Thủ thuật

Bảo mật website wordpress và những điều bạn nên biết

Quang cao vnpmart.com.vn

WordPress là một phần mềm mã nguần mở phổ biến rộng rãi trên toàn thế giới, không chỉ là một CMS được nhiều người sử dụng nhất mà đằng sau nó còn có một cộng đồng khổng lồ những nhà phát triển theme, plugin cho mã nguần này. Và tất nhiên cũng có hàng ngàn hàng vạn những kẻ “săn lỗ hổng” – tạm gọi là hacker.

Theo suy nghĩ của tôi về những người săn lỗ hổng thì có phần tốt, có phần xấu. Đối với nhóm chuyên khai thác lỗ hổng bảo mật nhằm tìm ra kẽ hở để kịp thời sửa chữa, bảo trì cho hệ thống thì không sao. Nhưng với những người dùng nó để sử dụng vào mục đích khác thì có trời mới đoán được điều tệ hại gì đang chờ đón bạn.

Thử tưởng tượng, vào một ngày đẹp trời, bạn thức dậy lúc 7h sáng, theo như thói quen bạn mở cái laptop lên, vào email, mở Zing lên làm phát “không phải dạng vừa đâu”, rồi tiếp theo là đến đứa con cưng của mình, nó đang cày Adsenser, nhưng ôi thôi. Hiện lên là một cái màn hình đen sì với thông điệp “tao đã hack website của mày, muốn lấy lại dập đầu 3 cái”. Không hiểu lúc đó bạn thế nào, chứ tôi thì dính rồi. Không tả nổi đâu.

Éo hiểu sao tối qua vừa mò mẫm ngon lành, sáng ra đã thế này. Rất vui nếu tôi thông báo cho bạn rằng bạn đã kịp backup database tối hôm qua, nhưng cũng rất tiếc phải chia buốn nếu tôi đã đoán nhầm.

Đó là còn may chán, mình dính phốt này mới hiểm, tất cả các bài viết của mình bị chèn link lạ, và sau đó từ khóa rớt thảm luôn. Đó mới đau.

Nói chung là phòng bệnh hơn chữa bệnh, những cái gì cho không thường không có nhiều giá trị, trước khi nghĩ cách cứu thế giới mình phải bảo vệ mình trước nhất.

1. Hạn chế cho người khác biết mã nguần website của bạn.

Cái này nghe có vẻ hơi cao thủ nhỉ. Thực chất của các cuộc tấn công, hacker thường dò la mã nguần của bạn. Và xui vãi là tất cả các CMS đều có một cấu trúc na ná nhau. Ví như mấy bác cao thủ, thường chỉ nhìn qua nguần trang cái là các bác ý biết ngay mình đang chạy trên nền tảng nào. Và từ đó đi đến khu vực backend là quá dễ.

3-cach-de-tim-kiem-theme-va-plugin-cua-mot-trang-website-wordpress-2

Click chuật phải chọn Xem nguần trang là bạn có thể tìm tên giao diện website đó

Đọc thêm: 3 cách để tìm kiếm theme và plugin của một trang website wordpress.

Vậy làm thế nào để có thể ngăn không cho người khác biết được website mình làm bằng CMS hay tự xây dựng. Cái này thì mình chịu, nhưng mình sẽ chỉ cho các bạn một plugin có thể xử lý việc này, đó là:

Hide My WP – Amazing Security Plugin for WordPress.

Nhưng gia đình cũng rất tiếc phải thông báo rằng plugin này là trả phí, một điều mà ở Việt Nam thuật ngữ này hầu như không tồn tại. Chỉ tồn tại từ miễn phí. Nếu là người chịu chơi hãy trải nghiệm nhé.

2. Ẩn đường dẫn truy cập Backend.

Cái này mới hài này, dám khẳng định có đén 80% các website làm bằng joomla hoặc WP hiện nay địa chỉ truy cập vào backend vẫn là:

Joomla: http://……………/administrator

 Woordpress: http://……………/wp-admin

Và để ẩn đường dẫn trang quản trị của wordpress không khó, xin giới thiệu một số plugin sau cho bạn có thể thực hiện việc này:

Sucuri

Wordfence

iThemes Security Pro

All In One WP Security & Firewall .

