Nội dung
- 1 Tại sao ngăn chặn hacks WordPress dễ dàng hơn là khôi phục từ chúng
- 2 10 mẹo để ngăn chặn hack WordPress
- 2.1 1 – Sử dụng mật khẩu mạnh
- 2.2 2 – Luôn cập nhật các themes, plugin và phiên bản của WordPress
- 2.3 3 – Giữ máy chủ của bạn sạch sẽ
- 2.4 4 – Kiểm tra plugin và themes của bạn để được hỗ trợ tiếp tục
- 2.5 5 – Bảo vệ máy tính và mạng gia đình của bạn
- 2.6 6 – Chạy plugin bảo mật WordPress
- 2.7 7 – Không đăng nhập trên mạng WiFi công cộng
- 2.8 8 – Cài đặt chứng chỉ SSL trên trang web của bạn
- 2.9 9 – Xem xét web hosting tốt hơn
- 2.10 10 – Sao lưu trang web của bạn
- 3 Giám sát liên tục trang web của bạn
- 4 Tóm lược
WordPress là một hệ thống xuất bản blog viết bằng ngôn ngữ lập trình PHP và sử dụng MySQL database (cơ sở dữ liệu MySQL). WordPress là hậu duệ chính thức của b2/cafelog, được phát triển bởi Michel Valdrighi. Cái tên WordPress được đề xuất bởi Christine Selleck, một người bạn của nhà phát triển chính Matt Mullenweg.
WordPress được biết đến như một CMS miễn phí nhưng tốt, dễ sử dụng và phổ biến nhất trên thế giới. Các so sánh đều cho thấy người dùng sử dụng CMS này cho việc lập các trang web cá nhân đến các trang báo điện tử đồ sộ nhất như CNN, Dow Jones, Wall Street Journal… sử dụng WordPress.
Thống kê năm 2019 cho thấy có đến xấp xỉ 33.8% các trang web nằm trong top 10 triệu trang web hàng đầu thế giới đang sử dụng WordPress. Chính vì được sử dụng nhiều, nên WordPress luôn là đích nhắm tới của các hacker.
Tại sao ngăn chặn hacks WordPress dễ dàng hơn là khôi phục từ chúng
Các trang web WordPress bị xâm nhập không phải bởi các tin tặc tinh vi mà bởi các bot được viết để khai thác các lỗ hổng đã biết. Những lỗ hổng này bao gồm mật khẩu yếu, các plugin và themes không được cập nhật và web hosting chất lượng kém.
Khi một trang web bị hack, những điều sau đây có thể được thực hiện:
- Các tập tin có thể được tải lên máy chủ chứa mã độc hoặc backdoors PHP
- Các tệp đã có trên máy chủ, chẳng hạn như các themes của bạn, có thể được sửa đổi
- Mã có thể được đưa vào cơ sở dữ liệu WordPress của bạn
- Người dùng có quyền quản trị có thể được thêm vào cơ sở dữ liệu WordPress của bạn
- Nhiều bài đăng và trang có thể được xuất bản có chứa mã thư rác
- Trang web của bạn có thể được chuyển hướng đến các trang web phần mềm độc hại
Nói cách khác, việc trang web của bạn bị hack có thể là một mớ hỗn độn LỚN để khắc phục. Nó thực sự có thể mất nhiều giờ để khôi phục và SEO của bạn có thể gây ảnh hưởng lớn nếu Google quyết định đưa vào danh sách đen trang web của bạn.
May mắn thay, ngăn chặn hack là khá dễ dàng, mặc dù nó đòi hỏi sự siêng năng.
10 mẹo để ngăn chặn hack WordPress
1 – Sử dụng mật khẩu mạnh
Bạn sẽ nhận được một công cụ theo dõi mật khẩu như 1Password để theo dõi tất cả mật khẩu của bạn. Bạn không còn có thể sử dụng cùng một mật khẩu trên mọi tài khoản internet và thoát khỏi nó. Bạn có thể sử dụng tên con chó của bạn hoặc tên nước giải khát hoặc tên ban nhạc yêu thích của bạn. Bạn cần mật khẩu dài, khó nhớ.
Kiểm tra sức mạnh của mật khẩu hiện tại của bạn ở đây. và sau đó đưa ra một số suy nghĩ nghiêm túc về việc sử dụng 1Password và tạo mật khẩu dài, phức tạp và tối nghĩa và thay đổi chúng thường xuyên. Với 1Password, bạn chỉ cần nhớ một mật khẩu phức tạp.
