Hướng dẫn bảo mật website WordPress hiệu quả

WordPress là nền tảng mã nguồn mở viết bằng ngôn ngữ PHP và là hệ quản trị nội dung được sử dụng nhiều nhất trên thế giới với gần 30% số website hiện đang chạy trên mã nguồn này. Chính vì vậy nó luôn là đối tượng của các hacker nhắm đến để đánh cắp nội dung, đặt backlink bẩn, gắn quảng cáo Adsense lạ, chuyển hướng vô tội vạ, index tiếng nhật,…

Đối với các Hacker Pro thì không thể khẳng định 100% ngăn chặn được bởi còn phụ thuộc vào website bạn có đủ hấp dẫn họ, hoặc có giá trị gì mang lại hay không. Mỗi tính năng ra đời đều đi kèm một lỗ hổng bảo mật không lớn thì nhỏ, vậy nên trong bài này mình sẽ hướng dẫn các bạn toàn bộ tất cả các phương pháp bảo mật tốt nhất áp dụng cho website bạn có thể sử dụng, để tăng thêm độ bảo mật và làm các hacker tập sự đến hacker Pro cũng phải gặp khó khăn khi muốn chiếm quyền kiểm soát Website của bạn.

Nguyên nhân chính dẫn đến Website bị nhiễm mã độc là gì

Đa phần do một trong các nguyên nhân chính sau mà mình đã đúc kết được trong quá trình fix mã độc cho nhiều website và đã từng bị trong quá khứ lúc mới chập chững bước vào làm Website WordPress:

  • Do dùng Theme, Plugin lậu: Đây là nguyên nhân chính các Website ở Việt nam hay bị nhiễm mã độc đều là chủ nhân web đó tải từ một nguồn không uy tín, chia sẻ trên mạng. Theme Plugin miễn phí nói chung không nên dùng nếu bạn nghiêm túc làm website kinh doanh của bản thân, vì website giống như cửa hàng trên internet của bạn vậy, nó là cả tâm huyết, công sức dồn vào. Theme Plugin miễn phí chia sẻ trên mạng rất nguy hiểm ở chỗ không ai biết được nó có mã độc gì đươc cài cắm bên trong hay không.
  • Do các Website khác trên cùng hosting bị nhiễm mã độc: Nếu bạn mua một hosting dùng chung cho nhiều web dễ bị lây lan từ web này sang web kia khi một web có virus. Các website của bạn về cơ bản đã nằm trên cùng một thư mục lưu trữ trong hosting nên việc lây nhiễm mã độc rất dễ xảy ra.
Hướng dẫn bảo mật website WordPress hiệu quả
Bảo mật wordpress
  • Lỗ hổng bảo mật từ WordPress core, Theme / Plugin: Đây là lỗi khách quan đến từ mã nguồn bạn đang dùng. Để khắc phục điều này, các theme, plugin và ngay cả wordpress thường xuyên cập nhật các bản vá lỗi mới nhất của họ đi kèm các tính năng mới. Một lỗi hổng nghiêm trọng nào đó vừa được phát hiện thì ngay lập tức các lập trình viên sẽ tung bản cập nhật sửa lỗi này, bạn chỉ cần bấm nút Update trên giao diện quản trị admin là mọi thứ sẽ được khắc phục.
  • Lỗ hổng từ Hosting, VPS, Server đang sử dụng: Một nguyên nhân khách quan khác bạn ít có thể can thiệp đó là lỗ hổng từ nhà cung cấp dịch vụ lưu trữ của bạn. Các lỗ hổng này từ ít nghiêm trọng đến nghiêm trong đều có thể làm website bạn bị ảnh hưởng thậm chí là bay màu. Hãy chọn một nhà cung cấp hosting, vps uy tín MuaThemeWP.VN có thể khuyên các bạn sử dụng như: Vietnix, Pavietnam, Tinohost, Azdigi,…

Hậu quả của Website bảo mật kém

Website của bạn có nguy cơ rất cao có thể nhiễm virus nếu không áp dụng các phương pháp bảo mật. Thực tế hàng ngày trên Internet có rất nhiều tool đang chạy, nó được điều khiển bởi các kẻ xấu, tool này sẽ liên tục quét các website dò tìm lỗ hổng bảo mật. Web bạn không may nằm trong danh sách dò được mà bảo mật kém thì rất dễ bị hack.

