Dưới đây là một số hậu quả phổ biến sẽ xảy ra nếu bạn không bảo mật tốt website của mình:
- Khóa quyền truy cập của người quản trị (bạn).
- Website của bạn không thể truy cập vào bất kỳ nội dung nào.
- Các quảng cáo không muốn tự nhiên xuất hiện – thường là do mã độc
- Hiệu suất (Tốc độ tải trang giảm).
- Tự động điều hướng tới những trang bạn không biết (spam liên kết).
- Giả danh chủ website để lừa đảo
- Đe dọa tống tiền để đổi lại sự an toàn.
- Đánh cắp tài khoản ngân hàng của khách – Thường xảy ra với các website bán hàng Online.
Quạn trọng nhất là khi công cụ tìm kiếm như Google phát hiện Blog của bạn bị hack và có mã độc thì không còn gì tệ hơn. Khi đó mọi nội dung đã được lập chỉ mục của bạn trên trang kết quả tìm kiếm sẽ bị đánh mất cho dù đó là top 10 hay top 100.
Điều này có nghĩa là công sức của bạn xây dựng bao lâu nay “Đổ sông đổ bể” và chẳng có khách hàng nào tự tìm đến bạn.
Đó là lý do tại sao bạn nên tiếp thu một chút kinh nghiệm bảo mật Website cho bản thân mình.
Đây là 3 cấp độ bạn sẽ phải trải qua:
- Thứ nhất là cơ bản: Thao tác bảo mật đơn giản từ cách tạo Website bằng WordPress cho đến những bước làm quen.
- Thứ 2 là trung bình: Những tính năng bảo mật mà một website có thể trang bị, đừng lo lắng về điều này vì đã có Plugin lo.
- Cuối cùng là nâng cao: Can thiệp vào các đoạn mã WordPress và Hosting của bạn, sẽ hơi khó một chút nhưng nếu chú ý bạn hoàn toàn có thể làm được.
A. Bảo mật WordPress cơ bản
Đã nói là cơ bản thì đã là giải pháp dễ nhất, bạn sẽ bắt gặp nó ngay từ những bước chập chững học làm website bằng WordPress.
Nếu bạn là một Fan trung thành của mình khi vừa bắt đầu với những hướng dẫn dành cho người mới thì dường như mình đã tích hợp ngay trong đó cho bạn. Chỉ là mình không nói hoặc không nói rõ đó là cách bảo mật website mà thôi.
1. Chọn nhà cung cấp hosting chất lượng
Có một hosting chất lượng sẽ đáp ứng một tiêu chí bảo mật rất lớn cho Website của bạn. Tuy nhiên đôi khi bạn chỉ nghĩ đơn thuần hosting chỉ cần chứa dữ liệu về website của bạn và làm cho nó thực hiện các chức năng trực tuyến là xong.
Đó thực ra là điều cơ bản, cái quan trọng là công nghệ của hosting đó như thế nào cũng như hỗ trợ kỹ thuật ra sao mới là chủ chốt.
Không ít những dịch vụ web hosting tự thổi phồng chất lượng này nọ đủ tiêu chí như dung lượng, tốc độ, quản trị dễ dàng…mà hiếm khi nhắc tới bảo mật cũng như công nghệ được trang bị cho nó.
2. Mã hóa dữ liệu với chứng chỉ SSL
Là một trong những tiêu chuẩn bảo mật hàng đầu dành cho mọi website bao gồm cả WordPress. Đây là một giao thức giúp đảm bảo độ an toàn trong quá trình truyền dữ liệu giữa máy chủ và trình duyệt web.
SSL cũng là một yếu tố trong SEO mà Google đặt ra nếu bạn muốn xếp hạng cao trên công cụ tìm kiếm. Và quan trọng SSL sẽ làm tăng độ tin cậy cho website của bạn với ổ khóa màu xanh cùng tiền tố https:// trên địa chỉ trình duyệt.
Chúng được giới thiệu bởi những dịch vụ liên quan về web với giá cũng khá chát, thường thì khoảng $50 trở lên hoặc may ra có những chương trình khuyến mãi sẽ rẻ hơn.
Tuy nhiên thực tế không cần thiết phải mất một ít kinh phí như vậy, nhất là khi bạn chỉ vừa bắt đầu công việc kinh doanh Online nên tiết kiệm được bao nhiêu thì hay bấy nhiêu. Hiện nay đã có rất nhiều SSL miễn phí được cung cấp bởi những tổ chức phi lợi nhuận.
Nếu bạn sử dụng WordPress thì không có gì phức tạp, đặc biệt với những nhà cung cấp hosting như trên mình đã nói đều đã hỗ trợ SSL trong Cpanel của họ. Bạn chỉ cần một vài bước đơn giản thì đã có thể trang bị SSL cho WordPress của mình.
3. Thay đổi tên đăng nhập mặc định
Khi bạn tạo WordPress trong khu vực điền thông tin đăng nhập là Usename và Password. Thì username sẽ mặc định là Admin, nhiều bạn mới lại thường để nguyên nó và chỉ cần tạo mật khẩu mới.
Điều này mình thường xuyên thấy khi trước đây là làm Freelancer.
Tuy nhiên bạn nên nhớ rằng WordPress là một mã nguồn thông dụng nhất thế giới, không ít hacker “dòm ngó” những website màu mỡ chạy trên nền tảng này.
Những công cụ quét có thể dễ dàng thêm mặc định “Admin” vào phần UserName và phần còn lại chỉ cần họ dò ra mật khẩu là xong. Nếu mật khẩu của bạn ở mức thấp thì nguy cơ bị hack là khó có thể tránh khỏi.
Vì vậy mà khi tạo Website bằng WordPress thì bạn nên thay đổi tên “Admin” thành một cái tên nào đó khác và dài một chút. Khoảng trên 10 ký tự là tốt nhất. Bạn cũng không nên dùng tên công khai trên Blog hoặc tên Website để làm Username vì các tool quét có thể dễ dàng nhận ra điều này.
4. Mật khẩu mạnh
Nếu bạn là người không chuyên về công nghệ, có thể bạn sẽ quen thuộc với những dạng mật khẩu chỉ có số và chữ được sử dụng trên các tài khoản đăng nhập. Kể cả mình cách đây và năm cũng đã từng như vậy. Tuy nhiên khi internet phát triển nhanh chóng thì các mật khẩu dành cho đăng nhập cũng cần được đảm bảo về tính bảo mật cũng như độ mạnh.
Điều này thì giải quyết quá dễ dàng!
Thay vì trước đây bạn chỉ để mật khẩu có mỗi số và chữ thì bây giờ bạn hãy thêm những ký tự đặt biệt và chữ in hoa vào các vị trí khác nhau. Ví dụ mật khẩu trước đây của mình trước đây là dung123 thì bây giờ mình có thể thay đổi thành Dung1!23@! chẳng hạn. Mật khẩu kiểu này thì các hacker hay tool có quét dò không biết đến khi nào mới ra được.
Nếu bạn muốn thay đổi mật khẩu WordPress hiện tại thì có thể truy cập Users > Your Profile sau đó kéo xuống và điền vào phần PassWord mới (đừng quên lưu lại).
5. Vai trò của người dùng khi đăng ký
Quản lý người dùng là một tính năng cần thiết mà mọi website cần phải có nhằm giúp công việc quản lý dễ dàng và hiệu quả nhất nếu website của bạn lớn hoặc có nhiều tác giả. Tuy nhiên đôi khi không biết tận dụng tính năng này có thể là một mối nguy hiểm cho website của bạn.
WordPress hỗ trợ cho bạn một số nhóm quyền khác nhau để cấp cho người dùng và mỗi nhóm quyền có thể truy cập vào một số chức năng nhất định.
Những chủ sở hữu website như mình và bạn là những người nắm quyền cao nhất với Administrator, nếu bạn không chung vốn với người khác thì tốt nhất không cho ai sử dụng quyền này.
Khi cần thuê biên tập viên (editor) hoặc khi ai đó muốn viết bài viết khách (Guest Post) để xây dựng liên kết thì bạn có thể cấp quyền phù hợp cho họ. Hoặc ai đó muốn đăng ký Blog của bạn thì chỉ nên để mặc định là Subcriber, nhưng nếu muốn độc giả đăng ký thì bạn nên sử dụng dịch vụ thu thập email sẽ tốt hơn cả về tính bảo mật và Marketing Online sau này.
6. Cập nhật các phần mềm mới trên WordPress
Nếu bạn biết tới WordPress một thời gian (khoảng 1 tuần) thì bạn sẽ thường xuyên thấy các thông báo cập nhật những phần mền như Plugins, Themes hoặc một vài tháng thì có thể là phiên bản WordPress mới nhất.
