Xin chào các bạn, hẳn làm một điều gì đó thì ai cũng muốn mình được an toàn và không gặp phải rắc rối nào cả. Việc bảo mật thông tin cũng như an toàn dữ liệu luôn là những vấn đề quan trọng mà mỗi chúng ta phải cân nhắc. Thử tưởng tượng chẳng hạn như một ngày nào đó tiền trong thẻ tín dụng của bạn bị trừ trong khi bạn không hề có một giao dịch nào. Tài khoản Email thì không truy cập được do bị chiếm quyền, những hình ảnh cá nhân mang tính nhạy cảm của bạn bị người khác truy cập trái phép thì đó thật là một điều đáng buồn.
Vậy nên từ hồi rất lâu rồi, hẳn các bạn cũng biết việc sử dụng máy vi tính, sau khi cài đặt xong hệ điều hành, các phần mềm cần thiêt đi kèm thì chúng ta cũng không quên cài đặt thêm phần mềm diệt vi rus để tăng bảo mật và an toàn, tránh khỏi tấn công bởi những chương trình độc hại. Hậu quả của những chương trình mà chúng ta gọi là Virus hay Malware thì các bạn có thể nhận thấy rõ như tập tin Word không đọc được, hình ảnh cũng không thể xem, một số phần mềm hay trò chơi bị vi rus “ăn” lây nhiễm thì không thể chạy được nữa. Đơn giản như vậy thôi cũng mang lại rất nhiều phiền toái cho chúng ta rồi phải không các bạn? Và ngày hôm nay mình viết về vấn đề bảo mật cho WordPress nhằm giúp các bạn có thể tránh bị tấn công từ những cuộc tấn công bên ngoài, cũng như khả năng bảo mật của trang bị đe dọa vì một lý do nào đó để các bạn tránh bị mất dữ liệu về sau. Bởi bao công sức của các bạn có thể sẽ trở thành cát bụi sau một đêm nếu bạn không có những bản dự phòng thường xuyên sẵn sàng quay trở về thời điểm trước khi tấn công.
Hầu như những trường hợp nhiễm mã độc hoặc WordPress bị tấn công do một phần lớn do người dùng:
- Sử dụng Hosting free (vì Free cho nên một số Admin có ý đồ xấu xây dựng vì một mục đích nào đó, vậy nên những gì bạn Up lên Host họ đều có thể truy cập, chỉnh sửa hoặc sao chép mã nguồn bạn có).
- Đặt username và mật khẩu quá dễ đoán (Một cuộc tấn công Brue Force Attach sẽ truy cập được vào WP-Admin và hậu quả thế nào bạn có thể biết rồi đấy).
- Sử dụng Themes hay Plugin không bản quyền vì tải về bản có sẵn trên mạng (Không thể tránh khỏi những đoạn mã độc thêm vào để chiếm quyền truy cập cơ sở dữ liệu, chèn quảng cáo hoặc là những đường link đến trang web của họ để họ kiếm backlink cũng như vô tình khách hàng chúng ta click vào nếu họ tò mò).
- Bị tấn công vì nhiều nguyên nhân khác…
Để hạn chế được những điều đó xảy ra, thì chúng ta trước tiên cần quan tâm và chú trọng đến vấn đề bảo mật cho WordPress. Lợi thế của WordPress đó là mã nguồn mở, được phát triển bởi rất nhiều lập trình viên cũng như sự góp ý, sửa đổi ngày một tốt hơn từ cộng đồng, nhưng cũng chính từ đó mà nhiều người lợi dụng chính thế mạnh này mà họ sẽ cố gắng khai thác những sự cố bảo mật trên WordPress để tấn công trang Web của bạn. Không cần phải nói đâu xa, ngay cả cái việc spam trên WordPress đã có rất nhiều Plugin được viết ra, và số lượng lớn các site phải chịu Spam là vô cùng lớn. Xét về tính bảo mật, việc Spam không thể chiếm quyền được việc đăng bài, phá hoại trang hay là làm sập một trang web được, nhưng nếu nói về lâu dài, nếu người quản trị không xóa những spam, thì nó cũng sẽ chiếm một phần không nhỏ tới cơ sở dữ liêu của trang, làm xáo trộn đến những người comment thật trên trang.
Vậy nên việc cần làm đó là phải bảo vệ WordPress ngay từ khi bắt đầu. Đối với những bạn còn đang tìm hiểu cũng như phát triển site, bạn hãy đảm bảo website đã được bảo vệ tốt nhất có thể hãy đưa vào hoạt động chính thức, như vậy vừa đảm bảo được an toàn, vừa giúp người sử dụng an tâm khi truy cập vào trang của bạn.
