Những nguyên nhân có thể khiến website bị hack

Những nguyên nhân có thể khiến website bị hack và một số lời khuyên giúp bảo mật website WordPress.

Một ngày đẹp trời, bạn ghé thăm website của mình và bàng hoàng phát hiện ra nó đã bị hack. Có nhiều hậu quả khác nhau của vấn đề này: website bị thay đổi giao diện, bị chuyển hướng sang website khác, bị chiếm quyền quản trị, bị chèn backlink ẩn, quảng cáo và các đoạn script độc hại… Nguyên nhân đầu tiên mà bạn thường nghĩ đến trong những tình huống như vậy là gì? Do theme hoặc plugin “không sạch”, hay là do hosting bảo mật kém? Tất cả đều có thể. Nhưng ngoài ra, vẫn còn có rất nhiều nguyên nhân khác mà nếu biết được, bạn chỉ có thể trách chính bản thân mình.

Tham khảo thêm:

• Làm thế nào để phát hiện mã độc, backlink ẩn trong theme và plugin lậu?
• Cảnh báo tình trạng mã độc tấn công WordPress quy mô lớn

Những nguyên nhân nào có thể khiến website bị hack?

Có rất nhiều nguyên nhân khác nhau có thể dẫn đến việc website của bạn bị hack. Chúng được chia làm 2 nhóm: nguyên nhân chủ quan và nguyên nhân khách quan.

Nguyên nhân chủ quan

Nhóm nguyên nhân chủ quan thường là do thói quen xấu của chính bạn. Và trong trường hợp này – ” tiên trách kỷ, hậu trách nhân”.

Sử dụng theme, plugin “lậu” (nulled), không rõ nguồn gốc

Tôi dám chắc rằng rất nhiều bạn ở đây đang hoặc đã từng sử dụng theme, plugin WordPress “lậu”. Chúng là những sản phẩm trả phí nhưng lại được chia sẻ miễn phí một cách tràn lan trên internet. Và không phải tự nhiên mà có nhiều người lại rảnh rỗi để đi làm điều đó. Khi chia sẻ theme, plugin, họ thường “tặng kèm” luôn cả malware, backdoor, backlink ẩn… và các loại iframe, script độc hại khác. Nếu bạn không may sử dụng phải những sản phẩm dạng này thì nguy cơ website bị hack là rất cao.

Tham khảo thêm: Những trang share theme lậu kiếm tiền như thế nào?

Sử dụng tên đăng nhập mặc định và mật khẩu quá đơn giản

Nhiều bạn có thói quen sử dụng tên đăng nhập mặc định, phổ biến (kiểu như admin, Administrator…) và mật khẩu quá đơn giản (quá ít ký tự, chỉ bao gồm một dãy số hoặc các dòng chữ có nghĩa) để cho dễ nhớ, mà không hề biết rằng điều đó sẽ vô tình biến website của mình trở thành miếng mồi ngon cho tin tặc. Chỉ với phương thức tấn công brute force phổ thông, mật khẩu của bạn sẽ nhanh chóng bị dò ra và hậu quả thì chắc bạn đã rõ.

Tham khảo thêm: Chống Brute Force Attack hiệu quả cho website WordPress

Việc sử dụng cùng một username và password trên nhiều website khác nhau cũng có thể gây ra hiệu ứng “chết chùm” một khi tin tặc đã dò ra thông tin đăng nhập của một website nào đó.

Không update WordPress, theme và plugin

Ngoài mục đích bổ sung tính năng mới, cải thiện hiệu suất làm việc, update phiên bản mới cho WordPress, theme, plugin còn giúp khắc phục các lỗi bảo mật nguy hiểm còn tồn tại trên các phiên bản cũ. Tuy nhiên, điều đáng buồn là phải đến hơn 60% người dùng rất ngại thực hiện điều này. Có thể họ sợ website sẽ bị lỗi. Cũng có thể là do lười. Nhưng dù với nguyên nhân gì thì họ cũng đang tự mở cửa để mời tin tặc.

