Hướng dẫn bảo mật Website WordPress HIỆU QUẢ

Dưới đây là những cách bảo mật WordPress hữu hiệu mà bạn nên dùng, tránh khỏi nguy cơ bị tấn công bởi những phần tử bất hảo trên internet và ngăn chặn nguy cơ một ngày nào đó bỗng dưng bị mất quyền kiểm soát website hay dữ liệu bị biến mất chỉ sau một đêm. 11 cách bảo mật website này chuyên dùng cho các website sử dụng mã nguồn mở WordPress. Mỗi một cách đều có khả năng giúp bạn tăng cường sự bảo mật cho website, tuy nhiên, hay nhất là bạn nên sử dụng kết hợp các cách này với nhau.

Những điều cơ bản cần biết về bảo mật WordPress

Chúng ta sẽ cùng đi tìm hiểu cơ bản về bảo mật WordPress.

Và một số lưu ý rất quan trọng để giúp bảo vệ website một cách an toàn.

Mà bất kì ai cũng cần nắm vững khi bắt đầu sử dụng WordPress

Tại sao cần bảo mật Website WordPress?

Trang web của bạn đang chạy bình thường và bổng nhiên bị dính virus. Nếu bạn là người chưa bao giờ gặp tình huống này, sẽ rất khó khăn cho bạn. Đặc biệt là với anh em tay ngang ko phải dân kỹ thuật. Hackers đánh cắp thông tin người dùng, mật khẩu, cài đặt phần mềm độc hại…

Và thậm chí phân tán phần mềm đọc hại cho người dùng của bạn. Nhiều hacker còn bắt nạn nhân chi trả muốn khoản tiền, gần đây nhất đó là virus wanny cry. Trong tháng 3 năm 2016, Google chỉ ra rằng có hơn 50 triệu cảnh báo về website người dùng truy cập có thể chứa mã độc. Hơn nữa, Google cũng liệt kê khoảng 20.000 website có chứa mã độc và 50.000 trang lừa đảo mỗi tuần.

Một con số không hề nhỏ đúng không nào, rất có thể nạn nhân tiếp sẽ là bạn. Nếu là một doanh nghiệp, thì càng nên quan tâm đến vấn đề bảo mật WordPress. Không chỉ vì uy tín và trách nhiệm của bạn, nó còn ảnh hưởng trực tiếp đến doanh thu của bạn.

Brute Force Attack là gì? Có quan trọng cho việc bảo mật Website WordPress?

Nó là một hình thức tấn công phổ biến nhằm vào các website sử dụng mã nguồn mở,đặc biệt là các website wordpress và những người sử dụng website wordpress không còn lạ lẫm với hình thức tấn công này.

Để chống Brute Force Attack bạn cần khắc phục những vấn đề về bảo mật tài khoản đăng nhập bao gồm:

• Đặt tên username khó đoán
• Đặt mật khẩu mạnh, nhiều ký tự đặc biệt và không liên quan đến thông tin cá nhân
• Bảo mật đường dẫn đăng nhập
• Thường xuyên thay đổi mật khẩu
• Hạn chế số lần đăng nhập sai

Quét WordPress để loại malware khỏi Website WordPress

Hackers thường dùng các lỗ hổng của themes hoặc plugin để cài mã độc lên WordPress. Vì vậy, việc quét blog của bạn thường xuyên là rất quan trọng. Có rất nhiều plugin bảo mật WordPress tốt hiện nay. WordFence nổi bật nhất. Nó cho phép scan thủ công và tư động với nhiều thiết lập khác nhau. Bạn có thểm thậm chí restore files được chỉnh sửa và đã nhiễm mã độc với chỉ một vài cú click chuột. MIễn phí và mã nguồn mở, thực tế chỉ vậy thôi đã đủ để bạn cài ngay rồi phải không? Còn chờ gì nữa.

Một số plugin bảo mật WordPress tốt khác:

• BulletProof Security – không giống WordFence, BulletProof không quét các files của bạn, mà chỉ cung cấp firewall, bảo mật database, và tương tự. Ưu điểm đặc biệt nhất là nó có thể được cấu hình và cài đặt trong vài cú click.
• Sucuri Security – plugin bảo mật WordPress này sẽ bảo vệ bạn khỏi tấn công DOS, nó sẽ tạo một danh sách đen, quét website của bạn để phát hiện malware và quản lý tường lửa. Nếu phát hiện, nó sẽ thông báo qua email, Google, Norton, McAfee – các blacklist của những bộ máy này sẽ được tích hợp trong plugin này..

Phòng chống Lây nhiễm chéo trên Hosting

Trường hợp này trong bảo mật gọi là Cross-Site Contamination – tức lây nhiễm chéo!

