Chuyển đến nội dung chính

Bảo mật website WordPress đầy đủ nhất 2017

Bởi


18 mẹo bảo mật website WordPress đầy đủ nhất qua 5 phần với ví dụ, phân tích và hình ảnh cụ thể sẽ giúp hạn chế 99% nguy cơ website của bạn bị hack.

 I. Bảo mật trang login và ngăn chặn các hành vi xâm phạm
1. Thiết lập khóa trang web và cấm người dùng:
–  Bạn có thể cài đặt plugin bảo mật iThemes (một trong những plugin giúp bảo mật wordpress tốt nhất hiện nay) để tăng tính bảo mật trong trang login. Việc thiết lập tính năng khóa trang web và cấm người dùng không truy cập được nữa sẽ bảo mật tuyệt đối website wordpress của bạn.

– Plugin iThemes này cho phép chặn, cấm người dùng nếu có 1 ai đó cố gắng đăng nhập, thử nhiều mật khẩu. Và khi có hành động bất thường này xảy ra lập tức người quản trị web wordpress đó sẽ nhận được thông báo qua email.
– Điều hay ho mà chúng ta thấy ở đây chính là việc bạn có thể hoàn toàn tự set up chế độ bảo mật riêng – tức là tự cài đặt hạn chế số lần người dùng login ví dụ như 3,4 lần và nếu cố đăng nhập lần thứ 5 thì sẽ bị cấm địa chỉ IP đang cố tình đó.
– ĐÁNG CHÚ Ý: việc quản lý file wp-config.php  trong wordpress là việc quan trọng nhất trong wordpress.
2. Không quên xác thực 2 lớp – 2 factor authentication
– Hầu hết những diễn đàn, website bảo mật cao và wordpress đều yêu cầu xác thực 2 lớp khi bạn đăng ký làm thành viên và có thể là đăng nhập. Admin wordpress có thể tăng tính bảo mật cho website của mình bằng cách đưa ra những câu hỏi bí mật hoặc bắt người dùng nhấp vào những hình ảnh đúng yêu cầu, giải phép tính, nhập mã bí mật…
– Plugin WP Authenticator đã bảo mật website wordpress của mình chỉ trong  vài đúp click chuột
3. Login bằng Email giúp tăng cường bảo mật cho web
– Theo mặc định, bạn sẽ đăng nhập bằng tên của mình hoặc số điện thoại. Nhưng việc sử dụng một Email ID thay vì một cái tên thông thường sẽ bảo mật an toàn hơn rất nhiều khi login website.
– Tại sao sử dụng email đăng nhập an toàn hơn ? Lý do đơn giản là tên người dùng, số điện thoại dễ đoán và mò được, còn với email ID thì không. Hơn nữa, bất kỳ tài khoản  người dùng nào trong wordpress cũng được tạo từ một địa chỉ email DUY NHẤT. Điều này giúp bảo mật thông tin người dùng, website 1 cách tuyệt đối
– plugin WP Email Login sẽ hoạt động ngay sau khi kích hoạt và bạn không cần phải cấu hình gì cả.  Cách kiếm tra: Bạn chỉ cần đăng xuất khỏi trang web, sau đó đăng nhập lại, nhưng lần này hãy nhớ sử dụng email mà bạn đã tạo để login
4. Đổi URL đăng nhập
– Một trong các cách bảo mật website wordpress mà người dùng ít biết chính là đổi địa chỉ url đăng nhập. Theo mặc định, trang login wordpress có thể truy cập dễ dàng qua địa chỉ: wp-login.php hoặc wp-admin +  URL chính của trang web. ví dụ như: xxx.vn/wp-admin/  chẳng hạn.
– Hacker phản ứng sau khi nhìn thấy địa chỉ login này: Nếu nhìn thấy url đăng nhập dạng như trên, hacker có thể đăng nhập vào GWDb (Guess Work Database, ví dụ: tên người dùng: admin và mật khẩu: P @ ssword …)
– Giải pháp: Để nâng cấp bảo mật wordpress toàn tập (to secure website wordpress), bạn cần phải thay đổi địa chỉ URL đăng nhập ngay.
– Plugin hỗ trợ: iThems Security sẽ giúp bạn loại bỏ tới 99% các cuộc tấn công của tin tặc

