Có khoảng 64 triệu trang web WordPress trên thế giới, làm cho WordPress trở thành hệ thống quản lý nội dung [CMS] phổ biến nhất hiện nay
Ở nhiều khía cạnh, mức độ phổ biến của WordPress là một lợi thế lớn cho các nhà phát triển và doanh nghiệp. Cộng đồng lớn, năng động xung quanh WordPress giúp dễ dàng tìm thấy các plugin mở rộng chức năng WordPress hoặc tìm nhà cung cấp dịch vụ lưu trữ chuyên về WordPress. Và người dùng có thể tin tưởng rằng WordPress sẽ vẫn được phát triển và hỗ trợ tích cực trong nhiều năm tới
Nhưng từ góc độ bảo mật, việc sử dụng rộng rãi WordPress đặt ra một thách thức. Với mức độ phổ biến rộng rãi của nền tảng, đây là mục tiêu chung của những kẻ tấn công. Các trang web WordPress có thể bị xâm phạm theo nhiều cách khác nhau, từ các cuộc tấn công vào máy chủ lưu trữ hoặc hệ điều hành, khai thác cơ sở dữ liệu, tấn công tiêm nhiễm và hơn thế nữa
Đó là lý do tại sao bảo vệ chống lại các lỗ hổng của WordPress phải là ưu tiên hàng đầu đối với bất kỳ tổ chức nào muốn tận dụng WordPress như một CMS đáng tin cậy, có thể mở rộng. Hãy xem nhanh các lỗ hổng đó trước khi xem qua mười lăm phương pháp hay nhất về bảo mật WordPress
Lỗ hổng bảo mật WordPress
Bước đầu tiên để bảo vệ trang web WordPress của bạn là hiểu lỗ hổng của nó nằm ở đâu. Dưới đây là một số phổ biến nhất
Các cuộc tấn công vũ phu
Các diễn viên có thể sử dụng các cuộc tấn công vũ phu để đột nhập vào các bản cài đặt WordPress bằng cách duyệt qua danh sách dài các kết hợp tên người dùng và mật khẩu cho đến khi họ nhấn đúng. Các trang web sử dụng mật khẩu ngắn, đơn giản đặc biệt dễ bị tấn công. Hãy nhớ rằng ngay cả khi tài khoản WordPress của bạn sử dụng mật khẩu mạnh, các cuộc tấn công vũ phu nhằm vào máy chủ lưu trữ WordPress hoặc cơ sở dữ liệu có thể cho phép những kẻ xâm nhập có quyền truy cập vào trang web của bạn
tấn công DDoS
Trong một cuộc tấn công DDoS, những kẻ tấn công áp đảo một trang web bằng lưu lượng truy cập độc hại để ngăn trang web phản hồi các yêu cầu hợp pháp. Mặc dù bản thân WordPress có thể làm rất ít để ngăn chặn các cuộc tấn công DDoS, nhưng các plugin có sẵn để tích hợp WordPress với các dịch vụ chống DDoS
tấn công XSS
Các cuộc tấn công kịch bản chéo trang [XSS] có thể cho phép kẻ tấn công bỏ qua các kiểm soát truy cập, chẳng hạn như các trang đăng nhập. Chúng cũng có thể được sử dụng để chuyển hướng khách truy cập trang web đến các trang web độc hại được thiết kế để đánh cắp mật khẩu hoặc thông tin quan trọng khác
Phần mềm độc hại
Phần mềm độc hại mà kẻ tấn công quản lý để cài đặt bên trong trang web WordPress có thể cấp cho chúng quyền truy cập vào dữ liệu nhạy cảm, chẳng hạn như các trang được cho là được bảo vệ bằng mật khẩu. Những kẻ tấn công cũng có thể sử dụng phần mềm độc hại để đăng nội dung độc hại trong trang web WordPress mà chủ sở hữu trang web không hề hay biết
tiêm SQL
