Hướng dẫn bảo mật WordPress cho website của bạn

750 lượt xem 21/06/2021

• Tin tức SEO
• Mạng xã hội

Bảo mật Website là mối quan tâm lớn đối với chúng tôi và chúng tôi chủ yếu làm việc với bảo mật WordPress nên chúng tôi sẽ cố gắng tập trung vào vấn đề đó. Chúng tôi đã thấy rất nhiều trang web có thời gian ngừng hoạt động trong nhiều tháng chỉ vì một lỗi nhỏ trong bảo mật. Chúng tôi hiểu rằng thường có thể tốn kém khi trả tiền bảo mật hàng tháng, nhưng điều đó là vô cùng cần thiết khi trang web của bạn bắt đầu nhận được ngày càng nhiều lưu lượng truy cập.

Chúng tôi có một số mẹo bảo mật WordPress tuyệt vời sẽ giúp bạn bảo mật trang web WordPress của mình và đảm bảo rằng bạn không mất tất cả công sức của mình vào tay tin tặc và những kẻ lừa đảo. Vì vậy, chúng tôi đã tự đưa ra những cách dễ nhất để giữ an toàn cho trang web WordPress của bạn và cũng giúp bạn xử lý các cuộc tấn công mà chúng tôi thấy thường xuyên nhất. Có một số bước đơn giản mà bạn có thể thực hiện để giúp bạn thiết lập và kiểm tra bảo mật cũng như thiết lập cho mình an toàn khi truy cập Internet. Tuy nhiên, hãy bắt đầu với những loại lỗ hổng mà trang web của bạn có thể có

Sự tấn công xâm nhập WordPress phổ biến

Có một số kiểu xâm nhập khác nhau mà chúng ta thường thấy. Chúng bao gồm các cuộc tấn công SQL injection, nulled plugin, tấn công XSS, tấn công Brute force, DDoS Attacks và các chủ đề dễ bị tấn công. Hãy xem qua từng thứ và đưa ra một cái nhìn tổng quan ngắn gọn về những gì cuộc tấn công gây ra và cách nó xảy ra. Hình thức tấn công đơn giản nhất là ở dạng chủ đề hoặc plugin bị nulled, chủ đề hoặc plugin không có giá trị là một phần tử trang web chưa được cập nhật hoặc tải xuống từ một nguồn không đáng tin cậy. Thông thường, các plugin hoặc chủ đề này sẽ có lỗ hổng bảo mật hoặc một loại vi rút tích hợp sẵn. Sau đó, lỗ hổng sẽ bị khai thác bởi bất kỳ ai đặt cửa sau vào ứng dụng. Đây có thể được gọi chung là một cuộc tấn công phần mềm độc hại thông thường. SQL injection là khi mã độc được thêm vào bởi đầu vào của người dùng, XSS là khi mã được thêm bởi JavaScript vào đầu ra của người dùng.

Tấn công SQL Injection

Các cuộc tấn công SQL injection khá phổ biến trên WordPress và chỉ thua DDoS là phổ biến nhất. SQL là một ngôn ngữ lập trình mà nhiều cơ sở dữ liệu trang web được viết vào, điều này có nghĩa là một cuộc tấn công SQL injection sẽ liên quan đến một biểu mẫu đầu vào không được bảo mật có thể là bất kỳ thứ gì từ phần nhận xét đến biểu mẫu liên hệ của bạn trên trang web. Việc chèn SQL sẽ liên quan đến việc nhập các lệnh cơ sở dữ liệu để có quyền truy cập vào tài khoản quản trị của bạn. SQL rất dễ chống lại và chúng tôi sẽ đề cập đến vấn đề này trong phần tường lửa, nhưng câu trả lời đơn giản là chỉ cần khử trùng đầu vào của người dùng. Cách tốt nhất để khử trùng đầu vào của người dùng trên trang web WordPress là thêm một plugin tường lửa. Nhưng tất nhiên bạn có thể tự làm như vậy với mã tùy chỉnh nếu bạn có khả năng.