2 – Luôn cập nhật các themes, plugin và phiên bản của WordPress
Nó không đủ để đăng nhập mỗi tháng một lần hoặc ít hơn để cập nhật. Khai thác sẽ diễn ra trong vòng vài ngày trên số lượng lớn các trang web ngay khi chúng được xuất bản. Bạn phải cập nhật ngay lập tức khi có bản cập nhật.
Đối với các plugin không có chức năng trực diện, bạn có thể sử dụng plugin Shield WordPress Security để thực hiện cập nhật tự động cho bạn.
3 – Giữ máy chủ của bạn sạch sẽ
Xóa các phiên bản không sử dụng của WordPress trên máy chủ. Nó rất dễ quên những thứ này. Các tệp, plugins, themes, etc., ngay cả khi chúng không được sử dụng, không hoạt động, thậm chí không được liên kết với cài đặt hiện tại của bạn có thể được khai thác.
4 – Kiểm tra plugin và themes của bạn để được hỗ trợ tiếp tục
Không sử dụng các plugin và themes không còn được duy trì. Nếu plugin hoặc themes của bạn đã được cập nhật trong một năm trở lên, hãy thay thế nó. Đây có thể là một vấn đề lớn với các chủ đề.
Khi bạn mua một themes hoặc plugin, hãy tìm một themes hoặc plugin với các yêu cầu hỗ trợ hiện tại đã được trả lời kịp thời, xếp hạng sao tốt và cập nhật gần đây và thường xuyên. Không phải tất cả các themes bán chạy nhất là themes tốt nhất, tuy nhiên, chúng có nhiều khả năng có các hỗ trợ và cập nhật liên tục.
Các themes cao cấp của WordPress thường đi kèm với các plugin của bên thứ ba. Nhà phát triển themes có thể hoặc không thể cung cấp cập nhật kịp thời cho các plugin đi kèm này. Ví dụ: Revolution Slider, một slider phổ biến, đi kèm với hàng trăm chủ đề trên ThemeForest. Revolution Slider có một lỗ hổng bảo mật lớn trong năm 2014. Tuy nhiên, các nhà phát triển themes đi kèm với themes của họ không nhất thiết phải cập nhật plugin khi họ cập nhật themes. Do đó, nhiều themes trên ThemeForest đã phân phối một plugin không an toàn trong nhiều tháng sau khi lỗ hổng được phát hiện. Lỗ hổng này dẫn đến hàng chục ngàn trang web bị tấn công và hướng lưu lượng truy cập đến các trang web độc hại.
Kết quả cuối cùng là nếu bạn mua một themes cao cấp đi kèm với các plugin cao cấp, như Visual Composer, Layer Slider, Revolution Slider hoặc các loại khác, hãy mua các plugin này SEPARATELY, để bạn có thể được thông báo về các bản cập nhật cho các plugin đó một cách cụ thể và không dựa vào một nhà phát triển themes để giữ cho bạn an toàn.
5 – Bảo vệ máy tính và mạng gia đình của bạn
Chạy virus quét mọi lúc, đặc biệt nếu bạn chạy Windows. Hãy cẩn thận của các trang web bạn truy cập. Bạn có thể vô tình cung cấp thông tin đăng nhập WordPress của bạn thông qua một Trojan theo dõi tổ hợp phím sẽ đánh cắp mật khẩu của bạn khi bạn nhập chúng trên bàn phím. Bảo vệ máy tính của bạn thường là về việc không truy cập các trang web đang phân phối phần mềm độc hại. Nhưng, ngay cả các trang web được biết đến, chẳng hạn như blog nấu ăn của bạn bè, có thể bị hack. Vì vậy, bạn cần một số bảo vệ bất cứ nơi nào bạn đi trên web.
Đối với hệ điều hành Mac:
- Phần mềm quét thường không cần thiết, nhưng tôi thích Avira vì nó nhận ra các mẫu phần mềm độc hại cùng với chữ ký phần mềm độc hại và trojan.
- Bật Tường lửa trong System Settings (Security & Privacy). Trong Firewall Options, chọn hộp để Enable Stealth Mode. Điều này sẽ cho phép máy tính của bạn không hiển thị trên các mạng.
Dành cho PC:
- Avira và Avast! là cả hai ứng dụng chống virus tốt.
- Hãy chắc chắn Windows Firewall đang chạy.
