WordPress ngày càng là hệ thống quản lý nội dung được sử dụng rộng rãi. Đây cũng là CMS bị tấn công nhiều nhất. Bài viết này sẽ giúp khám phá ra các lỗ hổng của WordPress và cách bảo mật WordPress bằng các phương pháp đơn giản thông qua việc quản trị website và plugin bảo mật WordPress. Hơn nữa là bảo mật WordPress nâng cao trên các hệ thống.
Các lỗ hổng WordPress phổ biến hiện nay
Mỗi lỗ hổng bảo mật là duy nhất. Nhưng hầu hết các cuộc tấn công chống lại các website WordPress đều thuộc một trong bốn loại sau:
- Brute force attack và dictionary attack: Những hacker cố gắng đoán thông tin xác thực bảo mật như username và password. Các cuộc tấn công kiểu này được thực hiện bởi các bot có thể nhanh chóng làm tràn ngập hệ thống xác thực WordPress với vô số lần đăng nhập.
- Denial of Service (DOS) và Distributed Denial of Service (DDoS): Hacker phá các trang web và mạng bằng các yêu cầu và dữ liệu. Làm tiêu tốn tài nguyên, giảm hiệu suất và có khả năng đưa chúng vào chế độ ngoại tuyến. WordPress bao gồm một hệ thống có tên là XML-RPC thường được sử dụng trong các cuộc tấn công từ chối dịch vụ.
- Các lỗ hổng, plugin và theme: Các bug trong code có thể bị khai thác để phá vỡ hệ thống xác thực, tải lên các mã độc hại. Những hacker thường xem xét các file của một trang web để tìm manh mối về các loại tấn công. Lúc này bạn có thể phải cài lại website WordPress bị mã độc của mình.
- Tấn công code injection: Chạy code độc là mục tiêu của nhiều hacker. Họ lùng sục các web WordPress để tìm các lỗ hổng cho phép họ đưa code PHP, JavaScript hoặc SQL vào.
WordPress Toolkit cho cPanel triển khai các tính năng và biện pháp bảo mật để bảo các trang web chống lại từng loại tấn công này.
Bảo mật website WordPress thông qua quản trị website
Chỉ với việc quản lý và theo dõi cũng như cài đặt cấu hình cơ bản tốt và cẩn thận là bạn cũng đã thực hiện bảo mật website của mình. Dưới đây là những công việc bảo mật WordPress thông qua quản trị website WordPress.
1. Đầu tư vào bảo mật cho WordPress Hosting
Điều quan trọng là bạn phải chọn một nhà cung cấp dịch vụ WordPress Hosting mà bạn có thể tin tưởng cho doanh nghiệp của mình. Hoặc nếu bạn đang lưu trữ WordPress trên VPS của riêng mình, thì bạn cần phải có kiến thức kỹ thuật để tự bảo mật website.
2. Sử dụng phiên bản PHP mới nhất
PHP là xương sống của website WordPress và vì vậy việc sử dụng phiên bản mới nhất trên máy chủ của bạn là rất quan trọng. Mỗi bản phát hành chính của PHP thường được hỗ trợ đầy đủ trong hai năm sau khi phát hành. Trong thời gian đó, các lỗi và vấn đề bảo mật được khắc phục và vá thường xuyên. Kể từ bây giờ, bất kỳ ai đang chạy trên phiên bản PHP 7.1 trở xuống không còn được hỗ trợ bảo mật và có các lỗ hổng bảo mật chưa được vá.

Theo trang Thống kê WordPress chính thức, tính đến thời điểm viết bài này, hơn 57% người dùng WordPress vẫn đang sử dụng PHP 5.6 trở xuống. Nếu cộng với cả phiên bản PHP 7.0, thì con số 77,5% là người dùng hiện đang sử dụng các phiên bản PHP không còn được hỗ trợ. Điều này rất đáng để lưu ý.
Đôi khi, các doanh nghiệp và developer phải mất thời gian để kiểm tra và đảm bảo tính tương thích với code của họ. Nhưng để chạy các code mà mình đã miệt mài viết ra và thử nghiệm trên một nền tảng khác mà không có hỗ trợ bảo mật là rất mạo hiểm. Chưa kể đến tác động lớn đến hiệu suất chạy trên các phiên bản cũ.