Brute Force Attacks

Brute Force Attacks là một số ít tiên tiến nhất cũng như tiên tiến nhất. Các cuộc tấn công bạo lực yêu cầu các máy tính mạnh hoặc nhiều máy tính nối mạng để cố gắng kết hợp một số lượng lớn các mật khẩu của một trang web. Chúng rất dễ bảo vệ chống lại, nhưng có thể vô cùng phá hoại nếu bạn không bảo vệ trang web của mình. Có một số bước bạn có thể thực hiện để ngăn chặn các cuộc tấn công bạo lực và chúng cũng giống như các cuộc tấn công khác. Tuy nhiên, có một số bản sửa lỗi bổ sung cho các cuộc tấn công vũ phu giúp bảo vệ bạn thêm.

Cross-Site Scripting (XSS)

Cross-Site Scripting được gọi khác là chèn XSS là quá trình mà mã JavaScript độc hại được đưa vào thông tin người dùng gửi đi. Điều này có thể đặc biệt khó nhận thấy khi nó thực sự xảy ra. May mắn thay, cách làm sạch đầu vào của người dùng gửi đến sẽ ngăn chặn các cuộc tấn công chèn SQL, việc làm sạch đầu ra của người dùng sẽ ngăn chặn các cuộc tấn công XSS. Nó hoạt động theo cách giống như một cuộc tấn công tiêm SQl trong đó mã được đưa vào để thực thi một tập lệnh không phải gốc thường chứa một lượng lớn mã độc hại. Điều này thường được thêm vào một trang web hoặc ứng dụng web bình thường có thể sử dụng được, nhưng có lỗ hổng bảo mật có thể bị tin tặc lợi dụng để đặt đoạn mã độc hại.

XSS có ý nghĩa gì đối với người dùng của bạn

Nhiều chủ sở hữu trang web sẽ nghĩ rằng một lỗ hổng XSS nghiêm trọng là một vấn đề đối với người dùng hơn là trang web. Tuy nhiên, việc bị xâm phạm sẽ có nghĩa là người dùng của bạn có thể bị lấy ra khỏi máy nhắn tin của bạn và tin tặc tiềm năng sẽ có thể đưa mã vào trang web mà người dùng của bạn xem và hiển thị cho họ những thay đổi sâu rộng. Tin tặc có thể thiết kế lại toàn bộ trang web của bạn nếu họ muốn. Điều này, rõ ràng là gây bất lợi nghiêm trọng cho bất kỳ trang web nào, đặc biệt là trang web kinh doanh. Vì vậy, vì chúng tôi đã làm rõ mức độ nghiêm trọng của các lỗ hổng XSS, chúng tôi có thể đi vào chi tiết hơn.

Các cuộc tấn công XSS có thể nguy hiểm như thế nào?

Khá phổ biến là các vấn đề XSS được xếp hạng ở mức độ ưu tiên thấp hơn so với các dạng lỗ hổng bảo mật khác có thể được tìm thấy trên trang web của bạn. Tuy nhiên, vẫn có một mối đe dọa rất thực tế và lan rộng có thể được mong đợi từ bất kỳ việc khai thác các lỗ hổng trang web XSS nói trên. Hầu hết thời gian Java được kiểm soát rất chặt chẽ đối với người dùng và không thể làm gì nhiều đối với các tệp của người dùng ngoài việc xuất hiện trong trình duyệt.

Vấn đề thực sự phát sinh ở đâu là khi java được sử dụng như một phương tiện cho kẻ độc hại sau đó thêm mã trỏ đến thứ gì đó có hại trực tiếp hơn cho người dùng. Cũng giống như lây nhiễm phần mềm độc hại, điều này có thể là gửi thư rác cho họ với các quảng cáo mà cuối cùng có thể khiến họ nhiễm vi-rút. Mặc dù vi-rút thực sự không đến từ trang web của bạn, nhưng họ chắc chắn sẽ tin rằng bạn là người đã truyền cho chúng vi-rút đang được đề cập. Bản chất độc đoán của những kẻ tấn công XSS là điều khiến chúng trở nên nguy hiểm đối với người dùng của bạn, bạn có thể không phát hiện ra người đầu tiên đặt quảng cáo để kiếm tiền nhanh chóng nhưng khi lỗ hổng đó chuyển sang các cuộc tấn công phần mềm độc hại quy mô lớn, thì tốt hơn bạn nên hy vọng mình có thể khắc phục nó nhanh chóng.

