Bảo mật wordpress – WordPress là một trong những web framework được sử dụng để xây dựng website phổ biến nhất thế giới, với đặc tính đơn giản, sự hỗ trợ mạnh mẽ từ cộng đồng và kho plugin khổng lồ, có thể giúp cho bất kỳ ai cũng có thể tự xây dựng một trang web từ cơ bản cho đến phức tạp. Thậm chí với một người không am hiểu về code hay hệ thống, đều có thể tự làm được một trang web wordpress với các tài liệu hướng dẫn chi tiết. Tuy nhiên cần lưu ý bảo mật wordpress trước các mối nguy hại, ưu điểm lớn của wordpress là các plugin sẵn có và tiện dụng cũng chính là nhược điểm về bảo mật, các plugin được cài đặt đơn giản mà không qua các bước kiểm tra về mã nguồn có thể khiến trang web wordpress của bạn sập đổ trong tương lai, hoặc tệ hơn là mất quyền kiểm soát. Chính vì vậy sau khi đã hoàn thiện một trang web sử dụng wordpress, bạn nên đọc bài viết này để biết cách bảo mật wordpress.
Nội dung bài viết
Sử dụng HTTPS
Cấu hình truy cập bảo mật, mã hóa các phiên đăng nhập và truy cập – Sử dụng giao thức “https”. Trước đây việc để có chứng chỉ số (CA) làm tiền đề cho cấu hình giao thức truy cập web “https” thường sẽ tốn thêm một khoản chi phí để mua CA và duy trì hàng năm. Tuy nhiên hiện nay có khá nhiều dịch vụ cho phép bạn sử dụng CA của họ và bạn được hưởng giao thức truy cập bảo mật “https” miễn phí, chỉ cần lưu ý duy trì là được.
HTTPS khác HTTP ở đâu?
Khi truy cập trang web với giao thức “http” các dữ liệu truyền đi và về giữa trình duyệt của người dùng và máy chủ web sẽ không được mã hóa nội dung, bao gồm cả username và password mà bạn nhập vào khi bạn đăng nhập vào trang quản trị wordpress (dashboard). Điều này sẽ khiến bạn có thể bị mất thông tin tài khoản nếu như trong mạng của bạn có người (cũng có thể đến từ máy tính trong mạng bị nhiễm mã độc)sử dụng hình thức tấn công nghe lén (MITM). Khác với “http” – “https” sẽ tiến hành mã hóa các thông tin truyền đi và về giữa trình duyệt của bạn với máy chủ, nếu bị tấn công nghe lén, kẻ xấu chỉ lấy được các thông tin đã được mã hóa, và không thể chiếm đoạt được thông tin thật sự của bạn.
Như hình trên:
Eric truy cập Web với giao thức http, và mật khẩu bị kẻ xấu nhìn thấy một cách rõ ràng. Trong khi đó Sophie sử dụng https và kẻ xấu chỉ thấy một đoạn mã vô nghĩa.
Để cấu hình https cho trang web WordPress, bạn có thể tìm hiểu sử dụng các phương cách sau:
Mua chứng chỉ số SSL từ các nhà cung cấp dịch vụ SSL (https).
Cấu hình “https” dựa trên chứng chỉ của Cpanel. Nếu bạn đăng ký dịch vụ hosting của một số nhà cung cấp dịch vụ Hosting của Việt Nam, có thể họ sẽ tặng kèm cho bạn chứng chỉ số để bạn cấu hình trang web sử dụng “https”. Hãy lưu ý việc này khi mua hosting và cấu hình theo hướng dẫn của các nhà cung cấp dịch vụ hosting.
Sử dụng dịch vụ “https” tự cấu hình trên máy chủ Web, nếu bạn không dùng dịch vụ hosting, mà sử dụng trên một máy chủ độc lập, có thể là máy chủ đám mây (VPS-Cloud) hoặc đặt tại công ty, gia đình. Bạn có thể dùng dịch vụ “https” từ Letsencrypt và theo sự hướng dẫn của họ tùy thuộc vào từng hệ thống Web khác nhau.
Sử dụng CloudFlare.
Đây là nền tảng bảo mật và phòng chống tấn công cho web WordPress rất hiệu quả, CloudFlare cũng cung cấp cho bạn tính năng truy cập với “https”. Đối với các trang web thông dụng thì plan miễn phí của CloudFlare hoàn toàn đáp ứng được nhu cầu, khi cần thiết có thể nâng cấp lên tất nhiên sẽ phải trả phí cho CloudFlare. bạn có thể tham khảo bài viết cấu hình bảo mật wordpress với CloudFlare ở đây.
Phòng chống tấn công DoS và DDoS.
