Bảo mật cho WordPress

0
693
(Last Updated On: Th4 23, 2018)

Xin chào các bạn, hẳn khi làm một điều gì đó thì ai cũng muốn mình được an toàn và không phải gặp rắc rối nào cả, việc bảo mật thông tin cũng như an toàn dữ liệu luôn là những vấn đề quan trọng mà mỗi chúng ta phải cân nhắc. Thử tưởng tượng chẳng hạn như một ngày nào đó tiền trong thẻ tín dụng của bạn bị trừ trong khi bạn không có một giao dịch nào. Tài khoản  Email thì không truy cập được vì bị chiếm quyền mất rồi, hình ảnh cá nhân trong đó có những hình nhạy cảm của bạn bị người khác truy cập trái phép hoặc được đăng lung tung trên mạng thì đó thật là một điều đáng buồn.

Vậy nên từ hồi rất lâu rồi, các bạn nào từng sử dụng máy tính, sau khi cài đặt xong hệ điều hành, các phần mềm cần thiết đi kèm thì chúng ta cũng không quên cài đặt thêm một phần mềm diệt Vi rus để tăng bảo mật và an toàn, tránh khỏi tấn công bởi những chương trình độc hại. Hậu quả của những chương trình mà chúng ta gọi là Vi rus hay Malware thì các bạn có thể nhận thấy rõ như tập tin Word không đọc được, hình ảnh không thể xem, một số phần mềm hay trò chơi bị vi rus “ăn” (lây nhiễm) thì không thể chạy được. Đơn giản như vậy thôi cũng mang lại rất nhiều phiền toái cho chúng ta rồi phải không các bạn? Và ngày hôm nay mình viết về vấn đề bảo mật cho WordPress nhằm giúp các bạn tránh khỏi những cuộc tấn công bên ngoài, cũng như sự phá hoại của những kẻ xấu, tránh cho việc các bạn bị mất mát dữ liệu của Website cũng như sự thâm nhập trái phép từ bên ngoài gây ảnh hưởng đến hoạt động trang Web của bạn. Bởi vì bao nhiêu công sức và mồ hôi nước mắt của các bạn có thể đổ xuống sông xuống biển nếu bạn không ngăn chặn được các cuộc tấn công mà trong tay các bạn không có những bản sao lưu kịp thời.

Dưới đây là hình ảnh trang VnGeek.com bị tấn công vào ngày 04/12/2017

Trang chủ của mình khi đó truy cập thì như thế này đây

Kết quả tìm kiếm trên Google ngay lập tức bị ảnh hưởng theo:

Hầu như những trường hợp nhiễm mã độc hoặc WordPress bị tấn công phần lớn xuất phát từ chính người quản trị Website:

  • Sử dụng Hosting free (vì Free cho nên một số Admin có ý đồ xấu xây dựng Hosting vì một mục đích nào đó, những tập tin hay dữ liệu bạn Up lên host họ đều có thể sao chép, truy cập hoặc chỉnh sửa tập tin trong mã nguồn của bạn – mình trước đây hồi còn tập tành làm web, sử dụng hosting free từ một nhà cung cấp ở Mỹ, dùng rất tốt nhưng sau đó một thời gian mình thấy tập tin footer.php trong theme của mình đã bị họ chỉnh sửa và chèn đường link website họ vào. Việc làm này không ảnh hưởng đến sự an toàn của Website nhưng nó tiềm ẩn nguy cơ bảo mật, ai biết được ngoài việc chèn Link vào file họ còn làm điều gì nữa trong tương lai?!).
  • Đặt Username và mật khẩu quá dễ đoán (một cuộc tấn công Bruce force sẽ khiến cho kẻ xấu truy cập vào trang WP-admin trên trang của bạn, khi đó bạn đủ biết hậu quả thế nào rồi đấy).
  • Sử dụng Plugin và Theme không bản quyền, share trôi nổi trên mạng. (Cái này xuất phát từ một số trang web chuyên re-up lại những Plugin và Theme mà họ đã mua, tuy nhiên có mấy ai mà tốt đến mức mua bằng tiền của mình rồi chia sẻ lại miễn phí cho người khác chứ? Nhẹ thì họ chèn liên kết kiếm Back link, tinh vi hơn thì chèn mã độc để chiếm quyền truy cập dữ liệu hoặc tự chuyển hướng đến trang của họ,…).
  • Các bạn sử dụng máy chủ với nền tảng cũ mà không cập nhật, tiềm ẩn nguy cơ cho kẻ xấu lợi dụng những lỗ hổng trước chưa được vá hoặc bị ngừng không hỗ trợ. Điều này gây mất an toàn cho bất cứ chương trình hoặc mã nguồn nào. Không giống như máy tính cá nhân ở nhà các bạn cài đặt xong hệ điều hành rồi tắt Windows Update đi chẳng hạn, nhưng môi trường máy chủ không phải thế, cần được cập nhật sớm nhất có thể.
  • Một lỗi nữa xảy ra đó là phân quyền cho tư mục, tập tin, một số bạn phân quyền sai cho tập tin và thư mục cho nên tạo điều kiện thuận lợi cho kẻ xấu lợi dụng và chỉnh sửa các tập tin của bạn.
  • Và còn một số nguyên nhân khác nữa…

Qua những gì mình viết ở trên có lẽ giúp các bạn phần nào tăng tính bảo mật cho trang WordPress của mình rồi. Tuy nhiên mình cũng xin giới thiệu các bạn một số Plugin mình từng sử dụng qua và thấy rất tốt để giới thiệu đến các bạn, mặc dù có thể những Plugin mình giới thiệu không hoàn toàn là tốt nhất nhưng sẽ giúp các bạn được phần nào đó.

  • Plugin Wordfence Security – Firewall & Malware Scan
    Đúng như cái tên của Plugin này, đó là tạo một bức tường lửa giúp bảo vệ website của bạn với các cuộc tấn công bên ngoài, chặn lưu lượng truy cập từ những nguồn độc hại, chặn các dải IP xấu (Spam, DDos,…), hạn chế các lần đăng nhập không hợp lệ…
    Tiếp đó là quét Malware: Plugin này quét và phát hiện những tập tin không chính thống theo WordPress bao gồm cả mã nguồn WordPress, các Plugin khác và giao diện của các bạn, backdoors, SEO spam, chuyển hướng không hợp lệ và code injections.
Như trong hình các bạn có thể thấy những vòng khoanh đỏ là những tập tin không chính thống của WordPress, nó có thể thêm vào bởi một Plugin hay Theme nào đó và cũng có thể được thêm bởi kẻ xấu.

Những vòng khoanh màu vàng thì đó là những Plugin rất lâu rồi mà chưa được tác giả cập nhật. Tuy không đe dọa đến an toàn của Website nhưng chúng ta không loại trừ hacker lợi dụng chính những Plugin này để thâm nhập hoặc tấn công trang Web của bạn, ai biết được điều gì sẽ xảy ra chứ.

Bây giờ mình đến mục Firewall của Plugin này:

Không biết rằng mình có gây thù hằn gì với mấy anh Ukraine không mà mấy ảnh tấn công dữ vậy. (Thật ra con số 1493 không phải là nhiều).

Theo mình thì cài mỗi Plugin này cũng đã giải quyết được đa phần những vấn đề cốt lõi.

Một loạt các kiểm tra cần thiết sẽ được thực hiện mỗi khi bạn Scan website. Dấu “V” thì các bạn yên tâm rồi nhé, còn bảng tam giác màu vàng thì các bạn tìm hiểu và khắc phục nhé.

Sucuri Security – Auditing, Malware Scanner and Security Hardening

Plugin Sucuri có rất nhiều tính năng đặc biệt và chuyên sâu ngoài việc phát hiện ra những mã độc có trên site bạn xuất phát từ Plugin, Theme hay những tập tin từ chính WordPress Core nhưng đã bị chỉnh sửa vì một lý do nào đó thì Plugin này giúp bạn tăng khả năng bảo mật từ những thiết đặt với HardeningPost-Hack, tất nhiên Plugin này có sẵn tường lửa rồi, và để sử hết những tính năng của Sucuri thì bạn cần đăng ký một API Key từ website của Sucuri.

Mình xin khẳng định với các bạn Plugin Sucuri rất mạnh mẽ. Đã có lần mình nghi ngờ site bị nhiễm mã độc và cài rất nhiều Plugin bảo mật của WordPress nhưng chỉ có Sucuri phát hiện ra được và mình đã khắc phục thành công. Mình xin gửi một lời cảm ơn tới Sucuri.

All In One WP Security & Firewall

Một Plugin đa chức năng với tên gọi của nó. Bạn có thể làm rất nhiều việc với Plugin này.

Plugin All In One WP Security & Firewall có một cái đồng hồ đo độ an toàn cho Website của bạn. Mỗi khi thực hiện một việc nào đó làm tăng tính bảo mật của trang thì đồng hồ này cũng tăng số theo, các bạn yên tâm cái đồng hồ này không phải đồng hồ điện đâu cho nên dù có nhảy đến số nào đi chăng nữa bạn cũng đừng lo lắng :).

Những công cụ của Plugin nằm trên Menu đổ xuống trong WP-Admin. Từ thiết lập bảo mật cho Database, Filesystem cho đến danh sách chặn rồi Brute force, tất nhiên Plugin này không thể không có chức năng Scan tổng thể site mà còn có thêm mục bảo trì nữa. Từ những ngày đầu sử dụng WordPress mình đã cài đặt và sử dụng Plugin này rất lâu cho đến iThemes Security (formerly Better WP Security).

 

Tất nhiên không thể bỏ qua iThemes Security (formerly Better WP Security). Một Plugin thuộc hàng cực tốt, chỉ có điều điểm yếu của nó đó là để sử dụng thêm một số tính năng cao cấp các bạn phải trả phí để dùng bản iThemes Security Pro.

Tuy nhiên theo mình thì dùng bản miễn phí cũng khá đầy đủ rồi. Phần thiết lập của iThemes Security chia làm những mục nhỏ với những ô vuông xinh xắn giúp bạn dễ dàng thiết đặt những mục an toàn thêm cho trang của bạn.

iThemes Security chia thành từng mục nhỏ để các bạn dễ nhìn, dễ quản lý mà không bị hoa mắt.

Và có một điều quan trọng nữa, nếu như bạn nào muốn sử dụng những tính năng cao cấp hơn của Plugin hay Theme nào đó. Đừng dại gì tải những bản “null” trên mạng hoặc tải về từ những trang chia sẻ nào cả. Bởi đó là tự mình hại mình nhé. Cứ dùng những Plugin miễn phí. Cần thiết lắm thì bỏ tiền túi ra rồi mua. Cuộc đời cái gì cũng có giá của nó cả. Có ai cho không ai điều gì đâu? Phải không các bạn?

Ở trên đây là một số Plugin mà mình đã từng dùng qua và thấy tốt nên mình gom lại viết bài để chia sẻ đến tất cả các bạn. Ở ngoài kia còn rất nhiều Plugin cũng rất tốt và còn nhiều tính năng hay nữa nhưng có thể mình chưa biết hoặc là Plugin đó chưa được viết ra. Hy vọng những thông tin trên bổ ích cho các bạn.

Chúc các bạn một ngày đầu tuần vui vẻ.

Bình luận