– Nếu có thể thì nên giới hạn IP cho phép đăng nhập vào Admin site.
+ Ví dụ cách thay đổi địa chỉ URL  trong phần login như sau:
– Thay đổi  wp-login.php thành một cái gì đó độc đáo. Chẳng hạn:  My_new_login  ;  / wp-admin / thành  My_new_admin ; /wp-login.php?action=register  thành My_new_registeration
5. Không quên sử dụng MẬT KHẨU MẠNH:
– Khá nhiều người vẫn sử dụng mật khẩu đơn giản như: 123456, 12345678, 1234567890… hay no password, khongcopass.  Việc tạo mật khẩu đơn giản như thế này chính là cơ hội mở cửa cho các tin tặc lợi dụng tấn công. Khuyến cáo: Bạn cần kiểm tra thay đổi mật khẩu ngay nếu bạn để mật khẩu như trên hoặc quá đơn giản.
– Tốt nhất, hãy sử dụng mật khẩu có cả chữ hoa và chữ thường, số và ký tự đặc biệt, tránh sử dụng số điện thoại cá nhân nhé.
II. BẢO MẬT TRANG QUẢN TRỊ ADMIN
Các chuyên gia bảo mật nhấn mạnh: Bảng điều khiển trang quản trị là phần được hacker nhòm ngó nhất vì khi hack được bảng điều khiển Dashboard sẽ đạt được nhiều mong muốn nhất của chúng.
6. Bảo vệ thư mục wp-admin (secure wp-admin directory wordpress):

