Bảo mật website WordPress

Một ngày đẹp trời, bạn ghé thăm blog/ website của mình và bàng hoàng phát hiện ra nó đã bị hack. Có nhiều hậu quả khác nhau của vấn đề này: website bị thay đổi giao diện, bị chuyển hướng sang website khác, bị chiếm quyền quản trị, bị chèn backlink ẩn, quảng cáo và các đoạn script độc hại… Nguyên nhân đầu tiên mà bạn thường nghĩ đến trong những tình huống như vậy là gì? Do theme/ plugin “không sạch”, hay là do hosting bảo mật kém? Tất cả đều có thể. Nhưng ngoài ra, vẫn còn có rất nhiều nguyên nhân khác mà có thể bạn chưa biết.

 

Có rất nhiều nguyên nhân khác nhau có thể dẫn đến việc website của bạn bị hack. Chúng được chia làm 2 nhóm: nguyên nhân chủ quan và nguyên nhân khách quan.

Nguyên nhân chủ quan

Nhóm nguyên nhân chủ quan thường là do thói quen xấu của chính bạn. Và trong trường hợp này – ” tiên trách kỷ, hậu trách nhân”.

1. Sử dụng theme, plugin “lậu” (nulled), không rõ nguồn gốc

Tôi dám chắc rằng rất nhiều bạn ở đây đang hoặc đã từng sử dụng theme, plugin WordPress “lậu”. Chúng là những sản phẩm trả phí nhưng lại được chia sẻ miễn phí một cách tràn lan trên internet. Và không phải tự nhiên mà có nhiều người lại rảnh rỗi để đi làm điều đó. Khi chia sẻ theme, plugin, họ thường “tặng kèm” luôn cả malware, backdoor, backlink ẩn… và các loại iframe, script độc hại khác. Nếu bạn không may sử dụng phải những sản phẩm dạng này thì nguy cơ website bị hack là rất cao.

2. Sử dụng tên đăng nhập mặc định và mật khẩu quá đơn giản

Nhiều bạn có thói quen sử dụng tên đăng nhập mặc định, phổ biến (kiểu như admin, Administrator…) và mật khẩu quá đơn giản (quá ít ký tự, chỉ bao gồm một dãy số hoặc các dòng chữ có nghĩa) để cho dễ nhớ, mà không hề biết rằng điều đó sẽ vô tình biến blog/ website của mình trở thành miếng mồi ngon cho tin tặc. Chỉ với phương thức tấn công brute force phổ thông, mật khẩu của bạn sẽ nhanh chóng bị dò ra và hậu quả thì chắc bạn đã rõ.

Việc sử dụng cùng một username và password trên nhiều website khác nhau cũng có thể gây ra hiệu ứng “chết chùm” một khi tin tặc đã dò ra thông tin đăng nhập của một website nào đó.

3. Không update WordPress, theme và plugin

Ngoài mục đích bổ sung tính năng mới, cải thiện hiệu suất làm việc, update phiên bản mới cho WordPress, theme, plugin còn giúp khắc phục các lỗi bảo mật nguy hiểm còn tồn tại trên các phiên bản cũ. Tuy nhiên, điều đáng buồn là phải đến hơn 60% người dùng rất ngại thực hiện điều này. Có thể họ sợ website sẽ bị lỗi. Cũng có thể là do lười. Nhưng dù với nguyên nhân gì thì họ cũng đang tự mở cửa để mời tin tặc.

4. Không cài plugin bảo mật

Bạn có nghĩ rằng việc cài plugin bảo mật cho blog/ website WordPress là điều cần thiết không? Riêng tôi, đó là điều hoàn toàn cần thiết. Các plugin bảo mật hiện nay đều được trang bị khá đầy đủ các tính năng giúp bạn chống brute force attack, XSS, spam bình luận, quét và tìm ra các file mã độc được chèn vào mã nguồn WordPress… Chúng là một lớp bảo vệ bổ sung hữu hiệu giúp blog/ website của bạn an toàn hơn. Nếu bạn không cài bất cứ plugin hỗ trợ bảo mật nào trên blog/ website thì xin chúc mừng, bạn đang đối mặt với rủi ro cao về bảo mật.

