Những Cách Bảo Mật WebSite Mã Nguôn Mở

Những cách bảo mật website mã nguồn mở

Lời mở đầu

Khi xây dựng một Website việc tiếp theo chúng ta nghĩ đến là làm sao để bảo vệ được website của mình tránh lại sự tấn công từ bên ngoài, có rất nhiều phương pháp để để thiết lập sự phòng vệ này, các website mình biết đến có sự bảo mật tuyệt đối như lĩnh vực trò chơi trực tuyến thì hầu như ít phải gánh chịu hậu quả bởi các đợt tấn công, do họ config web lẫn server rất chắc chắn.

Tuy nhiên hiện nay WordPress cực kì quen thuộc đối với chúng ta vì những loại theme đẹp , bắt mắt vào giao diện dễ sử dụng, tính năng của nó cũng rất nhiều cho nên từ lâu nó đã trở thành lựa chọn của rất nhiều bạn trẻ.

Các bài viết liên quan

Lỗ hỏng Plugin Duplicator làm Website dùng WordPress bị Hack

11/09/2018 - Updated on 05/04/2020

Nhưng nó cũng có những lỗi cần bảo mật khi chúng ta sử dụng để đảm bảo an toàn cho website của chính mình khỏi sự dòm ngó của những người có ý đồ xấu. Bài viết này sẽ tổng hợp một số Plugin và mẹo nhỏ nhưng rất quan trọng cho các bạn dựng Web trên nền WordPress.

Một Số Mẹo

Với những mẹo khá đơn giản dưới đây thì có lẽ ai cũng sẽ làm được và nó không gây khó khăn cho các bạn!

1 .Không sử dụng tài khoản tên “admin”

Vì sao lại không nên như thế? Bởi vì cái này là một tài khoản phổ biến và quá dễ dàng cho các hacker. Theo khảo sát đa phần các ban quản trị WordPress thường để tên tài khoản là “admin” hay cũng có thể là “administrator” cho dễ nhớ nhưng đây lại là một sai lầm lớn cho hình thức tấn công Brute Force Attack ( đây là hình thức tấn công dựa trên danh sách mật khẩu và tên tài khoản có sẵn của các hacker và họ sẽ liên tục đăng nhập trên website cho đến khi vào được thì thôi).
Cho nên không nên để tên tài khoản dễ đoán như “admin” mà thay vào đó hãy đặt tên thật đặc biệt theo phong cách của bạn!

2. Sử dụng mật khẩu phức tạp

Cũng giống như tên tài khoản, các hacker có thể sử dụng hình thức Brute Force Attack để dò tìm mật khẩu của bạn nếu như nó quá đơn giản. Vì vậy hãy tự đặt ra cho mình một mật khẩu bao gồm chữ hoa, chữ thường, số và cả kí tự. Như vậy mới an toàn được.
Còn nếu bạn không tự tin vào mật khẩu do chính mình đặt thì có thể dùng phần mềm Strong Password Generator để tạo một mật khẩu đủ mạnh.

3. Cập nhật plugin, theme, WordPress lên phiên bản mới nhất

Mỗi khi có phiên bản cập nhật hoặc login mới thì đều có thông báo cập nhật! Lúc đấy là lúc bạn không nên bỏ qua vì một số phiên bản cũ tồn tại những lỗ hổng chết người không biết trước được !

4. Sử dụng host chất lượng cao

Bạn nên dùng host từ nhà cung cấp thật sự thay vì dùng dịch vụ host thông thường  (Shared Host).
Nguyên nhân là do shared host đều nằm cùng một hệ thống máy chủ với các website khác nên chỉ cần một web bị nhiễm mã độc thì các web khác cũng có nguy cơ bị tấn công qua hình thức Local Attack.

Các Plugin Bảo mật nên cài Cho WordPress

1. Login Ninja

Plugin này giúp bảo vệ phần login & register forms với captcha và sẽ Auto Ban địa chi IP, tự động chuyển người dùng đến trang dựa vào các quyền và username.

Tự động gửi các thông báo người dùng đăng nhập bất hợp pháp vào gmail để chúng ta kiểm soát dễ dàng hơn và kịp thời ngăn chặn.

2. Hide My WP

Nếu không muốn người ngoài biết chúng ta dùng mã nguồn WordPress để xây dựng web thì đây là giải pháp tuyệt vời cho bạn !

3. UpdraftPlus Backup and restoration

Đây là Plugin tự động lưu dữ liệu trên website của bạn đến trang lưu trữ thứ ba như Google Drive, Dropbox, …

4. All In One WP Security & Firewall

Có thể nói là bản thân WordPress cũng đã bảo mật khá tố t .
Nhưng nếu cài thêm cái này thì trang của bạn sẽ được bảo mật hoàn thiện hơn!

5. BulletProof Security

Đây là plugin giúp các bạn chống chọi lại hơn 100000 kiểu tấn công của các hacker được tổng hợp trên toàn thế giới.

6. IThemes Secuirty: 

Hướng dẫn sử dụng iThemes Security

Khi cài đặt hoàn tất thì các bạn ấn Secure Your Site Now để bắt đầu

Và tiếp theo các bạn chọn hai tùy chọn như trong hình và ấn nút Dismis để kết thúc.

Tiếp theo chuyển sang tab Settings và chúng ta sẽ tìm hiểu về tính năng của nó nhé !

Ở đó có phần Go to là thanh điều hướng, khi bạn chọn từng phần trong đó thì cửa sổ sẽ dẫn bạn đi đến khu vực tương ứng để thiết lập. Hãy cùng tìm hiểu các tùy chọn của iThemes Security ở phần dưới nhé.

Giới thiệu các tính năng của iThemes Security

Global Settings

Các thiết lập cơ bản cho iThemes Security được đặt ởđây. Mình sẽ giải thích bên dưới nha …

• Write to File — Các plugin khác sẽ tựđộng thêm nội dung vào file wp-config.php và .htaccess, bạn nên chọn nóđể có thể cài được các tính năng khác của iThemes Security hoặc các plugin tạo cache một cách tựđộng và không phải tự tay cài từng cái Plugin và gặp phải lỗi cài thiếu Plugin nên hãy để chếđộ Auto này.
• Notification Email– Những thông báo sẽđược gửi đến mail của các bạn để kịp thời ngăn chặn các mối đe dọa mang tên Hacker nhé !

Đối với Plugin iThemes Security, bạn có thể thêm nhiều email ngăn cách với nhau bằng một hàng.

• Backup Delivery Email –nếu bạn backup dữ liệu bằng iThemes Securtity thì nó cũng sẽ được thiết lập để gửi đến email của bạn. Và sẽ tuyệt đối an toàn qua con đường Email của Google.

• Host Lockout Message –Những người không thể đăng nhập do bị khóa IP sẽ được tự động gửi tin nhắn qua tính năng này.

• User Lockout Message – Nếu thành viên bị khóa hoặc Ban khi gửi bình luận trên trang bạn sẽ nhận được tin nhắn báo lỗi.

• Blacklist Repeat Offender – Danh sách đen cho các địa chỉ Spam tin tức công cộng và nó cũng được auto. Mình khuyến khích sử dụng tính năng này để tránh các Spam trên trang web của bạn và mang lại tính thẩm mỹ hơn ở mục Comment.

• Blacklist Threshold – Sẽ khóa IP vĩnh viễn trên trang web nếu bị khóa một số lần đặt trước.

• Blacklist Lookback Period – Đặt thời hạn khóa các spammer có trong danh sách ở phần Blacklist Repeat Offender ở trên sau khi hết hạn họ có thể sử dụng lại bình thường.

• Lockout Period – Đặt ra khoảng thời gian khóa cho mỗi lần cố gắng đăng nhập nhưng bị thất bại. Sau khi khoảng thời gian này hết có thểđăng nhập lại bình thường.

• Lockout White List – Danh sách IP trắng (trong sạch) sẽ không bị khóa.

• Email Lockout Notifications – Khi ai đó bị khóa vì một số nguyên nhân nào đó sẽđược gửi sang Email của bạn. Để bạn có thể kiểm soát và tránh trường hợp Khóa lầm người tốt 

• Log Type – Nên chọn là Database Only. Đây là File log ghi chép cụ thể và chi tiết lại các hoạt động của Plugin.

• Days to Keep Database Logs –Đặt thời hạn cho bản ghi Log ở trên, đến hạn sẽ lên lịch xóa những cái cũđể cho File bớt nặng.

• Path to Log Files – Đường dẫn của file log.

• Allow Data Tracking – Cho phép iThemes thu thập các dữ liệu sử dụng của bạn để họ phân tích.

• 404 Detection:

 Mỗi khi thành viên truy cập trang web bạn và bị lỗi sẽ được gửi thông báo đến Email của bạn để có thể khắc phục. Nhưng nếu trang web quá nhiều lỗi thì không nên bật tính năng này vì hộp thư Email của bạn sẽ bị một đống Spam đấy !

• Minutes to Remember 404 Error (Check Period) – Thiết lập khoảng thời gian để hệ thống tự ghi lỗi.
• Error Threshold – Đối với các bot Spam hoặc Spammer thì sẽ gặp nhiều lỗi 404. Nếu số lỗi quá nhiều trong khoảng thời gian quy định sẽ bị Ban.
• 404 File/Folder White List – Các File hoặc Folder được chọn sẽ được đưa vào danh sách trắng và không bị kiểm tra lỗi !!

Away Mode

Đối với Website chỉ có một hay số ít Admin thì tính năng này khá cần thiết. Tính năng này cho phép các bạn vô hiệu hóa trang quản trị của minh để đảm bảo an toàn trong lúc ăn, học, ngủ, chơi game, chịch…

• Enable away mode: cái này đọc là hiểu nên mình sẽ không giải thích thêm nha!
• Type of Restriction – Nếu bạn truye cập web mỗi ngày thì chọn Daily nha
• Start Time – Hẹn giờ bắt đầu Cho phép vào trang quản trị.
• End Time – Hẹn giờđóng cổng trang quản trị.

