• Trang chủ
  • WordPress
    • Thủ thuật WordPress
    • WordPress Plugins
    • WordPress Themes
  • Hosting và Domain
  • Kiếm tiền
  • Đánh giá
  • Khuyến mãi
  • Thông báo
  • Giới thiệu
  • Liên hệ

WP Căn bản

Kiến thức căn bản cho người dùng WordPress

paradise-child-theme-wordpress-theme-tot-nhat
  • Dịch vụ WordPress Hosting
  • Dịch vụ tối ưu WordPress
  • Dịch vụ quét mã độc WordPress
  • Mua Paradise child theme
Trang chủ » WordPress » Thủ thuật WordPress » Chống Brute Force Attack hiệu quả cho website WordPress
hosting-tot-nhat-danh-cho-wordpress

Chống Brute Force Attack hiệu quả cho website WordPress

Cập nhật: 07/08/2021 Trung Hiếu 14 Bình luận

Mục lục Hiện
  • 1. Chống Brute Force Attack trong WordPress
    • 1.1. Sử dụng tính năng Protect của plugin Jetpack
    • 1.2. Sử dụng plugin Defender Security
    • 1.3. Sử dụng plugin Limit Login Attempts Reloaded
  • 2. Một số lời khuyên giúp chống Brute Force Attack

Hướng dẫn chống Brute Force Attack hiệu quả cho website WordPress.

chong-brute-force-attack-hieu-qua-cho-website-wordpress

Brute Force Attacks (BFA) là một trong những phương thức tấn công phổ biến nhất hiện nay, không chỉ với WordPress mà còn rất nhiều mã nguồn khác. Nguyên tắc hoạt động của BFA chính là thử tất cả các chuỗi mật khẩu bất kỳ để tìm ra mật khẩu chính xác. Dựa vào nguyên tắc này, bạn có thể ngăn chặn BFA một cách đơn giản thông qua việc giới hạn số lần đăng nhập thất bại.

Tham khảo thêm:

  • Vô hiệu hóa reCAPTCHA của web server LiteSpeed
  • Vô hiệu hóa XML-RPC để bảo mật WordPress tốt hơn

Chống Brute Force Attack trong WordPress

Trong WordPress, có một plugin rất nổi tiếng thường được đính kèm trong các dich vụ cài đặt tự động, với khả năng giới hạn số lượt đăng nhập thất bại, chính là Limit Login Attempts. Plugin này vẫn hoạt động trên các phiên bản WordPress mới. Tuy nhiên, đã hơn 9 năm nó chưa được cập nhật. Do vậy, việc nó có dính lỗi bảo mật hay không vẫn còn là một dấu chấm hỏi. Đừng quá lo lắng. Bởi vì, WordPress có sẵn rất nhiều phương án thay thế cho bạn, thậm chí còn tuyệt vời hơn.

Sử dụng tính năng Protect của plugin Jetpack

Nếu bạn đang sử dụng plugin Jetpack thì tất cả những gì bạn cần làm là truy cập Jetpack => Settings => Security => kích hoạt tính năng Protect của nó lên là được. Protect không những giúp bạn bảo vệ trang đăng nhập mà còn bảo vệ cả tính năng XML-RPC (xmlrpc.php) của WordPress nữa.

kich-hoat-tinh-nang-protect-cua-plugin-jetpack

Sử dụng plugin Defender Security

Nếu bạn đang cài đặt plugin Defender Security trên website, hãy truy cập Defender => Firewall => Login Protection => click vào nút Activate để kích hoạt tính năng chống Brute Force Attack lên.

kich-hoat-tinh-nang-login-protection-cua-plugin-defender-security

Sau khi kích hoạt, bạn có thể tùy chỉnh một số thiết lập theo nhu cầu sử dụng hoặc để nó theo mặc định.

thiet-lap-tinh-nang-login-protection-cua-plugin-defender-security

Trong đó:

  • Threshold: số lần đăng nhập thất bại trong một khoảng thời gian nhất định trước khi bị khóa IP.
  • Duration: thời gian khóa IP. Chọn Permanent nếu bạn muốn khóa IP vĩnh viễn.
  • Message: thông báo hiển thị với người bị khóa IP.
  • Banned usernames: điền những username sẽ mặc định bị khóa IP nếu ai đó sử dụng chúng để thử đăng nhập, không cần phải chờ đạt số lần đăng nhập thất bại tối đa.

Click vào nút Save Changes để lưu lại và kiểm tra kết quả.

Sử dụng plugin Limit Login Attempts Reloaded

1. Đầu tiên, các bạn cần phải cài đặt plugin Limit Login Attempts Reloaded.

cai-dat-va-kich-hoat-plugin-limit-login-attempts-reloaded

2. Tiếp theo, truy cập Settings => Limit Login Attempts => Settings. Tại đây, các bạn có thể tùy chỉnh một số thiết lập của plugin trong mục Local App hoặc để chúng theo mặc định cũng được.

thiet-lap-plugin-limit-login-attempts-reloaded

Trong đó:

  • Allowed retries: số lần đăng nhập thất bại tối đa trước khi IP bị khóa.
  • Minutes lockout: thời gian khóa IP (tính theo phút).
  • Lockouts increase lockout time to … hours: số lần bị khóa IP tối đa trước khi bị nâng thời gian khóa (tính theo giờ). Ví dụ (hình bên trên) nếu bạn đã bị khóa 3 lần trước đó thì khi bị khóa lần thứ 4, thời gian khóa sẽ tăng lên thành 24 giờ thay vì 20 phút.
  • Hours until retries are reset: thời gian chờ trước khi reset bộ đếm số lần đăng nhập thất bại.
  • Trusted IP Origins: các bạn nên để mặc định là REMOTE_ADDR.

Click vào nút Save Settings để lưu lại và kiểm tra kết quả.

Một số lời khuyên giúp chống Brute Force Attack

Bên cạnh việc sử dụng plugin để chống Brute Force Attack, các bạn cũng nên áp dụng một số lời khuyên sau đây:

  • Không sử dụng những username quá phổ biến, ví dụ như: Admin, Administrator…
  • Sử dụng mật khẩu đủ mạnh: nhiều ký tự, kết hợp chữ thường, chữ in hoa, số và các ký tự đặc biệt. Không nên sử dụng những mật khẩu phổ biến hoặc có ý nghĩa (dễ bị đoán).
  • Cài thêm phần mềm diệt virus cho máy tính.
  • Tích hợp tính năng bảo mật 2 lớp (đăng nhập 2 bước) cho website.

Xong! Website WordPress của bạn đã được bảo vệ an toàn trước Brute Force Attack. Thật đơn giản phải không nào? Chúc các bạn thành công!

Nếu bạn thích bài viết này, hãy theo dõi blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất nhé. Cảm ơn rất nhiều. :)

  • Chia sẻ lên Facebook
  • Chia sẻ lên Twitter
  • Chia sẻ lên LinkedIn

Bài viết liên quan

Monarx Security được tích hợp vào dịch vụ WordPress Hosting
Monarx Security được tích hợp vào dịch vụ WordPress Hosting
Plugin chống copy nội dung siêu nhẹ cho WordPress
Plugin chống copy nội dung siêu nhẹ cho WordPress
Chống spam cho plugin Contact Form 7
Chống spam cho plugin Contact Form 7

Chuyên mục: Thủ thuật WordPress Thẻ: Bảo mật WordPress/ Defender Security/ Sử dụng Jetpack plugin

wpcanban-com-facebook-group

Nói về Trung Hiếu

Một người con của xứ Nghệ, hiện đang sinh sống tại Hà Nội. Tôi là người sáng lập và đứng sau mọi hoạt động của WP Căn bản. Tìm hiểu thêm về tôi tại đây.

Bài viết trước « Tự động cập nhật URL khi thay đổi tên miền trong WordPress
Bài viết sau Hướng dẫn tạo XML sitemaps với plugin Yoast SEO »

Reader Interactions

Bình luận

    Để lại một bình luận Hủy

    Tất cả các bình luận đều sẽ được kiểm duyệt nghiêm ngặt. Mọi bình luận trái quy định sử dụng sẽ bị gỡ bỏ link hoặc xóa bỏ hoàn toàn. Vui lòng đọc kỹ quy định trước khi bình luận. Xin cảm ơn!

  1. Học Luật 67 bình luậnviết

    09/08/2021 lúc 11:15

    Hình như một năm gần đây em thấy wp ít bị tấn công hơn thì phải. Trước em cứ mở web ra vứt đó là kiểu gì một tháng sau cũng có vài ngàn bình luận rác của bọn nước ngoài. Còn giờ thì thi thoảng mới thấy.

    Bình luận
    • Trung Hiếu Quản lýviết

      09/08/2021 lúc 14:11

      Site của mình trung bình mỗi ngày vẫn từ 300 – 400 bình luận spam. :D

      Bình luận
  2. Nguyễn Trần Gia Bảo 6 bình luậnviết

    21/11/2015 lúc 20:04

    Bạn ơi cái này bắt mình cài Jetpack nhưng mà mà mình cài rồi mà

    Bình luận
    • Trung Hiếu Quản lýviết

      21/11/2015 lúc 21:15

      “BruteProtect is no longer supported or under active development. In August of 2014, BruteProtect became a part of the Automattic family, and our technology has been integrated into Jetpack. Please upgrade to Jetpack to continue using BruteProtect.” => Plugin này đã bị sát nhập vào JetPack và không cho phép hoạt động riêng rẽ như trước nữa. :P

      Bình luận
  3. Kiên 42 bình luậnviết

    15/07/2015 lúc 11:24

    Cái này chắc có rồi bác, lời khuyên là ko nên sử dụng plugin không quá 2 năm chưa cập nhật. Ngoại trừ những plugin thực sự cần thiết và không có lựa chọn thay thế, đến itheme cập nhật liên tục mà còn dính nữa mà

    Bình luận
    • Trung Hiếu Quản lýviết

      15/07/2015 lúc 11:55

      Cá nhân mình không thích thằng iThemes Security. Nó gây ra khá nhiều vấn đề khác, trong khi khả năng bảo mật không cao. :P

      Bình luận
      • Ninh Đôn 11 bình luậnviết

        16/07/2015 lúc 00:06

        Đồng ý với quan điểm của bác Trung, đôi lúc em không dám dùng iThemes Security vì khách hàng và người dùng không vào được website ấy!

        Bình luận
        • Trung Hiếu Quản lýviết

          16/07/2015 lúc 08:45

          Không liên quan nhưng chú đừng có đổi tên anh nhé. :D

          Bình luận
          • Kiên 42 bình luậnviết

            16/07/2015 lúc 11:03

            Do cấu hình sai mới không vào được thôi đâu phải do plugin hả bạn.

        • Trương Anh Vũ 1 bình luậnviết

          20/08/2021 lúc 17:57

          Nên sử dụng phiên bản mất tiền mua đi, tối ngày sử dụng phiên bản miễn phí mãi mà còn đòi tính ưu việt

          Bình luận
      • Ngô Quý 77 bình luậnviết

        06/10/2016 lúc 06:06

        Em thấy cái plugin Loginizer dùng cũng tạm anh Hiếu ạ.

        Bình luận
    • Trung Hiếu Quản lýviết

      16/07/2015 lúc 11:08

      Thằng iTheme Security nó block IP nhầm nhiều mà. :P

      Bình luận
      • Kiên 42 bình luậnviết

        16/07/2015 lúc 23:38

        Cái đó mình đưa ip của mình vào danh sách trắng, hầu hết ai cũng setting để tự động block nên dính thôi.

        Bình luận
        • Trung Hiếu Quản lýviết

          17/07/2015 lúc 07:00

          IP đâu phải lúc nào cũng cố định đâu bạn. Đặc biệt là khi dùng mạng wifi. :D

          Bình luận

Sidebar chính

NHẬN BÀI VIẾT QUA EMAIL

Hãy đăng ký ngay để là người đầu tiên nhận được thông báo qua email mỗi khi chúng tôi có bài viết mới. Tặng miễn phí ebook "Bảo mật WordPress toàn tập" do WP Căn bản biên soạn!

Theo dõi qua mạng xã hội

Dịch vụ WordPress Hosting

dich-vu-wordpress-hosting-chat-luong-cao

Bạn đang tìm gì?

WordPress căn bản

Bảo mật WordPress

Tăng tốc WordPress

Sửa lỗi WordPress

Thủ thuật Genesis

Thủ thuật SEO

Thủ thuật CloudFlare

Thủ thuật LiteSpeed

Thủ thuật WooCommerce

Sử dụng theme Paradise

Dịch vụ tối ưu WordPress miễn phí

dich-vu-toi-uu-wordpress-mien-phi

Dịch vụ quét mã độc miễn phí

dich-vu-quet-ma-doc-wordpress-mien-phi

Footer

Bài viết mới nhất

  • Monarx Security được tích hợp vào dịch vụ WordPress Hosting 15/06/2025
  • Hiển thị code trong bài viết của WordPress 07/06/2025
  • Plugin SMTP siêu nhẹ dành cho WordPress 26/05/2025
  • Plugin contact form siêu nhẹ cho WordPress 23/05/2025

Bình luận mới nhất

  • Trung Hiếu trong Monarx Security được tích hợp vào dịch vụ WordPress Hosting
  • TITAN VINA trong Monarx Security được tích hợp vào dịch vụ WordPress Hosting
  • Trung Hiếu trong Monarx Security được tích hợp vào dịch vụ WordPress Hosting
  • TITAN VINA trong Monarx Security được tích hợp vào dịch vụ WordPress Hosting

Thông tin hữu ích

  • Giới thiệu bản thân
  • Quy định sử dụng
  • Chính sách bảo mật
  • Bản quyền nội dung

Thống kê WP Căn bản

9 Chuyên mục - 1.005 Bài viết - 35.545 Bình luận

Bản quyền © 2014 - 2025 · WP Căn bản (tiền thân là eBooksvn.com) · Sử dụng Paradise child theme và dịch vụ WordPress Hosting