Website WordPress của bạn có thể đang hoạt động ổn định, nhưng chỉ cần một file mã độc bị chèn vào, một bot quét lỗ hổng thành công hoặc một cuộc tấn công brute-force vượt qua lớp bảo vệ, toàn bộ hệ thống có thể bị nhiễm virus mà bạn không hề hay biết. Không ít chủ website chỉ phát hiện sự cố khi trang bị chuyển hướng sang nội dung lạ, bị cảnh báo từ trình duyệt hoặc tụt hạng SEO nghiêm trọng.
Nhiều người lựa chọn cài plugin firewall trực tiếp trong WordPress để chống virus. Tuy nhiên, cách làm này không phải lúc nào cũng tối ưu. Phần lớn các plugin này dựa vào signature để phát hiện và chặn tấn công. Điều này đồng nghĩa chúng chỉ xử lý được những mối đe dọa đã biết, còn các biến thể mới hoặc hình thức tấn công tinh vi hơn có thể vẫn vượt qua.
Bên cạnh đó, vì hoạt động ngay trong hệ thống, các plugin firewall phải sử dụng tài nguyên của hosting/VPS/server để quét và xử lý từng request, dẫn đến tình trạng website dễ bị chậm, quá tải nếu traffic tăng cao hoặc bị tấn công liên tục.
Chưa kể, các plugin firewall vẫn có thể trở thành điểm yếu nếu không được cập nhật thường xuyên. Các phiên bản lỗi thời hoặc lỗ hổng zero-day chưa được vá kịp thời có thể bị khai thác, khiến website vẫn bị tấn công dù đã cài đặt plugin firewall bảo vệ.
W7SFW mang đến giải pháp khác biệt: firewall hoạt động ở bên ngoài để chặn ngay từ đầu các truy cập đáng ngờ. Nhờ cơ chế Blacklist All chặn toàn bộ request ban đầu, kết hợp Default Rule thông minh và hệ thống Whitelist chủ động, W7SFW giúp ngăn chặn phần lớn nguồn lây nhiễm virus trước khi chúng kịp xâm nhập vào WordPress. Điều quan trọng là bạn không cần chỉnh sửa mã nguồn hay thực hiện cấu hình phức tạp.
Trong bài viết này, chúng tôi sẽ hướng dẫn bạn triển khai W7SFW để chống virus và bảo mật website WordPress một cách đơn giản, nhanh chóng và hiệu quả.
Chuẩn bị trước khi cài đặt W7SFW
Trước khi bắt đầu cài đặt, bạn nên chuẩn bị sẵn một số thông tin và quyền truy cập cần thiết để quá trình triển khai diễn ra nhanh chóng, không bị gián đoạn.
Thông tin cần có
- Domain: Tên miền website WordPress của bạn (ví dụ: tenmiencuaban.com).
- IP: Địa chỉ IP nơi website đang được lưu trữ.
Đây là hai thông tin bắt buộc để thêm website vào hệ thống W7SFW.
Kiểm tra quyền quản lý DNS
Bạn cần có quyền chỉnh sửa DNS tại nơi đăng ký domain (Namecheap, GoDaddy, Cloudflare…). Việc cấu hình bản ghi TXT và CNAME là bước quan trọng để kích hoạt firewall.
Chuẩn bị tài khoản Google Chrome để cài Extension
W7SFW sử dụng Extension trên trình duyệt Google Chrome để xác thực 2FA.
Hãy đảm bảo bạn:
- Đang sử dụng trình duyệt Chrome
- Có quyền cài đặt tiện ích mở rộng
Sau khi chuẩn bị đầy đủ các yếu tố trên, bạn có thể bắt đầu cài đặt W7SFW.
Tạo tài khoản W7SFW
Cách đăng ký tài khoản
- Truy cập trang chủ W7SFW và chọn Sign Up.
- Nhập các thông tin cần thiết:
- Email: Sử dụng email cá nhân hoặc email công việc. Đây sẽ là tài khoản đăng nhập và nơi nhận thông báo bảo mật.
- Password: Tạo mật khẩu mới.
- Confirm Password: Nhập lại mật khẩu để xác nhận.
- Nhấn Continue để gửi thông tin đăng ký.
Sau bước này, hệ thống sẽ gửi mã xác minh về email của bạn.
Xác minh email
- Kiểm tra hộp thư đến và tìm email từ W7SFW.
- Lấy mã xác minh gồm 6 chữ số và nhập vào ô yêu cầu trên màn hình.