Sở dĩ có những bản cập nhật này là vì WordPress luôn co những thay đổi đáng kể với mục đích tốt hơn cho người dùng. Ngoài việc bạn sẽ nhận được các tính năng mới, hiệu suất tốt hơn thì bên cạnh đó còn là bảo mật cho website của bạn.
Vì vậy khi có thông báo về cập nhật trên WordPress bạn hãy dành chút thời gian nhấn vào nút “Cập nhật” để sử dụng những tính năng mới nhất và đảm bảo được tính bảo mật.
7. Trang bị Firewall (tường lửa) cho WordPress
Nghe thì có vẻ nghiêng nhiều về mặt kinh nghiệm trong bảo mật. Nhưng bạn chỉ cần hiểu đơn giản đây là một công nghệ cho phép chúng ta ngăn chặn những cuộc tấn công và hàng loạt chức năng trong bảo mật web.
Điều này tưởng như dành cho các chuyên gia nhiều năm kinh nghiệm thì với WordPress bạn chỉ cần giải quyết mọi thứ chỉ với một Plugin Fireware là đủ.
Có không ít plugin từ miễn phí đến trả phí cho phép bạn làm điều này, nếu bạn chưa có nhiều kinh phí thì nên sử dụng một trong 3 plugin sau. Wordfence Security, Sucuri, All In One WP Security & Firewall. Đây là 3 plugin miễn phí tốt nhất mà mình đã từng sử dụng.
Nếu khi site của bạn đã lớn và không ngại đầu tư thì có thể nâng cấp lên trả phí để có những tính năng bảo mật an toàn nhất và có được sự hỗ trợ từ các chuyên gia của họ.
8. Bảo mật WordPress ở mức trung bình
Ở cấp độ này chúng ta sẽ làm việc hầu hết với các Plugin vì khi cần một tính năng bảo mật nào bạn chỉ cần tìm cài cài đặt nó.
Xác thực 2 yếu tố:
Là một trong những giải pháp bảo mật tốt và dễ dàng nhất thường được mọi người ưu chuộng. Với cách này khi bạn điền thông tin tài khoản đăng nhập của mình bạn sẽ không được truy cập vào trang quản trị ngay. Mà bạn phải làm một bước tiếp theo là xác thực nó trên một nơi khác qua Email hoặc điện thoại.
Để làm điều này bạn có thể sử dụng Plugin miễn phí như Two Factor Authentication hoặc Google Authenticator. Sau khi cài đặt và kích hoạt bạn sẽ thực hiện một số thiết lập và tải một ứng dụng về điện thoại.
Tiếp đó là kết nối chúng với nhau và có thể thực hiện mở khóa qua việc quét mã vạch hoặc thủ công bằng tay. Thao tác với cách ày có phần hơi phức tạp cho người mới và kém về công nghệ.
Vì vậy mà nếu có điều điện bạn có thể sử dụng các Plugin trả phí như Securiy hoặc WordFence Security để đơn giản hơn bằng cách nhận mã xác thực qua email và số điện thoại.
Câu hỏi bảo mật: Đây cũng là cách đơn giản mà mình khuyên bạn nên tích hợp nó trên WordPress của mình. Thay vì chỉ có mỗi username và Password thì bạn có thể đăng nhập thì bạn cần trả lời thêm một câu hỏi cá nhân đã được thiết lập trước đó.
Nếu không đúng thì hệ thống sẽ ngăn chặn việc đăng nhập của bạn.
Thông thường thì các câu hỏi cá nhân sẽ rất ít người khác biết được, kể cả những người thân nhất bên cạnh bạn đôi khi cũng không thể đoán được. Chính vì vậy mà việc bảo mật là cực kỳ an toàn.
Để có thể thêm một câu hỏi bảo mật trong phần đăng nhập WordPress bạn cần cài đặt Plugin WP Security Questions sau đó sẽ tiến hành một số thao tác thiết lập đơn giản và chọn câu hỏi bảo mật.
9. URL đăng nhập:
Theo mặc định của WP, đường dẫn đăng nhập của bạn sẽ dạng https://domaincuaban.com/wp-admin trong đó wp-admin là tiền tố đăng nhập của mỗi website chạy trên WordPress.
Các hacker sẽ dễ dàng nhận ra URL đăng nhập của bạn khi họ đã biết được domain từ đó họ có thể thực hiện các cuộc tấn công để cố đăng nhập vào trang quản trị của bạn.
Tuy nhiên bạn có thể thay đổi tiền tố wp-admin thành một cái khác để họ không thể truy tìm ra và tất hiên không thể đến được trang đăng nhập. Cách thay đổi nhanh nhất bạn có thể làm là tìm và cài đặt một plugin có tên WPS Hide Login sau đó đi tới phần Setting > General > WPS Hide Login >Login URL và điền tiền tố bạn muốn thay đổi.
Đừng quên nhấn Save để lưu lại các thay đổi của bạn.
10. Ngăn chặn những ai đang cố gắng đăng nhập
Bạn đã bao giờ quên mật khẩu khi đăng nhập một tài khoản nào đó, tuy không nhớ nhưng bạn vẫn cứ thử 1 lần…2 lần…3 lần…nhiều lần.
Cho đến khi bạn nhận được một thông báo đại loại như “Bạn đã đăng nhập quá số lần cho phép, vui lòng thử lại sau x phút” (thay x bằng một con số). Đơn giản hơn bạn có thể nhìn thấy ngay trên chiếc điện thoại của bạn khi bạn vẽ sai quá nhiều lần.
Không phải mà tự nhiên họ cài đặt cho bạn giới hạn ở một vài lần đăng nhập. Thật ra giới hạn điều này để hạn chế ai đó đang cố gắng truy cập vào tài khoản của bạn, đúng hơn thì thường là các công cụ quét với hàng trăm ngàn cho tới cả triệu lần thử.
Nếu thiết lập số lần đăng nhập sai và hệ thống sẽ khóa trong một thời gian thì bạn sẽ giảm thiểu được nó.
Để có được tính năng này bạn cần cài plugin Login LockDown sau đó điền những thông số cần thiết.
B.Bảo mật WordPress nâng cao
11. Ngăn chặn chỉnh sửa tập tin
Tập tin là nơi hết sức quan trọng với Website của bạn, mọi chức năng để website hoạt động đều phải dựa vào nó. Vì vậy đôi khi người khác có thể truy cập và chỉnh sửa là hết sức nguy hiểm.
Nhẹ thì xảy ra các lỗi lặt vặt nặng thì bị dính mã độc hoặc thậm chí website bị sập.
Vì vậy bạn nên ngăn chặn điều này ngay lập tức bằng cách thêm một đoạn code đơn giản trong tệp wp-config.php.
DISALLOW_FILE_EDIT
Lưu ý: Để sửa được file wp-config.php thì bạn cần phải nắm bắt được kỹ năng quản trị file trên hosting thông qua cpanel hoặc FTP.
12.Thay đổi tiền tố của cơ sở dữ liệu
Cơ sở dữ liệu là nơi cực kỳ quan trọng với mọi website (không riêng gì với WordPress) vì nó lưu trữ toàn bộ thông tin quan trọng như thông tin khách hàng, các trang, bài viết,..và hàng loạt nội dung khác.
Chính vì vậy mà CSDL cũng là một nơi mà các hacker muốn nhắm tới với mục đích khai thác thông tin của bạn.
Tương tự như tên đăng nhập hoặc URL đăng nhhập mình đã nói trên, CSDL cũng có tiền tố bảng mặc định khi bạn tạo blog WordPress là wp_Những thứ mặc định như vậy rất kém an toàn vì những hacker có thể dựa vào đó để tìm ra các lõ hổng và tiến hành những cuộc tấn công và khai thác dữ liệu. Tuy nhiên bạn có thể ngăn chặn nó bằng cách thay đổi tiền tố này thành những cái tên khác để họ không thể đoán ra được.
Chẳng hạn như csdlwp_ hay wpcuatoi_ thì khả năng đoán ra là không hề dễ dàng.
Để thay đổi tiền tố này bạn cần phải có một chút kiến thức làm việc trên hosting và kinh nghiệm với các truy vấn trong SQL. Nhưng nếu muốn đơn giản hơn thì bạn có thể sử dụng plugin WP-DBManager.
13. Ngăn chặn các cuộc tấn công DDoS
DDos (Distributed Denial of Service) Phân phối từ chối dịch vụ là một dạng tấn công không mấy phổ biến nhưng rất khó phát hiện đối với những chủ website WordPress.