WordPress sử dụng cơ sở dữ liệu SQL để lưu trữ hầu hết dữ liệu trang web của bạn và thông tin đăng nhập truy cập của nó. SQL injection liên quan đến việc gửi các lệnh độc hại đến máy chủ cơ sở dữ liệu, cho phép kẻ tấn công có quyền truy cập vào dữ liệu nhạy cảm được lưu trữ trong cơ sở dữ liệu. Họ cũng có thể xóa dữ liệu, phá hủy trang web của bạn một cách hiệu quả
cửa hậu
Kẻ tấn công có thể tạo cửa hậu bằng cách chạy phần mềm độc hại cho phép chúng truy cập từ xa vào trang web WordPress của bạn hoặc máy chủ lưu trữ nó. Điều này cho phép các bên thứ ba giám sát và thao túng trang web của bạn mà bạn không biết
15 cách để cải thiện bảo mật WordPress
Bạn không thể hy vọng giải quyết mọi lỗ hổng trong số hơn 17.000 lỗ hổng WordPress được xác định cụ thể. Nhưng bạn có thể làm theo các phương pháp hay nhất khi thiết kế và quản lý trang web WordPress của mình để giúp giảm thiểu rủi ro bảo mật
1. Cập nhật WordPress
Luôn cập nhật các trang web WordPress của bạn có lẽ là cách quan trọng nhất để giải quyết các lỗ hổng tiềm ẩn. Điều này có nghĩa là cả việc nâng cấp khi có các phiên bản WordPress chính mới và cập nhật cho các bản phát hành điểm nhỏ hơn [chẳng hạn như bản cập nhật từ phiên bản 5. 1. 1 đến 5. 1. 2]. Mỗi bản phát hành WordPress mới đều chứa các bản sửa lỗi cho các lỗ hổng bảo mật đã biết. Nếu không cập nhật, bạn sẽ khiến trang web của mình gặp rủi ro trước các cuộc tấn công mà các bên độc hại đã biết rằng họ có thể thực hiện
Hãy nhớ rằng việc cập nhật WordPress mới chỉ là một nửa trận chiến. Bạn cũng nên cập nhật các chủ đề và plugin, chúng cũng có thể chứa các lỗ hổng
Các phiên bản hiện đại của WordPress cung cấp các tính năng tùy chọn có thể tự động cập nhật triển khai, chủ đề và plugin WordPress của bạn. Bạn nên bật cập nhật tự động bất cứ khi nào có sẵn. Nếu không, hãy chắc chắn rằng bạn thực hiện cập nhật thủ công bất cứ khi nào có thể
2. Chọn máy chủ WordPress phù hợp
WordPress có thể chạy trên hầu hết mọi nền tảng lưu trữ web, nhưng điều đó không có nghĩa là bạn chỉ nên chọn bất kỳ nhà cung cấp dịch vụ lưu trữ nào. Tìm kiếm một máy chủ có kinh nghiệm đáng kể với WordPress và cung cấp khả năng bảo mật mạnh mẽ. Ví dụ: nếu bạn tìm thấy một dịch vụ lưu trữ đáp ứng các yêu cầu tuân thủ nghiêm ngặt liên quan đến các luật quản lý cụ thể, như FedRAMP, PCI DSS và HIPAA, thì bạn biết rằng họ có kinh nghiệm bảo mật các trang web chứa cả dữ liệu nhạy cảm nhất. Các máy chủ tốt nhất cũng cung cấp các dịch vụ được quản lý để giúp khách hàng vượt qua các mối đe dọa bảo mật và ứng phó với chúng khi chúng xảy ra
3. Tạo và quản lý mật khẩu mạnh
Mật khẩu ngắn hoặc bao gồm các từ hoặc cụm từ đơn giản dễ bị tấn công bằng vũ lực. Để giải quyết lỗ hổng này, hãy sử dụng mật khẩu mạnh cho tất cả các tài khoản được liên kết với WordPress. WordPress có thể giúp bạn làm điều này bằng cách tự động tạo chuỗi mật khẩu mạnh khi bạn tạo tài khoản người dùng mới. Bạn cũng có thể tham khảo hướng dẫn mật khẩu từ các tổ chức như NIST, U. S. cơ quan liên bang cung cấp các khuyến nghị về an ninh mạng. Và thử sử dụng trình quản lý mật khẩu để tránh lặp lại mật khẩu giữa các tài khoản