6 – Chạy plugin bảo mật WordPress
Tôi đánh giá cao plugin MalCare của các nhà sản xuất BlogVault. Họ có cả phiên bản miễn phí và trả phí. Điều tôi thích nhất về plugin của họ là không có tùy chọn cấu hình nào có thể gây nhầm lẫn với các plugin bảo mật khác. Ngoài ra, tất cả quá trình quét phần mềm độc hại diễn ra trên các máy chủ đám mây của họ, do đó không có tác động đến hiệu suất của trang web của bạn. Nó cũng chạy bảo vệ brute-force và tường lửa mạnh mẽ.
7 – Không đăng nhập trên mạng WiFi công cộng
Nếu bạn đăng nhập vào trang web WordPress của mình trên mạng công cộng, về cơ bản, bạn đang cung cấp thông tin đăng nhập của mình cho bất kỳ ai khác trên mạng có thể đang chạy phần mềm đánh hơi gói tin. Nếu bạn không cài đặt chứng chỉ SSL trên trang web của mình (mã hóa tên người dùng và mật khẩu của bạn trên mạng), thì hãy sử dụng dịch vụ Mạng riêng ảo (VPN) để mã hóa lưu lượng truy cập của bạn trên mạng. Sử dụng điều này ngay cả khi bạn có chứng chỉ SSL trên trang web của mình vì nó rất tốt để ở trong một mạng riêng ảo trên bất kỳ mạng công cộng nào.
8 – Cài đặt chứng chỉ SSL trên trang web của bạn
Điều này mã hóa dữ liệu bạn và người dùng đến trang web của bạn chuyển qua trang web, chẳng hạn như khi gửi biểu mẫu liên hệ hoặc sử dụng đăng nhập trong các trang. Mặt khác, dữ liệu được truyền giống như một tấm bưu thiếp trong thư, có nghĩa là bất cứ ai tìm kiếm đều có thể đọc nó. Có SSL được cài đặt trên trang web của bạn cho phép bạn đăng nhập bảo mật (thông qua https) khi đi du lịch. Nhiều máy chủ cung cấp miễn phí và bạn có thể sử dụng plugin Really Simple SSL để buộc nội dung của bạn sử dụng https.
9 – Xem xét web hosting tốt hơn
Các công ty lưu trữ như WP Engine, Site Ground, Kinsta và Flywheel luôn ủng hộ bạn khi nói đến bảo mật. Họ thường xuyên quét bảo mật và sẽ dọn sạch trang web bị tấn công của bạn miễn phí, mặc dù tôi biết mọi người đã bị hack trên các dịch vụ này và có thể mất nhiều ngày để không bị tấn công (hoặc hoàn toàn không). Tôi vẫn khuyên bạn nên chạy plugin MalCare, vì máy chủ không phải là chuyên gia về phần mềm độc hại.
10 – Sao lưu trang web của bạn
Mặc dù các bản sao lưu không phải lúc nào cũng hữu ích trong việc phục hồi từ hack WordPress, nhưng chúng rất cần thiết cho việc khắc phục thảm họa, đặc biệt là khi làm hỏng cơ sở dữ liệu của bạn, nơi lưu trữ tất cả nội dung trang web của bạn.
Giám sát liên tục trang web của bạn
- Điều quan trọng là phải đăng ký Google Search Console để được cảnh báo về bất kỳ vấn đề nào trên trang web của bạn.
- Theo dõi nhật ký lỗi trên trang web thông qua Trình quản lý tệp cPanel hoặc FTP (SFTP).
- Xem Nhật ký truy cập thô trên máy chủ để theo dõi bất kỳ người dùng nào truy cập các tệp trên trang web, đặc biệt. POST yêu cầu. Nếu điều này không được bật, bạn có thể bật lưu trữ nhật ký Access trong cPanel của mình.
- Bạn có thể sử dụng tính năng Shield WordPress Security plugin của công cụ Shield Audit Trail để theo dõi mọi thay đổi đối với các tệp hoặc truy cập vào trang web.
Tóm lược
Bảo mật WordPress không khó. Vui lòng dành một chút thời gian để xem xét trang web của bạn, lập danh sách những thứ bạn cần và kiểm tra từng trang một. Bắt đầu bằng cách cập nhật mọi thứ và thiết lập một giải pháp sao lưu. Cập nhật plugin của bạn và đăng ký Google Search Console. Đặt lại mật khẩu của bạn.