Nếu bạn đang sử dụng máy chủ lưu trữ WordPress sử dụng cPanel, bạn có thể chuyển đổi giữa các phiên bản PHP bằng cách nhấp vào “PHP Select” trong danh mục phần mềm.
3. Đặt Username và Password thông minh
Bạn không bao giờ được sử dụng tên người dùng “admin” làm mặc định. Tạo tên người dùng WordPress duy nhất cho tài khoản quản trị viên và xóa người dùng “admin” nếu nó tồn tại.
Bạn có thể thực hiện việc này bằng cách thêm người dùng mới trong phần “User” trong Dashboard và gán cho người đó quyền “Admin” (như hình bên dưới).

4. Luôn sử dụng phiên bản WordPress, plugin và theme mới nhất
Một cách rất quan trọng khác để tăng cường bảo mật WordPress của bạn là luôn cập nhật nó. Điều này bao gồm WordPress core, plugin và theme. Chúng được cập nhật vì để cải tiến bảo mật và sửa lỗi.

5. Khoá WordPress Admin
Đôi khi, bảo mật WordPress bằng cách ẩn đi lại có hiệu quả tốt đối với một doanh nghiệp trung bình và website WordPress. Nếu bạn khiến tin tặc khó tìm thấy các backdoor thì bạn sẽ ít có khả năng bị tấn công hơn. Khóa khu vực quản trị và đăng nhập trên WordPress là một cách tốt để tăng cường bảo mật. Để thực hiện việc này trước tiên là thay đổi URL đăng nhập wp-admin mặc định và hạn chế các lần đăng nhập.
Cách thay đổi URL đăng nhập WordPress
Theo mặc định, URL đăng nhập của trang web WordPress của bạn là domain.com/wp-admin.
Để thay đổi URL đăng nhập WordPress , bạn có thể sử dụng plugin WPS Hide Login miễn phí hoặc plugin Perfmatters cao cấp.

Cách giới hạn số lần đăng nhập trên WordPress
Plugin Cerber Limit Login Attempts miễn phí là một cách tuyệt vời để dễ dàng thiết lập thời gian khóa, số lần đăng nhập cũng như Whitelist IP và Blacklist IP.

6. Sử dụng xác thực hai yếu tố để bảo mật cho website WordPress
Xác thực hai yếu tố là một quy trình gồm hai bước, trong đó bạn không chỉ cần mật khẩu để đăng nhập mà còn cần một phương pháp thứ hai. Nó thường là tin nhắn văn bản (SMS), cuộc gọi điện thoại hoặc mật khẩu dùng một lần dựa trên thời gian (TOTP).
Bạn sẽ cần cài đặt plugin để bảo mật wordpress bằng phương pháp xác thực 2 yếu tố. Một số plugin mà chúng tôi khuyên dùng:
- Duo Two-Factor Authentication.
- Google Authenticator.
- Two Factor Authentication.
Có những Ứng dụng Authenticator riêng mà bạn có thể cài đặt trên điện thoại của mình:
- Android Duo Mobile App.
- iPhone Duo Mobile App.
- Android Google Authenticator App.
- iPhone Google Authenticator App.
Sau khi cài đặt và cấu hình một trong các plugin trên, bạn thường sẽ có một trường bổ sung trên trang đăng nhập WordPress để nhập mã bảo mật của mình. Hoặc, với plugin Duo, trước tiên bạn đăng nhập bằng thông tin đăng nhập của mình và sau đó được yêu cầu chọn phương thức xác thực, chẳng hạn như Duo Push, cuộc gọi hoặc mật mã.