Một gói Hosting (hay gói VPS) có thể xem là một căn nhà với nhiều phòng – mỗi phòng chứa một Websites.

Do đó nếu có một Website bị hack, thì các Website khác hoàn toàn có thể bị tấn công bằng cách thực thi các lệnh PHP với quyền hạn phù hợp.

Cách phòng tránh Cross-Site Contamination tốt nhất là:

1. Mỗi Website nên dùng trên hosting/ vps dành riêng cho nó thôi
2. Nếu dùng nhiều websites trên cùng Hosting, VPS, cần đảm bảo thực hiện các phương pháp bảo mật mới nhất trên tất cả các websites.
3. Dùng các dịch vụ bảo mật, tạo tường lửa giữa các Website trên cùng Hosting/ VPS. Tốt nhất là dùng Sucuri Firewall – dịch vụ tường lửa số 1 thế giới hiện nay.
4. Tuyệt đối không giữ các websites ‘demo’ trên hosting sau khi không còn sử dụng, vì chúng sẽ trở thành đối tượng ngon ăn cho hacker.

SSL Certificate

Nếu không có SSL Certificate, website của bạn sẽ chẳng khác gì “nhà không khóa cửa”. Các hacker sẽ đánh cắp dữ liệu trong quá trình trao đổi thông tin giữa website và server, giống như cách những tên trộm lấy cắp tài sản quý giá trong nhà.

Một khi các dữ liệu trên website bị đánh cắp, cả website và người dùng sẽ đều gặp nhiều hậu quả khôn lường. Một website bị đánh cắp thông tin sẽ bị hacker tận dụng để đánh sập bất cứ lúc nào, còn người dùng sẽ bị hacker liên tục spam mỗi ngày trên Internet nhằm vào mục đích bất chính.

SSL Certificate có khả năng mã hóa tất cả các dữ liệu đang được trao đổi giữa website và người dùng, từ đó giúp thông tin người dùng không bị lộ, loại trừ nguy cơ bị hacker xâm nhập vào. Nếu các bạn chưa biết, mỗi SSL Certificate được tích hợp trên từng website là khác nhau, được các cơ quan chức năng cấp phát cho doanh nghiệp có danh tính rõ ràng.

Đừng bao giờ coi thường vấn đề bảo mật trên Internet. Hãy sở hữu chứng chỉ SSL ngay hôm nay để bảo vệ website và người dùng của bạn nhé! Dưới đây là một số lợi ích khi bạn sử dụng chứng chỉ SSL cho website.

SFTP là gì?

SFTP, gọi tắt của SSH File Transfer Protocol, là cách chuyển file lên server hoặc ngược lại mà an toàn hơn nhiều. Sử dụng giao thức SSH, nó hỗ trợ mã hóa và các phương thức bảo mật khác để bảo vệ việc chuyển file tốt hơn. Nó là giao thức truyền file an toàn duy nhất bảo vệ chống lại các cuộc tấn công tại bất kỳ điểm nào trong quá trình truyền dữ liệu. Điều này khiến nó trở thành giao thức được ưa thích của các chuyên gia.

Kích Hoạt Web Applitcation Firewall (WAF)

Cách dễ dàng nhất để bảo vệ website và mang lại cảm giác an toàn về bảo mật WordPress là sử dụng web application firewall (WAF). Tường lữa sẽ ngăn chặn tất cả các lượt truy cập nguy hiểm trước khi nó có thể chạm đến website của bạn.

Trong quá trình truyền file, mọi dữ liệu được chia thành packets và gửi trên cùng một giao thức bảo mật.

Thông tin nhạy cảm sẽ được mã hóa và không ai có thể đọc được chúng trong quá trình chuyển từ máy client đến máy server/hay hosting. Hay nói cách khác, nội dung gốc dưới dạng plaintext (chữ đọc được) sẽ được thay thế bằng ký tự số mã hóa (ciphertext).

Chỉ có người nhận có key giải mã sẽ có thể nhìn thấy nội dung gốc. Việc này ngăn chặn bất kỳ truy cập trái phép nào vào file.

Tôi đang sử dụng Sucuri và khuyên bạn cũng nên sử dụng nó như là một bước tường lửa cho trang WordPress của mình.

Phần tuyệt với nhất về Sucuri’s firewall là đi kèm với tính năng dọn dẹn malware và đảm bảo loại bỏ chúng trong blacklist. Về cơ bản nếu bạn bị tấn công dưới sự giám sát của họ, Sucuri sẽ đảm bảo sẽ sửa lỗi cho website của bạn (bất kể bao nhiều pages bạn có)

Từ khóa tham khảo: