Các mẹo bảo mật WordPress có thể hành động của 10 cho Layman

Bài viết được viết bởi:
  • WordPress
  • Cập nhật: Jun 06, 2018

Kể từ khi nó được giới thiệu lần đầu tiên trong hơn hai thập kỷ trước, WordPress đã phát triển (và phát triển) bây giờ một cách an toàn được đặt tên là hệ thống quản lý nội dung phổ biến nhất thế giới. Hôm nay, hơn một phần tư các trang web tồn tại được chạy trên WordPress.

Tuy nhiên, từ thời xa xưa, một cái gì đó phổ biến hơn là, càng có nhiều người muốn tận dụng nó cho những phương tiện bất chính. Chỉ cần nhìn vào Microsoft Windows và số lượng lớn phần mềm độc hại, vi-rút và các phần khai thác khác được thiết kế để chỉ nhắm mục tiêu đến một hệ điều hành cụ thể này.

Các phiên bản WordPress 10 với hầu hết các lỗ hổng (nguồn). Nghiên cứu trong 2017 xác định 74 phiên bản khác nhau của WordPress trong Alexa Top 1 triệu trang web; 11 của các phiên bản này không hợp lệ - ví dụ như phiên bản 6.6.6 (nguồn).

Tại sao blog WordPress của bạn là một mục tiêu có giá trị?

Trong trường hợp bạn đang tự hỏi tại sao trên trái đất một hacker sẽ muốn kiểm soát blog WordPress của bạn, có một số lý do bao gồm;

  • Sử dụng nó để bí mật gửi email spam
  • Ăn cắp dữ liệu của bạn như danh sách gửi thư hoặc thông tin thẻ tín dụng
  • Thêm trang web của bạn vào botnet mà họ có thể sử dụng sau

May mắn thay, WordPress là một nền tảng cung cấp cho bạn vô số cơ hội để tự bảo vệ mình. Sau khi đã giúp thiết lập và quản lý một số trang web và blog, tôi muốn chia sẻ với bạn một số điều cơ bản hơn bạn có thể làm để giúp bảo mật trang web WordPress của mình.

Dưới đây là các mẹo bảo mật có thể thực hiện 10 mà bạn có thể sử dụng.

Mẹo #1. Chọn tên người dùng quản trị viên tốt

Từ kinh nghiệm, hầu hết các nỗ lực hack trang web cố gắng đăng nhập với ba lựa chọn chính của tên người dùng. Hai cái đầu tiên luôn là 'admin' hoặc 'administrator', trong khi cái thứ ba thường dựa trên tên miền của bạn.

Ví dụ: nếu trang web của bạn là crazymonkey33.com, tin tặc có thể cố đăng nhập bằng 'crazymonkey33'.

Không phải là một ý tưởng tốt.

Tiền boa #2. Đảm bảo sử dụng mật khẩu mạnh

Bởi bây giờ bạn có thể nghĩ rằng mọi người sẽ biết sử dụng mật khẩu mạnh, phức tạp để bảo vệ tài khoản của họ, nhưng vẫn còn nhiều người nghĩ rằng 'mật khẩu' là một điều tuyệt vời.

Mật khẩu mạnh sẽ bao gồm hỗn hợp:

  • Các ký tự viết hoa trên và dưới
  • Chữ và số (AZ và az)
  • Bao gồm một ký tự đặc biệt (!, @, #, $, V.v.)
  • Tối thiểu 8 ký tự

Mật khẩu của bạn càng ngẫu nhiên, nó sẽ an toàn hơn. Hãy thử trình tạo mật khẩu ngẫu nhiên này nếu bạn gặp sự cố khi đến với trình tạo mật khẩu. https://passwordsgenerator.net/

Mẹo #3. Triển khai reCaptcha

Tường chương trình tắt từ blog WP của bạn.

reCaptcha được thiết kế để ngăn các công cụ tự động hoạt động trên một trang web. Tất nhiên, với sự phức tạp của các công cụ hack ngày nay, chúng có thể dễ dàng bị bỏ qua, nhưng ít nhất có thêm lớp bảo mật.

một số plugin reCaptcha bạn có thể sử dụng với cài đặt của bạn sẽ hoạt động khá nhiều trong hộp.

Mẹo #4. Sử dụng xác thực hai yếu tố (2FA)

2FA là phương thức xác thực yêu cầu xác minh đăng nhập của bạn. Ví dụ: khi bạn đã đăng nhập bằng tên người dùng và mật khẩu của mình, hệ thống có thể gửi SMS đến điện thoại di động của bạn hoặc gửi email cho bạn bằng mã bạn cần nhập để xác minh danh tính của mình.

Phương pháp xác thực này cung cấp sự bảo vệ tốt và được sử dụng bởi nhiều ngân hàng và tổ chức tài chính hiện nay. Một lần nữa, nhu cầu này có thể dễ dàng được đáp ứng với Plugin 2FA.

Xem cách miniOrange (plugin 2FA) hoạt động với đăng nhập WordPress trong video sau.

T

Mẹo #5. Đổi tên URL đăng nhập của bạn

Hầu hết các tin tặc sẽ cố gắng đăng nhập thông qua trang đăng nhập wordpress mặc định, thường là một cái gì đó như sample.com/wp-admin.

Để thêm một lớp bảo vệ khác, hãy thay đổi URL trang đăng nhập nhanh chóng và dễ dàng bằng một công cụ như Đăng nhập ẩn WPS.

Mẹo #6. Bảo vệ thư mục wp-admin của bạn

Thêm một lớp bảo mật bổ sung vào thư mục lưu trữ của bạn.

Thư mục wp-admin là trung tâm cài đặt WordPress của bạn. Là một biện pháp bảo vệ bổ sung, mật khẩu bảo vệ thư mục này.

Để làm như vậy, bạn cần phải đăng nhập vào bảng điều khiển tài khoản lưu trữ của mình. Cho dù bạn đang sử dụng cPanel or Plesk, tùy chọn bạn đang tìm kiếm là 'Thư mục bảo vệ bằng mật khẩu'.

Tiền boa #7. Sử dụng SSL để mã hóa dữ liệu

Kết nối HTTP vs HTTPS (Nguồn: Sucuri)

Ngoài chính trang web, bạn cũng sẽ muốn bảo vệ kết nối giữa bạn và máy chủ và đây là nơi SSL đến để mã hóa thông tin liên lạc của bạn. Bằng cách có kết nối được mã hóa, tin tặc sẽ không thể chặn dữ liệu (chẳng hạn như mật khẩu của bạn) khi bạn liên lạc với máy chủ của mình.

Bên cạnh đó, nó cũng là thực hành tốt để thực hiện SSL ngay từ khi công cụ tìm kiếm ngày càng trừng phạt các trang web mà họ coi là 'không an toàn'.

Tìm hiểu thêm về SSL trong toàn diện của chúng tôi Hướng dẫn AZ về SSL.

Mẹo #8. Đảm bảo TẤT CẢ phần mềm của bạn được cập nhật

Không có vấn đề làm thế nào tốt hay đắt tiền là phần mềm, sẽ luôn có những điểm yếu mới được tìm thấy trong họ mà có thể để chúng mở để khai thác. WordPress không là ngoại lệ và nhóm phát hành liên tục các phiên bản mới hơn với các bản sửa lỗi và cập nhật.

Tin tặc hầu như luôn tìm cách tận dụng điểm yếu và một khai thác được biết đến mà không được gắn liền là chỉ đơn giản là yêu cầu sự cố. Điều này tăng gấp đôi so với các plugin thường được tạo bởi nhiều công ty nhỏ hơn với ít tài nguyên hơn.

Nếu bạn đang sử dụng plugin, hãy đảm bảo rằng các bản cập nhật được phát hành thường xuyên hoặc xem xét tìm một bản cập nhật có chức năng tương tự được cập nhật.

Có nói điều này, tôi KHÔNG khuyên bạn sử dụng cập nhật WordPress và Plugin tự động, đặc biệt nếu bạn đang chạy một trang web trực tiếp. Một số cập nhật có thể gây ra sự cố, cho dù nội bộ hoặc xung đột với các plugin và cài đặt khác.