Tại đây những người tấn công sử dụng nhiều chương trình tấn công làm quá tải máy chủ của bạn. Điều này sẽ dẫn đến tình trạng sập web hay nói cách khác là người truy cập không thể truy cập vào nội dung của bạn và sẽ thấy một thông báo về sự cố máy chủ.
Nhiều người tưởng rằng đây là do quá nhiều khách truy cập cùng một lúc sẽ dẫn đến quá tải và đôi khi sẽ làm bạn nhầm tưởng và nâng câp lên một hosting cao cấp khác.
Điều này sễ phát sinh không ít chi phí trong khi đó không phải là cách giải quyết.
Để ngăn chặn điều này cách đơn giản nhất là bạn nên sử dụng Cloudflare. Đây là dịch vụ miễn phí với những giải pháp ngăn chặn DDoS một cách hoàn toàn. Hơn nữa bạn sẽ còn được cải thiện về hiệu suất trang rất nhiều.
14. Vô hiệu hóa lập chỉ mục và duyệt thư mục
Trình duyệt thư mục là nơi dẫn đến những tập tin quan trọng về website của bạn, tại đây các hacker thậm chí là người dùng có thể truy cập và xem các thông tin về website WordPress của bạn.
Từ đó họ có thể khai thác những lỗ hổng để tiến hành các cuộc tấn công để chiếm quyền truy cập hoặc chèn các đoạn mã độc có tính năng theo dõi hoặc các liên kết quảng cáo spam.
Để ngăn chặn điều này, việc bạn cần làm là không cho phép người dùng có quyền truy nhữ cập vào đường dẫn chứa tập tin của bạn.
Cụ thể hơn bạn sẽ thêm một đoạn code đặc biệt trong tệp .htaccess. Bạn có thể mở tệp này bằng nhiều cách khác nhau như trình quản lý file trong Cpanel, ứng dụng FTP, hoặc đơn giản hơn là khu vực chỉnh sửa file .htaccess được hỗ trợ trong Yoast SEO.
Sau khi mở được tệp .htaccess điều bạn cần làm là coppy đoạn code bên dưới dán vào vị trí cuối cùng và lưu lại.
Options -Indexes
Vậy là bạn đã tắt tính năng xem file dành cho người dùng, sẽ không còn ai có thể trruy cập và khai thác lỗ hổng qua tính năng này.
15. Backup dữ liệu thường xuyên
Backup là một nhiệm vụ vô cùng quan trọng luôn song hành với bảo mật. Trong những trường hợp bạn bị tấn công ngoài ý muốn bạn cũng chẳng cần phải lo lắng khi có trong tay một bản sao lưu trước một thời gian khi chưa bị hack.
Bạn chỉ cần yêu cầu nhà cung cấp hosting reset lại mọi thứ sau đó chỉ cần upload tệp backup là mọi thứ đã hoạt động trở lại bình thường.
Có không ít cách giúp bạn backup dữ liệu của mình, tuy nhiên nhanh và hiệu quả nhất thì bạn nên sử dụng Plugin vì họ có các tính năng cho phép bạn đặt nó ở những dịch vị lưu trữ như Google Driver, Dropbox,…
Xem hướng dẫn của mình về cách backup dữ liệu WordPress bằng UpdraftPlus.
16.Kiểm tra bảo mật WordPress
Phát hiện các vấn đề về bảo mật là điều không hề dễ dàng bằng bất thường chứ huống gì chúng ta không biết nhiều về code. Nhưng rất may là có rất nhiều Tool miễn phí hỗ trợ bạn quét blog của mình một cách đơn giản chỉ bằng nhập URL.
Mình thường sử dụng công cụ quét của WordFence Security một plugin bảo mật WordPress hàng đầu mình thương đề xuất.
Sau khi quét bạn sẽ được trả kết quả về tình trạng bảo mật website của mình. Bên cạnh đó còn là một số đề xuất để cải thiện bảo mật tốt hơn cho site của bạn.
2. Lời kết
Đó là tất cả kiến thức bảo mật mình nghĩ nó sẽ bảo vệ an toàn cho Website WordPress của bạn. Hy vọng bạn sẽ vận dụng nó và áp dụng cho riêng mình.
Bạn không cần phải làm tất cả nhưng mình khuyên bạn nên áp dụng càng nhiều càng tốt để hạn chế tối thiểu khả năng bị hack hoặc đánh cắp dữ liệu.
Tránh tình trạng “Mất bò mới lo làm chuồng” thì lúc đó có khi đã quá muộn.