5. Không cài phần mềm antivirus trên máy tính

Máy tính thì liên quan gì đến việc blog/ website của bạn bị hack? Có chứ, liên quan nhiều là đằng khác. Nếu máy tính bị nhiễm virus, trojan, malware… chúng hoàn toàn có thể xâm nhập vào blog/ website của bạn thông qua việc upload file, theo dõi lịch sử duyệt web, phân tích cookie trình duyệt và cả việc ăn thông tin đăng nhập khi bạn gõ trên bàn phím… Do đó, nếu máy tính của bạn không được bảo vệ tốt bởi một phần mềm diệt virus chất lượng và được cập nhật thường xuyên, blog/ website của bạn nhiều khả năng sẽ là nạn nhân tiếp theo.

6. Không biết cách bảo mật server, VPS

Nếu bạn không thực sự có nhiều kinh nghiệm về việc cấu hình và bảo mật VPS/ server, tôi thật lòng khuyên bạn không nên nghĩ đến việc tự build VPS/ server để chạy blog/ website WordPess. Các web server hiện nay vẫn còn tồn tại rất nhiều lỗ hổng bảo mật mà nếu không biết cách “vá”, không biết cách cấu hình, blog/ website của bạn rất dễ trở thành đích ngắm của các cuộc tấn công.

Nguyên nhân khách quan

Nếu bạn tự tin cho rằng mình đã thực hiện tốt những vấn đề kể trên thì nguyên nhân còn lại là do yếu tố khách quan.

7. Do host bảo mật kém

Trùng với nguyên nhân số 6 sao? Không. Ý của tôi trong trường hợp này là shared host. Với shared host, hầu như các bạn không phải làm gì, chính xác hơn là không thể làm gì để cải thiện khả năng bảo mật cho server. Và tất nhiên, nếu nhà cung cấp không biết cách bảo mật server, host của bạn sẽ dễ dàng bị hack. Đó là lý do các bạn cần phải chọn nhà cung cấp dịch vụ hosting uy tín, có nhiều kinh nghiệm trong bảo mật để “gửi vàng”.

8. Do WordPress, theme, plugin còn tồn tại nhiều lỗ hổng bảo mật

Tất nhiên, không có gì là hoàn hảo cả. Ngay cả khi bạn thường xuyên cập nhật WordPress, theme và plugin, download sản phẩm chính hãng, bản quyền, nguồn gốc rõ ràng… thì chúng vẫn có thể còn tồn tại rất nhiều lỗ hổng bảo mật. Hacker hoàn toàn có thể khai thác chúng để tấn công blog/ website của bạn. Và lần này, trách nhiệm thuộc về các nhà phát triển.

Lời khuyên giúp bạn bảo mật WordPress

Sử dụng theme, plugin có nguồn gốc

Đây là vấn đề cơ bản. Mã nguồn mà đã nhiễm sẵn mà độc thì không còn gì để nói. Chỉ nên cài plugin có trên thư viện WordPress.org hoặc plugin bạn mua bản quyền hoặc ai đó share/bán lại/mua chung cho bạn mà có thể tin tưởng được. ChoTheme.com là nơi uy tín để bạn mua nhiều plugin bản quyền dạng mua chung uy tín, giá rẻ. Có điều kiện thì mua trực tiếp tại website nhà sản xuất nhé.

Nâng cấp WordPress theme/plugin thường xuyên

Bất kỳ theme/plugin nào cũng đều tiềm ẩn 1 lỗ hổng bảo mật (lỗ hổng chứ không phải là có mã độc) nào đó. Thường thì lỗ hổng sẽ có bản vá sau khi có báo cáo, nhưng nếu bạn không nâng cấp thì lỗ hổng cứ tồn tại mãi và web bạn sẽ bị hack/ tấn công. Muốn được update thường xuyên, bạn quay trở lại vấn đề đầu tiên:  Sử dụng theme, plugin có nguồn gốc

Cài đặt plugin hỗ trợ bảo mật

Mình gợi ý 1 số plugin để các bạn tham khảo, còn chi tiết cấu hình thế nào thì mình sẽ viết bài hướng dẫn sau, trước mắt các bạn Google tìm hiểu nhé:

NinjaFirewall (WP Edition) – Advanced Security: https://vi.wordpress.org/plugins/ninjafirewall/

 

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Chat với chúng tôi qua Facebook
0888.090.898