Bạn cũng nên cập nhật mật khẩu thường xuyên. Theo nguyên tắc thông thường, mật khẩu nên được thay đổi ba tháng một lần. Thường xuyên cập nhật mật khẩu đảm bảo rằng nếu kẻ tấn công giành được quyền truy cập vào mật khẩu thì quyền truy cập của họ sẽ bị thu hồi khi mật khẩu thay đổi
4. Sao lưu triển khai WordPress của bạn
Để ngăn truy cập trái phép vào trang web hoặc máy chủ WordPress của bạn, hãy sao lưu thường xuyên cơ sở dữ liệu WordPress và tệp cấu hình của bạn. Bản sao lưu cho phép bạn dễ dàng khôi phục trang web của mình nếu trang web bị vi phạm hoặc nếu kẻ tấn công cố tình phá hủy cơ sở dữ liệu của bạn hoặc thông tin quan trọng khác
Nếu không có bản sao lưu, việc xây dựng lại một trang web bị vi phạm gần như là không thể. Ngay cả khi bạn có thể lấy các bản sao dữ liệu trang web của mình từ các trang được lưu trữ trên web, nội dung có thể đã lỗi thời. Việc tích hợp lại nội dung đó vào một trang web WordPress chức năng cũng tốn thời gian và tẻ nhạt
5. Tận dụng lợi thế của các plugin bảo mật WordPress
Mặc dù bản thân WordPress không cung cấp các công cụ bảo mật ngoài các tính năng cơ bản như kiểm soát truy cập tài khoản, nhưng cộng đồng WordPress đã phát triển nhiều plugin mà bạn có thể cài đặt để tăng cường bảo mật cho trang web của mình. Ví dụ: bạn có thể sử dụng plugin tường lửa, chẳng hạn như Tường lửa ứng dụng web, để lọc lưu lượng mạng đến trang web WordPress của bạn. Với plugin tường lửa, ngay cả khi bạn không thể thiết lập tường lửa trên máy chủ lưu trữ — điều này thường không thực hiện được khi sử dụng gói lưu trữ WordPress được chia sẻ — bạn có thể chặn các địa chỉ IP độc hại trong chính WordPress
Các plugin WordPress khác, như Wordfence, có thể tự động quét trang web của bạn để tìm phần mềm độc hại để bạn có thể thực hiện các bước để cách ly và xóa mã độc hại trước khi nó gây ra vi phạm. Và các plugin như Securi cung cấp tính năng quét phần mềm độc hại như một phần của gói bảo mật WordPress rộng hơn cũng cung cấp khả năng kiểm tra và tăng cường cấu hình, có thể cảnh báo bạn về các loại mối đe dọa khác ngoài phần mềm độc hại
Để có phạm vi bảo hiểm toàn diện nhất trong một plugin, hãy xem xét thứ gì đó như Tường lửa và Bảo mật WP Tất cả trong một, gói tường lửa, quét phần mềm độc hại, quét cấu hình, v.v. Tuy nhiên, sự tiện lợi của các plugin bảo mật cho mục đích chung này có thể phải trả giá bằng khả năng tùy chỉnh được cung cấp bởi các plugin chuyên dụng hơn. Đảm bảo bất kỳ plugin nào bạn chọn đều cung cấp mức độ kiểm soát cần thiết đối với thiết lập bảo mật của bạn
6. Giảm lỗ hổng đăng nhập
Kẻ tấn công càng khó tìm và tấn công trang đăng nhập WordPress của bạn thì trang web của bạn càng an toàn. Có nhiều cách để cải thiện tính bảo mật của thông tin đăng nhập WordPress
- Thay đổi URL đăng nhập. Cân nhắc thay đổi đường dẫn của URL đăng nhập WordPress bằng cách sử dụng công cụ như Đổi tên wp-login
- Tránh tên người dùng “quản trị viên”. Xóa các tài khoản sử dụng “admin” làm tên người dùng, đây là tên mặc định cho tài khoản quản trị viên WordPress và thay thế bằng tên người dùng khó đoán hơn đối với kẻ tấn công
- Hạn chế số lần đăng nhập. Sử dụng một plugin như Giới hạn số lần đăng nhập, hạn chế số lần người dùng có thể cố gắng đăng nhập trong một khoảng thời gian nhất định. Điều này làm cho mật khẩu khó bị brute force hơn nhiều vì kẻ tấn công sẽ không thể lướt qua danh sách mật khẩu dài một cách nhanh chóng
- Bảo mật máy chủ. Nếu bạn quản lý máy chủ lưu trữ WordPress, hãy đảm bảo rằng mọi tài khoản người dùng và quản trị viên trong hệ điều hành đều được bảo mật bằng mật khẩu và tên người dùng mạnh. Ngoài ra, hãy xem xét việc cài đặt các khung tăng cường bảo mật như SELinux và vô hiệu hóa SSH hoặc các giao thức truy cập từ xa khác trên máy chủ trừ khi chúng thực sự cần thiết
7. Bảo mật wp-config. php
wp-config. tệp php chứa dữ liệu bảo mật nhạy cảm, chẳng hạn như khóa truy cập. Bất kỳ ai có thể xem tệp đều có thể sử dụng thông tin này để có quyền truy cập vào toàn bộ trang web WordPress của bạn. Giảm thiểu rủi ro này bằng cách khóa quyền truy cập vào wp-config. php trong hệ điều hành máy chủ của bạn. Thay đổi quyền truy cập tệp để chỉ người dùng và ứng dụng cần truy cập tệp mới có thể đọc và ghi vào tệp
Bạn có thể thêm bảo mật hơn nữa vào wp-config. php bằng cách tạo một. htaccess để từ chối quyền truy cập vào tệp qua web. Máy chủ WordPress sẽ vẫn có thể sử dụng tệp nhưng người dùng trên internet sẽ không thể truy cập tệp. Mặc dù wp-config. php không thể xem được trên web theo mặc định, nó có thể đọc được trong trình duyệt nếu bạn vô tình định cấu hình máy chủ web của mình để phục vụ các thư mục cấu hình WordPress của bạn. Bằng cách từ chối rõ ràng quyền truy cập web đối với tệp bên trong. htaccess, bạn giảm thiểu rủi ro này
8. Quyền địa chỉ
Ngoài wp-config. php, mọi tệp trong trang web WordPress của bạn sẽ bị khóa với các quyền truy cập tối thiểu cần thiết. Nếu trang web WordPress của bạn được lưu trữ trên máy chủ Linux, bạn có thể sử dụng lệnh chmod để áp dụng quyền chỉ đọc và thực thi cho toàn bộ thư mục cài đặt WordPress cho tất cả người dùng ngoại trừ chủ sở hữu tệp, người sẽ có toàn quyền
chmod -R 755/đường dẫn/đến/wordpress
Bạn cũng có thể giảm thiểu các lỗ hổng liên quan đến quyền bằng cách chạy WordPress trên một máy chủ riêng, chuyên dụng, nơi tài khoản của những người dùng khác sẽ không thể truy cập trái phép vào nội dung trang web của bạn
9. Vô hiệu hóa chỉnh sửa tệp