Lý tưởng nhất là tạo môi trường thử nghiệm phản chiếu trang web trực tiếp của bạn và kiểm tra các cập nhật tại đó. Khi bạn chắc chắn mọi thứ hoạt động tốt thì bạn có thể áp dụng bản cập nhật cho trang web trực tiếp.

Các bảng điều khiển như Plesk cung cấp cho bạn tùy chọn tạo bản sao trang cho mục đích này.

Mẹo #9. Sử dụng mạng phân phối nội dung (CDN)

Mặc dù điều này có thể không lưu trang web của bạn khỏi bị tấn công nhưng nó giúp giảm thiểu các cuộc tấn công độc hại chống lại nó. Một số tin tặc nhằm mục đích đưa trang web xuống, khiến họ không thể tiếp cận được với công chúng. Một CDN sẽ giúp bạn tránh được đòn tấn công từ chối dịch vụ phân tán trên trang web của bạn.

Bên cạnh đó, nó cũng giúp tăng tốc độ trang web của bạn một chút bằng cách đệm một số nội dung. Để khám phá tùy chọn này, hãy xem xét CloudFlare làm ví dụ. CloudFlare cung cấp dịch vụ CDN ở mức giá nhiều tầng, vì vậy bạn thậm chí có thể sử dụng các tính năng cơ bản miễn phí. https://www.cloudflare.com

Mẹo #10. Sao lưu, sao lưu và sao lưu!

Không có vấn đề gì biện pháp an ninh hoặc làm thế nào bạn thận trọng, tai nạn xảy ra. Tiết kiệm cho mình một từ một đau lòng nghiền nát và hàng trăm giờ làm việc bằng cách chỉ đơn giản là đảm bảo rằng bạn có đủ dịch vụ sao lưu tại chỗ.

Thông thường máy chủ web của bạn sẽ đi kèm với một số tính năng sao lưu cơ bản ít nhất, nhưng nếu bạn hoang tưởng như tôi, luôn luôn đảm bảo rằng bạn thực hiện sao lưu độc lập của riêng bạn. Sao lưu không đơn giản như chỉ sao chép ra một số tệp, mà còn xem xét thông tin trong cơ sở dữ liệu của bạn.

Hãy tìm một giải pháp sao lưu đã được thử và chứng minh. Ngay cả một khoản đầu tư nhỏ cũng đáng để tiết kiệm nước mắt trong trường hợp khẩn cấp. Cái gì đó như BackupBuddy có thể giúp bạn lưu mọi thứ, kể cả cơ sở dữ liệu của bạn cùng một lúc.

Tiền thưởng Mẹo: Số lượng máy chủ web của bạn!

Mặc dù truyền thống, các công ty lưu trữ web chỉ đơn giản là cung cấp không gian cho chúng tôi để lưu trữ các trang web của chúng tôi, thời gian đã thay đổi. Các nhà cung cấp dịch vụ lưu trữ web, công nhận nhu cầu cấp bách về tăng cường bảo mật, đã tăng cường, với nhiều dịch vụ giá trị gia tăng để bổ sung cho việc lưu trữ web của họ.

Lấy ví dụ HostGator, một trong những tên được thiết lập nhiều hơn trong trò chơi. Ngoài các tính năng Cloudflare cơ bản, HostGator (với mức giá $ 10 + / mo) cũng đi kèm với Bảo vệ chống spam miễn phí, Tự động loại bỏ phần mềm độc hại, Tự động sao lưu, Bảo mật miền và hơn thế nữa.

Nhà cung cấp dịch vụ lưu trữ WordPress được quản lý, Kinsta, xây dựng tường lửa phần cứng và chủ động giám sát các máy chủ của họ để phát hiện các cuộc tấn công phần mềm độc hại và DDoS với hệ thống được xây dựng tùy chỉnh.

Nếu đây là điều chưa xảy ra với bạn, tôi đặc biệt khuyến khích bạn xem xét các tính năng bảo mật mà máy chủ của bạn cung cấp và so sánh với các tính năng hiện có sẵn.

Để có danh sách toàn diện, bạn có thể xem Phần tổng hợp các máy chủ web của WHSR tại đây.

Giờ thì sao?

