8 cách bảo vệ trang web WordPress khỏi tấn công brute force dễ dàng

Lượt xem
Home

Cuộc tấn công bằng brute force có thể làm chậm trang web của bạn, khiến website không thể truy cập và thậm chí có khả năng đánh mật khẩu để cài đặt phần mềm độc hại lên trang web. Để tránh những rắc rối này, hãy cùng Vietnix tham khảo cách bảo vệ trang web WordPress khỏi tấn công brute force có trong bài viết sau.

8 cách bảo vệ trang web WordPress khỏi tấn công brute force đơn giản

1. Cài đặt một plugin firewall cho WordPress

Các tấn công bằng brute force đặt một lượng lớn áp lực lên server. Ngay cả những cuộc tấn công không thành công cũng có thể làm chậm trang web hoặc làm crash server hoàn toàn. Điều này là lý do tại sao việc chặn chúng trước khi chúng tiếp cận server rất quan trọng.

Để làm điều đó, bạn sẽ cần một giải pháp firewall cho trang web. Firewall sẽ lọc traffic không mong muốn và chặn chúng trước khi tiếp cận trang web.

Cài đặt plugin firewall để bảo vệ trang web WordPress khỏi tấn công brute force
Cài đặt plugin firewall để bảo vệ trang web WordPress

Có hai loại firevall cho trang web mà bạn có thể sử dụng:

  • Firewall ở mức ứng dụng: Kiểm tra traffic khi đến server của bạn, trước khi tải nhiều WordPress script. Phương pháp này không hiệu quả vì cuộc tấn công bằng brute force vẫn có thể ảnh hưởng đến việc tải server.
  • Firewall cho website ở mức DNS: Định tuyến traffic qua các cloud proxy server. Điều này cho phép họ chỉ gửi traffic thực sự đến hosting server chính trong khi cải thiện tốc độ và hiệu suất WordPress.

Bạn có thể sử dụng Sucuri để bảo mật trang web, họ có một firewall cho trang web ở mức DNS, điều này có nghĩa là tất cả traffic trang web của bạn đi qua máy chủ proxy của họ, nơi traffic không mong muốn sẽ được lọc ra.

2. Cài đặt cập nhật cho WordPress

Một số cuộc tấn công bằng brute force thường có mục tiêu chủ yếu là các lỗ hổng đã biết trong các phiên bản cũ của WordPress, các plugin phổ biến hoặc các theme của WordPress.

WordPress core và hầu hết các plugin phổ biến của WordPress đều là mã nguồn mở, và các lỗ hổng thường được khắc phục rất nhanh với bản cập nhật. Tuy nhiên, nếu bạn không cài đặt các cập nhật, trang web dễ bị tấn công từ những mối đe dọa cũ.

Chỉ cần vào trang Dashboard > Updates trong WordPress admin area để kiểm tra các cập nhật có sẵn. Trang này sẽ hiển thị tất cả các cập nhật cho hệ thống WordPress core, plugin và theme.

Vào Dashboard chọn Updates
Vào Dashboard chọn Updates tại WordPress admin area

3. Bảo vệ thư mục quản trị WordPress

Hầu hết các cuộc tấn công brute force vào một trang web WordPress đều cố gắng truy cập vào WordPress admin area. Bạn có thể thêm bảo vệ mật khẩu cho thư mục WordPress admin ở mức server. Điều này sẽ chặn việc truy cập trái phép vào WordPress admin area.

Chỉ cần đăng nhập vào WordPress hosting control panel (cPanel) và nhấp vào biểu tượng Directory Privacy trong phần Files.

Chọn Directory Privacy trong Files tại cPanel
Chọn Directory Privacy trong Files tại cPanel

Tiếp theo, bạn cần tìm thư mục wp-admin. Khi tìm thấy, bạn nên nhấp vào tên thư mục.

Tìm thư mục wp-admin
Tìm thư mục wp-admin

cPanel sẽ yêu cầu bạn cung cấp tên cho thư mục bị hạn chế, tên người dùng và mật khẩu. Sau khi nhập thông tin này, hãy nhấp vào Save button để lưu cài đặt.

Nhấn Save button để lưu sau khi cung cấp thông tin
Nhấn Save button để lưu sau khi cung cấp thông tin

Thư mục WordPress admin hiện đã được bảo vệ bằng mật khẩu. Khi bạn truy cập khu vực quản trị WordPress của mình, bạn sẽ thấy một thông báo đăng nhập mới.

Thông báo đăng nhập
Thông báo đăng nhập

Nếu bạn gặp lỗi 404 hoặc thông báo lỗi quá nhiều chuyển hướng, thì bạn cần thêm dòng sau vào file .htaccess của WordPress:

	ErrorDocument 401 default

4. Thêm xác thực hai yếu tố vào WordPress

Xác thực hai yếu tố thêm một lớp bảo mật bổ sung cho màn hình đăng nhập WordPress. Người dùng sẽ cần sử dụng điện thoại của họ để tạo mã xác thực một lần kèm theo thông tin đăng nhập của họ để truy cập khu vực quản trị WordPress.

Thêm xác thực hai yếu tố
Thêm xác thực hai yếu tố

Thêm xác thực hai yếu tố sẽ làm cho việc hacker truy cập trở nên khó khăn hơn, ngay cả khi họ có thể đoán được mật khẩu WordPress của bạn.

5. Sử dụng mật khẩu mạnh

Mật khẩu là chìa khóa để truy cập trang web WordPress hoặc cửa hàng thương mại điện tử. Bạn cần sử dụng mật khẩu độc đáo và mạnh mẽ cho tất cả các tài khoản của mình. Một mật khẩu mạnh là sự kết hợp của số, chữ cái và ký tự đặc biệt.

Quan trọng là bạn cần sử dụng mật khẩu mạnh không chỉ cho tài khoản người dùng WordPress mà còn cho FTP client, web hosting control panel và WordPress database.

6. Tắt chức năng duyệt thư mục

Khi web server không tìm thấy file index (như index.php hoặc index.html), chúng tự động hiển thị một trang index cho thấy nội dung của thư mục.

Tắt chức năng duyệt thư mục để tránh bị tấn công
Tắt chức năng duyệt thư mục để tránh bị tấn công

Trong quá trình tấn công, hacker có thể sử dụng tính năng duyệt thư mục như vậy để tìm các file có lỗ hổng. Để khắc phục điều này, bạn cần thêm dòng sau vào cuối file .htaccess của WordPress bằng dịch vụ FTP:

	Options -Indexes

7. Tắt khả năng thực thi file PHP trong các thư mục cụ thể

Hacker có thể muốn cài đặt và thực thi một PHP script trong các thư mục WordPress. WordPress được viết chủ yếu bằng PHP, điều này có nghĩa bạn không thể vô hiệu hóa trong tất cả các thư mục WordPress.

Tuy nhiên, có một số thư mục không cần thiết tới bất kỳ PHP script nào, chẳng hạn như thư mục upload của WordPress nằm tại /wp-content/uploads.

Bạn có thể an toàn tắt khả năng thực thi PHP trong thư mục upload, đó là nơi mà hacker thường sử dụng để ẩn các backdoor file.

Trước hết, bạn cần mở một trình soạn thảo văn bản như Notepad trên máy tính và dán code sau:

<Files *.php>
deny from all
</Files>

8. Cài đặt và cấu hình plugin sao lưu

Sao lưu là công cụ quan trọng nhất trong biện pháp bảo mật WordPress. Nếu tất cả các biện pháp khác thất bại, thì sao lưu sẽ cho phép bạn dễ dàng khôi phục lại trang web của mình. Hầu hết các công ty hosting cung cấp các tùy chọn sao lưu hạn chế. Tuy nhiên, các bản sao lưu này không được đảm bảo, và bạn hoàn toàn chịu trách nhiệm tạo sao lưu của riêng mình.

Có nhiều plugin sao lưu WordPress tuyệt vời cho phép bạn lên lịch tự động sao lưu, Duplicator là một trong số đó. Đây là một plugin thân thiện với người mới và cho phép bạn nhanh chóng thiết lập sao lưu tự động và lưu chúng ở các vị trí từ xa như Google Drive, Dropbox, Amazon S3, One Drive và nhiều nơi khác.

Duplicator là plugin sao lưu WordPress linh hoạt
Duplicator là plugin sao lưu WordPress linh hoạt

Tất cả các mẹo đã được đề cập ở trên sẽ giúp bạn bảo vệ trang web WordPress của mình khỏi các cuộc tấn công bằng brute force.

Ngoài cách bảo vệ trang web WordPress khỏi tấn công brute force, bạn có thể quan tâm:

Lời kết

Vietnix hy vọng nội dung trên đã giúp bạn hiểu được cách bảo vệ trang web WordPress khỏi tấn công brute force. Ngoài bài viết này, bạn cũng có thể tham khảo thêm các bài viết khác tại vietnix.vn để áp dụng cho website của mình, chúc bạn thành công!

Chia sẻ lên

Theo dõi trên

Logo Google new

Đánh giá

5/5 - (79 bình chọn)

Hoàng Vui

Kết nối với mình qua

Icon Quote
Icon Quote
Đăng ký nhận tin
Để không bỏ sót bất kỳ tin tức hoặc chương trình khuyến mãi từ Vietnix

Bình luận