7. Sử dụng HTTPS – chứng chỉ SSL
Một trong những cách bị bỏ qua nhiều nhất để tăng cường bảo mật WordPress là cài đặt chứng chỉ SSL và chạy trang web của bạn qua HTTPS. HTTPS (Hyper Text Transfer Protocol Secure) là một cơ chế cho phép trình duyệt hoặc ứng dụng web của bạn kết nối an toàn.
8. Bảo mật file wp-config.php
File wp-config.php giống như trái tim và linh hồn của quá trình cài đặt WordPress. Cho đến nay, nó là tệp quan trọng nhất trên website khi nói đến bảo mật WordPress. Nó chứa thông tin đăng nhập cơ sở dữ liệu và các khóa bảo mật xử lý việc mã hóa thông tin trong cookie. Dưới đây là một số điều bạn có thể làm để bảo vệ tệp quan trọng này tốt hơn.
Di chuyển wp-config.php
Theo mặc định, file wp-config.php của bạn nằm trong thư mục gốc của cài đặt WordPress (thư mực /public
HTML). Nhưng bạn có thể di chuyển nó đến một thư mục khác.
Để di chuyển file wp-config.php của bạn, chỉ cần sao chép mọi thứ từ nó vào một file khác.Sau đó, trong file wp-config.php của bạn, bạn có thể đặt đoạn code sau:
<?php
include('/home/yourname/wp-config.php');
Cập nhật khóa bảo mật WordPress
Khóa bảo mật WordPress là một tập hợp các biến ngẫu nhiên giúp cải thiện việc mã hóa thông tin được lưu trữ trong cookie của người dùng. Kể từ WordPress 2.7 đã có 4 khóa khác nhau: AUTH_KEY
, SECURE_AUTH_KEY
, LOGGED_IN_KEY
, NONCE_KEY
Khi bạn cài đặt WordPress, chúng sẽ được tạo ngẫu nhiên . Tuy nhiên, nếu bạn đã trải qua nhiều lần di chuyển hoặc mua một trang web từ người khác, bạn có thể tạo các khóa WordPress mới.
WordPress có một công cụ miễn phí mà bạn có thể sử dụng để tạo các khóa ngẫu nhiên. Bạn có thể cập nhật các khóa hiện tại được lưu trữ trong tệp wp-config.php của bạn.

Thay đổi quyền
Thông thường, các file trong thư mục gốc của trang web WordPress sẽ được đặt thành 644, có nghĩa là chủ sở hữu file có thể đọc và ghi được và người dùng trong chủ sở hữu nhóm của file đó có thể đọc được và mọi người khác có thể đọc được. Theo tài liệu WordPress, các quyền trên file wp-config.php nên được đặt thành 440 hoặc 400 để ngăn người dùng khác trên máy chủ đọc được. Bạn có thể dễ dàng thay đổi điều này với ứng dụng FTP client của mình.

9. Vô hiệu hoá XML-RPC
Bạn có thể cài đặt plugin Disable XML-RPC miễn phí để vô hiệu hóa xmlrpc.php. Hoặc bạn có thể vô hiệu hóa nó bằng plugin Perfmatters premium cũng chứa các cải tiến về hiệu suất website.
10. Ẩn phiên bản WordPress của bạn
Càng ít người khác biết về cấu hình trang web WordPress của bạn càng tốt. Nếu họ thấy bạn đang chạy một bản cài đặt WordPress lỗi thời, đây có thể là một dấu hiệu để kẻ tấn công ngắm vào bạn.

Bạn có thể sử dụng code sau để thực hiện. Chỉ cần thêm nó vào file functions.php của theme WordPress.
function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');
Bạn cũng có thể sử dụng một plugin cao cấp như perfmatters cho phép bạn ẩn phiên bản WordPress đơn giản với việc tích chọn tính năng, cùng với các tối ưu hóa khác cho trang web WordPress .

11. Thêm bảo mật HTTP Header mới nhất
Một bước khác bạn có thể thực hiện để tăng cường bảo mật WordPress của mình là tận dụng các bảo mật HTTP Header. Chúng thường được cấu hình ở cấp máy chủ và cho trình duyệt biết cách hoạt động khi xử lý nội dung trang web của bạn. Có rất nhiều bảo mật HTTP Header khác nhau, nhưng dưới đây thường là những Header quan trọng nhất.
- Content-Security Policy.
- X-XSS-Protection.
- Strict-Transport-Security.
- X-Frame-Options.
- Public-Key-Pins.
- X-Content-Type.
12. Bảo mật Database
Theo mặc định, WordPress sử dụng wp_. Thay đổi điều này thành một cái gì đó như 47xw_ có thể an toàn hơn nhiều. Khi bạn cài đặt WordPress, nó sẽ yêu cầu một tiền tố bảng (như hình bên dưới).

