8 cách bảo vệ trang web WordPress khỏi tấn công brute force

Cuộc tấn công bằng brute force có thể làm chậm trang web của bạn, khiến website không thể truy cập và thậm chí có khả năng đánh mật khẩu để cài đặt phần mềm độc hại lên trang web. Để tránh những rắc rối này, hãy cùng Vietnix tham khảo cách bảo vệ trang web WordPress khỏi tấn công brute force có trong bài viết sau.

8 cách bảo vệ trang web WordPress khỏi tấn công brute force đơn giản

1. Cài đặt một plugin firewall cho WordPress

Các tấn công bằng brute force đặt một lượng lớn áp lực lên server. Ngay cả những cuộc tấn công không thành công cũng có thể làm chậm trang web hoặc làm crash server hoàn toàn. Điều này là lý do tại sao việc chặn chúng trước khi chúng tiếp cận server rất quan trọng.

Để làm điều đó, bạn sẽ cần một giải pháp firewall cho trang web. Firewall sẽ lọc traffic không mong muốn và chặn chúng trước khi tiếp cận trang web.

Cài đặt plugin firewall để bảo vệ trang web WordPress khỏi tấn công brute force — Cài đặt plugin firewall để bảo vệ trang web WordPress

Có hai loại firevall cho trang web mà bạn có thể sử dụng:

Firewall ở mức ứng dụng: Kiểm tra traffic khi đến server của bạn, trước khi tải nhiều WordPress script. Phương pháp này không hiệu quả vì cuộc tấn công bằng brute force vẫn có thể ảnh hưởng đến việc tải server.
Firewall cho website ở mức DNS: Định tuyến traffic qua các cloud proxy server. Điều này cho phép họ chỉ gửi traffic thực sự đến hosting server chính trong khi cải thiện tốc độ và hiệu suất WordPress.

Bạn có thể sử dụng Sucuri để bảo mật trang web, họ có một firewall cho trang web ở mức DNS, điều này có nghĩa là tất cả traffic trang web của bạn đi qua máy chủ proxy của họ, nơi traffic không mong muốn sẽ được lọc ra.

Để đảm bảo website WordPress của bạn hoạt động một cách nhanh chóng và ổn định, bạn có thể tham khảo sử dụng dịch vụ WordPress Hosting của Vietnix. Các gói WordPress Hosting đều được tích hợp sẵn công nghệ Vietnix Firewall độc quyền do Vietnix nghiên cứu và phát triển, giúp chống lại cả tấn công DDoS lẫn brute force một cách toàn diện. Nhờ đó, website của bạn sẽ luôn duy trì tính ổn định và có khả năng đứng vững trước mọi cuộc tấn công, không ảnh hưởng đến các hoạt động kinh doanh trực tuyến của bạn.

Liên hệ ngay với Vietnix để được hỗ trợ tư vấn chi tiết về dịch vụ!

Cơ bản

63,000đ

/tháng

15%

53,550đ

1 Core

1GB RAM

1 GB NVME

1 Domain

Backup tự động 4 lần/ngày

1 - 5.000 Traffic/tháng

Tặng theme & plugin trị giá 26 triệu

Plugin: WP Rocket
Plugin: Rank Math SEO Pro
Plugin: Elementor Pro
Plugin: itheme Security Pro
Plugin: WPML
Plugin: WP Smush Pro
Theme: Divi
Theme + plugin: WP Astra Growth Bundle
Theme + plugin: MyThemeShop

Bán chạy nhất

Tiêu chuẩn

199,800đ

/tháng

15%

169,830đ

3 Core

6GB RAM

10 GB NVME

2 Domain

Backup tự động 4 lần/ngày

5.000 - 15.000 Traffic/tháng

Tặng theme & plugin trị giá 26 triệu

Plugin: WP Rocket
Plugin: Rank Math SEO Pro
Plugin: Elementor Pro
Plugin: itheme Security Pro
Plugin: WPML
Plugin: WP Smush Pro
Theme: Divi
Theme + plugin: WP Astra Growth Bundle
Theme + plugin: MyThemeShop

Nâng cao

481,500đ

/tháng

15%

409,275đ

8 Core

12GB RAM

25 GB NVME

4 Domain

Backup tự động 4 lần/ngày

15.000 - 100.000 Traffic/tháng

Tặng theme & plugin trị giá 26 triệu

Plugin: WP Rocket
Plugin: Rank Math SEO Pro
Plugin: Elementor Pro
Plugin: itheme Security Pro
Plugin: WPML
Plugin: WP Smush Pro
Theme: Divi
Theme + plugin: WP Astra Growth Bundle
Theme + plugin: MyThemeShop

Xem Thêm

2. Cài đặt cập nhật cho WordPress

Một số cuộc tấn công bằng brute force thường có mục tiêu chủ yếu là các lỗ hổng đã biết trong các phiên bản cũ của WordPress, các plugin phổ biến hoặc các theme của WordPress.

