Ra mắt plugin WPCB Secure Shield độc quyền tại WP Căn bản

Ra mắt plugin WPCB Secure Shield độc quyền dành cho khách hàng sử dụng WordPress Hosting.

Trong suốt nhiều năm trước đây, tôi đã từng sử dụng plugin Defender Security như một giải pháp bảo mật hiệu quả cho website cá nhân cũng như của khách hàng. Nó cung cấp các tính năng bảo vệ khá toàn diện (ngay cả với phiên bản miễn phí). Tuy nhiên, Defender Security có một số nhược điểm như có quá nhiều quảng cáo up-sale, ảnh hưởng khá nhiều đến tốc độ load web… Đó là lý do tôi quyết định tự phát triển plugin bảo mật của riêng mình với các ưu tiên hàng đầu là nhanh, nhẹ và hiệu quả. Sau một thời gian dài nghiên cứu, hôm nay, WP Căn bản chính thức giới thiệu đến các bạn plugin bảo mật độc quyền – WPCB Secure Shield, dành riêng cho các khách hàng đang sử dụng dịch vụ WordPress Hosting do chúng tôi cung cấp.

Tham khảo thêm:

• 4 Lớp bảo vệ website WordPress mà bạn nên có
• Top 5 Security plugins tốt nhất cho WordPress

Những tính năng nổi bật của WPCB Secure Shield

WPCB Secure Shield được trang bị nhiều lớp bảo vệ, đảm bảo an toàn cho website của bạn từ trong ra ngoài. Nó có thể thay thế hoàn toàn các plugin Defender Security và Really Simple Security (trước đây là Really Simple SSL).

Xem changelog – WPCB Secure Shield

Tường lửa ứng dụng web (WAF)

Tường lửa ứng dụng web (Web Application Firewall – WAF) là một lá chắn bảo vệ tinh vi, hoạt động ở tuyến đầu để ngăn chặn các truy cập độc hại trước khi chúng có thể gây hại cho trang web của bạn. Nó phân tích sâu vào từng yêu cầu truy cập và sử dụng một bộ quy tắc thông minh để phát hiện và vô hiệu hóa các mối đe dọa nguy hiểm.

Plugin cung cấp hai cấp độ bảo vệ WAF để bạn có thể lựa chọn tùy theo nhu cầu về hiệu suất và mức độ bảo mật:

Cấp độ 1: Cơ bản (hiệu suất cao)

Đây là chế độ được tối ưu hóa để mang lại sự cân bằng hoàn hảo giữa an ninh và tốc độ.

Phạm vi quét: chế độ này tập trung vào các kênh tấn công phổ biến nhất, chỉ quét dữ liệu được gửi qua các tham số URL ($_GET) và các biểu mẫu trên trang ($_POST).

Đối tượng phù hợp: lý tưởng cho hầu hết các trang web như blog, trang giới thiệu hoặc các trang có lượng truy cập cao cần ưu tiên hiệu suất mà vẫn đảm bảo mức độ bảo vệ vững chắc trước các cuộc tấn công phổ biến.

Cấp độ 2: Toàn diện (bảo vệ tối đa)

Đây là chế độ bảo mật nghiêm ngặt nhất, cung cấp phạm vi bảo vệ rộng hơn để chống lại các kỹ thuật tấn công phức tạp hơn.

Phạm vi quét: ngoài việc quét dữ liệu $_GET và $_POST, chế độ này còn phân tích sâu hơn vào:

• Dữ liệu $_COOKIE: ngăn chặn các cuộc tấn công thông qua cookie bị giả mạo.
• Toàn bộ chuỗi truy vấn (QUERY_STRING) và URI yêu cầu (REQUEST_URI): phát hiện các mẫu độc hại được mã hóa hoặc ẩn trong chính đường dẫn URL.

Đối tượng phù hợp: được khuyến nghị cho các trang web thương mại điện tử, trang xử lý thông tin nhạy cảm (dữ liệu người dùng, thanh toán) hoặc bất kỳ trang nào muốn có mức độ an ninh cao nhất có thể.

Dù bạn chọn cấp độ nào, WAF vẫn sẽ bảo vệ bạn khỏi các loại tấn công phổ biến như SQL Injection, Cross-Site Scripting (XSS) và File Inclusion.

