Làm thế nào để bảo mật WordPress trước sự tấn công là câu hỏi lớn. Vì tính phổ biến của phần mềm wordpress nên bạn có thể quan sát thấy rõ ràng rất nhiều đợt tấn công nhằm vào trang wp-admin của bạn với mục đích chiếm quyền admin của wordpress và bắt đầu cài đặt các phần mềm mã độc.
Để ngăn chặn việc này, một số hình thức cần thiết như sau sẽ cần phải thực hiện để đảm bảo tối ưu hệ thống
- Backup wordpress thường xuyên, theo ngày hoặc theo tuần để có thể lấy lại bản backup khi cần thiết (vì khi đã dính mã độc rất khó để tách bộ source code ra lại)
- Cài đặt plugin để giấu đi trang login page: https://wordpress.org/plugins/wps-hide-login/
- Cài đặt F2A code bảo mật 2 lớp để giúp login an toàn thông qua Wordfence
- Chặn truy cập wp-admin thông qua htaccess
Bên dưới là chi tiết của các hạng mục vừa nêu:
1- Backup website
Back up Website thường xuyên thông qua chức năng backup trên hosting hoặc bạn có thể dùng FTP để backup source code và database hàng ngày. Liên hệ hosting WordPress của bạn để mua hoặc sử dụng chức năng này (JAYbranding có tặng chức năng backup hằng ngày trong 1 tuần gần nhất)
2- Cài WPS Hide Login
Mặc định trang wordpress khi bạn gõ yourdomain.com/wp-admin hoặc yourdomain.com/wp-login.php, sẽ tự chuyển đến trang login. Theo bảo mật này, các phần mềm thường dùng chức năng tấn công theo chuỗi, ví dụ họ sẽ liên tục nhập user name admin / 123456 và các pass dễ nhớ khác, sau đó khi đã trùng lắp hệ thống sẽ bị login vào
Hình thức ẩn trang login là hình thức sơ khởi nhất nhưng ít nhất cũng hạn chế được các con robot tấn công dạo.
Các thức làm, sau khi cài đặt plugin WPS Hide Login, bạn truy cập vào mục settings và thay đổi trang login mặc định thành trang mong muốn. Nên gắn thếm chuỗi ký tự random vào để tăng bảo mật ví dụ loginmxjfei328
Nếu bị quên chuỗi này, bạn chỉ cần vào xóa đi plugin là web trở lại như bình thường
3- Cài đặt bảo mật 2 lớp thông qua plugin Wordfence
Sau khi cài đặt plugin Wordfence https://vi.wordpress.org/plugins/wordfence/, bạn vào mục Login Security \ chọn tab Two Factor Authen.
Sau đó, dùng một app bất kỳ trên điện thoại ví dụ Authy hoặc Google Authenticator và scan hình hiển thị trên của sổ của bạn vào. Từ đó mỗi lần login nó sẽ yêu cầu thêm 1 mã, mã này bạn sẽ lấy từ điện thoại của mình
4- Khóa folder thông qua htaccess
Cách này chỉ áp dụng cho các bạn có kiến thức về coding và là hình thức khóa bảo mật gần như là cao nhất cũng khó để hack nhất cho cả máy robot và hacker
Nó sẽ khóa dưới hình thức hiện 1 ô login user /pass cho người dùng nhập vào, nhập không đúng sẽ xóa truy cập
Bưới 1: Vào trang Htpasswd Generator và tạo 1 user / pass random cho htaccess. Sau đó, nhấn Create .htpasswd file. Công cụ này sẽ tự sinh ra 1 file .htpasswd file:
Bước 2: Dùng file trên save lại “.htpasswd” và upload vào thư mục gốc của WordPress. Bạn có thể dùng notepad để soạn file:
Bước 3: Thêm đoạn code sau vào trong file .htaccess có sẵn trên server (ở thư mục gốc):
# Stop Apache from serving .ht* files
<Files ~ "^.ht">
Order allow,deny
Deny from all
</Files>
# Protect wp-login
<Files wp-login.php>
AuthUserFile ~/.htpasswd
AuthName "Private access"
AuthType Basic
require user yourusername
</Files>
Nhớ thay chữ yourusername thành username trong file .htpasswd file.
Như vậy, bạn đã có thể kích hoạt xong bảo mật cho wordpress trên hosting của mình. Tại JAYbranding, chúng tôi đã tích hợp sẵn cho các bạn để doanh nghiệp tập trung vào phát triển nội dung hơn là lo lắng về bảo mật của website.
English