WordPress core và hầu hết các plugin phổ biến của WordPress đều là mã nguồn mở, và các lỗ hổng thường được khắc phục rất nhanh với bản cập nhật. Tuy nhiên, nếu bạn không cài đặt các cập nhật, trang web dễ bị tấn công từ những mối đe dọa cũ.

Chỉ cần vào trang Dashboard > Updates trong WordPress admin area để kiểm tra các cập nhật có sẵn. Trang này sẽ hiển thị tất cả các cập nhật cho hệ thống WordPress core, plugin và theme.

Vào Dashboard chọn Updates tại WordPress admin area

3. Bảo vệ thư mục quản trị WordPress

Hầu hết các cuộc tấn công brute force vào một trang web WordPress đều cố gắng truy cập vào WordPress admin area. Bạn có thể thêm bảo vệ mật khẩu cho thư mục WordPress admin ở mức server. Điều này sẽ chặn việc truy cập trái phép vào WordPress admin area.

Chỉ cần đăng nhập vào WordPress hosting control panel (cPanel) và nhấp vào biểu tượng Directory Privacy trong phần Files.

Chọn Directory Privacy trong Files tại cPanel

Tiếp theo, bạn cần tìm thư mục wp-admin. Khi tìm thấy, bạn nên nhấp vào tên thư mục.

cPanel sẽ yêu cầu bạn cung cấp tên cho thư mục bị hạn chế, tên người dùng và mật khẩu. Sau khi nhập thông tin này, hãy nhấp vào Save button để lưu cài đặt.

Nhấn Save button để lưu sau khi cung cấp thông tin

Thư mục WordPress admin hiện đã được bảo vệ bằng mật khẩu. Khi bạn truy cập khu vực quản trị WordPress của mình, bạn sẽ thấy một thông báo đăng nhập mới.

Nếu bạn gặp lỗi 404 hoặc thông báo lỗi quá nhiều chuyển hướng, thì bạn cần thêm dòng sau vào file .htaccess của WordPress:

	ErrorDocument 401 default

4. Thêm xác thực hai yếu tố vào WordPress

Xác thực hai yếu tố thêm một lớp bảo mật bổ sung cho màn hình đăng nhập WordPress. Người dùng sẽ cần sử dụng điện thoại của họ để tạo mã xác thực một lần kèm theo thông tin đăng nhập của họ để truy cập khu vực quản trị WordPress.

Thêm xác thực hai yếu tố sẽ làm cho việc hacker truy cập trở nên khó khăn hơn, ngay cả khi họ có thể đoán được mật khẩu WordPress của bạn.

5. Sử dụng mật khẩu mạnh

Mật khẩu là chìa khóa để truy cập trang web WordPress hoặc cửa hàng thương mại điện tử. Bạn cần sử dụng mật khẩu độc đáo và mạnh mẽ cho tất cả các tài khoản của mình. Một mật khẩu mạnh là sự kết hợp của số, chữ cái và ký tự đặc biệt.

Quan trọng là bạn cần sử dụng mật khẩu mạnh không chỉ cho tài khoản người dùng WordPress mà còn cho FTP client, web hosting control panel và WordPress database.

6. Tắt chức năng duyệt thư mục

Khi web server không tìm thấy file index (như index.php hoặc index.html), chúng tự động hiển thị một trang index cho thấy nội dung của thư mục.

Tắt chức năng duyệt thư mục để tránh bị tấn công

Trong quá trình tấn công, hacker có thể sử dụng tính năng duyệt thư mục như vậy để tìm các file có lỗ hổng. Để khắc phục điều này, bạn cần thêm dòng sau vào cuối file .htaccess của WordPress bằng dịch vụ FTP:

	Options -Indexes

7. Tắt khả năng thực thi file PHP trong các thư mục cụ thể

Hacker có thể muốn cài đặt và thực thi một PHP script trong các thư mục WordPress. WordPress được viết chủ yếu bằng PHP, điều này có nghĩa bạn không thể vô hiệu hóa trong tất cả các thư mục WordPress.

