15 mẹo giúp bạn bảo mật website WordPress chống lại hacker và tin tặc.

Tác giả : Thanh Dương 27/06/2021
125

Nâng cao bảo mật là cách đơn giản nhất giúp các nhà quản trị Website chúng ta đảm bảo an toàn cho website, giảm bớt tổn thất khi bị hacker tấn công. Dưới đây là 15 thủ thuật đơn giản giúp bạn nâng cao bảo mật website WordPress của mình mà có thể bạn chưa biết.

Khi nói tới thuật ngữ “bảo mật website” chúng ta thường liên tưởng tới các vụ xâm nhập dữ liệu hoặc tấn công website được thực hiện bởi các hacker. Thực tế là không có loại bảo mật nào chỉ dành riêng cho các CMS như WordPress. Bảo mật website luôn có những cách thức chung, tuy nhiên với mỗi mã nguồn sẽ có những phương thức bị xâm nhập riêng đặc biệt là với các mã nguồn mở.

Liên quan…

Với WordPress – Mã nguồn phổ biến nhất hiện nay thì đây có thể coi như một “miếng mồi” béo bở cho mọi cuộc tấn công. Cũng bởi nó vốn dĩ là một mã nguồn mở nên thường có nhiều lỗ hổng, những lỗ hổng này đến từ rất nhiều nguồn ví dụ như một lỗ hổng từ lõi của mã nguồn hoặc các plugin miễn phí được Coder phát hiện ra. Nó sẽ là một thước ngắm cho những kẻ tọc mạch xâm nhập hoặc phá hoại website của bạn.

Và một khi lỗ hổng đó được phát hiện và công khai thì cho dù website của bạn chưa bị tấn công ngay lúc này, nhưng trong tương lai nó vẫn tiềm ẩn nhiều mối đe dọa vì đơn giản chúng ta đang sử dụng chung một loại CMS để phát triển website.

Các loại lỗ hổng phổ biến.

Có rất nhiều cách thức để các hacker tìm kiếm và tấn công website của bạn, dưới đây là 6 loại hình tấn công phổ biến nhất trên mọi website.

1. Backdoors

Backdoors hay còn gọi là tấn công cửa hậu, hiểu một cách đơn giản Backdoors là cách thức mà tin tặc sử dụng để truy cập vào hệ thống máy tính hoặc máy chủ từ xa thông qua việc cài đặt một phần mềm gián điệp giúp chúng có thể vượt qua các lớp xác thực bảo mật một cách đơn giản.

Dựa vào cửa hậu, tin tặc có thể nắm rõ đường tơ kẽ tóc mọi thông tin mà người quản trị sử dụng để truy cập vào website hoặc máy chủ lưu trữ. Từ đó chúng có thể lấy mọi dữ liệu cần thiết để đăng nhập, phá hoại hay cài đặt thêm bất cứ đoạn mã nào vào cơ sở dữ liệu mà chúng muốn.

2. WordPress Pharma Hacks.

Pharma Hacks (lược dịch là hack dược – nghe sai sai) là một loại tấn công Spam SEO trên website. Nếu một ngày bạn phát hiện ra rằng website của mình gần đây bỗng dưng đang đi quảng cáo cho một loại thuốc hay dược phẩm nào đó thì khẳng định rằng bạn đang bị tấn công bởi các nhóm Pharma Hacks.

Tại sao lại xảy ra vấn nạn Pharma Hacks? Đơn giản vì Google quản lý rất chặt chẽ các vấn đề liên quan tới sức khỏe và bán các loại thuốc, dược phẩm trái phép.

Vậy nên các website bán thuốc dường như bị hạn chế rất nhiều trong SEO,ngoài ra các định dạng quảng cáo Google về thuốc và dược phẩm cũng bị ngăn chặn nhiều do vi phạm chính sách của Google.

Vậy nên các nhóm tin tặc tìm mọi cách để kiếm lời thông qua một hình thức “tầm gửi”. Tin tặc có thể thêm liên kết, bài đăng và thậm chí chuyển hướng toàn bộ trang đưa khách truy cập đến website quảng cáo của chúng khi họ truy cập vào website của bạn, thật không may rằng hình thức tấn công này ngày một phổ biến.

3. Brute-force Login Attempts

Tấn công Brute Force hay còn gọi là với tên khác là tấn công vũ phu. Đây là loại hình tấn công phổ biến thứ 3 được tin tặc thường sử dụng để dò mật khẩu của các thành viên quản trị cấp cao sau đó chiếm quyền điều khiển.