Chặn bot xấu

Tính năng này cho phép bạn chặn những bot không cần thiết nhưng thường xuyên truy cập vào website gây lãng phí tài nguyên, làm chậm hoặc thậm chí làm quá tải website.

Chúng tôi đã thiết lập sẵn một danh sách các bot xấu phổ biến, nên chặn. Các bạn hoàn toàn có thể bổ sung thêm vào khung Danh sách bot bị chặn nếu cần. Mỗi bot nằm trên 1 hàng riêng biệt.

Tham khảo thêm: Chặn bots xấu truy cập vào website WordPress

Bảo mật đăng nhập vững chắc

Khu vực đăng nhập là mục tiêu hàng đầu của hacker. Plugin tăng cường an ninh cho cửa ngõ quan trọng này với các tính năng:

1. Giới hạn số lần đăng nhập: tự động chặn các địa chỉ IP sau một số lần đăng nhập thất bại nhất định (mặc định là 5 lần trong 60 phút) để chống lại các cuộc tấn công Brute Force.

Tham khảo thêm: Chống Brute Force Attack hiệu quả cho website WordPress

2. Ẩn trang đăng nhập: thay đổi URL đăng nhập mặc định (wp-login.php) thành một đường dẫn bí mật do bạn tự chọn, khiến các bot tấn công tự động không thể tìm thấy trang đăng nhập.

Tham khảo thêm: Đổi link đăng nhập WordPress giúp tăng cường bảo mật

3. Xác thực hai yếu tố (2FA): cho phép người dùng kích hoạt 2FA cho tài khoản của họ, yêu cầu một mã xác minh từ ứng dụng (như Google Authenticator) sau khi nhập mật khẩu.

Plugin hỗ trợ thiết lập qua mã QR, cung cấp khóa bí mật và cả mã dự phòng để đảm bảo bạn không bao giờ mất quyền truy cập.

Tham khảo thêm: Bật tính năng bảo mật 2 bước cho website WordPress

4. Đăng xuất tự động: tự động đăng xuất tất cả người dùng sau một khoảng thời gian không hoạt động (mặc định 14 ngày) để ngăn chặn các phiên đăng nhập bị bỏ quên.

5. Ngăn chặn việc liệt kê người dùng: bất kỳ ai cố gắng truy cập vào các đường dẫn dò tìm tác giả (như /?author=1, /?author=2…) sẽ bị tự động chuyển hướng về trang chủ, giúp bảo vệ danh tính và tên đăng nhập của các tài khoản trên trang của bạn. Tính năng này cũng được triển khai trong REST API và oEmbed.

6. Cho phép thay đổi tên người dùng: khi được kích hoạt, tính năng này sẽ thêm một ô nhập liệu ngay trong trang hồ sơ cá nhân, cho phép quản trị viên có thể thay đổi tên đăng nhập một cách dễ dàng và an toàn.

Tham khảo thêm: Làm thế nào để thay đổi tài khoản Admin trong WordPress?

Làm cứng toàn diện hệ thống

WPCB Secure Shield áp dụng các quy tắc và tiêu chuẩn bảo mật tốt nhất để giảm thiểu các lỗ hổng tiềm ẩn:

Quy tắc .htaccess nâng cao

1. Tự động chuyển hướng toàn bộ trang web từ HTTP sang HTTPS.

2. Tự động quét mã HTML của trang web trước khi gửi đến trình duyệt và thay thế tất cả các liên kết http:// thành https://, khắc phục lỗi nội dung hỗn hợp (mixed content).

3. Ngăn chặn việc tiết lộ thông tin nhạy cảm bằng cách chặn truy cập vào các tệp như .txt, .log, .sql.

4. Bảo vệ các thư mục cốt lõi như wp-includes, wp-content và uploads bằng cách cấm thực thi các tập lệnh PHP không cần thiết.

