Bảo mật cho WordPress

0
589
(Last Updated On: Th4 23, 2018)

Xin chào các bạn, hẳn khi làm một điều gì đó thì ai cũng muốn mình được an toàn và không phải gặp rắc rối nào cả, việc bảo mật thông tin cũng như an toàn dữ liệu luôn là những vấn đề quan trọng mà mỗi chúng ta phải cân nhắc. Thử tưởng tượng chẳng hạn như một ngày nào đó tiền trong thẻ tín dụng của bạn bị trừ trong khi bạn không có một giao dịch nào. Tài khoản  Email thì không truy cập được vì bị chiếm quyền mất rồi, hình ảnh cá nhân trong đó có những hình nhạy cảm của bạn bị người khác truy cập trái phép hoặc được đăng lung tung trên mạng thì đó thật là một điều đáng buồn.

Vậy nên từ hồi rất lâu rồi, các bạn nào từng sử dụng máy tính, sau khi cài đặt xong hệ điều hành, các phần mềm cần thiết đi kèm thì chúng ta cũng không quên cài đặt thêm một phần mềm diệt Vi rus để tăng bảo mật và an toàn, tránh khỏi tấn công bởi những chương trình độc hại. Hậu quả của những chương trình mà chúng ta gọi là Vi rus hay Malware thì các bạn có thể nhận thấy rõ như tập tin Word không đọc được, hình ảnh không thể xem, một số phần mềm hay trò chơi bị vi rus “ăn” (lây nhiễm) thì không thể chạy được. Đơn giản như vậy thôi cũng mang lại rất nhiều phiền toái cho chúng ta rồi phải không các bạn? Và ngày hôm nay mình viết về vấn đề bảo mật cho WordPress nhằm giúp các bạn tránh khỏi những cuộc tấn công bên ngoài, cũng như sự phá hoại của những kẻ xấu, tránh cho việc các bạn bị mất mát dữ liệu của Website cũng như sự thâm nhập trái phép từ bên ngoài gây ảnh hưởng đến hoạt động trang Web của bạn. Bởi vì bao nhiêu công sức và mồ hôi nước mắt của các bạn có thể đổ xuống sông xuống biển nếu bạn không ngăn chặn được các cuộc tấn công mà trong tay các bạn không có những bản sao lưu kịp thời.

Dưới đây là hình ảnh trang VnGeek.com bị tấn công vào ngày 04/12/2017

Trang chủ của mình khi đó truy cập thì như thế này đây

Kết quả tìm kiếm trên Google ngay lập tức bị ảnh hưởng theo:

Hầu như những trường hợp nhiễm mã độc hoặc WordPress bị tấn công phần lớn xuất phát từ chính người quản trị Website:

  • Sử dụng Hosting free (vì Free cho nên một số Admin có ý đồ xấu xây dựng Hosting vì một mục đích nào đó, những tập tin hay dữ liệu bạn Up lên host họ đều có thể sao chép, truy cập hoặc chỉnh sửa tập tin trong mã nguồn của bạn – mình trước đây hồi còn tập tành làm web, sử dụng hosting free từ một nhà cung cấp ở Mỹ, dùng rất tốt nhưng sau đó một thời gian mình thấy tập tin footer.php trong theme của mình đã bị họ chỉnh sửa và chèn đường link website họ vào. Việc làm này không ảnh hưởng đến sự an toàn của Website nhưng nó tiềm ẩn nguy cơ bảo mật, ai biết được ngoài việc chèn Link vào file họ còn làm điều gì nữa trong tương lai?!).
  • Đặt Username và mật khẩu quá dễ đoán (một cuộc tấn công Bruce force sẽ khiến cho kẻ xấu truy cập vào trang WP-admin trên trang của bạn, khi đó bạn đủ biết hậu quả thế nào rồi đấy).
  • Sử dụng Plugin và Theme không bản quyền, share trôi nổi trên mạng. (Cái này xuất phát từ một số trang web chuyên re-up lại những Plugin và Theme mà họ đã mua, tuy nhiên có mấy ai mà tốt đến mức mua bằng tiền của mình rồi chia sẻ lại miễn phí cho người khác chứ? Nhẹ thì họ chèn liên kết kiếm Back link, tinh vi hơn thì chèn mã độc để chiếm quyền truy cập dữ liệu hoặc tự chuyển hướng đến trang của họ,…).
  • Các bạn sử dụng máy chủ với nền tảng cũ mà không cập nhật, tiềm ẩn nguy cơ cho kẻ xấu lợi dụng những lỗ hổng trước chưa được vá hoặc bị ngừng không hỗ trợ. Điều này gây mất an toàn cho bất cứ chương trình hoặc mã nguồn nào. Không giống như máy tính cá nhân ở nhà các bạn cài đặt xong hệ điều hành rồi tắt Windows Update đi chẳng hạn, nhưng môi trường máy chủ không phải thế, cần được cập nhật sớm nhất có thể.
  • Một lỗi nữa xảy ra đó là phân quyền cho tư mục, tập tin, một số bạn phân quyền sai cho tập tin và thư mục cho nên tạo điều kiện thuận lợi cho kẻ xấu lợi dụng và chỉnh sửa các tập tin của bạn.
  • Và còn một số nguyên nhân khác nữa…

Qua những gì mình viết ở trên có lẽ giúp các bạn phần nào tăng tính bảo mật cho trang WordPress của mình rồi. Tuy nhiên mình cũng xin giới thiệu các bạn một số Plugin mình từng sử dụng qua và thấy rất tốt để giới thiệu đến các bạn, mặc dù có thể những Plugin mình giới thiệu không hoàn toàn là tốt nhất nhưng sẽ giúp các bạn được phần nào đó.

  • Plugin Wordfence Security – Firewall & Malware Scan
    Đúng như cái tên của Plugin này, đó là tạo một bức tường lửa giúp bảo vệ website của bạn với các cuộc tấn công bên ngoài, chặn lưu lượng truy cập từ những nguồn độc hại, chặn các dải IP xấu (Spam, DDos,…), hạn chế các lần đăng nhập không hợp lệ…
    Tiếp đó là quét Malware: Plugin này quét và phát hiện những tập tin không chính thống theo WordPress bao gồm cả mã nguồn WordPress, các Plugin khác và giao diện của các bạn, backdoors, SEO spam, chuyển hướng không hợp lệ và code injections.
Như trong hình các bạn có thể thấy những vòng khoanh đỏ là những tập tin không chính thống của WordPress, nó có thể thêm vào bởi một Plugin hay Theme nào đó và cũng có thể được thêm bởi kẻ xấu.
Đường dẫn rút gọn của bài viết: https://vngeek.com/M5KjP

BÌNH LUẬN

Please enter your comment!
Please enter your name here