13. Luôn sử dụng kết nối an toàn
Hãy đảm bảo rằng WordPress sử dụng biện pháp phòng ngừa như cung cấp SFTP hoặc SSH. SFTP hoặc Secure File Transfer Protocol (còn được gọi là giao thức truyền file SSH), là một giao thức mạng được sử dụng để truyền file. Đây là một phương pháp an toàn hơn so với FTP tiêu chuẩn.
Điều quan trọng nữa là đảm bảo rằng router tại nhà của bạn được thiết lập chính xác. Nếu ai đó tấn công mạng gia đình của bạn, họ có thể có quyền truy cập vào tất cả các loại thông tin, bao gồm cả nơi lưu trữ thông tin quan trọng về (các) trang web WordPress của bạn. Dưới đây là một số mẹo đơn giản:
- Không bật VPN. Người dùng thông thường không bao giờ sử dụng tính năng này và bằng cách tắt tính năng VPN, bạn có thể tránh để mạng của mình tiếp xúc với thế giới bên ngoài.
- Theo mặc định, các sử dụng các IP trong range như 192.168.1.1. Sử dụng một range khác, chẳng hạn như 10.9.8.7. Bật mức mã hóa cao nhất trên Wifi của bạn.
- Whitelist IP cho Wifi của bạn để chỉ những người có mật khẩu và IP nhất định mới có thể truy cập.
14. Kiểm tra quyền đối với file và máy chủ
Bạn có thể sử dụng một plugin miễn phí như iThemes Security để quét các quyền trên trang WordPress của mình.

Dưới đây là một số khuyến nghị về phân quyền khi nói đến file và thư mục trong WordPress.
- Tất cả các file phải là 644 hoặc 640. Ngoại lệ: wp-config.php phải là 440 hoặc 400 để ngăn người dùng khác trên máy chủ đọc được.
- Tất cả các thư mục phải là 755 hoặc 750.
- Không có thư mục nào được cung cấp 777, ngay cả khi tải lên các thư mục mới.
15. Tắt chỉnh sửa File trong WordPress Dashboard
Nếu website WordPress của bạn bị tấn công, điều đầu tiên người tấn công có thể làm là cố gắng chỉnh sửa file hoặc theme PHP thông qua Trình chỉnh sửa giao diện. Đây là một cách nhanh chóng để chúng thực thi mã độc trên trang web của bạn. Nếu chúng không có quyền truy cập vào từ dashboard, thì trước tiên, nó có thể giúp ngăn chặn các cuộc tấn công. Đặt mã sau vào tệp wp-config.php của bạn để xóa khả năng ‘edit_themes’, ‘edit_plugins’ và ‘edit_files’ của tất cả người dùng.
define('DISALLOW_FILE_EDIT', true);
16. Ngăn chặn liên kết nóng
Khái niệm liên kết nóng rất đơn giản. Bạn tìm thấy một hình ảnh trên Internet và sử dụng URL của hình ảnh đó trực tiếp trên trang web của bạn. Hình ảnh này sẽ được hiển thị trên trang web của bạn nhưng nó sẽ được phục vụ từ vị trí ban đầu. Ngăn chặn điều này để website của bạn tiết kiệm được tài nguyên.
Bạn có thể dùng plugin WP Rocket để hỗ trợ tính năng này.
17. Luôn luôn Backup
Backup là thứ mà mọi người đều biết sẽ cần nhưng không phải lúc nào cũng dùng. Hầu hết các khuyến nghị ở trên là các biện pháp bảo mật mà bạn có thể thực hiện để bảo vệ mình tốt hơn. Nhưng cho dù trang web của bạn có bảo mật đến đâu, nó sẽ không bao giờ an toàn 100%. Vì vậy, bạn sẽ muốn backup trong trường hợp xấu nhất xảy ra.
Hầu hết các nhà cung cấp dịch vụ WordPress Hosting đều có dịch vụ backup.
18. Chống DDoS
Bạn có thể sử dụng các dịch vụ chống tấn công DDoS như ở Vietnix, CloudFlare…
Vietnix có cung cấp Hosting chống DDoS cơ bản và các gói Firewall Anti DDoS với giá cả hợp lí và tích hợp khả năng ngăn chặn các kiểu đánh thông thường ở Việt Nam. Firewall của Vietnix luôn cập nhật các phiên bản mới nhất để bảo vệ khách hàng tránh các cuộc tấn công.
Xem thêm: 13 bước bảo trì WordPress quan trọng cần thực hiện thường xuyên
Vietnix là một trong những nhà cung cấp dịch vụ phòng chống DDoS tốt nhất Việt Nam hiện nay. Với hơn 11 năm kinh nghiệm cung cấp dịch vụ chống DDoS cho Server/VPS Việt Nam, Vietnix tự tin đem đến cho bạn dịch vụ Anti DDoS hiệu quả với chi phí hợp lý giúp hệ thống hoạt động ổn định, gia tăng doanh thu và uy tín.
Bảo mật WordPress bằng cPanel
Chống tấn công DDoS là một giải pháp an ninh khá phức tạp, áp dụng cho mọi nền tảng. Bảo mật WordPress với cPanel cũng đòi hỏi bạn phải tìm hiểu nhiều hơn so với người dùng WordPress cơ bản. Tuy nhiên, bạn hoàn toàn có thể tự thực hiện theo hướng dẫn dưới đây để bảo mật website của mình.
Xem thêm: cPanel là gì?
Tăng cường bảo mật với WordPress Toolkit cho cPanel
WordPress Toolkit cho cPanel là một giải pháp quản lý WordPress hoàn chỉnh với giao diện trực quan. Bạn có thể coi nó như một bảng điều khiển kiểm soát tất cả các trang web WordPress của mình. Nó tự động hóa các tác vụ lưu trữ WordPress, bao gồm cài đặt, cập nhật và backup. Nó cũng hiển thị các chỉnh sửa cấu hình. Nếu không, bạn phải tìm hiểu kỹ trong giao diện admin hoặc chỉnh sửa file config để thay đổi.
WordPress security là một trong những nơi mà WordPress Toolkit thực sự thể hiện rõ vai trò. Đầu tiên, nó áp dụng các bản sửa lỗi cho các lỗ hổng nghiêm trọng trong quá trình cài đặt. Vì vậy các trang web được bảo mật trước khi chúng trực tuyến. Thứ hai, nó quét các trang web hiện có để tìm các cài đặt bảo mật dưới mức tối ưu và có thể sửa chúng rất dễ dàng.
Để bảo mật WordPress với cPanel, bạn sẽ cần:
- Một phiên bản cPanel đã cài đặt WordPress ToolKit.
- Giấy phép WordPress Toolkit Deluxe.
Bạn có thể tìm thấy WordPress Toolkit ở trong Application trên cPanel. Các trang web được liệt kê trên trang tổng quan với thông tin trạng thái và công tắc cấu hình.