Khi lần đầu tiên xây dựng một trang web WordPress, bạn nên tắt hoàn toàn tính năng Pingback XMLRPC của WordPress để tránh bị lợi dụng nhằm phục vụ tấn công DoS hoặc bị tấn công DoS bằng chính tính năng đó. Pingback-XMLRPC thực chất là một tính năng rất thú vị, khi cho phép bạn đăng bài hàng loạt trên nhiều trang web WordPress do bạn quản lý, nó giúp bạn giảm bớt thời gian khi cần đăng bài trên nhiều trang wordpress khác nhau. Nhưng đây cũng là yếu điểm dễ bị tấn công DoS. Nếu bạn chỉ có một hoặc hai trang wordpress, bạn nên tắt tính năng này đi. Cách thực hiện đơn giản là cài đặt một Plugin để quản lý tính năng này. Cài đặt plugin trong kho plugin của wordpress (Hạn chế download từ nguồn bên ngoài)
Sử dụng bộ đệm Cache. Bộ đệm cache cho phép duy trì trang web ở một khoảng thời gian ngắn khi trang wordpress của bạn bị tấn công và mất kết nối. WordPress cũng có sẵn một số Plugin để bạn cài đặt và cấu hình bộ đệm cache.
Bạn có thể dùng Simple Cache hoặc Hummingbird để thiết lập cache cho trang wordpress.
Ngoài ra, chính CloudFlare cũng có sẵn cache cho trang Web khi bạn thiết lập. Bạn cũng có thể sử dụng song song cả hai hệ thống cache, một trên CloudFlare và một là Plugin trong trang web wordpress.
Sử dụng Wordfence – Phòng chống tấn công dò quét mật khẩu và các truy vấn bất thường.
Một trong những hình thức tấn công mạng mà kẻ xấu yêu thích là dò quét mật khẩu. Trang web wordpress thông thường luôn có link dùng để đăng nhập để quản trị trang (dashboard), kẻ xấu cũng có thể truy cập vào trang này để cố gắng thử đăng nhập tài khoản của bạn. Trong trường hợp mật khẩu mà bạn thiết lập đơn giản, dễ đoán, hoặc kẻ xấu có sự cố gắng cao độ, họ có thể tìm ra được mật khẩu của bạn. Vì vậy bạn nên thiết lập một cơ chế phòng chống vấn đề này. Hãy dùng Plugin “Wordfence Security”
Wordfence Security là một plugin rất mạnh và có phiên bản miễn phí cho người dùng không chuyên. Có thể thiết lập một số tính năng mà bản miễn phí cung cấp như sau:
Giới hạn số lượng lần đăng nhập sai: Khi đăng nhập sai quá số lần cho phép, địa chỉ IP đó sẽ bị khóa lại trong khoảng thời gian mà ta quy định.
Ví dụ: Trong một giờ, nếu IP đó đăng nhập sai 20 lần hoặc cố tình dùng tính năng reset mật khẩu 20 lần, sẽ bị khóa IP trong 2 tháng.
Kiểm tra bảo mật định kỳ:
Khi đã thiết lập các biện pháp bảo mật wordpress, bạn cũng nên định kỳ kiểm tra các bảo mật, nhất là các vấn đề liên quan đến Plugin.
Đối với các web wordpress đã cài đặt wordfence, thì bạn có thể xem các báo cáo về phòng thủ trong cài đặt của plugin đó. Wordfence còn có cơ chế cảnh báo các vấn đề về bảo mật của trang wordpress thông qua email cho quản trị viên. Theo dõi các email thông báo từ wordfence để xử lý sớm các cảnh báo.
Bạn có thể dùng thêm công cụ kiểm tra bảo mật được viết riêng cho wordpress, có tên wpscan.
Để cài đặt và sử dụng wpscan bạn có thể làm các bước như sau:
#Cài đặt:
Yêu cầu: Hệ điều hành Linux (tốt nhất). Có thể dùng WSL trên Windows, tham khảo cách thiết lập WSL ở đây.
Cài đặt Ruby (wpscan chạy trên Ruby-gem)
Nếu hệ thống báo thiếu gói thì chạy lệnh:
Sau đó chạy lại lệnh
Cài thêm gói phát triển cho ruby
Tiếp đến cài wpscan bằng gem
Bạn có thể gõ thử lệnh wpscan để xem quá trình cài đã xong hay chưa.
#Sử dụng:
Chạy lệnh sau để scan một trang wordpress.
#Xem kết quả:
Các chỉ báo màu xanh: Tốt, không thấy vấn đề bảo mật.
Các chỉ báo màu vàng: Cần bổ sung các thông tin tăng cường bảo mật.
Các chỉ báo màu đỏ: Có vấn đề về bảo mật và cần xem xét ngay.
Kết luận:
Xây dựng một website bằng wordpress không khó, tuy nhiên để vận hành và bảo mật một trang web nói chung sẽ mất nhiều công sức. Nhưng nếu làm tốt, trang web của bạn sẽ hoạt động trơn tru và ít bị ảnh hưởng bởi tấn công mạng. Hy vọng qua bài viết này, bạn sẽ biết được các cách để bảo mật trang wordpress của mình.