– Thư mục wp-admin được ví như trái tim của bất kỳ website wordpress nào. Vì thế, nếu phần này bị tấn công, bị xâm chiếm thì coi  như website của bạn hỏng hoàn toàn.
>> Giải pháp: Bảo vệ bằng mật khẩu trong thư mục wp-admin. Bằng cách sử dụng plugin có tên: AskApache Password Protect , Admin có thể truy cập vào dashboard bằng cách gửi 2 mật khẩu. Một mật khẩu bảo vệ trang login và một mật khẩu bảo vệ khu vực quản trị WordPress. Nếu người dùng trang web được yêu cầu truy cập vào một số phần cụ thể của wp-admin, bạn có thể bỏ chặn những phần đó và khóa phần kia lại. Plugin AskApache Password Protect  này sẽ tự động tạo ra một tập tin .htpasswd, mã hóa mật khẩu và cấu hình quyền của tập tin và tăng cường bảo mật cao cho wordpress.
7. Mã hóa dữ liệu bằng SSL
SSL (Secure Socket Layer) là một bức tiến giúp bảo vệ bảng quảng trị. Các hacker sẽ cảm thấy khó khăn khi cố tình kết nối, phá độ bảo  mật của website wordpress vì đã có  SSL đảm bảo truyền dữ liệu an toàn giữa các trình duyệt của người dùng và máy chủ.
– Lợi thế cho Seoer khi website có chứng chỉ bảo mật SSL sẽ làm tăng thứ hạng tìm kiếm keyword trên Google. Bởi Google hiểu website của bạn đang bảo người dùng tốt hơn với những site khác nên sẽ ưu tiên hơn trên bảng thứ hạng.
8. Sử dụng plugin Force Strong passwords khi dùng blog wordpress
– Nhằm tăng độ Bảo mật wordpress khi có nhiều tác giả viết bài, bạn  nên cài plugin này. Đây là một biện pháp phòng ngừa,tăng thêm bảo mật nữa cho trang wordpress
9. Điều hướng các files
– Nếu bạn muốn thêm một số tính năng bảo mật cho wordpress thì bạn có thẻ điều khiển sự thay đổi các tệp, file bằng plugin Acunetix WP Security, Wordfence, or again, iThemes Security
III. Bảo mật cơ sở dữ liệu cho wordpress
10. Thay đổi WordPress database table prefix
– Nếu như bạn thông thạo về code và đã cài wordpress thì có thể bạn đã quen với tiền tố wp-table được sử dụng trong database của WordPress.
– Chắc hẳn bạn không quên lỗ hổng bảo mật website – SQL injection. Hãy thay đổi wp- thành một số ví dụ như: mywp-, wpnew-
– Để hỗ trợ bảo mật database wordpress bạn có thể sử dụng plugins: WP-DBManager hoặc iThemes Security. Và nhớ sao lưu dữ liệu website trước khi thực hiện bất kể điều gì với dữ liệu. Nó giống như việc bạn photo CMTND  trước khi nộp đơn xin việc tại chỗ làm vậy.
11.Sao lưu dữ liệu, site một cách thường xuyên
– Việc sao lưu dữ liệu giúp bạn bảo mật được tài sản website của mình trước khi một ngày dông tố nhất có thể xảy ra.
–Bạn có thể sử dụng VaultPress ( giúp sao lưu và bảo mật dữ liệu website wordpress cực kỳ nhanh, tốt). Cho dù bất kể điều gì xấu đều có thể khôi phục lại được toàn bộ dữ liệu. Mặt khác, VaultPress  sẽ rà quét các lỗ hổng, malware trong site của bạn và cảnh báo ngay khi có lỗi.
– Và điều không thể không chính là thiết lập mật khẩu mạng cho database
IV. Thiết lập bảo mật Hosting website wordpress
Có một thực tế rằng, hầu hết các công ty đều có sử dụng dịch vụ bảo mật hosting wordpress. Vậy làm thế nào để nâng cao bảo mật hosting cho wordpress ?
12. Bảo  mật file wp-config.php trong wordpress
– Hỡi các bạn yêu wordpress, file wp-config.php là file chứa thông tin quan trọng nhất trong phần cài đặt WordPress, là tệp phải lưu tâm trong thư mục gốc của website. Bạn là một blogger sử dụng wordpress hoặc không phải, thì đều cần bảo mật file wp-config.php
– Bạn có thể tắt chức năng Revisions để tiết kiệm cơ sở dữ liệu và tăng tính bảo mật cho wordpress
13. Nâng cấp bảo mật wordpress bằng cách nâng cấp quyền chỉnh sửa tệp
– Nào ! Bạn đã đi được hơn nửa chặng đường rồi đấy, càng về cuối càng có nhiều phần hay mà tôi chia sẻ.
– Nếu người dùng có quyền truy cập phần dashboard của trang quản trị, họ có thể chỉnh sửa bất kỳ file nào, thậm chí cả plugin, themes.
– Tuy nhiên, để ngăn chặn hacker và người khác chỉnh sửa file bạn có thể vào phần Dashboard của wordpress và thêm tệp sau vào cuối file wp-config.php:
define (‘DISALLOW_FILE_EDIT’, true);
14.Kết nối tới máy chủ một cách chính xác
– Khi thiết lập phần cài đặt, hãy kết nối với máy chủ qua SFTP hoặc SSH . Việc kết nối máy chủ theo cách này giúp  đảm bảo truyền tải an toàn cho các files.
15.Thiết lập quyền truy cập thư mục – tránh CHMOD
– Việc thay đổi những tệp tin hay quyền truy cập thư mục là một định hướng tốt giúp đảm bảo website wordpress của bạn được bảo mật hơn trong lưu trữ hosting. Hãy thiết lập quyền cho thư mục “755” và các tệp tin “644” để bảo vệ toàn bộ hệ thống tập tin – thư mục, thư mục con và các tệp riêng lẻ.
– Bạn có thể thực hiện việc này thủ công qua File Manager bên trong bảng điều khiển hosting của bạn, hoặc thông qua Terminal (kết nối với SSH) – sử dụng lệnh “chmod”.
– CHMOD có thể rất đang mới lạ với bạn vì kiến thức phần này khá nhiều. Bạn chỉ cần nhớ CHMOD trong thư mục là 777 thôi. Dạo đầu mình cũng 1 số bạn admin khác chưa rõ về bảo mật wordpress cho lắm cũng đã bị lỗi mất thư mục mà không biết lý do gì.
– Thiết lập phân quyền 777, cho phép tối đa tất cả user trên server đều có quyền ghi/xóa/thực thi thư mục và các tập tin bên trong.
– Bạn đang dùng Shared Host, thì cần phải nhớ CHMOD chuẩn nhất  là 755 cho thư mục, 644 cho files. Với file wp-config.php thì hãy CHMOD thành 444 hoặc 440 hoặc 400.
16.Tắt danh sách thư mục với .htaccess
– bạn tạo một thư mục có tên “data”, và  có thể thấy mọi thứ trong thư mục “data”  bằng cách gõ http://www.example.com/data/ trong trình duyệt của bạn
– Bạn có thể ngăn chặn điều này bằng cách thêm dòng mã sau vào tệp tin .htaccess: Options All -Indexes
V. BẢO MẬT CÁC THEMES VÀ PLUGINS TRONG BẢO MẬT WEBSITE WORDPRESS
Hãy bảo mật toàn diện cho website dùng template và plugin wordpress nào !
17. Theo dõi và cập nhật thường xuyên các plugin, themes của WordPress
– Cũng giống như windows, việc update thường xuyên giúp bảo mật máy tính của bạn tốt hơn, thì wordpress cũng vậy. Nếu không cập nhật những themes, plugin của wordpress, bạn có thể gặp rắc rối về vấn đề bảo mật đấy. Và mới cuối tháng 3/2017 vừa rồi, một plugin mang tên  WP- Base-SEO đã dẫn lối cho hacker.
18.Xóa phiên bản wordpress:
– Tất nhiên việc tìm ra phiên bản wordpress mà bạn đang sử dụng sẽ giúp hacker lần ra dấu vết lỗ hổng dễ dàng hơn rất nhiều và chúng có nhiều time nghiên cứu hơn để công phá.
CUỐI CÙNG
Nếu bạn đang sử dụng themes, plugins, website bằng wordpress hãy kiểm tra và rà soát, cài đặt, thiết lập chế độ bảo mật ngay ! Còn plugin iThemes Security là plugin mà mình thích nhất. Đây là bài viết tâm huyết về các giải pháp, các cách bảo mật website wordpress mà mình muốn chia sẻ đã bấy lâu nay. Cũng mất gần 4 tiếng xiên suốt với bài chia sẻ 2212 chữ này. Hi vọng, bạn sẽ thích bài viết này. Đừng quên chia sẻ bài viết: ” Bảo mật website WordPress” này tới bạn bè của bạn  nhé! Thanks.
Theo: SecurityBox
Nhãn:

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

HttpOnly Flag và Secure Flag của chiếc Cookie để làm gì?

