Bảo mật Website WordPress là một chủ đề có tầm quan trọng lớn đối với mọi chủ sở hữu trang web. Google đưa vào danh sách đen hơn 10.000 trang web mỗi ngày vì phần mềm độc hại và khoảng 50.000 trang web lừa đảo mỗi tuần. Trong bài viết này, chúng tôi sẽ chia sẻ một số mẹo bảo mật WordPress hàng đầu để giúp bạn bảo vệ trang web của mình khỏi tin tặc và phần mềm độc hại.
Các lỗ hổng bảo mật của nền tảng WordPress đã tấn công hàng triệu website
WordPress đã công bố các lỗ hổng ở mức độ nghiêm trọng cao được công khai bởi chính nhóm phát triển cốt lõi. WordPress thông báo họ đã vá 4 lỗ hổng được xếp hạng mức độ nghiêm trọng. Tuy nhiên, The National Vulnerabilities Database (NVD) của Chính phủ Hoa Kỳ, nơi mà các lỗ hổng được ghi lại và công khai đã đánh giá các lỗ hổng này cao tới 8 trên thang điểm từ 1 đến 10, với 10 đại diện cho mức độ nguy hiểm cao nhất.
Thông báo của WordPress về chi tiết các lỗ hổng và mức độ nghiêm trọng rất ngắn gọn. Bốn lỗ hổng bảo mật là:
-
Chèn SQL do thiếu dữ liệu làm sạch trong WP_Meta_Query (mức độ nghiêm trọng: 7,4)
-
Tiêm đối tượng được xác thực trong nhiều trang web (mức độ nghiêm trọng :6,6)
-
Lỗ hổng XSS cho phép các tác giả (người dùng có đặc quyền thấp hơn) thêm một backdoor độc hại hoặc tiếp quản một trang web bằng cách lạm dụng các slugs bài đăng (mức độ nghiêm trọng: 8,0)
-
SQL Injection thông qua WP_Query do vệ sinh dữ liệu không đúng cách (mức độ nghiêm trọng: 8.0)
Các lỗ hổng bảo mật đã được tiết lộ một cách riêng tư cho WordPress, điều này đã tạo cơ hội cho WordPress vá các lỗi đó trước khi chúng được biết đến rộng rãi.
Bỏ túi một số cách bảo mật website WordPress
1. Giới hạn số lần truy cập
Nếu như để mặc định, trang đầu của WordPress sẽ không giới hạn số lần truy cập sai. Chính điều nào sẽ tạo cơ hội cho hacker mở các cuộc tấn công brute force. Brute force hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ra mật khẩu. Vì thế nên cần rất nhiều thời gian, tùy theo độ dài của mật khẩu nhưng khả năng để tìm ra là luôn luôn có thể nếu không giới hạn thời gian. Đồng thời, hãy khóa IP những người có số lần nhập mật khẩu sai quá nhiều.
2. Sử dụng xác thực 2 bước (Two-factor authentication WordPress plugin)
Bổ sung tính năng tính năng xác thực 2 bước (TFA/2FA) là biện pháp để chống hack WordPress hiệu quả. Plugin này sử dụng thuật toán TFA / 2FA tiêu chuẩn công nghiệp TOTP hoặc HOTP để tạo mật khẩu một lần. Các đoạn mã này sẽ có giá trị trong một thời gian nhất định và mỗi lần sử dụng sẽ hiển thị một đoạn mã khác nhau.
3. Sử dụng password mạnh
Mật khẩu là một phần rất quan trọng trong việc bảo mật WordPress và thật đáng tiếc khi điều đó lại không khiến nhiều người để ý. Nếu bạn đang sử dụng mật khẩu đơn giản như “123456” hay “abc1234”, bạn cần phải đổi mật khẩu ngay lập tức. Mặc dù các mật khẩu này rất dễ nhớ nhưng cũng cực kì dễ đoán. Người dùng nâng cao sẽ rất dễ dàng bẻ khóa mật khẩu và truy cập vào website mà không có một chút khó khăn nào. Hãy thử với các mật khẩu phức tạp hơn, chẳng hạn như kết hợp nhiều số, nhiều chữ và các ký tự đặc biệt như “%”, “&”, v.v.
4. Cài đặt chứng chỉ SSL
Ngày nay, Single Sockets Layer (SSL) rất có lợi cho tất cả các loại website. Sử dụng chứng chỉ SSL là một biện pháp để bảo đảm an toàn các dữ liệu thông tin truyền đi giữa trình duyệt và máy chủ. Điều này khiến tin tặc khó để xâm phạm kết nối và giả mạo thông tin của bạn. Bên cạnh tính bảo mật, các website có chứng chỉ SSL sẽ được Google một vị trí cao hơn tất cả các website không có nó.
Chứng chỉ SSL giữ cho website của bạn luôn an toàn
5. Cập nhật các phiên bản mới nhất
Luôn luôn cập nhật WordPress cũng là một phương pháp để giữ cho website của bạn an toàn. Với mỗi bản cập nhật, các nhà phát triển sẽ vá thêm một số lỗi để mang lại cho bạn trải nghiệm bảo mật website WordPress tốt hơn. Bằng cách cập nhật các phiên bản mới nhất, bạn cũng sẽ khỏi tầm ngắm của các hacker đang có ý định tấn công vào các lỗ hổng bảo mật.
VNIS - Giải pháp bảo mật website trước các cuộc tấn công
VNIS là một giải pháp bảo mật website toàn diện dành cho doanh nghiệp. Dựa vào công nghệ Cloud WAF kết hợp cùng trí tuệ nhân tạo AI và Machine Learning để kiểm soát và ngăn chặn các lỗ hổng bảo mật, các trình thu thập dữ liệu trái phép, đặc biệt là các lỗ hổng bảo mật thuộc top 10 OWASP. Với khả năng tích hợp nhiều CDN cầu thành một Multi CDN khổng lồ, băng thông CDN global lên đến 2600 Tbps, giúp tối ưu hiệu suất truyền tải và chống lại các loại hình tấn công một các hiệu quả.
Nếu bạn muốn đăng ký trải nghiệm thử dịch vụ bảo mật website toàn diện, vui lòng để lại thông tin liên hệ bên dưới hoặc gọi ngay vào hotline: (028) 7306 8789 để được tư vấn thêm.