5 Lỗi bảo mật thường gặp trên WordPress và cách khắc phục.
Bảo mật luôn là một vấn đề được quan tâm sát sao bởi các nhà phát triển WordPress. Tuy nhiên, có một thực tế là chính những thiết lập mặc định của WordPress lại là nguyên nhân khiến blog/website của bạn dễ bị tấn công. Trong bài viết này, tôi sẽ hướng dẫn cho các bạn cách làm thế nào để khắc phục 5 mối đe dọa bảo mật có mặt trong tất cả các bộ cài mặc định của WordPress. Bạn nên nhanh chóng sửa chữa tất cả 5 lỗi bảo mật này để giảm thiểu nguy cơ bị tấn công.
Tham khảo thêm:
- Bảo mật blog WordPress của bạn với 5 bước đơn giản
- Thủ thuật giúp bảo vệ blog WordPress luôn an toàn
- Đâu là công cụ quét bảo mật tốt nhất dành cho WordPress?
1. Trang web của bạn hiển thị cho mọi người thấy bạn đang sử dụng mã nguồn WordPress và phiên bản hiện tại của nó
Các phiên bản mặc định của WordPress sẽ hiển thị cho mọi người thấy trang web của bạn được xây dựng bằng cách sử dụng mã nguồn WordPress, thậm chí cung cấp luôn cả phiên bản hiện tại.
Vấn đề này có thể là một nguy cơ bảo mật. Nhiều hacker có thể chọn trang web của bạn làm mục tiêu tấn công vì một lý do đơn giản là nó được xây dựng trên nền tảng WordPress. Nếu ai đó tìm thấy một điểm yếu bảo mật trong bộ cài WordPress, một theme hay plugin, họ có thể tìm cách truy cập trái phép vào trang web của bạn để khai thác nó. Trong khi đó, nếu bạn đã che giấu thành công việc trang web của bạn được xây dựng trên nền tảng WordPress, khi hacker tìm kiếm các trang web WordPress bằng cách sử dụng phần mềm hay crawlers, họ sẽ bị đánh lừa rằng trang web của bạn không phải là một mục tiêu khả thi.
* Cách khắc phục:
Để khắc phục điều này, bạn có thể sử dụng plugin Hide My WP.
2. Tất cả mọi người đều biết trang đăng nhập, khu vực quản trị của bạn nằm ở đâu
Nếu bạn vẫn đang phơi bày cho mọi người thấy blog/website của mình được xây dựng trên nền tảng WordPress (không chủ động che giấu nó bằng cách sử dụng một plugin như Hide My WP), những người có ý định xấu sẽ nhanh chóng tìm ra vị trí trang đăng nhập và tấn công brute-force vào trang web của bạn.
* Cách khắc phục:
Để khắc phục nguy cơ này và triệt để làm giảm khả năng bị tấn công, hạn chế làm quá tải máy chủ, chúng ta cần phải ngăn không cho hacker và các phần mềm độc hại tìm ra trang đăng nhập.
Có hai cách chính để giải quyết vấn đề: Bạn có thể thay đổi vị trí vật lý của trang đăng nhập bằng cách sử dụng plugin hoặc một vài dòng code. Một ý tưởng khác là bạn có thể giới hạn việc truy cập vào trang đăng nhập và khu vực Admin dựa theo địa chỉ IP. Bạn có thể làm điều này với một plugin chuyên dụng hoặc với một plugin bảo mật như Sucuri, Wordfence, iThemes Security Pro hoặc All In One WP Security & Firewall.
Tham khảo thêm: Jetpack 3.4 bổ sung khả năng chống Brute Force Attacks
3. WordPress có một table prefix mặc định mà tất cả mọi người đều sử dụng (wp_)
Một tiền tố bảng (table prefix) là những ký tự đứng trước tên của các bảng trong cơ sở dữ liệu của bạn. Ví dụ với bảng users, nếu sử dụng tiền tố tiêu chuẩn của WordPress, nó sẽ là wp_users. Nếu bạn sử dụng tiền tố bảng mặc định, hacker có thể dễ dàng đạt được quyền truy cập vào trang web của bạn bằng cách khai thác các lỗi bảo mật SQL injection. Bởi vì họ biết chính xác nơi để bơm thông tin vào cơ sở dữ liệu của bạn, sau đó truy cập và kiểm soát trang web của bạn.
* Cách khắc phục:
Rất may là bạn có thể dễ dàng loại bỏ mối đe dọa này. Nếu bạn đã cài đặt WordPress sử dụng tiền tố wp_ mặc định, bạn có thể dễ dàng thay đổi nó bằng cách sử dụng một plugin như Sucuri. Bạn cần phải sao lưu cơ sở dữ liệu trước khi làm để đề phòng các sai sót không đáng có.
4. Các tập tin có trong WordPress themes và plugins có thể được chỉnh sửa thông qua bảng điều khiển
Vấn đề ở đây là nếu một hacker truy cập được vào trang web của bạn, họ có thể gây ra rất nhiều thiệt hại. Họ có thể làm cho trang web của bạn trở thành công cụ để tấn công những người khác với phần mềm độc hại (thường kết thúc với việc trang web của bạn bị đưa vào danh sách đen của Google và bị xóa index khỏi các công cụ tìm kiếm), làm mất uy trang web của bạn hoặc dễ dàng mở backdoors.
* Cách khắc phục:
Bạn có thể thêm dòng code sau vào file wp-config.php của bạn:
Hoặc sử dụng một plugin bảo mật để làm điều đó (mà về cơ bản sẽ giúp bạn chèn dòng code bên trên vào tập tin wp-config.php). Vấn đề còn tồn tại ở đây là có plugin cho phép mọi người tắt bật tính năng này, do đó, một hacker chuyên nghiệp có thể có thể cài đặt plugin và sau đó chỉnh sửa các tập tin mà không cần truy cập FTP.
Nếu bạn muốn chống lại điều này, bạn có thể vô hiệu hóa việc cài đặt và cập nhật tất cả các plugins, themes bằng cách thêm dòng code sau vào tập tin wp-config.php:
Nhưng rõ ràng điều này có nghĩa là bạn sẽ phải thay đổi giá trị của nó thành false mỗi khi bạn muốn cập nhật hoặc cài đặt một plugin hay theme. Vì vậy, tôi không thực sự khuyên bạn nên lựa chọn phương thức này, vì giữ themes và plugins luôn được cập nhật là một trong những cách tốt nhất để đảm bảo trang web của bạn ít bị tổn thương.
5. WordPress có thiết lập firewall rất mở, có thể cho phép bots độc hại tấn công
Các thiết lập tường lửa (firewall) mặc định của WordPress thực sự khá mở và thoải mái. Điều này có nghĩa là một số chương trình độc hại và các vị khách không mong muốn khác sẽ được “bật đèn xanh” để truy cập và tấn công trang web của bạn.
* Cách khắc phục:
Bạn có thể làm điều này tốt hơn bằng cách cài đặt các quy tắc 5G blacklist firewall cơ bản, thông qua việc sao chép nó vào tập tin .htaccess hoặc bằng cách cài đặt plugin 5G Blacklist 2013.
Trên đây là 5 lỗi bảo mật cơ bản, thường gặp trên các phiên bản WordPress mặc định. Hy vọng, với các phương pháp khắc phục mà tôi đã giới thiệu, các bạn có thể bảo vệ blog/website của mình một cách an toàn hơn.
Nếu bạn thích bài viết này, hãy subscribe blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất qua email nhé. Cảm ơn rất nhiều. :)
Thực ra còn 2 lỗi nữa hầu như 99,9% wordpress đều bị và đa phần đều bỏ qua không chặn, ngay cả web của bác cũng thế
Thím nào thích hack mình cho hack đó. Có ngại gì đâu. Backup real-time nên không có sợ. :P
Chắc không nhóc. Cho nhóc 2 ngày sao lưu dữ liệu đấy.
Thôi khỏi. Bác hack luôn hộ em phát. Xem khả năng của mấy thằng Sucuri, CloudFlare và Eleven2 đến đâu. Hay tất cả chỉ là quảng cáo. :P
P/s: Nếu chỉ là quảng cáo thì để em còn hủy dịch vụ với bọn nó cho đỡ phí tiền. Haha. :P
Hack chỉ vô tình có thêm lược View thôi !
Có phải cứ nói hack là hack được đâu bác. Nếu thế thì làm gì có chuyện blog của em yên ổn được đến bây giờ. :)
:D cái này là phân tích lỗi bảo mật thường hay gặp phải như bài viết của bác mà đâu phải nói muốn hack, còn hacker VN số lượng nổ nhiều hơn chất lượng
Có người dọa hack kia kìa. Để xem khả năng thực sự đến đâu. :P Bác đừng dìm hàng các hacker nước nhà thế chứ. :P
Lúc cài wp, có cho chọn prefix của database mà. Mình chẳng bao giờ dùng cái mặc định cả :D
Đầy người vẫn để mặc định đấy. Mình thấy nhiều rồi. :D
Cái plugin thứ nhất hay, mỗi tội tính phí :v
Lúc nào có tiền sắm một cái mới được :D
Có $22 thôi mà. Quẩy lên. :D
Nếu dùng các dịch vụ backup và bảo mật thì cũng tạm được, tuy nhiên nếu dùng host share thì vẫn phải canh chừng kiểu hack local-attack !
Bao giờ mới có server riêng như bác Dâm nhể? Có tiền mua nhưng không có tiền thuê chỗ đặt. :D :P
anh hiếu ơi cho em hỏi cái này cái anh . anh kiểm tra dùm em thử dùm em cái . em bị font chữ nó nằm bên phải màng hình giờ chuyển qua bên trái làm sao anh . em đang sài site trumang video
Bạn mở file css ra, tìm text-align: right; và sửa thành text-align: left; là được mà. :P
Cứ config hết mấy cái như bác thì hack khá khó, backup real-time nữa thì chắc cú :D
Chỉ sợ vụ mấy cái plugins bị lỗi bảo mật thôi. :D
Mình thì gà cái vụ chống hack này lắm, nhưng mà sợ nhất là mấy tên DDOS nó chơi phát là chết luôn.
DDoS quy mô vừa và nhỏ thì cứ cài CloudFlare vào là chống được hết. :D