Những lỗi bảo mật thường gặp trên WordPress và cách khắc phục.
Bảo mật luôn là một vấn đề được quan tâm sát sao bởi các nhà phát triển WordPress. Tuy nhiên, có một thực tế là chính những thiết lập mặc định của WordPress lại là nguyên nhân khiến blog/ website của bạn dễ bị tấn công. Trong bài viết này, tôi sẽ hướng dẫn cho các bạn cách làm thế nào để khắc phục 5 mối đe dọa bảo mật có mặt trong tất cả các bộ cài mặc định của WordPress. Bạn nên nhanh chóng sửa chữa tất cả 5 lỗi bảo mật này để giảm thiểu nguy cơ bị hack.
Tham khảo thêm:
- Bảo mật blog WordPress của bạn với 5 bước đơn giản
- Thủ thuật giúp bảo vệ blog WordPress luôn an toàn
Những lỗi bảo mật thường gặp trên WordPress
1. Blog/ website của bạn hiển thị cho mọi người thấy bạn đang sử dụng mã nguồn WordPress và phiên bản hiện tại của nó
Vấn đề
Theo mặc định, WordPress sẽ hiển thị cho mọi người thấy blog/ website của bạn được xây dựng bằng cách sử dụng mã nguồn WordPress, thậm chí cung cấp luôn cả phiên bản hiện tại.
Điều này có thể là một nguy cơ bảo mật. Nhiều hacker có thể chọn blog/ website của bạn làm mục tiêu tấn công vì một lý do đơn giản là nó được xây dựng trên nền tảng WordPress. Nếu ai đó tìm thấy một điểm yếu bảo mật trong bộ cài WordPress, trong theme hay plugin, họ có thể tìm cách truy cập trái phép vào blog/ website của bạn. Trong khi đó, nếu bạn che giấu thành công việc blog/ website của mình được xây dựng trên nền tảng WordPress, khi hacker tìm kiếm các blog/ website WordPress bằng cách sử dụng phần mềm chuyên dụng hay crawlers, họ sẽ bị đánh lừa rằng blog/ website của bạn không phải là một mục tiêu.
Giải pháp
Để khắc phục lỗi bảo mật kể trên, bạn có thể sử dụng plugin Hide My WP, WP Hide & Security Enhancer hoặc Hide My WordPress.
2. Tất cả mọi người đều biết trang đăng nhập, khu vực quản trị của bạn nằm ở đâu
Vấn đề
Nếu bạn vẫn đang phơi bày cho mọi người thấy blog/ website của mình được xây dựng trên nền tảng WordPress (không chủ động che giấu nó bằng cách sử dụng một plugin như Hide My WP), những người có ý định xấu sẽ nhanh chóng tìm ra vị trí trang đăng nhập (thường là /wp-login.php hay /wp-admin/) và tấn công brute force để dò thông tin đăng nhập nhằm chiếm quyền quản trị.
Giải pháp
Để khắc phục nguy cơ này và triệt để làm giảm khả năng bị tấn công brute force, chúng ta cần phải ngăn không cho hacker và các phần mềm độc hại tìm ra trang đăng nhập.
Có hai cách chính để giải quyết vấn đề:
- Bạn có thể thay đổi vị trí vật lý của trang đăng nhập bằng cách sử dụng plugin Custom Login URL.
- Một ý tưởng khác là bạn có thể giới hạn việc truy cập vào trang đăng nhập và khu vực Admin dựa theo địa chỉ IP hoặc giới hạn số lần đăng nhập thất bại. Bạn có thể làm điều này với một plugin chuyên dụng như Login LockDown hoặc các plugin bảo mật như Sucuri Security, Wordfence, iThemes Security, All In One WP Security & Firewall.
3. WordPress có một table prefix mặc định mà tất cả mọi người đều sử dụng (wp_)
Vấn đề
Tiền tố bảng (table prefix) là những ký tự đứng trước tên của các bảng trong cơ sở dữ liệu của bạn. Ví dụ với bảng users, nếu sử dụng tiền tố tiêu chuẩn của WordPress, nó sẽ là wp_users. Nếu bạn sử dụng tiền tố bảng mặc định, hacker có thể dễ dàng đạt được quyền truy cập vào blog/ website của bạn bằng cách khai thác các lỗi bảo mật SQL injection. Bởi vì họ biết chính xác nơi để bơm thông tin vào cơ sở dữ liệu của bạn, sau đó truy cập và kiểm soát blog/ website.
Giải pháp
Rất may là bạn có thể dễ dàng loại bỏ mối đe dọa này. Nếu bạn đã cài đặt WordPress sử dụng tiền tố wp_ mặc định, bạn có thể thay đổi nó bằng cách sử dụng các plugin như Sucuri Security hoặc iThemes Security. Tất nhiên, bạn cần phải sao lưu cơ sở dữ liệu trước khi làm để đề phòng các sai sót không đáng có.
4. Các tập tin có trong theme và plugin có thể được chỉnh sửa thông qua bảng điều khiển WordPress
Vấn đề
Nếu hacker truy cập được vào blog/ website của bạn, hậu quả sẽ vô cùng tồi tệ. Chúng có thể chỉnh sửa tập tin của theme và plugin, biến blog/ website của bạn trở thành công cụ để tấn công những trang web khác thông qua các phần mềm độc hại (thường kết thúc với việc blog/ website của bạn bị đưa vào blacklist của Google và bị xóa index khỏi các công cụ tìm kiếm), làm mất uy tín blog/ website của bạn hoặc dễ dàng mở thêm các backdoors.
Giải pháp
Bạn có thể thêm dòng code sau vào file wp-config.php:
Hoặc sử dụng một plugin bảo mật như Sucuri Security để làm điều đó (mà về cơ bản sẽ giúp bạn chèn dòng code bên trên vào tập tin wp-config.php). Vấn đề còn tồn tại ở đây là có plugin cho phép mọi người tắt bật tính năng này, do đó, một hacker chuyên nghiệp có thể có thể cài đặt plugin và sau đó chỉnh sửa các tập tin mà không cần truy cập vào host.
Nếu bạn muốn chống lại điều này, bạn có thể vô hiệu hóa việc cài đặt và cập nhật tất cả các plugins, themes bằng cách thêm dòng code sau vào tập tin wp-config.php:
Nhưng rõ ràng điều này có nghĩa là bạn sẽ phải thay đổi giá trị của nó thành false mỗi khi muốn cập nhật hoặc cài đặt plugin, theme. Tôi không thực sự khuyên bạn nên lựa chọn phương thức này, bởi vì giữ theme và plugin luôn được cập nhật là một trong những cách tốt nhất để đảm bảo blog/ website của bạn ít bị tổn thương.
5. WordPress có thiết lập firewall rất mở, có thể cho phép bots độc hại tấn công
Vấn đề
Các thiết lập tường lửa (firewall) mặc định của WordPress thực sự khá mở và thoải mái. Điều này có nghĩa là một số phần mềm độc hại cũng như các vị khách không mời mà đến khác sẽ được “bật đèn xanh” để truy cập và tấn công blog/ website của bạn.
Giải pháp
Bạn có thể làm điều này tốt hơn bằng cách sử dụng các quy tắc 6G Blacklist Firewall 2018 cơ bản, thông qua việc sao chép nó vào tập tin htaccess (trong thư mục gốc cài đặt WordPress):
Lưu ý: ở dòng 72, thay 123.456.789 bằng địa chỉ IP mà bạn muốn block, đồng thời bỏ dấu # ở đầu dòng. Nếu bạn muốn block cùng lúc nhiều IP, hãy sử dụng cấu trúc tương tự (Deny from).
Trên đây là 5 lỗi bảo mật cơ bản, thường gặp nhất trên các phiên bản WordPress mặc định. Hy vọng, với các phương pháp khắc phục mà tôi đã giới thiệu, các bạn có thể bảo vệ blog/ website của mình một cách an toàn hơn.
Bạn biết những lỗi bảo mật khác ngoài danh sách kể trên? Đừng quên chia sẻ nó với chúng tôi trong khung bình luận bên dưới.
Nếu bạn thích bài viết này, hãy subscribe blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất qua email nhé. Cảm ơn rất nhiều. :)
Kiên đã bình luận:
25/06/2015 at 22:45Thực ra còn 2 lỗi nữa hầu như 99,9% wordpress đều bị và đa phần đều bỏ qua không chặn, ngay cả web của bác cũng thế
Trung Hiếu đã bình luận:
25/06/2015 at 23:50Thím nào thích hack mình cho hack đó. Có ngại gì đâu. Backup real-time nên không có sợ. :P
Phong Cầm đã bình luận:
26/06/2015 at 04:41Chắc không nhóc. Cho nhóc 2 ngày sao lưu dữ liệu đấy.
Trung Hiếu đã bình luận:
26/06/2015 at 07:04Thôi khỏi. Bác hack luôn hộ em phát. Xem khả năng của mấy thằng Sucuri, CloudFlare và Eleven2 đến đâu. Hay tất cả chỉ là quảng cáo. :P
Trung Hiếu đã bình luận:
26/06/2015 at 07:38P/s: Nếu chỉ là quảng cáo thì để em còn hủy dịch vụ với bọn nó cho đỡ phí tiền. Haha. :P
Nguyen Khanh đã bình luận:
26/06/2015 at 11:15Hack chỉ vô tình có thêm lược View thôi !
Trung Hiếu đã bình luận:
26/06/2015 at 12:04Có phải cứ nói hack là hack được đâu bác. Nếu thế thì làm gì có chuyện blog của em yên ổn được đến bây giờ. :)
Kiên đã bình luận:
26/06/2015 at 12:51:D cái này là phân tích lỗi bảo mật thường hay gặp phải như bài viết của bác mà đâu phải nói muốn hack, còn hacker VN số lượng nổ nhiều hơn chất lượng
Trung Hiếu đã bình luận:
26/06/2015 at 15:19Có người dọa hack kia kìa. Để xem khả năng thực sự đến đâu. :P Bác đừng dìm hàng các hacker nước nhà thế chứ. :P
Thanh Nhan đã bình luận:
26/06/2015 at 13:46Lúc cài wp, có cho chọn prefix của database mà. Mình chẳng bao giờ dùng cái mặc định cả :D
Trung Hiếu đã bình luận:
26/06/2015 at 15:30Đầy người vẫn để mặc định đấy. Mình thấy nhiều rồi. :D
Tú Phạm đã bình luận:
26/06/2015 at 19:38Cái plugin thứ nhất hay, mỗi tội tính phí :v
Lúc nào có tiền sắm một cái mới được :D
Trung Hiếu đã bình luận:
26/06/2015 at 20:00Có $22 thôi mà. Quẩy lên. :D
Jam Việt đã bình luận:
26/06/2015 at 22:59Nếu dùng các dịch vụ backup và bảo mật thì cũng tạm được, tuy nhiên nếu dùng host share thì vẫn phải canh chừng kiểu hack local-attack !
Trung Hiếu đã bình luận:
26/06/2015 at 23:10Bao giờ mới có server riêng như bác Dâm nhể? Có tiền mua nhưng không có tiền thuê chỗ đặt. :D :P
thanhtrung đã bình luận:
28/06/2015 at 12:58anh hiếu ơi cho em hỏi cái này cái anh . anh kiểm tra dùm em thử dùm em cái . em bị font chữ nó nằm bên phải màng hình giờ chuyển qua bên trái làm sao anh . em đang sài site trumang video
Trung Hiếu đã bình luận:
28/06/2015 at 16:45Bạn mở file css ra, tìm text-align: right; và sửa thành text-align: left; là được mà. :P
Akatsuki đã bình luận:
02/07/2015 at 23:49Cứ config hết mấy cái như bác thì hack khá khó, backup real-time nữa thì chắc cú :D
Trung Hiếu đã bình luận:
03/07/2015 at 09:17Chỉ sợ vụ mấy cái plugins bị lỗi bảo mật thôi. :D
ngoc van đã bình luận:
03/07/2015 at 08:40Mình thì gà cái vụ chống hack này lắm, nhưng mà sợ nhất là mấy tên DDOS nó chơi phát là chết luôn.
Trung Hiếu đã bình luận:
03/07/2015 at 09:05DDoS quy mô vừa và nhỏ thì cứ cài CloudFlare vào là chống được hết. :D
Minh Đạt đã bình luận:
25/02/2018 at 11:18Vấn đề bảo mật là cần thiết khi website của mình trên 100k view / ngày. Hiện tại WP cũng tương đối là bảo mật hơn lúc trước rồi. Mà nói hack cũng ko phải là chuyện dễ dàng đâu. Mình chỉ sợ các Hacker của Trung Quốc thôi. Mỗi khi Việt Nam xung đột với Trung Quốc thì e lại lo lắng.
Trung Hiếu đã bình luận:
26/02/2018 at 07:45Trên thực tế thì các website nhỏ lại là đối tượng hướng đến của các hacker bạn ạ. Vì mọi người thường nghĩ web nhỏ thì không ai dòm ngó nên không phòng bị kỹ càng. Hacker thường hack các website nhỏ để sử dụng host làm công cụ đào tiền ảo hoặc làm bàn đạp tấn công vào các website khác. :)