Nhật ký Ngày... Tháng.. Năm...
Trang chủ » Góc Chia Sẻ » Bảo mật WordPress từ A đến Z

Bảo mật WordPress từ A đến Z

WordPress là mã nguồn mở miễn phí được rất nhiều website sử dụng. Với hệ thống theme và plugin đa dạng và phong phú bao gồm cả có phí và miễn phí, thao tác cài đặt dễ dàng, dễ tùy biến, trang quản trị thân thiện dễ sử dụng nên việc quản trị website wordpress rất dễ dàng.
Cũng bởi thế, lượng website wordpress bị hacker tấn công chiếm 1 lượng đông đảo. Hackers thường dùng các lỗ hổng của themes hoặc plugin để cài mã độc lên WordPress để tấn công website. Vì vậy, việc quét mã độc và bảo trì website của bạn thường xuyên là rất quan trọng.

Hôm nay mình sẽ tổng hợp các cách bảo mật website cần thiết.

Chọn nhà cung cấp máy chủ phù hợp

Tùy điều kiện kinh tế và khả năng kỹ thuật chuyên môn, bạn nên xem xét việc chọn thuê máy chủ riêng hoặc sử dụng hosting share.

Sử dụng hosting share, bạn nên chọn những hosting chạy trên SSD, có dung lượng và băng thông đủ dùng, nên chọn những hosting có hỗ trợ thêm Let’s Encrypt Authority X3 để cài đặt https ( sẽ tiết kiệm được 1 khoản cho việc đăng kí ssl). Các bạn nên chọn những nhà cung cấp uy tín sử dụng các phiên bản quản trị mới nhất. Tại sao nên vậy, bởi hosting share, website của bạn sẽ dùng chung tài nguyên với các website khác, rất có thể website của bạn bị tấn công bởi vì lỗ hổng bảo mật từ các website khác trên cùng hệ thống. Thực sự vấn đề này thì rất khó bảo mật, nó không nằm ở phía quản trị viên website nữa, mà do máy chủ nhà cung cấp bạn chọn. Cho nên với hosting share, việc backup định kỳ hằng ngày là việc bắt buộc phải làm. Có thể sử dụng 1 số plugin tự động backup nên google drive chẳng hạn…

Sử dụng máy chủ riêng ( có thể là vps hoặc máy chủ vật lý) sẽ hạn chế được những vấn đề liên quan đến local attack. Với máy chủ riêng bạn cần có 1 chút hiểu biết về quản trị hệ thống… nhưng nó đảm bảo cho hệ thống của bạn được khá nhiều vấn đề bảo mật. Bạn có thể tham khảo qua bài Cài đặt PHP Web Server hoàn hảo trên Centos 7 để dựng 1 máy chủ tốt cho wordpress.

Sao lưu website thường xuyên

Bạn cần sao lưu website thường xuyên, nên định kỳ sao lưu hằng ngày nhé.

Kiểm tra phiên bản WordPress – Theme – Plugin

Luôn kiểm tra xem bản wordpress bạn đang sử dụng có phải mới nhất không, theme và plugin đã được cập nhật chưa. Nếu chưa hãy cố gắng tìm cách cập nhật bản mới nhất, đây là những bản cập nhật tính năng mới, bản vá bảo mật cho những vấn đề đang tồn tại, cập nhật sẽ giúp website của bạn hoạt động ổn định hơn và tốt hơn.

Nếu bạn đang sử dụng theme và plugin trả phí nhưng được nulled ( bản lậu, dùng chùa…) bạn cần kiểm tra kỹ trước khi sử dụng nó cho website của bạn. Bạn có thể đẩy code đó lên https://www.virustotal.com/ để kiểm tra trước, kiểm tra các hàm base64 , eval.. mà 1 số file dài mà bạn nghi ngờ, đặc biệt mà nhưng file php code gom lại trong 1 dòng, rất có thể đó là mã độc đấy.

Kiểm tra thông tin các file có bị sửa đổi không?

Bạn nên kiểm tra thường xuyên xem các file có bị thay đổi không. Nếu kiểm tra last modify thấy có thay đổi thì bạn cần xem lại theme plugin hoặc mã nguồn có bị vấn đề gì ko nhé.

Bảo mật cho hệ thống quản trị

Đầu tiên bạn nên sửa đổi lại file wp-config.php, cập nhật thêm thông tin sau

define('FS_METHOD', false);
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS',true);

sẽ hạn chế được quyền quản trị viên có thể thay đổi được hệ thống WordPress. Khi nào cần cập nhật thì bạn comment code lại để cấp nhật, sau đó lại đóng lại để bảo mật. Bạn nên chuyển file wp-config.php ngang hàng với public_html, giúp các hacker khó tìm file config hơn.

Cơ chế của kẻ xâm nhập ( trước mình hay đi trọc ngoáy mấy website khác) là tìm kiếm file config để lấy thông tin database, sau đó login vào database tạo 1 tài khoản quản trị sau đó dùng tài khoản quản trị đấy login vào hệ thống, upload theme hoặc plugin có gắn mã độc. Chạy mã độc và chiếm quyền hệ thống!

Bạn nên đặt xác minh 2 bước cho tài khoản quản trị. Hacker có thể hack được hệ thống của bạn nhưng không đăng nhập được vào thì cũng bó tay thôi :D

Ngoài ra bạn có thể thay đổi đường dẫn đăng nhập mới, giới hạn số lần đăng nhập sai sẽ chặn luôn. Nếu bảo mật hơn nữa bạn có thể chặn chỉ cho phép IP nào đó mới login vào được hệ thống.

Bạn nên yêu quản trị viên sử dụng những mật khẩu dài, khó phán đoán để tăng cường bảo mật cho website.

Phân quyền cho các thư mục WordPress

Hạn chế quyền 777, cao nhất bạn chỉ cần 755 là đủ dùng rồi.

Với mình thì chạy 2 lệnh:

chmod -R 711 public_html
chmod -R 755 public_html/wp-content/uploads

Khi nào cần cập nhật thì update thủ công cũng được nhưng an toàn hơn nhiều.

Thực thi file PHP

Bạn nên chặn thực thi trực tiếp file từ thư mục wp-includes, wp-content, uploads. Kẻ tấn công thích upload các scripts độc hại lên thư mục WordPress. Mặc định thư mục này được dùng để chứa file đa phương tiện. Vì vậy nó không nên được dùng để chứa file PHP.

 

 

Mặc dù WordPress là một CMS bị hack nhiều nhất trên thế giới. Tuy nhiên, không khó khăn để tăng tính bảo mật WordPress của nó.Nếu bạn đã làm những điều trên thì website của bạn đã được bảo mật hơn rất nhiều, và hãy quên đi nỗi lo bị hack để tập trung xây dựng nội dung hơn.

Cương Phạm

Thêm bình luận