sử dụng các nhà cung cấp ít người dùng, chưa được xác minh.
5. Tránh xa sản phẩm null – vi phạm bản quyền
Các sản phẩm null mà mình đang nói đến ở đây là các sản phẩm trả phí như plugin trả phí, theme trả phí được chia sẻ công khai rộng rãi tại một số website chuyên chia sẻ các mặt hàng này.
Bạn phải biết rằng, việc sử dụng các sản phẩm trả phí mà được chia sẻ như vậy không chỉ vi phạm nghiêm trọng đối với vấn đề bản quyền sản phẩm, mà bạn đang trực tiếp đưa mình đến gần hơn các loại mã độc.
Một bài nghiên cứu đã chỉ ra rằng, đa phần các sản phẩm null tràn lan trên mạng hiện nay đều có mã độc và nó có thể khai thác bất hợp pháp tài nguyên host của bạn, chèn backlink ẩn hoặc tệ hơn là đánh sập.
6. Tránh CHMOD 777
Nếu bạn chỉ nghe qua CHMOD mà chưa hiểu lắm về nó thì hãy khoan tìm hiểu vì nó khá dài dòng, mà mình chỉ cần cho các bạn biết là hãy tránh việc CHMOD thư mục thành 777. Với thiết lập phân quyền 777, nghĩa là bạn đang thiết lập thư mục đó với độ mở tối đa khiến tất cả user trên server đều có quyền ghi/xóa/thực thi thư mục đó và các tập tin bên trong, đây là nguyên nhân của việc tại sao website bạn bỗng dưng xuất hiện các loại mã độc không rõ lai lịch.
Nếu bạn sử dụng Shared Host, bạn cần biết rằng cách CHMOD chuẩn nhất phải là 755 cho thư mục, 644 cho các tập tin. Đối với tập tin nhạy cảm như wp-config.php thì hãy CHMOD thành 444 hoặc 440 hoặc 400.
Lời kết
Ở trên là tổng hợp 6 cách bảo mật website Wordpress cơ bản nhưng rất quan trọng trong quãng thời gian bạn quản trị website WordPress cần phải ghi nhớ để tránh các vấn đề đáng tiếc xảy ra, nhưng may mắn là 6 cách trên đều dễ dàng thực hiện.
Xem thêm các bài viết khác trong chuỗi bài Bảo mật Wordperss
Theo Blog Thạch Phạm
Sửa lần cuối: