Chào các bạn, chắc có lẽ khi đọc từ tiêu đề thì chúng ta có thể thấy đây là vấn đề không còn mới mẻ gì, tuy nhiên chủ đề này vẫn chưa bao giờ là cũ đối với những người đã, đang và sẽ sử dụng mã nguồn WordPress.
WordPress là một mã nguồn mở, được phát triển trên cơ sở hợp tác của cộng đồng những người viết code trên toàn thế giới, chính vì thế mà nó luôn có những lỗ hổng nhất định, mặc dù cho các lỗ hổng được phát hiện thì nó nhanh chóng được vá lại bằng các bản cập nhật. Tuy nhiên, “phòng bệnh hơn chữa bệnh”, tốt nhất không nên để “mất bò mới đi làm chuồng”.
Vậy nên, sau khi đã dày công thực hiện được một Website WordPress và các công việc như phát triển nội dung, tối ưu hóa công cụ tìm kiếm thì bước tiếp theo phải làm đó chính là sử dụng những biện pháp để bảo vệ thành quả của mình khỏi những trường hợp đáng tiếc dẫn đến “dã tràng xe cát biển đông”.
Để tránh mất thời gian của mọi người thì mình sẽ đi thẳng vào chủ đề chính như đã đề cập ở trên, hôm nay POWERNET sẽ giới thiệu cho các bạn 6 cách để tăng cường bảo mật cho mã nguồn WordPress như sau:
1. Sử dụng mật khẩu phức tạp
Nếu bạn đặt mật khẩu cho tài khoản admin quá đơn giản thì đó chính là cơ hội để người khác có thể “đoán mò” hay dùng các phương thức dạng Brute Force Attack để dò pass trong một khoảng thời gian nào đó.
Tốt nhất bạn hãy đặt mật khẩu thật phức tạp bao gồm chữ in hoa, chữ thường, kí tự đặc biệt, số để tránh trường hợp mà mình đã nói phía trên. Nếu bạn sợ quên có thể ghi vào sổ tay hoặc sử dụng LastPass, StickyPassword để lưu lại mật khẩu và tự động đăng nhập vào những lần sau.
2. Cập nhật Theme, Plugin, WordPress Core lên phiên bản mới nhất
Nếu bạn thường xuyên cập nhật các phiên bản mới của theme, plugin, hay source của WordPress thì cũng phần nào tăng cường bảo mật WordPress bởi lâu ngày thì sẽ có nhiều lỗ hổng phát sinh. Vì thế hãy nhanh chóng cập nhật để tránh khỏi những nguy cơ “chết người đó” nhé.
3. Không nên sử dụng user là “admin”
Một lỗi khá phổ biến của một số người dùng WordPress là để nguyên tên user quản trị viên là “admin“, đây chính là một sai lầm tai hại. Việc này rất dễ bị hình thức Brute Force Attack đoán ra.
Vì thế bạn hãy đặt một cái tên khác vừa dễ nhớ những không dễ cho người khác đoán ra chẳng hạn như “powernet_adm” hay một nickname quen thuộc bạn hay dùng. Bạn có thể đổi trong PHPMyAdmin hoặc dùng plugin WPVN – Username Change
4. Xác thực đăng nhập
Có thể nói rằng khi bạn tạo ra hai bước đăng nhập bằng cách thêm một bước xác thực rằng đó không phải là BOT truy cập cũng coi như việc bảo mật của bạn được tăng lên gấp đôi rồi.
Hiện nay có hai cách để làm được điều này. Một là đăng nhập vào cần phải có xác thực thông qua tin nhắn trên điện thoại di động. Google Authenticator là một Plugin dựa trên ứng dụng cài trên Android, Iphone, Blackberry cung cấp cho bạn mã xác thực để bạn có thể đăng nhập thành công vào wordpress.
5. Cài đặt giới hạn đăng nhập trang quản trị – Limit Login
Trong khi các giải pháp nêu trên áp dụng thay đổi URL đăng nhập admin của bạn sẽ giảm một phần trong những nỗ lực đăng nhập xấu, đặt Limit Login cũng có thể rất hiệu quả. Bạn có thể dùng Plugin iThemes Security là một cách tuyệt vời để dễ dàng thiết lập Limit Login. Cài đặt thành công bạn có thể thiết lập thời gian khóa IP cho những lần đăng nhập sai, chặn Block IP vào Whilelist hoặc Blacklist.
6. Vô hiệu hóa XML-RPC
XML-RPC là sử dụng giao thức WebService (SOAP) dùng XML để mã hóa và trao đổi dữ liệu (Remote Procedure Call XML) và có thể hỗ trợ các API của các CMS như WordPress API, Blogger API, ..Tính năng XML-RPC đã được bật mặc định trên WordPress kể từ phiên bản WordPress 3.5, và lý do chính cho việc này là cho phép ứng dụng di động WordPress giao tiếp với Website WordPress của bạn.
Nhìn chung, XML-RPC có nhiều nhược điểm hơn là ưu điểm, việc bật XML-RPC có thể dẫn đến tiếp xúc các lỗ hổng bên trong Website WordPress của bạn, và từ đó có thể trở thành mục tiêu tấn công của Hacker thông qua một số kiểu tấn công cơ bản như DDoS sử dụng pingback XML-RPC, Brute force sử dụng XML-RPC. Do đó các bạn nên tắt XML-RPC để tăng tính bảo mật cho Website của mình. Mặc định XML-RPC ở Hosting POWERNET sẽ tắt sẵn XML-RPC, tuy nhiên có một số nhà cung cấp sẽ không tắt tính năng này.
7. Cài đặt Google reCaptcha ở Form Login Admin để hạn chế các hình thức tấn công tự động
8. Cấu hình tệp tin wp-config.php để tăng cường bảo mật
Bạn có thể tham khảo bài viết của PowerNet để tùy chỉnh thêm các tham số trong file wp-config.php để tăng cường bảo mật cho Website WordPress
Cấu hình tệp tin wp-config để tăng cường bảo mật và tối ưu tốc độ cho WordPress
9. Chọn nhà cung cấp Hosting/VPS/Server uy tín:
Hiện nay có rất nhiều những dịch vụ cung cấp Hosting với giá thành rẻ, sở dĩ giá rẻ có nhiều nguyên nhân và chủ yếu là do máy chủ có cấu hình yếu, khả năng bảo mật kém, và giới hạn một số ứng dụng phần mềm bảo mật.
Các cuộc tấn công hầu hết đều nhằm vào máy chủ, và nếu máy chủ lưu trữ Web của bạn bị tấn công thì mọi thành phương pháp bảo mật thực hiện trên các Website đều trở nên vô nghĩa. Và đương nhiên máy chủ không thuộc quyền quản lý của bạn chính vì thế bạn cũng không thể làm được gì, lúc đó bạn chỉ biết ngời chờ cho đến khi máy chủ của bạn được khắc phục.
Lời khuyên của mình là lựa chọn máy chủ lưu trữ website của những đơn vị uy tín, và họ luôn có những giải pháp tốt nhất để bảo vệ máy chủ của mình.
Trên đây là 9 cách bảo mật WordPress đơn giản nhưng khá hữu hiệu để mọi người có thể thực hiện theo, mong rằng bài viết này sẽ góp phần hữu ích cho những ai đang cần bảo vệ website của mình trở nên an toàn hơn.
Cám ơn vì đã đọc bài viết này và chúc các bạn thực hiện thành công nhé.