Có thể kể đến một vài hậu quả bạn sẽ hứng chịu khi sử dụng website có bảo mật chưa tốt:

  • Dễ bị hack mất website, đặt backlink xấu, index tiếng nhật, chèn quảng cáo Adsense lạ, chuyển hướng đến web xxx, xóa mất dữ liệu, mất quyền truy cập Admin
  • Ảnh hưởng đến SEO: Google gửi một cảnh báo qua Email cho bạn thông qua Google Search Console (cần đăng ký trước đó) cho biết tình hình và cảnh báo nguy hiểm đến trình duyệt mỗi người dùng khi truy cập vào đường link của website bạn. Chưa nói ảnh hướng đến thứ hạng như nào nhưng khác hàng sẽ mất dần niềm tin cho một website suốt ngày có cánh bảo đó nguy hiểm từ Google.
  • Ảnh hưởng đến uy tín website, doanh nghiệp, công việc kinh doanh: Website bạn không thể truy cập và có những trải nghiệm tồi tệ khi khách truy cập nó sẽ giết website của bạn dần dần nếu như không tìm cách khắc phục xử lý mã độc càng sớm càng tốt. Bạn hãy đặt mình vào vị trí khách hàng xem liệu bạn có bỏ tiền ra mua một sản phẩm ở website báo nguy hiểm hay Google có muốn một website có chứa virus xếp top kết quả tìm kiếm hay không?

Các phương pháp bảo mật Website WordPress chống hack hiệu quả

Sử dụng Tên đăng nhập – Mật khẩu khó đoán

Thực tế có rất nhiều công cụ dò tìm mật khẩu trên mạng chia sẻ tràn lan, cách làm cũng khá đơn giản, một hacker tay mơ, hacker tập sự cũng có thể tự mò cách chạy tool dò mật khẩu một website. Các thức dò ở đây ở file từ điển được chuẩn bị sẵn, mật khẩu của bạn dễ mò ví dụ như 123, anhyeuem, 123456…. thì chỉ trong vài giây sẽ phá được. Độ khó mật khẩu được tăng lên khi bạn chèn các ký tự đặc biệt như !@#$, thêm các ký tự in hoa xen kẽ in thường, mật khẩu trên 8 ký tự. Bạn kết hợp tất cả các điều trên thì gần như mật khẩu không thể dò được ở công nghệ hiện tại.

Một tool dò các mật khẩu khó trên 8 ký tự, có chữ thường và in hoa, bao gồm cả ký tự đặc biệt mất thời gian khoảng vài chục ngàn năm thậm chí là cả triệu năm nếu như bạn tăng độ dài mật khẩu lên một chút. Đây được coi như là biện pháp cứng rắn loại trừ được kẻ xấu có ý định dò mật khẩu bằng tool.

Cập nhật phiên bản WordPress, Cập nhật Theme, Plugin lên bản mới nhất

Hãy liên tục cập nhật lên bản mới nhất để Website đạt tình trạng bảo mật và khắc phục các bản vá lỗi hiện có. Nếu website bạn dùng bản WordPress / Theme / Plugin bản cũ có một lỗi nghiêm trọng, bạn chưa kịp cập nhật lên thì Website bạn sẽ có khả năng bị hack nếu kẻ xấu quét được phiên bản bạn đang sử dụng đấy nhé. Cho nên hãy cập nhật tất cả các thứ mình kể trên càng sớm càng tốt. Bạn cũng đừng sợ lỗi hay xung đột gì vì nó được đưa vào kiểm tra kỹ lưỡng bởi các lập trình viên giàu kinh nghiệm, hoặc bạn có thể đợi vài ngày sau cập nhật cũng chưa muộn.

Sử dụng xác thực 2 yếu tố

1. Xác thực 2 yếu tố cho Hosting: bạn mở Cpanel tìm đến phần Xác thực 2 yếu tố, viết tắt là 2FA (Two – Factor Authentication).

Hướng dẫn bảo mật website WordPress hiệu quả
Xác thực 2 yếu tố cho Cpanel

Chọn Set up Two-Factor Authentication:

Hướng dẫn bảo mật website WordPress hiệu quả
Chọn Set up Two-Factor Authentication

Tiếp theo mở CH Play trên điện thoại của bạn, tải ứng dụng có tên: Google Authentication và cài đặt nó:

Hướng dẫn bảo mật website WordPress hiệu quả
Ứng dụng Google Authentication trên Google Play

Sau đó bạn mở ứng dụng lên, bấm vào dấu cộng / Quét mã QR. Quét đoạn mã QR trong Cpanel của bạn, sau đó điền mã xác thực vào ô bên dưới rồi bấm nút Configure Two – Fator Authentication để xác nhận.

Hướng dẫn bảo mật website WordPress hiệu quả
Điền mã xác thực

Lần tới mỗi khi đăng nhập vào Hosting / Cpanel bạn cần cung cấp một đoạn mã có trong ứng dụng Google Authentication để xác mình thêm lần nữa, mã này được tạo ngẫu nhiên và reset mỗi 30 giây nên khá an toàn. Với các này dù kẻ xấu có biết mật khẩu của bạn cũng không thể nào đăng nhập được vào bên trong vì cần có mã xác thực bạn đang nắm giữ.

2. Xác thực 2 yếu tố cho WordPress: Bạn nên kết hợp cả 2 loại xác thực cùng một lúc để đạt hiệu quả cao nhất. Với WordPress, bạn cần tải Plugin Wordfence Premium về để chúng ta cài đặt xác thực 2 yếu tố cho mỗi lần đăng nhập Admin.

Sau khi cài Wordfence Premium, bạn bấm vào Wordfence / Login Security. Mở điện thoại ra và quét mã QR:

Hướng dẫn bảo mật website WordPress hiệu quả
Nhập mã rồi bấm Active

Bạn nhận được một đoạn mã gồm 6 chữ số, nhập đoạn mã này vào ô bên tay phải rồi bấm nút ACTIVE để kích hoạt tương tự phần trên. Sau này bạn đăng nhập cần cung cấp một đoạn mã gồm 6 chữ số trong ứng dụng Google Authentication trên điện thoại để xác minh lần thứ 2 rồi mới có thể đăng nhập. Cách làm này cũng ngăn chặn kẻ xấu, dù chúng có mật khẩu của bạn cũng không thể nào đăng nhập vào Admin để làm bất cứ thứ gì được.

Xóa / Loại bỏ các Theme và Plugin không sử dụng

Việc bạn xóa hết các theme plugin không sử dụng giúp tiết kiệm dung lượng hosting của bạn đồng thời loại bỏ các tập tin có thể nhiễm virus mã độc đang được ẩn bên trong các file theme plugin này. Bạn sử dụng cái nào thì bật lên còn lại hãy vô hiệu hóa và xóa chúng ngay lập tức.

Không xét duyệt bình luận, không click vào bình luận có đường link lạ

Có một số người cố tình đặt backlink xấu hoặc cố gắng khai thác lỗ hổng website của bạn thông qua các bình luận, rất may WordPress có chức năng xét duyệt bình luận trước khi nó có thể xuất hiện ra ngoài nội dung bài viết. Chỉ nên giữ những bình luận bạn coi là độc giả thực sự còn các bình luận đi kèm đường link chưa rõ nguồn gốc thì cho vào thùng rác hoặc không xét duyệt.

Bạn cũng có thể sử dụng Plugin Akismet Spam Protection miễn phí trên kho WordPress, plugin này cũng ngăn chặn rất tốt các bình luận spam cho các website bị spam bình luận số lượng lớn, bạn có thể tải về và cài đặt nó tại đây.

Sử dụng phiên bản PHP mới nhất

Bên cạnh Theme, Plugin, WordPress cập nhật liên tục bạn nên sử dụng bản mới nhất cho PHP. Để làm điều này, bạn mở Cpanel / Select PHP Version:

Hướng dẫn bảo mật website WordPress hiệu quả
Chọn phiên bản PHP

Tại đây bạn thay đổi phiên bản PHP cho hosting đang sử dụng. Nên chọn phiên bản PHP từ 7.4 trở lên (trên 8.0 càng tốt) vì các phiên bản trước có các lỗ hổng bảo mật tương đối dễ khai thác, Website của bạn cũng được tăng bảo mật lên phần nào khi sử dụng bản PHP được cập nhật mới nhất.