Nếu bạn xem xét kỹ hơn trang web thứ hai, bạn sẽ nhận thấy rằng bên dưới tiêu đề Status, dòng Security có nội dung Check Security. WordPress Toolkit đã quét trang web và nhận thấy rằng một trong số các phương pháp bảo mật website ít quan trọng đã không được áp dụng. Trang web đầu tiên đã được là cứng, vì vậy nó sẽ hiểu thị View Settings.

Bạn cũng có thể thấy Fix Security tại đây. Có nghĩa là các biện pháp bảo mật quan trọng chưa được áp dụng.
Chúng ta có thể nhấp vào để mở Security Status. Bảng này hiển thị tất cả các biện pháp bảo mật mà WordPress Toolkit có thể áp dụng.

Bạn có thể áp dụng từng biện pháp riêng lẻ bằng cách chọn ô bên cạnh và nhấp vào Security. Chúng có thể được hoàn tác, nếu bạn muốn, bằng cách chọn chúng và nhấp vào Revert. Nhưng Vietnix muốn thao tác bảo mật WordPress với cPanel của bạn đơn giản và nhanh chóng hơn. Để làm điều đó, bạn nên chọn ô Security Measures và nhấp vào nút Secure.

Đặc biệt, khi đăng ký sử dụng dịch vụ hosting tại Vietnix, bạn sẽ bạn sẽ được nhận miễn phí công cụ WordPress Toolkit và bộ quà tặng theme và plugin WordPress hỗ trợ cài đặt nền tảng nhanh chóng, xây dựng website một cách dễ dàng, tiện lợi và tiết kiệm thời gian.
Cám ơn bài viết rất hay và bổ ích, xin cám ơn