Trước khi bạn chạy hoang dã và bắt đầu cọ rửa Internet trong hoảng loạn tìm kiếm một triệu và một giải pháp bảo mật - hãy hít thở sâu. Như với mọi thứ khác, ai đó sẽ giúp bạn hoảng sợ và tìm kiếm giải pháp.

Ngay cả khi bạn triển khai nhiều giải pháp bảo mật như bạn có thể tìm thấy, bạn có chắc chắn bạn an toàn rồi?

Đây là nơi mà một cái gì đó như An ninh Ninja đi vào, giúp bạn thăm dò trang web của bạn để tìm điểm yếu.

Bản trình diễn nhanh: Cách hoạt động của Security Ninja.

Có một vài lý do thuyết phục để sử dụng một cái gì đó như Security Ninja nhưng hãy để tôi nói rằng đó là một công cụ mà tôi khuyên bạn nên sử dụng ở nhiều giai đoạn trong hành trình của bạn để bảo mật trang web của bạn.

Trước tiên, hãy chạy nó trên trang web của bạn 'nguyên trạng' - trước khi thực hiện bất kỳ thay đổi nào. Hãy để các plugin poke và prod trang web của bạn trước khi cho bạn kết quả.

Sau đó, dựa trên những kết quả đó, hãy hướng tới việc bảo vệ trang web của bạn. An ninh Ninja thực hiện nhiều hơn 50 kiểm tra để thăm dò phòng thủ của bạn. Ngay cả sau khi bạn đã thực hiện thay đổi, hãy chạy lại (và mỗi khi có thay đổi trang web hoặc cập nhật plugin) chỉ để kiểm tra trang web của bạn.

Nếu điều này nghe có vẻ hơi quá nhiều công việc cho bạn, Security Ninja cũng đi kèm với một loạt các mô-đun bổ sung (phiên bản chuyên nghiệp, trang web đơn $ 29) có thể giúp bạn khắc phục các sự cố mà nó tìm thấy.

Một số tính năng chính khác trong các mô-đun này bao gồm:

  • Quét các tệp lõi WP để xác định tệp có vấn đề
  • Khôi phục các tệp đã sửa đổi chỉ với một cú nhấp chuột
  • Khắc phục sự cố tự động cập nhật WP bị hỏng
  • Cấm 600 triệu IP xấu được thu thập từ hàng triệu trang web bị tấn công
  • Liệt kê cập nhật tự động, không cần bất kỳ công việc bảo trì hoặc thủ công nào
  • Bảo vệ biểu mẫu đăng nhập khỏi các cuộc tấn công bạo lực

Kết luận:

Trong khi tất cả điều này có vẻ hơi quá mức đối với người dùng WordPress trung bình, tôi đảm bảo với bạn rằng tất cả điều đó (và nhiều hơn nữa) là cần thiết. Bỏ qua số liệu thống kê hacking trên toàn thế giới và không biết gì trong một thời gian, hãy để tôi chia sẻ với bạn một số thông tin cá nhân trên một trong những trang web tối nghĩa nhất mà tôi quản lý.

Ban đầu bắt đầu như một trang tiểu sử đơn giản, tôi đã tạo www.timothyshim.com. Rõ ràng, nó chỉ là một cái gì đó mà tôi thiết lập và hầu hết thời gian để lại một mình, chỉ đơn giản là một điểm tham chiếu. Trên mỗi khoảng thời gian dài một tháng, trang web này về cơ bản không có gì và không thu thập dữ liệu, đối mặt với các cuộc tấn công 30 - một sự kết hợp giữa lực lượng vũ phu và những người phức tạp.

Tất cả những gì cần là để một trong số họ thành công và tôi sẽ có một có thật không ngày tồi tệ.

Về Timothy Shim

Timothy Shim là một nhà văn, biên tập viên, và đam mê công nghệ. Bắt đầu sự nghiệp của mình trong lĩnh vực Công nghệ thông tin, anh nhanh chóng tìm được cách in ấn và từ đó đã làm việc với các tiêu đề truyền thông quốc tế, khu vực và trong nước bao gồm ComputerWorld, PC.com, Business Today và The Asian Banker. Chuyên môn của ông nằm trong lĩnh vực công nghệ từ cả người tiêu dùng cũng như quan điểm của doanh nghiệp.

Kết nối: