8 cách để hạn chế việc Website dùng mã nguồn Wordpress bị xâm nhập

Rất nhiều Website sử dụng nền tảng Wordpress bị tấn công, chèn mã độc, chèn link từ bên khác. Có rất nhiều cách để tấn công, nhưng trong bài viết này Tú sẽ hướng dẫn bạn một số cách giúp nâng cao tính bảo mật, hạn chế việc bị tấn công từ bên thứ 3.

Nếu Website của bạn bị hack, thì mọi hướng dẫn kiểu backup lại code trước đó... đều không thể đảm bảo bởi vì:

• Bạn vẫn chưa fix lỗi hiện tại, chưa trả lời vì sao bạn bị hack.
• Bạn có chắc bản backup gần nhất của bạn chưa bị nhiễm mã độc.

Cách duy nhất để đảm bảo 100% Tú khuyên bạn nên đọc qua bài này để biết nguyên nhân và cách khắc phục: https://nguyencaotu.com/khoi-phuc-website-wordpress-bi-hack-mot-cach-triet-de.html

Quay trở lại bài viết ngày hôm nay, hạn chế và tăng cường bảo mật cho Website của bạn.

1. Hãy tạo mật khẩu bảo mật cho thư mục wp-admin.

Việc tạo mật khẩu sẽ giúp bạn hạn chế bị scan thư mục admin, bị các tools tự động dò password nếu bạn để một mật khẩu kém dễ đoán hoặc có trong thư viện. Các hacker đều có những tools để scan mật khẩu, vì thế đừng bao giờ đặt các mật khẩu dễ nhớ như tên bạn, admin, quản lý, quản trị, 123456...

Hướng dẫn bạn xem tại cách đặt mật khẩu cho thư mục wp-admin của wordpress.

Mật khẩu 2 lớp bảo vệ thư mục Wp-admin

2. Không đặt 1 mật khẩu giống nhau cho các dịch vụ, tài khoản

Tú sử dụng Keepass để lưu trữ mật khẩu. Tất cả mật khẩu của mình đều là các ký tự ngẫu nhiên. Khi đặt ngẫu nhiên thì mật khẩu này chắc chắn sẽ không nằm trong thư viện của các tools chuyên scan mật khẩu và không thể đoán được.

Nếu bạn là 1 Webmaster, bạn phải chắc chắn không đặt chung pass Hosting với Database để tránh việc một khi bị mất Passwords thì kẻ tấn công có thể vào được mọi thứ của bạn.

3. Không đặt tên file .zip backup là trùng với tên của website hay thư mục dễ đoán.

Thường một số Webmaster hay sao lưu code thành các bạn file .zip không mã hóa lại có tên rất dễ nhớ. VD: Blog Tú cao thì đặt luôn là tucao.zip . Vậy thì chỉ cần tải trực tiếp file này về máy và mở lên là Hacker có thể biết được Database của bạn rồi :(. (trước mình cũng dính lỗi này vì chủ quan việc này).

4. Hãy tắt tính năng cho phép chỉnh sửa code trực tiếp trên Website.

Việc này sẽ tránh được Hacker chèn mã độc hoặc tải lên một file chứa đoạn code nguy hiểm khai thác các lỗ hổng khác. Hãy tắt tính năng này bằng cách thêm đoạn sau vào file wp-config.php

define('DISALLOW_FILE_EDIT',true);

5. Phần quyền để thực thi, bảo vệ file wp-config.php thư mục themes/plugin dễ bị tổn thương.

• Chmod 400 hoặc 600 cho file quan trọng như wp-config.php.
• Chmod 701, 711 cho thư mục chưa source như public_html, wp-contents/themes , wp-content/plugins chẳng hạn.

Chúng ta sẽ sử dụng FTP để phân quyền cho file wp-config.php để hạn chế bên ngoài có thể xem được nó.

Chmod 400 cho file wp-config.php

Tuyệt đối nghiêm cấm việc chmod 777 với thư mục hoặc 666 với files. Chúng cực kỳ nguy hiểm.

6. Đẩy thư mục wp-contens/uploads ra nơi khác

Việc này cũng khá khó với một số bạn mới tìm hiểu, nhưng theo Tú chúng giúp mình thấy an toàn hơn. Bởi lẽ khi có thể lưu trữ toàn bộ file, hình ảnh, media ở nơi khác chúng giúp ích cho mình được một số thứ:

• Website sẽ bảo mật hơn, vì hacker khi tải file chứa mã độc lên sẽ không tải lên hosting mà chúng sẽ nằm ở 1 server khác và họ không thể thực thi được file này.
• Website thường chỉ nặng phần hình ảnh, nếu không có hình ảnh thì việc tạo bản backup, bảo trì di chuyển dữ liệu sẽ rất nhẹ nhàng.
• Tiết kiệm ổ cứng của Hosting (thường là ssd và chúng khá đắt nếu dung lượng lưu trữ cần lớn)

Object Storage

Hiện tại thì cá nhân mình cũng nghiên cứu xong và nắm đầy đủ các bước để làm. Tú đã bắt đầu nâng cấp cho toàn bộ hệ thống của khách hàng và công ty của Sudo. Thay vì ảnh lưu trực tiếp trên Hosting thì nó sẽ lưu tại sudospaces.com sử dụng công nghệ lưu trữ đối tượng (object storage) do đó tải file .php hay mã độc lên đây không thể thực thi được (nếu có).

7. Một Server, dịch vụ Hosting đủ tốt.

Tốt ở đây là không sử dụng phần mềm lậu, có người bảo trì và update vá lỗi khi có cập nhật mới. Thường thì lỗi không thuộc về Hosting, chúng rất ít bởi các đơn vị cung cấp thì đều có đội ngũ kỹ thuật và họ có đủ thông tin để biết thế giới đang có vấn đề gì và họ sẽ ngay lập tức vá lỗi cho hệ thống.

Hosting thì nên sử dụng thêm Cloud linux hoặc Docker - mình đang hướng sử dụng Docker. Như vậy sẽ đảm bảo 1 hosting bị hack thì các hosting khác không bao giờ bị vì chúng chạy trong các môi trường độc lập.

Cloud Hosting Server

Thường người dùng hay đổ lỗi tại sao sử dụng Host ở nhà cung cấp A không bị hack mà sang nhà cung cấp B bị hack. Điều này quy chụp khá oan cho họ. Có rất nhiều lỗ hổng ở 1 website, không có một website nào hoàn thiện 100%.

8. Backup và cập nhật bản vá lỗi của Wordpress, Theme, Plugins

Tất nhiên rồi, Wordpress rất thường xuyên có bản cập nhật mới bởi cộng đồng nhiều lập trình viên sử dụng. Hãy cập nhật chúng thường xuyên, một số đơn vị thiết kế Website giá rẻ thường ngại update cho khách hàng bởi các tính năng và giao diện họ xây dựng có thể bị lỗi :(. Khách hàng thì thường không biết và đây chính là vấn đề rất phổ biến, bạn lựa chọn một dịch vụ giá rẻ, thường bạn sẽ phải trả một cái giá đắt hơn nhiều sau đó. Đừng ham rẻ, Website không bao giờ là hoàn thiện và không có lỗi.

Hạn chế tối đa sử dụng plugins nếu chúng không thực sự cần thiết. Khi cài một plugin hãy để ý tới 2 yếu tố, 1 là thời gian mà tác giả update lần cuối cùng (tần suất update trong quá khứ nữa), và 2 là những vote 1 sao trên plugins.wordpress.org xem mọi người phản hồi như thế nào. Những Plugins sau 6 tháng hoặc 1 năm không được cập nhật hãy tìm plugins khác thay thế.

Chú ý tới thời gian cập nhật và đánh giá của người dùng

Nếu bạn có nhiều Website cần theo dõi, bạn nên đọc thêm: Quản lý hệ thống Website Wordpress với ManageWP.

Lời kết: Tất cả các cách trên cũng chỉ nhằm hạn chế và tăng cường tính bảo mật cho Website Wordpress của bạn, bất kỳ một hệ thống nào cũng đều có khả năng tồn tại lỗ hổng. Có thể đến từ Người dùng, code Website, có thể đến từ Controler máy chủ hay hệ điều hành... không hệ thống nào là không thể đánh gục mãi mãi. Ngày hôm nay bạn chưa bị hack không có nghĩa cả đời bạn không bị, hãy học hỏi và cố gắng mỗi ngày.

Chúc bạn thành công !