HTTP Security Headers

Tự động thêm các tiêu đề HTTP bảo mật (HTTP Security Headers) để bảo vệ trang web khỏi các cuộc tấn công phổ biến:

1. HSTS (Strict Transport Security): buộc trình duyệt luôn giao tiếp qua HTTPS.

Tham khảo thêm: Cấu hình HSTS cho website thông qua file .htaccess

2. X-Frame-Options: bảo vệ chống lại các cuộc tấn công ClickJacking.

3. X-Content-Type-Options: ngăn chặn các cuộc tấn công MIME-sniffing.

4. Referrer-Policy và Permissions-Policy: kiểm soát thông tin được gửi đi và các quyền của trình duyệt.

5. CSP (Content Security Policy): giúp ngăn chặn các cuộc tấn công Cross-Site Scripting (XSS) bằng cách chỉ định các nguồn nội dung được phép tải. Tính năng này sẽ không được bật mặc định, yêu cầu các bạn phải tự bổ sung danh sách tên miền được phép nếu muốn kích hoạt nó, để tránh các tài nguyên trên web bị chặn hiển thị.

Làm cứng lõi WordPress

1. Vô hiệu hóa trình chỉnh sửa tệp trong trang quản trị (DISALLOW_FILE_EDIT), một biện pháp bảo mật được khuyến nghị cao.

2. Tùy chọn vô hiệu hóa việc cài đặt, cập nhật, xóa plugin và theme (DISALLOW_FILE_MODS), giúp “đóng băng” trang web khi cần thiết.

3. Tự động thay đổi các khóa bảo mật (SALT keys) của WordPress sau mỗi 30 ngày để tăng cường bảo mật cho các phiên đăng nhập.

4. Nếu bạn không sử dụng các ứng dụng cần đến XML-RPC (như Jetpack hoặc ứng dụng di động), việc vô hiệu hóa nó là một biện pháp bảo mật rất được khuyến khích.

5. Loại bỏ hoàn toàn chức năng Trackback và Pingback khỏi trang web của bạn, giúp ngăn chặn một nguồn spam phổ biến và giữ cho khu vực bình luận của bạn sạch sẽ hơn.

Trình quét tập tin lõi thông minh

Làm thế nào để biết liệu các tập tin cốt lõi của WordPress có bị thay đổi trái phép hay không? Trình quét của WPCB Secure Shield sẽ giúp bạn:

1. So sánh với bản gốc: công cụ này so sánh các tập tin WordPress của bạn với các phiên bản chính thức từ WordPress.org để phát hiện bất kỳ thay đổi nào. Quá trình quét file sẽ diễn ra theo từng lô để tránh khiến host bị quá tải. Kết quả quét được cache mặc định trong 1 ngày.

2. Phát hiện các vấn đề: nó sẽ liệt kê các tập tin đã bị sửa đổi, các tập tin lạ xuất hiện trong thư mục cốt lõi hoặc các tập tin gốc đã bị xóa.

3. Hành động nhanh chóng: bạn có thể dễ dàng khôi phục tập tin gốc hoặc xóa các tập tin đáng ngờ chỉ bằng một cú click chuột ngay từ kết quả quét.

Một số tính năng khác

1. Ngôn ngữ và bản địa hóa: plugin hỗ trợ sẵn 2 phiên bản ngôn ngữ là tiếng Anh và tiếng Việt. Các bạn có thể dịch sang các ngôn ngữ khác nếu muốn.

2. Plugin được tích hợp sẵn cơ chế tự động kiểm tra và thông báo các phiên bản cập nhật, đảm bảo trang web của bạn luôn được bảo vệ bởi những tính năng và bản vá bảo mật mới nhất.

3. Khi bạn gỡ cài đặt plugin (không còn nhu cầu sử dụng nữa), toàn bộ dữ liệu của nó cũng sẽ bị xóa, đảm bảo database luôn sạch sẽ.

Làm sao để cài đặt WPCB Secure Shield?

Đây là plugin độc quyền và hiện tại chúng tôi chỉ triển khai cho các website đang sử dụng dịch vụ WordPress Hosting do WP Căn bản cung cấp. Nó sẽ có mặt trong dịch vụ tối ưu WordPress miễn phí và thay thế hoàn toàn plugin Defender Security.

Số lượng website được hỗ trợ cài đặt tùy theo gói host mà bạn đã mua. Cụ thể:

• Nano: 1 website
• Mini: 2 website
• Small: 3 website
• Medium: 4 website
• Large: 5 website
• Special: 6 website

Bạn muốn sở hữu plugin này trên website của mình? Hãy liên hệ ngay với chúng tôi nhé.

Nếu bạn thích bài viết này, hãy theo dõi blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất. Cảm ơn rất nhiều. :)