Bởi Thao Pham
Cookies rất hữu ích nhưng cũng tồn tại không ít rủi ro. Bài viết sau đây giúp tìm hiểu rõ thêm về 2 thuộc tính giúp bảo vệ Cookies là Httponly flag   và Secure flag.   Nếu anh em mò vào được bài này thì chắc cũng biết về Cookie rồi, nhưng còn hiểu lơ mơ    thì click vào đây trước nhé -  Cookie . Chuyện kể rằng, ngày xửa ngày xưa, có một "nghệ sĩ" nọ do không sao kê tiền từ thiện nên đã bị hacker tấn công chiếm rất nhiều tài khoản do bị mất cookie.  1. Tại sao lại mất?   Nguyên nhân "nghệ sĩ" bị mất thông tin cá nhân là do quá chủ quan khi click đọc email do rất nhiều "fan" gửi cho, trong những email đó có gắn đường link chứa mã độc đánh cắp cookie của 1 trang web nào đó.  Do cookies phản hồi từ server mà các đường link đó dẫn tới không được bảo vệ     nên đã bị đối tượng xấu lấy mất cookies chứa xác thực đăng nhập -> dẫn tới mất thông tin. Về mặt bản chất, cũng có thể hiểu đây như là một cuộc tấn công XSS , đối tượng gửi email sẽ execute một đoạn scri
Đăng nhận xét
BÀI MỚI »

Mã hóa đối xứng và bất đối xứng

Bởi
Hôm nay mình xin được nói về hai thuật toán cơ bản và quan trong nhất trong bảo mật đó là mã hóa đối xứng và mã hóa bất đối xứng . 1. Mã hóa đối xứng (mã hóa không công khai- symmetric-key algorithms ) - Là lớp thuật toán các mã hóa trong đó việc mã hóa và giải mã đều dùng chung cho 1 khóa (secret key) 1.1 Các loại thuật toán khóa đối xứng Thuật toán đối xứng có thể được chia ra làm hai thể loại, mật mã luồng ( stream ciphers ) và mật mã khối ( block ciphers ). Mật mã luồng mã hóa từng bit của thông điệp trong khi mật mã khối gộp một số bit lại và mật mã hóa chúng như một đơn vị. Cỡ khối được dùng thường là các khối 64 bit. Thuật toán tiêu chuẩn mã hóa tân tiến ( Advanced Encryption Standard ), được NIST công nhận tháng 12 năm 2001, sử dụng các khối gồm 128 bit. Các thuật toán đối xứng thường không được sử dụng độc lập. Trong thiết kế của các hệ thống mật mã hiện đại, cả hai thuật toán bất đối xứng ( asymmetric ) (dùng chìa khóa công khai) và thuật toán đối xứng được sử
Đăng nhận xét
BÀI MỚI »

Những câu hỏi phỏng vấn kỹ sư bảo mật thường gặp.

Bởi
Dưới đây là một danh sách các câu hỏi thường được sử dụng trong việc phỏng vấn tuyển dụng chuyên gia bảo mật. Nhiều câu hỏi được thiết kế buộc người được phỏng vấn phải suy nghĩ, và không thể chuẩn bị trước cho dạng câu hỏi này. Ở đó, các phản ứng của ứng viên cũng quan trọng  như câu trả lời. Một số câu hỏi được pha trộn giữa kỹ thuật và lý thuyết, hoặc câu hỏi tìm hiểu quan điểm của ứng viên để tạo ra những câu hỏi khó khăn hơn. Các câu hỏi cũng thường được chia thành các thể loại khác nhau, một số câu hỏi mẹo sẽ được chèn vào giữa. Mục đích của những câu hỏi dạng đánh đố này là tìm kiếm những điểm yếu kỹ thuật thường chỉ xuất hiện khi ứng viên đi vào làm việc :| . Nhóm câu hỏi chung 1. Giữa các dự án mã mở và mã đóng, bên nào bảo mật hơn? Câu trả lời của ứng viên sẽ nói rất nhiều về họ. Nó cho thấy 1) họ biết những khái niệm gì trong phát triển phần mềm, 2) cho thấy mức độ chín chắn của ứng viên. Mục tiêu chính của câu hỏi là đưa ra được ưu/ nhược điểm của hệ mã đóng và mã m
Đăng nhận xét
BÀI MỚI »