Đâu là công cụ quét bảo mật tốt nhất dành cho WordPress?
Là quản trị viên của một blog chuyên về WordPress, bảo mật luôn luôn là mối quan tâm hàng đầu đối với tôi. Những thông tin về các lỗ hổng bảo mật mới được phát hiện mỗi ngày càng làm cho nỗi lo về bảo mật lớn thêm, đặc biệt là trước tình trạng hàng loạt trang web bị hack trong thời gian gần đây. Tôi quyết định sẽ quét blog của mình bằng một công cụ đáng tin cậy để phát hiện các phần mềm độc hại (malware) cũng như các vấn đề bảo mật khác một cách nhanh chóng và nhờ đó sẽ giúp giảm thiểu các thiệt hại mà chúng có thể gây ra.
Hiện tại, có khá nhiều công cụ (plugins) bảo mật dành cho WordPress. Làm thế nào để tôi có thể chọn được công cụ tốt nhất? Tôi có nên tin tưởng vào những đánh giá phổ biến của người dùng? Làm thế nào để tôi biết chắc chắn rằng các công cụ đó thực sự hiệu quả? Nếu một công cụ quét bảo mật không tìm ra bất kỳ vấn đề nào trên blog của tôi thì có thể khẳng định blog hoàn toàn không chứa phần mềm độc hại hay không? Hay là nó chỉ tạo ra một cảm giác sai lầm về bảo mật?
Cách tốt nhất để trả lời cho các câu hỏi trên là test thử hiệu quả của các công cụ bảo mật. Tôi đã chọn những cái tên nổi tiếng nhất liên quan đến bảo mật WordPress – Sucuri, Wordfence, WPScan, và Exploit Scanner. Sau đó, tôi chèn 2 lỗi bảo mật đã được biết trước vào trang web thử nghiệm:
- Các TimThumb script dễ bị tổn thương.
- Một “phần mềm độc hại chuyển hướng có điều kiện” từ trang web của Sucuri.
TimThumb script được chèn vào theme Karma, trong khi đó phần mềm độc hại (malware) được chèn vào trong file index.php. Xong, bây giờ tôi có thể kiểm tra xem liệu các scanner có thực sự hiệu quả hay không mà không cần phải dựa vào ý kiến đánh giá từ người khác.
Lưu ý: Các công cụ dưới đây đều được thử nghiệm trên phiên bản miễn phí.
1. Sucuri Sitecheck
Bạn không thể bàn về bảo mật WordPress mà không nhắc tới Sucuri. Vì vậy, chúng ta sẽ bắt đầu thử nghiệm từ Sucuri SiteCheck. Nó là công cụ miễn phí để kiểm tra malware, blacklist, lỗi trang web và phần mềm out-of-date. Điều tuyệt vời là chúng ta không cần cài đặt bất cứ plugin nào cả. Tất cả những gì tôi đã làm là nhập URL vào khung và sau đó click vào nút “Scan“. Giao diện của nó thực sự đơn giản và dễ sử dụng. Chỉ mất một vài phút để hoàn thành quá trình quét, nhưng điều này có thể thay đổi tùy thuộc vào kích thước trang web của bạn.
Các trạng thái được thông báo khiến tôi vô cùng ngạc nhiên – không có phần mềm độc hại nào được phát hiện. Đây thực sự là một sự thất vọng không hề nhỏ dành cho Sucuri, khi mà tôi đã chọn các phần mềm độc hại từ chính trang web của họ.
2. Wordfence Security
Wordfence là một cái tên khá nổi tiếng khi nói đến bảo mật WordPress. Nó là một trong những plugin bảo mật nên được cài đặt trên trang web của bạn. Plugin này đi kèm với một trình scan cùng với một loạt các tính năng bảo mật khác. Quá trình quét bảo mật chủ yếu bao gồm những điểm sau:
- Kiểm tra các phần mềm độc hại được biết đến.
- So sánh WordPress core, plugin và các tập tin theme hiện tại với các tập tin gốc.
- Quét nội dung các tập tin để phát hiện tập tin bị nhiễm và các lỗ hổng.
Thời gian để quá trình quét hoàn thành phụ thuộc vào những gì bạn đã tick trong phần tùy chọn. Tôi đã tick vào hầu hết các mục có trong danh sách.
Mặc dù quá trình quét phải mất một thời gian khá lâu để hoàn thành. Tuy nhiên, tôi thực sự vui mừng khi nó đã phát hiện ra tất cả những vấn đề bảo mật trên blog. Người dùng cũng có tùy chọn để đặt quét lịch theo nhu cầu của họ. Wordfence chắc chắn là một ứng cử viên đầy tiềm năng cho blog của tôi.
3. WPScan
Nhóm phát triển WPScan đã giới thiệu sản phẩm của họ như là một máy quét hộp đen, có thể phát hiện các vấn đề bảo mật phổ biến trong các trang web WordPress. Nó có một phiên bản trực tuyến tương tự như Sucuri Sitecheck mà bạn chỉ cần nhập URL, click vào nút “Scan” và sau đó chờ đợi kết quả. Công cụ này cũng được cài sẵn trong nhiều bản phân phối Linux phổ biến. Ngoài kiểm tra bảo mật cơ bản, công cụ này cũng có khả năng liệt kê các plugins, themes, và người dùng để xác định các vấn đề bảo mật khác trên trang web của bạn. Tuy nhiên, các tùy chọn nâng cao chỉ có sẵn trong các phiên bản cài đặt mà không có trên phiên bản trực tuyến. Kết quả quét được hiển thị bằng văn bản thuần túy với định dạng tối thiểu, làm cho bạn khó mà đọc qua một cách nhanh chóng.
Và cuối cùng, điều quan trọng là công cụ này không thể phát hiện ra các vấn đề bảo mật đang tồn tại trên blog của tôi.
4. Exploit Scanner
Exploit Scanner là một plugin bảo mật dành cho WordPress, giúp kiểm tra xem liệu trang web của bạn có dấu hiệu của hoạt động đáng ngờ hay không? Không giống như plugin Wordfence, đây là một tiện ích giúp quét sạch và sâu. Sau khi cài đặt, bạn có thể click vào tùy chọn “Run Scan” để bắt đầu quét. Nó thực sự là đơn giản và dễ sử dụng, không có quá nhiều tùy chọn.
Một tin tốt lành là Exploit Scanner đã phát hiện ra cả hai vấn đề của tôi. Bên cạnh đó, công cụ này còn liệt kê hàng trăm tập tin khác mà nó cho là đáng ngờ. Điều thú vị là nó quét qua nội dung chi tiết của tất cả các tập tin và danh sách các đoạn mã mà nó cho là độc hại, tương ứng với từng tập tin. Tuy nhiên, trong danh sách cũng tồn tại khá nhiều nhầm lẫn, có thể được loại bỏ thông qua việc kiểm tra nhãn code. Điều này có vẻ dễ dàng đối với một nhà phát triển, nhưng không phải cho một người dùng WordPress thông thường.
Kết luận
Sau thử nghiệm vừa rồi, tôi nhận ra không có giải pháp nào là hoàn hảo khi nói đến các công cụ quét bảo mật. Tuy nhiên, có vẻ như Wordfence là công cụ hiệu quả và dễ sử dụng nhất. Thêm nữa, nó sở hữu một số tính năng bổ sung giúp cải thiện khả năng bảo mật cho trang web. Wordfence là sự lựa chọn của tôi, còn bạn thì sao? Hãy chia sẻ ý kiến của bạn với chúng tôi bằng cách sử dụng khung bình luận bên dưới.
Nếu bạn thích bài viết này, hãy subscribe blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất qua email nhé. Cảm ơn rất nhiều. :)
Chào bạn
Sau khi đọc bài viết này của bạn, mình muốn cài Wordfence cho trang http://thhoangvanthu.com nhằm tăng cường bảo mật cho nó. Ngoài ra mình muốn hỏi bạn cách dùng plugin download mà bạn đã cài trên trang http://thhoangvanthu.com của mình. Mình đã up file đính kèm trong trang plugin download nhưng không biết cách đưa liên kết ra bài viết chính.
Mong sớm nhận hồi âm của bạn
Thank
Wordfence đã thêm chức năng Live traffic rất hay, nhưng không biết nó có làm nặng site và tốn dung lượng không Hiếu, mình chỉ dùng share hosting thôi thì có đc ko ?
Về cơ bản thì chức năng này chiếm một phần tài nguyên của host. Tuy nhiên, bạn vẫn có thể sử dụng nó trên shared host một cách bình thường nhé. Mặc dù sử dụng trên các host đủ mạnh hoặc VPS thì sẽ tốt hơn. :)
vâng e đã cài nó cho http://tamngoaingu.com
sạch sẽ và an toàn.
Cảm ơn a nhé
Đâu nhất thiết phải show cái link ra như vậy bạn. :P Để trong nickname là đủ rồi mà. :D
em có đọc hướng dẫn của a về sucuri, thấy nó nhẹ hơn Wordfence đáng kể, định chuyển qua, mà lại đọc được bài này, hix, phân vân quá, theo a, nên xài plugin nào vậy ã, em xài shared host thôi hà
Dùng Sucuri là đủ bạn nhé. :P
tiện thể cho em hỏi, e xài sucuri với itheme security có sao không anh, em cảm ơn !
Dùng 1 trong 2 thôi bạn nhé. Dùng nhiều plugin bảo mật dễ bị lỗi + nặng site. :P