Và lá chắn cho những trang web, đó là do bạn tạo nên, hãy đảm bảo ít nhất vài điều sau:
- Đặt Username khó đoán cho tài khoản quản trị WordPress, tuyệt đối tránh tài khoản “admin” hay “administrator”.
- WordPress của bạn nên được cập nhật đến các phiên bản ổn định và không quá cũ so với hiện tại, có thể có vài Plugin hay Theme nào đó chỉ tương thích với phiên bản WordPress cũ hơn, tuy nhiên bạn đừng vì thế mà hy sinh đi sự an toàn của cả website, cái gì cũ quá thì tốt nhất chúng ta nên giữ làm kỷ niệm, hai là tạm biệt chúng thôi. Các phiên bản WordPress quá cũ là môi trường thuận lợi để nhiều phần mềm spam, các hacker lợi dụng để tấn công vào lỗ hổng chưa được vá.
- Không nên cài đặt WordPress trên những hosting miễn phí không uy tín (có những trang miễn phí và uy tín thì các bạn vẫn có thể cài đặt lên đó, tuy nhiên cái gì cũng có cái giá của nó, nếu bạn đã xác định làm website lâu dài, hãy bỏ tiền ra thuê một hosting chất lượng, nếu có điều kiện hơn hãy dùng VPS, sau này site phát triển mạnh rồi thì hãy dùng Dedicated server hay VPS Cloud cũng được).
- Không cài đặt các Plugin, Theme “null’ hay “crack” trên mạng, đó là việc làm gậy ông đập lưng ông đấy, phần lớn mã độc đi theo con đường này và bị tấn công chủ yếu cũng theo con đường này.
- Đảm bảo tài khoản Email khôi phục an toàn (Email của quản trị viên WordPress, những bạn nào chơi game chắc cũng hiểu rõ, muốn bảo vệ tài khoản game của mình thì trước tiên là Email phải an toàn + câu hỏi bí mật + số điện thoại xác minh, bật bảo mật 2 lớp nếu cần).
- Phân quyền cho các tài khoản cấp dưới vừa đủ và đúng thẩm quyền, cái này các bạn hiểu rằng hệ thống thành viên trong WordPress bao gồm Quản lý, Tác giả, Công tác viên, Biên tập viên và Thành viên đăng ký, như là một tòa soạn thu nhỏ. Chính vì thế hãy phân quyền hợp lý và đúng với quyền hạn của từng thành viên. Ở đây không phải là nói xấu hay là hoài nghi điều gì, nhưng tốt nhất đừng giao quá nhiều quyền cho một ai đó, để chính bạn còn có thể kiểm soát và cứu vãn tình hình mỗi khi có sự cố xảy ra. Bạn có thể sử dụng thêm Plugin như User Role Editor hay User Roles and Capabilities để có thể phân quyền chi tiết hơn cho từng nhóm thành viên trong WordPress.
- Sử dụng các Plugin bảo mật cho WordPress. Có rất nhiều Plugin có thể giúp bạn bảo vệ trang WordPress của bạn theo nhiều cách như bảo vệ tài khoản Admin, đổi tên các thư mục quan trọng trong WordPress, chống tấn công Brute-force, phân quyền thành viên, quét mã độc, kiểm tra permission tập tin, thư mục, bật tường lửa, chặn IP hay dải IP thiết lập trước đó,… nói chung là rất nhiều. Hiện tại mình dùng hai Plugin đó là Sucuri Security – Plugin này quét mã độc tuyệt vời luôn, chưa kể là phát hiện được mấy cái Plugin nguy hiểm mà mình không thể ngờ được. Và một Plugin nữa đó là Wordfence Security và theo mình thấy Plugin này bảo mật khá là tốt và toàn diện, bạn có thể cài đặt và sử dụng xem, bạn sẽ thấy nó cực kỳ hữu ích.
- Một chú ý quan trọng nữa: Để bảo mật cho trang WordPress của bạn, hãy tạo nội dung bổ ích cho mọi người, đừng làm điều gì ảnh hưởng không tốt đến người khác và cũng đừng gây thù chuốc oán với ai cả, bạn có thể bảo mật trang của bạn rất tốt, tạo sao lưu hàng ngày, phân quyền cho user rất chi tiết,… và rất nhiều biện pháp khác nhưng bạn sẽ không thể nào hoàn toàn an toàn trước những tin tặc mà bạn gây thù trước đó quay lại tấn công trang của bạn, có lẽ chỉ cần một phương thức tấn công DDos đơn giản cũng đủ làm gián đoạn trang web của bạn trong một thời gian nhất định nào đó, chưa kể nếu như bạn làm một trang mua bán hay giao dịch trực tuyến, đó sẽ là thiệt hại không hề nhỏ.
Chúc các bạn một ngày vui vẻ!