Các phiên bản hiện đại của WordPress cung cấp các công cụ thuận tiện để chỉnh sửa tệp cấu hình, dữ liệu chủ đề và các thông tin quan trọng khác trực tiếp từ giao diện web WordPress. Những công cụ này có thể hữu ích để thay đổi cấu hình WordPress của bạn mà không cần phải đăng nhập vào máy chủ. Tuy nhiên, chúng tạo ra rủi ro bảo mật tiềm ẩn bằng cách cho phép người dùng chỉnh sửa các tệp WordPress mà chỉ những người có thể đăng nhập trực tiếp vào máy chủ lưu trữ mới có thể truy cập được. Kẻ tấn công có khả năng đưa mã độc vào WordPress bằng cách chèn mã trực tiếp vào một trong các tệp này hoặc bằng cách gọi phần mềm độc hại từ trang web của bên thứ ba thông qua tập lệnh PHP
Để tránh những rủi ro này, hãy tắt chỉnh sửa tệp trong WordPress bằng cách thêm dòng này vào wp-config của bạn. tập tin php
xác định ['DISALLOW_FILE_EDIT', đúng]
10. Triển khai xác thực hai yếu tố
Xác thực hai yếu tố yêu cầu người dùng nhập thông tin xác thực thứ hai — giống như mã họ nhận được qua tin nhắn văn bản — ngoài mật khẩu để đăng nhập. Kích hoạt xác thực hai yếu tố có thể làm giảm đáng kể lỗ hổng của trang web của bạn đối với các cuộc tấn công vũ phu. Nó cũng ngăn những kẻ tấn công đăng nhập ngay cả khi chúng cố lấy cắp mật khẩu của người dùng nếu chúng không có quyền truy cập vào thông tin xác thực phụ
Mặc dù bản thân WordPress không hỗ trợ xác thực hai yếu tố nhưng bạn có thể thiết lập nó bằng các plugin như Duo hoặc Rublon
11. Nhận chứng chỉ SSL và chuyển sang HTTPS
Theo mặc định, WordPress gửi nội dung web qua HTTP, không được mã hóa. Điều đó có nghĩa là ai đó chặn lưu lượng truy cập web khi nó di chuyển qua internet giữa người dùng và máy chủ WordPress có khả năng đọc thông tin nhạy cảm chỉ dành cho một người dùng cụ thể
Bạn có thể giải quyết rủi ro này bằng cách chuyển sang HTTPS, giao thức này mã hóa lưu lượng truy cập Web. Làm như vậy yêu cầu thiết lập chứng chỉ SSL cho máy chủ của bạn. Nhà cung cấp dịch vụ lưu trữ web của bạn có thể cung cấp các công cụ để xử lý việc này hoặc bạn có thể sử dụng dịch vụ miễn phí như Let's Encrypt. Bạn cũng có thể thiết lập chứng chỉ SSL tự ký bằng công cụ nguồn mở như OpenSSL, mặc dù khách truy cập trang web của bạn thường sẽ nhận được cảnh báo về việc trang web của bạn không an toàn nếu bạn thực hiện theo cách này
12. Vô hiệu hóa lập chỉ mục thư mục
Khi được bật, lập chỉ mục thư mục cho phép khách truy cập trang web duyệt nội dung của máy chủ web của bạn theo cách tương tự như duyệt qua các tệp cục bộ trên máy tính. Sau đó, khách truy cập có thể truy cập các trang được bảo vệ bằng mật khẩu hoặc nội dung nhạy cảm khác từ trang web WordPress của bạn
Bạn không thể tắt lập chỉ mục thư mục từ bên trong WordPress, nhưng bạn có thể tắt nó bằng cách sửa đổi. htaccess trong thư mục cài đặt WordPress của bạn. Thêm dòng này vào cuối tệp để tắt lập chỉ mục thư mục
Tùy chọn -Chỉ mục
13. Bảo vệ chống lại các cuộc tấn công DDoS
WordPress không cung cấp các tính năng gốc để bảo vệ chống lại các cuộc tấn công DDoS, điều này có thể ngăn người dùng hợp pháp truy cập trang web của bạn. Tuy nhiên, việc chọn nhà cung cấp dịch vụ lưu trữ có khả năng chống DDoS có thể giúp hạn chế khả năng bị tấn công của bạn trước các cuộc tấn công này. Bạn cũng có thể sao chép cài đặt WordPress của mình trên nhiều máy chủ, giúp giảm thiểu rủi ro DDoS