Hướng dẫn bảo mật website WordPress hiệu quả
Chọn phiên bản PHP mới nhất

Sử dụng chứng chỉ bảo mật SSL / HTTPS

Một website có cài SSL giúp trình duyệt hiển thị chế độ “Duyệt Web an toàn“, ngược lại nó hiện ra cảnh báo “Không bảo mật” màu đỏ. Cài SSL giúp cho dữ liệu của bạn và khách hàng được truyền đi theo mã hóa không thể giải mã được, nên đảm bảo tính bảo mật những thông tin quan trọng liên quan đến cá nhân, tài khoản ngân hàng, thẻ ATM,…

Chưa cài SSL:

Hướng dẫn bảo mật website WordPress hiệu quả
Lỗi chứng chỉ SSL

* Đã cài SSL:

Hướng dẫn bảo mật website WordPress hiệu quả
Đã bật bảo mật SSL

Đối với các trang bình thường khác, lý do lớn nhất cho điều này là trang đăng nhập WordPress của bạn. Nếu bạn không chạy qua kết nối HTTPS, tên id đăng nhập người dùng và mật khẩu của bạn sẽ được gửi dưới dạng văn bản rõ ràng qua internet. Các hosting bây giờ đều hỗ trợ cài đặt miễn phí SSL nên bạn chỉ cần gửi một ticket đến bộ phận hỗ trợ nhờ hợp cài đặt trong thời gian nhanh chóng.

Che Giấu File Config: wp-config.php

Che giấu file wp-config.php sẽ làm cho hacker gặp khó khăn trong việc quét dò tìm thông tin database, mã nguồn của website, bởi vì file wp-config đúng như cái tên của nó, file này chứa toàn bộ các cấu hình quan trọng một website, việc để lộ nó cho người khác biết tương đương với việc mời chào họ vào hack website của mình.

Để giấu file wp-config.php, bạn vào Cpanel rồi tạo một thư mục trống có vị trí ngang hàng với public_html:

Hướng dẫn bảo mật website WordPress hiệu quả
Tạo một thư mục ngang hàng Public

Sau đó bạn vào thư mục public_htmltải file wp-config.php về:

Hướng dẫn bảo mật website WordPress hiệu quả
Tải file wp-config về

Tải file wp-config.php này vào bên trong thư mục con vừa tạo:

Hướng dẫn bảo mật website WordPress hiệu quả
Tải File wp-config lên thư mục con vừa tạo mới

Chỉnh sửa file wp-config.php trong thư mục public_html:

Hướng dẫn bảo mật website WordPress hiệu quả
Sửa file config trong thư mục public_html

Xóa hết nội dung trong file wp-config.php (trong thư mục public_html) rồi Dán đoạn code sau vào:

Hướng dẫn bảo mật website WordPress hiệu quả
Dán đoạn code này vào, lưu ý nhớ thay chữ “xindunghackem” là tên của thư mục bạn vừa tạo mới (nằm ngang hàng với thư mục plublic_html) nhé.

Chọn Change Database Table Prefix

Bấm Run để bắt đầu chạy. Hệ thống sẽ thay đổi tất cả các bảng trong cơ sở dữ liệu của bạn từ mặc định wp_ sang một kiểu mới gồm các ký tự được tạo ngẫu nhiên:

Hướng dẫn bảo mật website WordPress hiệu quả
Thay đổi thành công tiền tố cơ sở dữ liệu

Bạn có thể kiểm tra thành quả bằng cách mở Cpanel / phpMyAdmin, chọn Database bạn đang sử dụng, lúc này tất cả các bảng (table) đã được đổi từ dạng tiền tố wp_ sang dạng tiền tố mới:

Hướng dẫn bảo mật website WordPress hiệu quả
Tiền tố đã thay đổi thành công

Thay đổi nội dung Security Key

Security Key là mã bí mật tạo ngẫu nhiên lưu trong file wp-config.php nằm trong thư mục gốc public_html của Website WordPress. Bạn mở file wp-config.php sẽ nhìn thấy các dòng chữ kiểu giống thế này:

 

Theo dõi
Thông báo của
0 Góp ý
Phản hồi nội tuyến
Xem tất cả bình luận
0
Rất thích suy nghĩ của bạn, hãy bình luận.x