Banned User

Banned có nghĩa là cấm 😀 Đối với Bot hoặc Spammer thì rất cần thiết nhé !

• Enable HackRepair.com’s blacklist feature –Các Bot Spam có trong danh sách của HackRepair.com sẽ bị Ban nếu bạn Kích hoạt tính năng này.
• Enable ban users – Chức năng khóa vĩnh viễn ai đó không phải thành viên trong trang của bạn. Cái này cũng dễ hiểu nên minh xin phép không nói thêm nhé
• Ban Hosts – Cái này thực chất là ban IP theo danh sách có sẵn. Mỗi IP là một dòng trong danh sách.
• Ban User Agents –Bạn có thể lên Google gõ“Bad User Agents list” để lấy danh sách Ban các bot spam nhé !
• Whitelist Users – IP sẽ không bị ban (Danh Sách Trắng).

Brute Force Protection

Brute Force Attack là hình thức tấn công theo phương pháp dò mật khẩu theo danh sách có sẵn nhé ! Thủ thuật này sẽ liên tục đăng nhập với các mật khẩu khác nhau trong danh sách cho đến khi đăng nhập được thì thôi.
Tùy chọn này sẽ giúp bạn chống Brute Force Attack bằng hình thức hạn chế số lần đăng nhập sai. Và sẽ là khắc tinh của các Hacker chuyên dò mật khẩu bằng Brute Force Attack.

• Enable brute force protection – Kích hoạt chức năng
• Max Login Attempts Per Host – Giới hạn số lần đăng nhập của mỗi IP.
• Max Login Attempts Per User – Giới hạn số lần đăng nhập của mỗi thành viên.
• Minutes to Remember Bad Login (check period) – Đặt khoảng thời gian cho số lần đăng nhập sai. Trong khoảng thời gian này nếu tiếp tục đăng nhập sai sẽ bị khóa dù có là thành viên đi chăng nữa.

File Change Detection

Khá là tốn tài nguyên cho tính năng này. Nó sẽ thông báo khi có bất khì file nào đó trong Host bị thay đổi để bạn kịp thời mà tránh bị chèn Shell.

• Enable File Change detection –  Kích hoạt chức năng.
• Split File Scanning – Giảm tốn tài nguyên hơn bằng cách chia nhỏ các File ra để quét.
• Include/Exclude Files and Folders – Bao gồm hoặc loại bỏ các File/Folder bị phát hiện.
• Files and Folders List – danh sách các thư mục bạn muốn loại bỏđể Scan.
• Ignore File Types – Các file sẽ bị bỏ qua nếu cóđịnh dạng do bạn thiết lập
• Email File Change Notifications –Gửi thông báo qua Email.
• Hide Login Area

Thay đổi (Hide) đường dẫn đăng nhập thay vì giữ nguyên đường dẫn cũ (đường dẫn quáđơn giản) và sẽ giúp bạn tránh nạn Hacker khá tốt.

• Login Slug – Slug đăng nhập mới cho website bạn. Nếu bạn ghi là Fuckall thì đường dẫn đăng nhập của bạn sẽ là Website.com/Fuckall
• Register Slug – Cũng như trên nhưng cái này làđường dẫn cho Register.
• Enable Theme Compatibility – Tự tương thích với theme nếu bạn kích hoạt.
• Theme Compatibility Slug – Đường dẫn báo lỗi 404.

Strong Password

• Enable strong password enforcement – Để tăng tính bảo mật cho Website thìđây sẽ là tính năng bắt buộc thành viên đặt mật khẩu mạnh

Các Tính Năng nâng cao

Đây là các thiết lập nâng cao, hạn chế táy máy nếu bạn sợ bị lỗi hoặc tốt nhất backup toàn bộ database và code trước khi sử dụng các công cụ trong đây.

Admin User

Các thay đổi trong đây sẽảnh hưởng tới tài khoản admin của website.

• Enable Change Admin User – Đổi tên tài khoản của Admin.
• New Admin Username – Thiết lập tên đăng nhập mới cho Admin
• Change User ID 1 – Thay đổi ID của admin để tránh bị dò ra và Hấp diêm.

Còn một vài tính năng nữa nhưng sẽ rất nguy hiểm nếu bạn không rành về WordPress cho nên minh không liệt kê vào bài viết này. Những cái minh liệt kê là đủ để bảo mật của Trang bạn lên tầm quốc tế rồi !! Khó lòng mà Hack được ngoại trừ Anonymous =))

Đây là tất cả các mẹo hay và các Plugin tất yếu để bảo mật WordPress tốt hơn ! Còn rất nhiều các Plugin khác nhưng theo mình bất nhiêu là đủ an toàn cho các bạn .

Chúc các bạn thành công !