Nếu chưa nhận được email:
- Kiểm tra thư mục Spam hoặc Quảng cáo.
- Nhấn Resend code để gửi lại mã mới.
Khi nhập đúng mã, tài khoản của bạn sẽ được kích hoạt.
Lưu ý bảo mật mật khẩu
Để đảm bảo an toàn:
- Sử dụng mật khẩu mạnh (kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt).
- Không dùng chung mật khẩu với các tài khoản khác.
- Không chia sẻ thông tin đăng nhập cho người không liên quan.
Cài đặt Extension W7SFW
Extension là một phần quan trọng trong cơ chế xác thực hai lớp (2FA) của W7SFW. Nếu không cài đặt Extension, bạn sẽ không thể hoàn tất quá trình bảo vệ trang quản trị WordPress.
- Tại trang chủ W7SFW, bấm chọn Get Extension ở góc trên cùng bên phải.
- Bấm chọn Thêm vào Chrome.
- Chờ trình duyệt tải xuống và tự động cài đặt.
Sau khi cài xong, biểu tượng ngọn lửa W7SFW sẽ xuất hiện ở góc trên bên phải trình duyệt. Đây là nơi bạn quản lý trạng thái xác thực cho các domain.
Kích hoạt W7SFW cho website
Sau khi tạo tài khoản và cài đặt Extension, bước tiếp theo bạn cần làm là thêm website của bạn vào hệ thống để kích hoạt lớp firewall bảo vệ website.
Nhập Domain và IP
- Đăng nhập vào tài khoản W7SFW bạn đã tạo trước đó.
- Tại Dashboard, chọn Onboard a domain.
- Nhập các thông tin cần thiết:
- Domain: Tên miền website (ví dụ: tenmiencuaban.com).
- IP: Địa chỉ IP của server đang lưu trữ website.
- Nhấn Continue để hệ thống bắt đầu quá trình kết nối và xác thực.
Chọn gói dịch vụ phù hợp
Sau khi thêm domain, bạn sẽ được yêu cầu chọn gói dịch vụ. W7SFW hiện cung cấp 4 gói dịch vụ lần lượt là Free, Pro, Business và Enterprise, được thiết kế để đáp ứng các nhu cầu bảo mật khác nhau, từ website cá nhân đến hệ thống doanh nghiệp quy mô lớn.
Nếu bạn mới bắt đầu, có thể chọn gói Free để trải nghiệm trước khi nâng cấp.
Cấu hình DNS
- Domain Verification: Thêm bản ghi loại TXT với tên _w7sfw và giá trị được cung cấp vào quản lý DNS của bạn.
- Enable Firewall: Thêm bản ghi CNAME với tên và giá trị như hệ thống hiển thị.
- Sau khi hoàn thiện bấm Verify để kiểm tra. Nếu kết quả hiển thị “Verified”, bạn đã thành công kích hoạt W7SFW cho website của mình.
Lưu ý: DNS có thể mất vài phút đến vài giờ để cập nhật tùy nhà cung cấp.
Lỗi phổ biến khi cấu hình DNS:
- Nhập sai tên bản ghi (Host/Name).
- Sao chép thiếu hoặc thừa ký tự trong Value.
- Thêm nhầm loại bản ghi (ví dụ thêm A record thay vì CNAME).
- DNS chưa kịp propagate nhưng đã nhấn Verify quá sớm.
Nếu gặp lỗi, hãy kiểm tra lại từng thông tin và chờ hệ thống DNS cập nhật hoàn tất trước khi xác minh lại.
Cấu hình Firewall Rule
Để tạo quy tắc mới, vào mục Rules và chọn New Rule.
Thông tin cơ bản
- Name (Tên quy tắc): Đặt một cái tên gợi nhớ để bạn dễ quản lý.
- Description (Mô tả): Viết chi tiết hơn về mục đích của quy tắc này. Điều này giúp bạn hoặc đồng nghiệp hiểu tại sao quy tắc này lại tồn tại sau một thời gian dài không xem lại.
Thiết lập điều kiện lọc
- Method: Chọn phương thức HTTP mà request sử dụng.
- GET: Lấy dữ liệu (xem trang)
- POST: Gửi dữ liệu (đăng ký, đăng nhập)
- PUT: Thay thế/Cập nhật toàn bộ
- PATCH: Chỉnh sửa một phần
- DELETE: Xóa tài nguyên
- HEAD: Chỉ lấy tiêu đề (không lấy nội dung)
- OPTIONS: Kiểm tra các phương thức được phép
- Request Path: Nhập đường dẫn cụ thể trên website mà bạn muốn áp dụng quy tắc.