Tấn công DDoS

Tấn công từ chối dịch vụ (DDoS) phân tán là loại tấn công phổ biến nhất được thực hiện nhằm vào cả người dùng và trang web. Về cơ bản, chúng thu hút một người dùng hoặc nhiều người dùng yêu cầu trang web với số lượng lớn trong một thời gian rất ngắn. Tác động thường xuyên nhất của kiểu tấn công này là một trang web sẽ bị sập bởi vì máy chủ web đơn giản là không thể đáp ứng tất cả các yêu cầu. May mắn thay, kiểu tấn công này dễ dàng được giảm thiểu bởi cả phần mềm tường lửa và mạng phân phối nội dung google (CDN).

Các cuộc tấn công DDoS hoạt động như thế nào?

Khi xảy ra cuộc tấn công DDos, một máy chủ, trang web hoặc mạng sẽ được gửi yêu cầu dữ liệu liên quan đến mạng bởi các thiết bị này sẽ thực hiện một lượng lớn yêu cầu trong thời gian rất ngắn với tốc độ ba triệu mỗi giây nâng cao các cuộc tấn công. Hầu hết các máy chủ không thể xử lý khối lượng và sẽ ngừng hoạt động hoặc để lộ một số phần nhất định trên trang web của họ với các lỗ hổng nghiêm trọng. Tất nhiên, không có sự đồng nhất đối với cuộc tấn công DDoS, vì có rất nhiều cuộc tấn công tiềm ẩn có thể được thực hiện chống lại trang web của bạn.

DDoS thể tích

Loại tấn công DDoS phổ biến nhất và được hacker cấp thấp hơn dễ dàng thực hiện nhất. Cuộc tấn công DDoS khối lượng lớn sử dụng các hệ thống nô lệ từ các máy tính có virus hoặc các máy chủ lớn để đạt được nhu cầu từ chối dịch vụ. Đây đôi khi có thể được gọi là các cuộc tấn công lũ lụt kết nối và thường là các loại tấn công bạn sẽ đối phó với trang web của mình.

Các cuộc tấn công theo lớp OSI

Đây là những hệ thống bị nhiễm đặc biệt hơn với một chương trình được tích hợp sẵn có thể tạo ra 5-15 terabyte mỗi giây dữ liệu yêu cầu tới máy chủ web của bạn. Một con số khổng lồ mà chỉ những trang web khó tính nhất mới có thể đối phó được. Bất kỳ trang web lớn nào thường xuyên có thể mong đợi một cuộc tấn công như vậy gần như hàng ngày. Loại tấn công này thường được sử dụng như là tiền thân của một số loại trộm cắp điện tử.

Phiên bản WordPress và PHP cũ

Các phiên bản WordPress và PHP cũ là một nguyên nhân chính khác gây ra sự xâm nhập nhưng đối với hầu hết các phiên bản này gần như sẽ rơi vào cùng một mạch với phần mềm độc hại. Vì sẽ có một số vấn đề lớn trong mã có thể dễ dàng bị lợi dụng để cài đặt phần mềm độc hại vào trang web có phiên bản PHP hoặc WordPress cũ hơn. Các phần mềm xâm nhập thường xuất hiện trên các phiên bản cũ hơn của WordPress hoặc PHP có xu hướng là phần mềm quảng cáo hoặc phần mềm gián điệp, phần mềm này sẽ hiển thị các quảng cáo độc hại hoặc theo dõi người dùng của bạn tương ứng. Cách tốt nhất để tránh những sự xâm nhập này là giữ cho trang web của bạn luôn được cập nhật và thường xuyên sao lưu trang web của bạn.