Bằng cách dùng các công cụ hỗ trợ, hacker liên tục dò mật khẩu quản trị của website, khi chiếm được quyền điều khiển chúng sẽ thay đổi lại toàn bộ dữ liệu đăng nhập và thay quyền điều khiển hoặc làm bất cứ gì mà chúng muốn.

4. Malicious Redirects

Malicious Redirects – Chuyển hướng độc hại, là loại hình tấn công lừa đảo chuyển hướng người dùng đến một website có định dạng cảnh báo “máy tính (điện thoại) bạn đã bị nhiễm vi rút”.

Đừng nhầm lẫn giữa loại hình chuyển hướng độc hại với Pharma Hacks. Hai loại hình này cùng chuyển hướng website của bạn, tuy nhiên mục đích chính của Malicious Redirects là lừa bạn cài đặt thêm các phần mềm hoặc trình mở rộng khác lên máy tính.

Đây là một hình thức tấn công lừa đảo phổ biến đánh vào tâm lý người sử dụng, mục đích chính của nó có thể nói đến hai từ “tài chính”. Nếu chẳng may bạn bị tấn công rất có thể các thông tin về thẻ tín dụng, thông tin cá nhân sẽ bị rơi vào tay các nhóm tin tặc.

5. Cross-site Scripting (XSS)

Các cuộc tấn công Cross – Site Scripting ( XSS ) là một kiểu tấn công, trong đó các đoạn mã độc hại được đưa vào các trang web có thứ hạng và đáng tin cậy . Các cuộc tấn công XSS xảy ra khi kẻ tấn công sử dụng một ứng dụng web để gửi mã độc hại, thường ở dạng tập lệnh phía trình duyệt đến một người dùng cuối khác.

Cross – site scripting làm việc bằng cách thao tác một trang web có nhiều lỗ hổng tại chỗ để nó trả về các mã JavaScript độc hại cho người dùng. Khi mã độc thực thi bên trong trình duyệt của nạn nhân, kẻ tấn công hoàn toàn có thể xâm nhập và kiểm soát sự tương tác của chúng với ứng dụng trên máy tính của người dùng.

6. Denial of Service (DDoS)

Denial of Service (DDoS – Tấn công từ chối dịch vụ). Đây là loại hình tấn công khá phổ biến. Cách thức đơn giản, nhóm hacker sẽ sử dụng các thủ thuật để khiến lưu lượng truy cập của một website tăng lên nhanh chóng. Lúc này khi máy chủ bị tràn băng thông người dùng sẽ không thể truy cập vào website trong một thời gian nhất định cho đến khi cuộc tấn công kết thúc.

Mới đây nhất trong vụ “Drama” giữa bà Phương Hằng với Võ Hoàng Yên và Hoài Linh (và cả đội ngũ Showbiz). Ngay sau đó website VOV cũng đã bị tấn công thông qua hình thức từ chối dịch vụ DDos một cách nghiêm trọng, nó khiến người dùng không thể truy cập vào trang web chính thức của VOV cho đến khi cuộc tấn công qua đi.

Đây là những loại lỗ hổng phổ biến khiến website bạn có thể “bị nhòm ngó”. Tuy nhiên bạn cũng nên biết rằng “Không có giới hạn nào về cách hack một trang web”. Tức là để tấn công một trang web có cả trăm, ngàn phương thức khác nữa.

Chính vì vậy việc nâng cao bảo mật cho website là việc làm thực sự cần thiết.

15 mẹo bảo mật website WordPress

Dưới đây là 15 mẹo đơn giản giúp bạn nâng cao khả năng bào mật cho website, giảm bớt rủi ro khi bị tin tặc nhòm ngó với mục đích xấu.

1. Sử dụng https thay vì http

Về cơ bản giao thức http truyền tải và trao đổi dữ liệu giữa các mạng máy tính hoặc giữa trình duyệt với máy chủ thông qua các định dạng văn bản thuần túy. Do đó, bất kỳ ai có quyền truy cập vào mạng giữa máy chủ và trình duyệt đều có thể xem dữ liệu của bạn vì chúng không được mã hóa.

Với giao thức https dữ liệu của bạn sẽ được mã hóa và những kẻ tấn công sẽ không thể đọc dữ liệu được truyền ngay cả khi chúng có quyền truy cập vào mạng của bạn.

Vậy ngay khi website đi vào hoạt động, hãy bật ngay https trên giao thức truyền dữ liệu của WordPress. Có rất nhiều Plugin có thể hỗ trợ bạn vấn đề này, nếu không bạn có thể thuê một đơn vị chuyên cung cấp chứng chỉ SSL để cài đặt https cho website WordPress của mình.