Lưu ý: Chỉ nhập phần sau tên miền và không bao gồm các tham số truy vấn.
- Query Parameter: Nhập từ khóa (key) của tham số xuất hiện sau dấu ? trên URL nếu bạn muốn lọc chi tiết hơn.
Ví dụ: Cho phép người dùng được POST (gửi thông tin) đến URL /wp-login.php
- Method: POST
- Request path: /wp-login.php
- Query parameter: để trống
Hoàn tất
Sau khi điền đầy đủ thông tin, nhấn nút Add Rule để lưu và kích hoạt quy tắc. Nếu muốn hủy bỏ các thiết lập vừa nhập, nhấn Cancel.
Lưu ý: Nếu bạn không quen với việc cấu hình Rules, bạn hoàn toàn có thể bỏ qua bước này. W7SFW đã tích hợp sẵn một bộ Default Rule thông minh, tự động lọc và chặn phần lớn request độc hại mà không cần thiết lập thủ công. Chỉ khi website có nhu cầu bảo mật đặc thù hoặc cần tùy chỉnh nâng cao, bạn mới nên tạo thêm Rule riêng.
Kích hoạt 2FA cho WordPress
Sau khi firewall đã được kích hoạt thành công, bước tiếp theo là bật xác thực hai lớp (2FA) để bảo vệ khu vực quản trị WordPress. Đây là lớp bảo mật quan trọng giúp ngăn chặn truy cập trái phép ngay cả khi mật khẩu WordPress bị lộ.
Chuyển password từ Dashboard sang Extension
- Truy cập mục Settings trong Dashboard W7SFW.
- Tại dòng Password, bạn sẽ thấy mật khẩu xác thực dành riêng cho domain.
- Nhấn vào biểu tượng ngọn lửa W7SFW bên cạnh để chuyển password sang Extension.
Sau thao tác này:
- Mật khẩu sẽ được mã hóa.
- Extension trên trình duyệt sẽ nhận thông tin xác thực.
- Server sẽ chỉ cho phép truy cập khi có tín hiệu hợp lệ từ Extension.
Lưu ý về mật khẩu xác thực:
- Mặc định, hệ thống sẽ tạo sẵn một mật khẩu bảo vệ cho domain.
- Nếu bạn không muốn sử dụng mật khẩu mặc định, bạn hoàn toàn có thể tự đặt mật khẩu mới theo nhu cầu.
- Trong trường hợp bạn muốn đổi sang một mật khẩu ngẫu nhiên khác, hãy nhấp vào biểu tượng “Regenerate password” nằm ngay bên trái.
Đăng nhập WordPress sau khi bật 2FA
Kiểm tra Extension trước khi login
Trước khi nhập username và password WordPress, bạn nên:
- Nhấn vào biểu tượng Extension W7SFW trên trình duyệt.
- Kiểm tra domain tương ứng trong danh sách.
- Đảm bảo trạng thái đang là Active.
Nếu Extension đang hoạt động, bạn có thể đăng nhập WordPress như bình thường. Hệ thống sẽ tự động xác thực và cho phép truy cập.
Cách xử lý khi gặp lỗi 403 Forbidden
Nếu sau khi nhập đúng tài khoản mà website hiển thị lỗi 403 Forbidden, nguyên nhân phổ biến là Extension đang ở trạng thái Inactive.
Cách xử lý:
- Mở Extension và chuyển domain sang trạng thái Active.
- Tải lại trang đăng nhập WordPress.
- Thực hiện đăng nhập lại.
Trong trường hợp vẫn không truy cập được, hãy kiểm tra:
- Bạn có đang dùng đúng trình duyệt đã cài Extension không.
- Extension có bị tắt hoặc gỡ bỏ không.
Kết luận
Như vậy, chỉ với vài thao tác đơn giản, bạn đã có thể hoàn tất triển khai W7SFW để chống virus và bảo mật website WordPress một cách bài bản. Thay vì chờ mã độc xâm nhập rồi mới xử lý, W7SFW giúp bạn chủ động chặn ngay từ lớp ngoài, giảm thiểu rủi ro bị tấn công, chèn mã độc, virus hay brute-force.
Bảo mật website không nên là giải pháp tạm thời mà phải là chiến lược dài hạn. Hãy triển khai W7SFW ngay hôm nay để xây dựng một lớp phòng thủ vững chắc, bảo vệ dữ liệu, thứ hạng SEO và uy tín thương hiệu của bạn trước mọi nguy cơ trên môi trường Internet.