14. Bảo mật cơ sở dữ liệu của bạn
Bởi vì cơ sở dữ liệu WordPress của bạn chứa cả thông tin đăng nhập truy cập và hầu hết tất cả nội dung trang web của bạn, vi phạm cơ sở dữ liệu có thể làm tê liệt. Tránh các sự cố bảo mật cơ sở dữ liệu bằng cách định cấu hình cơ sở dữ liệu của bạn để yêu cầu mật khẩu để đăng nhập [trên một số máy chủ, cơ sở dữ liệu cho phép đăng nhập không cần mật khẩu theo mặc định]. Bạn cũng nên xóa các tài khoản không cần thiết và thay đổi ID quản trị viên để khiến kẻ tấn công khó đoán được thông tin xác thực truy cập cơ sở dữ liệu của bạn hơn. Sử dụng các mật khẩu khác nhau cho cơ sở dữ liệu của bạn và các tài nguyên WordPress khác
Cuối cùng, thường xuyên sao lưu cơ sở dữ liệu của bạn sẽ giúp giảm thiểu tác động của một cuộc tấn công nếu xảy ra. Nhà cung cấp dịch vụ lưu trữ của bạn có thể cung cấp các công cụ hỗ trợ sao lưu cơ sở dữ liệu hoặc bạn có thể sử dụng công cụ dòng lệnh trên máy chủ của mình như mysqldump
15. Giám sát tệp, nhật ký và hơn thế nữa
Các dấu hiệu đầu tiên của vi phạm hoặc cố gắng vi phạm đối với WordPress thường xuất hiện ở dạng thay đổi tệp cấu hình, lỗi đăng nhập lặp lại hoặc tạo tài khoản trái phép. Bằng cách liên tục theo dõi các tệp và nhật ký WordPress của bạn cho các sự kiện như thế này, bạn có thể vượt qua các vi phạm bảo mật. Các plugin như Nhật ký hoạt động WP giúp quá trình này trở nên dễ dàng. Chúng liên tục theo dõi tất cả các thay đổi đối với trang web WordPress của bạn, vì vậy bạn có thể xác định chính xác các sự kiện bất thường
Bảo vệ trang web WordPress của bạn với một nhóm chuyên gia
Từ phần mềm độc hại, tấn công cơ sở dữ liệu, đến cấu hình máy chủ web không an toàn và hơn thế nữa, WordPress phải chịu một loạt lỗ hổng chóng mặt, với những lỗ hổng mới được phát hiện mỗi ngày. Mặc dù làm theo các phương pháp hay nhất để bảo mật cài đặt WordPress của bạn và máy chủ lưu trữ cài đặt đó có thể giúp bạn quản lý các lỗ hổng, nhưng việc luôn cập nhật mọi mối đe dọa tiềm ẩn có thể khiến bạn choáng ngợp. Hầu hết các quản trị viên có nhiều việc phải làm hơn là đọc các lời khuyên về lỗ hổng WordPress cả ngày và tìm hiểu xem các cảnh báo có ảnh hưởng đến cài đặt của họ hay không
Nhóm chuyên gia WordPress tại Contegix có thể giúp giải quyết thách thức này. Bằng cách cung cấp các môi trường WordPress được quản lý hoàn toàn phù hợp với nhu cầu của từng tổ chức mà nó hỗ trợ, Contegix giúp đảm bảo rằng các cài đặt WordPress được bảo mật ngay từ ngày đầu tiên và chúng vẫn an toàn khi chúng phát triển. Và nếu vấn đề bảo mật phát sinh, bộ phận hỗ trợ không giới hạn của Contegix sẵn sàng giúp khắc phục mối đe dọa, 24/7
Liên hệ với Contegix ngay hôm nay để tìm hiểu thêm về cách các chuyên gia của Contegix có thể giúp bạn quản lý các lỗ hổng bảo mật WordPress