--- title: "Chống Brute Force Attack hiệu quả cho website WordPress" author: "Trung Hiếu" date: "2015-07-15" lastmod: "2025-09-24" url: "https://wpcanban.com/wordpress/thu-thuat-wordpress/chong-brute-force-attack-cho-website-wordpress.html" --- # Chống Brute Force Attack hiệu quả cho website WordPress Hướng dẫn chống Brute Force Attack hiệu quả cho website WordPress. ![chong-brute-force-attack-hieu-qua-cho-website-wordpress](https://wpcanban.com/wp-content/uploads/2015/07/chong-brute-force-attack-hieu-qua-cho-website-wordpress.png) Brute Force Attacks (BFA) là một trong những phương thức tấn công phổ biến nhất hiện nay, không chỉ với [WordPress](https://wpcanban.com/category/wordpress) mà còn rất nhiều mã nguồn khác. Nguyên tắc hoạt động của BFA chính là thử tất cả các chuỗi mật khẩu bất kỳ để tìm ra mật khẩu chính xác. Dựa vào nguyên tắc này, bạn có thể ngăn chặn BFA một cách đơn giản thông qua việc giới hạn số lần đăng nhập thất bại. Tham khảo thêm: - [Vô hiệu hóa reCAPTCHA của web server LiteSpeed](https://wpcanban.com/wordpress/thu-thuat-wordpress/vo-hieu-hoa-recaptcha-cua-web-server-litespeed.html) - [Vô hiệu hóa XML-RPC để bảo mật WordPress tốt hơn](https://wpcanban.com/wordpress/thu-thuat-wordpress/vo-hieu-hoa-xml-rpc-trong-wordpress.html) ## Chống Brute Force Attack trong WordPress Trong WordPress, có một plugin rất nổi tiếng thường được đính kèm trong các dich vụ cài đặt tự động, với khả năng giới hạn số lượt đăng nhập thất bại, chính là [Limit Login Attempts](https://wordpress.org/plugins/limit-login-attempts/). Plugin này vẫn hoạt động trên các phiên bản WordPress mới. Tuy nhiên, đã hơn 9 năm nó chưa được cập nhật. Do vậy, việc nó có dính lỗi bảo mật hay không vẫn còn là một dấu chấm hỏi. Đừng quá lo lắng. Bởi vì, WordPress có sẵn rất nhiều phương án thay thế cho bạn, thậm chí còn tuyệt vời hơn. ### Sử dụng plugin WPCB Secure Shield Nếu website của bạn đã được chúng tôi cài đặt sẵn plugin [WPCB Secure Shield](https://wpcanban.com/thong-bao/plugin-wpcb-secure-shield-doc-quyen-tai-wp-can-ban.html), hãy kiểm tra xem nó đã được cập nhật lên phiên bản mới nhất chưa? Nếu chưa, hãy click vào nút *Check for updates* tương ứng với plugin WPCB Secure Shield trong trang danh sách plugin để kiểm tra và cập nhật phiên bản mới. 1. Nếu rồi, hãy truy cập *Cài đặt* => *Secure Shield* => *Cài đặt chung* => kéo xuống phần *Bảo mật đăng nhập* và tick vào mục *Giới hạn số lần đăng nhập*. Thông thường thì mục này đã được bật theo mặc định. ![gioi-han-so-lan-dang-nhap-wpcb-secure-shield](https://wpcanban.com/wp-content/uploads/2015/07/gioi-han-so-lan-dang-nhap-wpcb-secure-shield.png) 2. Khi ai đó nhập sai thông tin, bộ đếm sẽ bắt đầu đếm ngược. Nếu liên tục đăng nhập thất bại 5 lần trong vòng 60 phút, IP của họ sẽ bị chặn tạm thời. ![thong-bao-sai-thong-tin-dang-nhap](https://wpcanban.com/wp-content/uploads/2015/07/thong-bao-sai-thong-tin-dang-nhap.png) 3. Các bạn có thể xem danh sách IP đang bị chặn ở mục *Các IP hiện đang bị khóa*. Tại đây cũng cho phép các bạn bỏ chặn IP ngay lập tức. Nếu không, chúng sẽ mặc định bị chặn trong 60 phút. ![cac-ip-hien-dang-bi-khoa](https://wpcanban.com/wp-content/uploads/2015/07/cac-ip-hien-dang-bi-khoa.png) ### Sử dụng tính năng Protect của plugin Jetpack Nếu bạn đang sử dụng plugin [Jetpack](https://wpcanban.com/tag/su-dung-jetpack-plugin/) thì tất cả những gì bạn cần làm là truy cập *Jetpack* => *Settings* => *Security* => kích hoạt tính năng *Protect* của nó lên là được. *Protect* không những giúp bạn bảo vệ trang đăng nhập mà còn bảo vệ cả tính năng XML-RPC (`xmlrpc.php`) của WordPress nữa. ![kich-hoat-tinh-nang-protect-cua-plugin-jetpack](https://wpcanban.com/wp-content/uploads/2015/07/kich-hoat-tinh-nang-protect-cua-plugin-jetpack.png) ### Sử dụng plugin Defender Security Nếu bạn đang cài đặt plugin [Defender Security](https://wpcanban.com/tag/defender-security) trên website, hãy truy cập *Defender* => *Firewall* => *Login Protection* => click vào nút *Activate* để kích hoạt tính năng chống Brute Force Attack lên. ![kich-hoat-tinh-nang-login-protection-cua-plugin-defender-security](https://wpcanban.com/wp-content/uploads/2015/07/kich-hoat-tinh-nang-login-protection-cua-plugin-defender-security.png) Sau khi kích hoạt, bạn có thể tùy chỉnh một số thiết lập theo nhu cầu sử dụng hoặc để nó theo mặc định. ![thiet-lap-tinh-nang-login-protection-cua-plugin-defender-security](https://wpcanban.com/wp-content/uploads/2015/07/thiet-lap-tinh-nang-login-protection-cua-plugin-defender-security.png) Trong đó: - *Threshold*: số lần đăng nhập thất bại trong một khoảng thời gian nhất định trước khi bị khóa IP. - *Duration*: thời gian khóa IP. Chọn *Permanen*t nếu bạn muốn khóa IP vĩnh viễn. - *Message*: thông báo hiển thị với người bị khóa IP. - *Banned usernames*: điền những username sẽ mặc định bị khóa IP nếu ai đó sử dụng chúng để thử đăng nhập, không cần phải chờ đạt số lần đăng nhập thất bại tối đa. Click vào nút *Save Changes* để lưu lại và kiểm tra kết quả. ### Sử dụng plugin Limit Login Attempts Reloaded 1. Đầu tiên, các bạn cần phải cài đặt plugin [Limit Login Attempts Reloaded](https://wordpress.org/plugins/limit-login-attempts-reloaded/). ![cai-dat-va-kich-hoat-plugin-limit-login-attempts-reloaded](https://wpcanban.com/wp-content/uploads/2015/07/cai-dat-va-kich-hoat-plugin-limit-login-attempts-reloaded.png) 2. Tiếp theo, truy cập *Settings* => *Limit Login Attempts* => *Settings*. Tại đây, các bạn có thể tùy chỉnh một số thiết lập của plugin trong mục *Local App* hoặc để chúng theo mặc định cũng được. ![thiet-lap-plugin-limit-login-attempts-reloaded](https://wpcanban.com/wp-content/uploads/2015/07/thiet-lap-plugin-limit-login-attempts-reloaded.png) Trong đó: - *Allowed retries*: số lần đăng nhập thất bại tối đa trước khi IP bị khóa. - *Minutes lockout*: thời gian khóa IP (tính theo phút). - *Lockouts increase lockout time to … hours*: số lần bị khóa IP tối đa trước khi bị nâng thời gian khóa (tính theo giờ). Ví dụ (hình bên trên) nếu bạn đã bị khóa 3 lần trước đó thì khi bị khóa lần thứ 4, thời gian khóa sẽ tăng lên thành 24 giờ thay vì 20 phút. - *Hours until retries are reset*: thời gian chờ trước khi reset bộ đếm số lần đăng nhập thất bại. - *Trusted IP Origins*: các bạn nên để mặc định là *REMOTE_ADDR*. Click vào nút *Save Settings* để lưu lại và kiểm tra kết quả. ## Một số lời khuyên giúp chống Brute Force Attack Bên cạnh việc sử dụng plugin để chống Brute Force Attack, các bạn cũng nên áp dụng một số lời khuyên sau đây: - Không sử dụng những username quá phổ biến, ví dụ như: Admin, Administrator… - Sử dụng mật khẩu đủ mạnh: nhiều ký tự, kết hợp chữ thường, chữ in hoa, số và các ký tự đặc biệt. Không nên sử dụng những mật khẩu phổ biến hoặc có ý nghĩa (dễ bị đoán). - Cài thêm phần mềm diệt virus cho máy tính. - Tích hợp tính năng bảo mật 2 lớp (đăng nhập 2 bước) cho website. Xong! Website WordPress của bạn đã được bảo vệ an toàn trước Brute Force Attack. Thật đơn giản phải không nào? Chúc các bạn thành công! *Nếu bạn thích bài viết này, hãy theo dõi blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất nhé. Cảm ơn rất nhiều.* :)