Mình sẽ để các plugin đó ở đây và không nói gì thêm.

 3. Tiền tố bảng database của website.

Tiền tố bảng có thể thay đổi được, không may là trong lúc bắt đầu cài đặt wordpress bạn lại quên mất việc này, và giờ đây nó tồn tại dưới dạng wp_…. Và quan trọng nhất là những kẻ tọc mạch khi đã chiếm quyền host có thể tọc mạch đến bảng wp_users. Và tại đây chỉ cần một website chuyển đổi mã hóa MD5 là coi như bạn đã mất em yêu.

Nếu trong quá trình cài đặt bạn quên chưa đổ tiền tố thì trong plugin Sucuri có sẵn điều này để hỗ trợ bạn.

 4. Chỉnh sửa trực tiếp theme, plugin trong Admin.

Mình nghe điều này hơi vô lý, nhưng qua một trang hack online chia sẻ, thông thường họ sẽ tìm ra lỗ hổng bảo mật của theme hoặc plugin, sau đó họ chiếm quyền điều khiển trang quản tri, từ trang quản trị họ có thể nhúng backdoors một cách dễ dàng. Nếu bị dính con này theo phương thức phá hoại thì có thể website bạn sẽ ăn “lăng ba vi bộ – cho mày đi mãi mãi” của Google ngay. Có sửa bằng răng, bởi tao đã ém backdoors ở đó rồi.

Và để hạn chế diều này với wordpress  bạn có thể chặn việc chỉnh sửa trực tiếp plugin trong admin bằng cách thêm cấu trúc sau vào file wp-config.php của mình.

define( ‘DISALLOW_FILE_EDIT’, true );

Đây là câu lệnh ngăn chặn việc sửa các file của plugin hoặc theme tại admin.

Còn nếu muốn triệt để hơn bạn có thể vô hiệu hóa việc cập nhật cũng như cài đặt theme hoặc plugin:

define( ‘DISALLOW_FILE_MODS’, true );

Và đừng quên ngay cả bạn cũng không làm gì được nữa đâu nhé, muốn thay đổi nó chỉ có cách vào thư mục gốc mà gỡ bỏ câu lệnh đi. Mình không khuyên các bạn xử dụng biện pháp này vì phải duy trì cho plugin được cập nhật các bản vá thường xuyên nhé.

 5. Không cài đặt thêm một bức tường lửa cho wordpress.

Mặc đinh của các CMS là hệ thống bảo mật và ngăn chặn truy cập trái phép rất kém, hơn nữa tôn chỉ của chúng ta vẫn là đồ chùa bao giờ cũng là ngon bổ rẻ. Do vậy không khó để cho bọn ngứa tay nó test.

Thôi thì bạn có thể khắc phục nó bằng cách làm thêm cho em nó một bức tường lửa:

Tham khảo : NinjaFirewall

6. Ngăn chặn nỗ lực truy cập trái phép.

Hãy cài thêm một plugin cho tính mạnh mẽ trong việc thực hiện điều này, ví dụ plugin:

Limit Login Attempts

Có rất nhiều plugin có thể làm điều này cho bạn, tuy nhiêm đối với Limit Login Attempts nó là rất mạnh mẽ, và cẩn thận ngay cả bạn cũng dính chưởng đấy. Nếu bị mà chưa biết cách xử lý, alo mình mình bảo cho.

Kết luận.

Ở Việt Nam việc xây dựng một website bằng CMS không khó, chỉ cần bạn có một chút am hiểu về thiết kế web là có thể thực hiện được. Tuy nhiên sau khi thiết kế xong bạn lơi là việc bảo mật nên đôi khi những kẻ tọc mạch thường lấy site bạn làm ví dụ.

Để tránh những trường hợp bất khả kháng hãy cố gắng phòng hơn tránh.

Bài viết được tổng hợp theo internet.

vnpmart-camera-hanh-trinh

Viết bình luận