Tuy nhiên, có một số thư mục không cần thiết tới bất kỳ PHP script nào, chẳng hạn như thư mục upload của WordPress nằm tại /wp-content/uploads.

Bạn có thể an toàn tắt khả năng thực thi PHP trong thư mục upload, đó là nơi mà hacker thường sử dụng để ẩn các backdoor file.

Trước hết, bạn cần mở một trình soạn thảo văn bản như Notepad trên máy tính và dán code sau:

<Files *.php>
deny from all
</Files>

8. Cài đặt và cấu hình plugin sao lưu

Sao lưu là công cụ quan trọng nhất trong biện pháp bảo mật WordPress. Nếu tất cả các biện pháp khác thất bại, thì sao lưu sẽ cho phép bạn dễ dàng khôi phục lại trang web của mình. Hầu hết các công ty hosting cung cấp các tùy chọn sao lưu hạn chế. Tuy nhiên, các bản sao lưu này không được đảm bảo, và bạn hoàn toàn chịu trách nhiệm tạo sao lưu của riêng mình.

Có nhiều plugin sao lưu WordPress tuyệt vời cho phép bạn lên lịch tự động sao lưu, Duplicator là một trong số đó. Đây là một plugin thân thiện với người mới và cho phép bạn nhanh chóng thiết lập sao lưu tự động và lưu chúng ở các vị trí từ xa như Google Drive, Dropbox, Amazon S3, One Drive và nhiều nơi khác.

Duplicator là plugin sao lưu WordPress linh hoạt

Tất cả các mẹo đã được đề cập ở trên sẽ giúp bạn bảo vệ trang web WordPress của mình khỏi các cuộc tấn công bằng brute force.

Ngoài cách bảo vệ trang web WordPress khỏi tấn công brute force, bạn có thể quan tâm:

Xem thêm:Cách buộc đăng xuất tất cả người dùng trong WordPress đơn giản
Xem thêm:Bảo mật tên miền là gì? Các nguyên tắc bảo mật an toàn tuyệt đối
Xem thêm:Hướng dẫn bảo mật cho WordPress
Xem thêm:Lỗ hổng bảo mật là gì? Những lỗ hổng bảo mật phổ biến hiện nay
Xem thêm:Hướng dẫn chống DDoS cho website, VPS và server hiệu quả nhất

Nếu cần giải pháp hosting tốc độ cao, tối ưu cho website WordPress, bạn có thể yên tâm lựa chọn Vietnix. Đây là đơn vị chuyên nghiệp hàng đầu Việt Nam trong lĩnh vực cung cấp hosting, VPS tốc độ cao. Một số thành tựu nổi bật của Vietnix đó là:

Có 11 năm kinh nghiệm cung cấp dịch vụ hosting, VPS.
Sở hữu công nghệ chống DDoS độc quyền tại Việt Nam, giúp website luôn hoạt động ổn định, đứng vững trước tấn công.
Đồng hành với hơn 50.000 khách hàng cá nhân lẫn doanh nghiệp như iVIVU.com, Vietnamwork, KINGFOOD, UBGroup, GTV và nhiều thương hiệu khác.
Nhận giải Thương hiệu Việt Nam xuất sắc 2022.
97% khách hàng sau khi trải nghiệm dịch vụ đều có đánh giá 5 sao và giới thiệu cho bạn bè, người thân sử dụng.

Vietnix - Dịch vụ hosting, VPS tốc độ cao — Vietnix – Dịch vụ hosting, VPS tốc độ cao

Liên hệ ngay với Vietnix để được tư vấn chi tiết:

Địa chỉ: 265 Hồng Lạc, Phường 10, Quận Tân Bình, Thành Phố Hồ Chí Minh
Hotline: 1800 1093
Email: sales@vietnix.com.vn

Lời kết

Vietnix hy vọng nội dung trên đã giúp bạn hiểu được cách bảo vệ trang web WordPress khỏi tấn công brute force. Ngoài bài viết này, bạn cũng có thể tham khảo thêm các bài viết khác tại vietnix.vn để áp dụng cho website của mình, chúc bạn thành công!