Tạo mật khẩu tốt hơn

Mật khẩu của bạn là tiền đề phòng thủ cho trang web của bạn. Không có hệ thống bảo mật nào bảo vệ bạn khỏi những mật khẩu dễ đoán của chính bạn. Mật khẩu tồi tệ nhất theo một cách nào đó liên quan đến thông tin công khai về bản thân bạn hoặc bao gồm các từ điển thông dụng. Mật khẩu an toàn nhất là các chuỗi từ và số ngẫu nhiên theo thứ tự hoàn toàn ngẫu nhiên. Chỉ một thay đổi đơn giản đó sẽ giúp bạn tiết kiệm rất nhiều sự đau buồn và tránh cho trang web của bạn bị cưỡng bức thô bạo hoặc có một số người ngẫu nhiên đăng nhập và phá hoại.

Sử dụng tường lửa

Tường lửa là một cách tuyệt vời để bắt những tin tặc lành nghề hơn trước khi chúng có cơ hội gây ra bất kỳ thiệt hại lâu dài nào cho trang web của bạn. Lựa chọn tường lửa của bạn rất rộng và bạn có thể nhận được mọi thứ từ giải pháp tùy chỉnh đến một số plugin rất tuyệt vời. Mặc dù chúng ta có thể nói cả ngày về tường lửa, nhưng chúng tôi sẽ đề xuất hai trong số những thứ phổ biến nhất cho WordPress. Yêu thích cá nhân của chúng tôi là Wordfence , họ sẽ có giải pháp cho hầu hết tất cả các cuộc tấn công này trong phiên bản plugin miễn phí của họ và sẽ hỗ trợ nhiều tính năng tuyệt vời hơn nữa trong phiên bản cao cấp của họ. Lựa chọn giây của chúng tôi sẽ là Sucuri , một nhà cung cấp bảo mật rất nổi tiếng, họ thậm chí còn cung cấp các dịch vụ ngoài việc chỉ sử dụng plugin của họ và họ rất được chúng tôi đề xuất.

Sử dụng Trình xác thực

Trình xác thực là tuyệt vời vì chúng sẽ giữ cho trang web của bạn an toàn trước nhiều cuộc tấn công cấp thấp thường gặp nhất trên web. Trình xác thực cốt lõi là một hình thức xác nhận danh tính phụ và có thể có nhiều hình thức. Phổ biến nhất là trình xác thực google hoặc trình xác thực SMS. Bạn có thể tải xuống một trong nhiều plugin đóng vai trò là phương pháp xác thực hiệu quả. Sử dụng tùy chọn nào là sở thích của bạn và xem giá trị bảo mật của bạn tăng vọt. Mặc dù chúng tôi không có danh sách các plugin tốt nhất nhưng bạn có thể tìm thấy một vài plugin tại đây
.

Kết luận về bảo mật WordPress

Bây giờ bạn đã quen thuộc với thế giới XSS, DDoS và hơn thế nữa, bạn có thể bắt đầu thực hiện các bước để bảo mật trang web WordPress của mình và ngăn chặn bất kỳ sự phá hủy nào nữa. Đầu tư vào bảo mật của bạn luôn là một khoản đầu tư tốt. Đừng mất tất cả công việc khó khăn của bạn chỉ vì bạn đang cố gắng tiết kiệm một vài đô la ở bên. Đầu tư thời gian và tiền bạc vào việc tạo ra một kế hoạch bảo mật sẽ bảo vệ trang web của bạn một cách hiệu quả. Bạn sẽ tiết kiệm được vô số thời gian và cơn đau đầu bằng cách cập nhật và bảo vệ mọi thứ. Vì vậy, hãy khởi động bức tường lửa đó lên, xác thực những mật khẩu đó và đề phòng những rủi ro bảo mật tiềm ẩn. Như mọi khi, bạn bè của bạn ở đây tại Caveni rất sẵn lòng giúp bạn đưa ra kế hoạch bảo vệ trang web của bạn, vì vậy nếu bạn cần thêm trợ giúp, đừng ngại liên hệ với chúng tôi.