2. Luôn đặt mật khẩu mạnh.

Một cách đơn giản để chiếm quyền điều khiển website thông qua việc truy cập vào trang quản trị website đó là dò ra các loại mật khẩu yếu. Thay vì sử dụng tên và các kí tự mật khẩu đơn giản phổ biến hãy sử dụng các loại mật khẩu có độ mạnh lớn, và thường xuyên lên lịch thay đổi chúng.

Ví dụ về các tên đăng nhập và mật khẩu yếu có thể kể đến như: Admin/ Admin123, Quantri/ quantri123….

Một mật khẩu mạnh có thể bao gồm các chữ cái viết thường và viết hoa và bao gồm cả các kí tự đặc biệt, chúng sẽ mạnh hơn nếu như mật khẩu đó bao gồm từ 10 kí tự trở nên. Bạn có thể đặt chúng như: Dkdgakjh@096932…. Tất nhiên, chúng phải có ý nghĩa gì đó để bạn dễ nhớ.

3. Sử dụng các Plugin bảo mật.

Tất nhiên là vậy, ngoài việc nâng cao bảo mật thủ công bạn cũng cần công cụ hỗ trợ. Hãy ngâm cứu một loại Plugin dễ sử dụng nhất đối với bạn và được công đồng WordPress đánh giá cao để cài đặt bảo vệ trang WordPress của mình.

Bạn có thể xem xét các Plugin chúng tôi liệt kê dưới đây…

  • iThemes Security: Một Plugin mạnh mẽ giúp ngăn chặn những kẻ tấn công nhòm ngó website với nhiều tính năng bổ ích khác.

4. Thêm CAPTCHA vào biểu mẫu đăng nhập hoặc đăng kí.

Thêm biểu mẫu Captcha là cách đơn giản chống lại việc tấn công vũ phu một cách tự động. Nó yêu cầu người dùng thực thực hiện các hành động điền các kí tự hoặc hình ảnh được nhìn thấy thực tế trên màn hình vào biểu mẫu và nếu nhập sai bạn có thể bị khóa đăng nhập trong khoảng thời gian nhất định.

Có nhiều công cụ giúp bạn cài đặt thêm mã Captcha trong khu vực đăng kí thành viên hoặc đăng nhập, hoặc bạn cũng có thể sử dụng một công cụ miễn phí của Google đó là Google reCAPTCHA. Với reCAPTCHA của Google nó chỉ cho phép bạn sử dụng trình nhập trong khoảng thời gian 2 phút. Những kẻ tấn công sẽ có ít thời gian hơn để tấn công website của bạn.

5. Thiết lập xác thực hai yếu tố (2FA)

Ngoài việc yêu cầu nhập Captcha trong khi đăng nhập vào khu vực quản trị bạn có thể sử dụng một cách khác đó là yêu cầu xác thực hai yếu tố khi người dùng đăng nhập.

Bạn có thể xem xét các plugin WordPress để thiết lập xác thực 2FA như Google Authenticator...

6. Luôn cập nhật các phiên bản mới nhất của Plugin và WordPress

Sự thật là cộng đồng WordPress rất đông đảo, chính vì vậy nó luôn có một đội ngũ phát triển và Coder đứng sau để ngâm cứu mọi thuật toán.

Các lỗ hổng bảo mật luôn tồn tại, chính vì thế nên các bản cập nhật chính là các bản vá các lỗ hổng bảo mật tồn tại trên mã nguồn trước đó. Hãy luôn cài đặt và cập nhật thường xuyên mã nguồn có nguồn gốc rõ ràng và đừng quên cập nhật chúng khi có phiên bản mới.

7. Luôn đặt Chmod cho tệp và Folder

Một cách khách để những kẻ tẩn công thay đổi dữ liệu hoặc cài cắm thêm các đoạn mã độc chuyển hướng vào website của bạn là thực hiện tấn công vào các Folder chưa các tệp dữ liệu và chỉnh sửa các tệp đó.

Tuy nhiên bạn có thể ngăn chặn chúng bằng cách cài đặt các quyền đối với các tệp và thư mục lưu trữ trên Hosting của mình. Đối với các thư mục hãy Chmod về 775, với các tệp là 644, riêng file wp-config.php phải là 600.

8. Tắt tính năng chỉnh sửa tệp trong trang quản trị WordPress

Mưu mô của hacker là rất lớn. Trong nhiều trường hợp khi chúng đã chiếm quyền điều khiển của Website thông qua việc truy cập vào bảng điều khiển WordPress chúng sẽ không lộ danh.

