1. Brute Force Attack là gì?
Tưởng tượng hacker nắm trong tay một danh sách rất lớn các username và mật khẩu phổ biến hay được sử dụng. Sau đó họ gửi liên tục các truy vấn đăng nhập vào file wp-login.php của bạn và nếu tài khoản nào sai, nó sẽ bỏ qua và thử tiếp tài khoản khác. Cứ lần lượt như vậy, sau đó lại “trộn” mật khẩu đến khi nào đăng nhập được thì thôi. Đó là brute force attack.
1. Khi nào dễ bị brute force attack?
Hình thức tấn công này dễ phòng chống nhưng lại rất dễ bị dính nếu bạn chủ quan trong việc đặt mật khẩu và username của mình. Thường thì bạn sẽ dễ bị tấn công kiểu này khi:
- Đặt username là admin, administrator hoặc tương tự.
- Mật khẩu không an toàn, dễ đoán ra, sử dụng phổ biến.
- Không bảo mật đường dẫn đăng nhập.
- Không thay đổi mật khẩu thường xuyên.
- Như vậy, các vấn đề liên quan đến bảo mật tài khoản đăng nhập sẽ đều giúp cho hacker sử dụng brute force attack để tấn công.
2. Làm thế nào để chống Brute Force Attack?
Muốn chống được brute force attack thì bạn cần follow theo các checklist sau:
- Tên đăng nhập khó đoán ra.
- Mật khẩu dài, mạnh, có ký tự đặc biệt và không liên quan đến các thông tin cá nhân.
- Hạn chế số lần đăng nhập sai.
- Bảo mật đường dẫn đăng nhập.
- Thường xuyên thay đổi mật khẩu.
Vậy thì nếu bạn cần chống brute force attack, mình khuyến khích bạn kết hợp các plugin sau:
- Better WP Security – Có tính năng ẩn đường dẫn đăng nhập và hạn chế số lần đăng nhập sai.
- Login Security Solution – Bắt buộc sử dụng mật khẩu mạnh, bắt đổi mật khẩu định kỳ, hạn chế số lần đăng nhập.
- BruteProtect – Chặn các IP xấu hay các truy vấn kiểu brute force có trong dữ liệu của riêng họ.
- Limit Login Attemps – Đơn giản là hạn chế số lần đăng nhập sai.
Hoặc nếu bạn muốn an toàn hơn thì sử dụng thêm plugin KeyCaptcha để tạo mã kiểm tra bằng cách xếp ảnh, như thế web bạn sẽ không phải mất công xử lý truy vấn nữa.
OK vậy cơ bản là việc chống BRUTE FORCE ATTACK chỉ đơn giản là vậy. Nếu cần thiết bạn có thể liên hệ thêm với nhà cung cấp dịch vụ thuê hosting để nhờ họ tư vấn về vấn đề này.