Có thể bạn không phát hiện ra rằng bạn đã bị tấn công, chúng sẽ âm thầm thay đổi mọi thứ với mục đích khác nhau, ví dụ như chèn thêm các đoạn mã chuyển hướng hoặc chèn thêm các đường liên kết lạ vào nội dung.

Vậy nên, thay vì để mọi thứ hớ hênh hãy bảo vệ khu vực quan trọng nhất. Một trong các cách đó là tắt tính năng chỉnh sửa tệp trong trình chỉnh sửa tệp dữ liệu của WordPress.

9. Tắt và xóa mọi Plugin và chủ đề không dùng đến.

Khi cài đặt các trình cắm mở rộng hoặc các chủ đề giao diện của WordPress, nếu không dùng tới hãy xóa chúng ngay lập tức.

Bởi vì nếu bạn không xóa chúng, nó vẫn tồn tại trên trang WordPress của bạn và tất nhiên bạn sẽ thường không cập nhật chúng, lúc đó sẽ có những lỗ hổng giúp tin tặc có thể khai thác.

10. Thay đổi tiền tố đăng nhập và ID người dùng.

Bạn có thể nhờ đội ngũ kỹ thuật website thay đổi tiền tố “WP_” trên cơ sở dữ liệu của WordPress, nhân tiện đổi luôn ID của người quản trị cấp cao.

11. Ẩn phiên bản WordPress mà bạn đang sử dụng

Nếu bạn đang sử dụng phiên bản WordPress có lõi đã được phát hiện là có lỗ hổng, kẻ tấn công biết rằng anh ta có thể sử dụng nguồn dữ liệu đã được phân tích trước đó để khai thác các lỗ hổng bảo mật của website.

12. Cài đặt tường lửa WordPress

Tường lửa là một ứng dụng web chạy trên các trang web và phân tích bất kỳ yêu cầu HTTP nào đến. Nó áp dụng các thuật toán logic phức tạp để lọc ra các yêu cầu có khả năng là mối đe dọa. Một trong những kiểu tấn công phổ biến là SQL injection.

Giả sử bạn chạy một plugin WordPress dễ bị chèn SQL và bạn không biết về nó. Nếu bạn chạy tường lửa, ngay cả khi kẻ tấn công biết về lỗ hổng bảo mật trong plugin chúng cũng sẽ không thể hack trang web của bạn

Điều này là do tường lửa sẽ chặn những yêu cầu có chứa SQL injection. Tường lửa sẽ chặn các yêu cầu đó từ IP và ngăn các yêu cầu nguy hiểm liên tiếp đến. Tường lửa cũng có thể giúp ngăn chặn các cuộc tấn công DDoS bằng cách phát hiện quá nhiều yêu cầu từ một IP và chặn chúng.

Một số công cụ tường lửa cho WordPress bạn có thể tham khảo…

13. Luôn sao lưu dữ liệu định kì

Sao lưu dữ liệu định kì là cách đơn giản giúp bạn có thể khôi phục trang web một cách nhanh chóng khi không may bị tấn công. Tất nhiên trước khi khôi phục hãy nâng cấp bảo mật trang web trước khi tải chúng lên Hosting, Sever.

14. Nếu có thể, hãy sử dụng SFTP

Rất nhiều nhà phát triển đã sử dụng SFTP để kết nối với máy chủ web. Giống như HTTPS, SFTP sử dụng mã hóa để truyền tệp qua mạng, khiến nó không thể đọc dưới dạng văn bản thuần túy ngay cả khi một người có quyền truy cập vào mạng đó.

15. Luôn giám sát hoạt động người dùng

Chúng ta đang đề cập tới những mối hiểm họa bắt nguồn từ bên ngoài nhưng lại chưa đề cập tới những mối nguy cơ từ bên trong nội bộ.

Nếu không may một trong những nhân viên của doanh nghiệp bạn thực hiện các hành động mờ ám thì sẽ thế nào? Hãy lường trước mọi điều có thể sảy ra.

Bằng việc theo dõi hành vi người dùng bạn có thể giảm thiểu mọi nguy cơ trang web của doanh nghiệp có thể bị xâm nhập bởi chính nhân viên của doanh nghiệp, nhất là khi anh ta có quyền quản trị cấp cao và sắp nghỉ việc.

Vậy nên, để bảo mật website WordPress của doanh nghiệp bạn bạn phải nâng cao cảnh giác trên mọi góc độ với các giải pháp được nêu trên.

Thanh Dương

Wordpress

Tin liên quan