Tham khảo thêm: Quản lý việc update WordPress một cách chuyên nghiệp

Không cài plugin bảo mật

Bạn có nghĩ rằng việc cài plugin bảo mật cho website WordPress là điều cần thiết không? Riêng tôi, đó là điều hoàn toàn cần thiết. Các plugin bảo mật hiện nay đều được trang bị khá đầy đủ các tính năng giúp bạn chống brute force attack, XSS, spam bình luận, quét và tìm ra các file mã độc được chèn vào mã nguồn WordPress… Chúng là một lớp bảo vệ bổ sung hữu hiệu giúp website của bạn an toàn hơn. Nếu bạn không cài bất cứ plugin hỗ trợ bảo mật nào trên website thì xin chúc mừng, bạn đang đối mặt với rủi ro cao về bảo mật.

Tham khảo thêm: Top 5 Security plugins tốt nhất cho WordPress

Không cài phần mềm antivirus trên máy tính

Máy tính thì liên quan gì đến việc website của bạn bị hack? Có chứ, liên quan nhiều là đằng khác. Nếu máy tính bị nhiễm virus, trojan, malware… chúng hoàn toàn có thể xâm nhập vào website của bạn thông qua việc upload file, theo dõi lịch sử duyệt web, phân tích cookie trình duyệt và cả việc ăn thông tin đăng nhập khi bạn gõ trên bàn phím… Do đó, nếu máy tính của bạn không được bảo vệ tốt bởi một phần mềm diệt virus chất lượng và được cập nhật thường xuyên, website của bạn nhiều khả năng sẽ là nạn nhân tiếp theo.

Không biết cách bảo mật server, VPS

Nếu bạn không thực sự có nhiều kinh nghiệm về việc cấu hình và bảo mật VPS và server, tôi thật lòng khuyên bạn không nên nghĩ đến việc tự build VPS và server để chạy website WordPess. Các web server hiện nay vẫn còn tồn tại rất nhiều lỗ hổng bảo mật mà nếu không biết cách “vá”, không biết cách cấu hình, website của bạn rất dễ trở thành đích ngắm của các cuộc tấn công.

Tham khảo thêm: Nên chọn shared host hay VPS cho website WordPress?

Nguyên nhân khách quan

Nếu bạn tự tin cho rằng mình đã thực hiện tốt những vấn đề kể trên thì nguyên nhân còn lại là do yếu tố khách quan.

Do host bảo mật kém

Trùng với nguyên nhân số 6 sao? Không. Ý của tôi trong trường hợp này là shared host. Với shared host, hầu như các bạn không phải làm gì, chính xác hơn là không thể làm gì để cải thiện khả năng bảo mật cho server. Và tất nhiên, nếu nhà cung cấp không biết cách bảo mật server, host của bạn sẽ dễ dàng bị hack. Đó là lý do các bạn cần phải chọn nhà cung cấp dịch vụ hosting uy tín, có nhiều kinh nghiệm trong bảo mật để “gửi vàng”.

Tham khảo thêm: Cần lưu ý những gì khi mua hosting dành cho WordPress?

Do WordPress, theme, plugin còn tồn tại nhiều lỗ hổng bảo mật

Tất nhiên, không có gì là hoàn hảo cả. Ngay cả khi bạn thường xuyên cập nhật WordPress, theme và plugin, download sản phẩm chính hãng, bản quyền, nguồn gốc rõ ràng… thì chúng vẫn có thể còn tồn tại rất nhiều lỗ hổng bảo mật. Hacker hoàn toàn có thể khai thác chúng để tấn công website của bạn. Và lần này, trách nhiệm thuộc về các nhà phát triển.

36 Lời khuyên giúp bạn bảo mật WordPress

Do thời lượng của bài viết không cho phép nên sau đây, tôi sẽ nêu tóm tắt một số lời khuyên hữu ích dành cho bảo mật WordPress:

• Luôn luôn giữ phiên bản WordPress của bạn ở trạng thái cập nhật
• Không tự ý thay đổi mã nguồn WordPress
• Chắc chắn rằng tất cả plugin của bạn đã được cập nhật
• Xóa tất cả các plugin và theme không kích hoạt hoặc không sử dụng
• Đảm bảo tất cả các theme của bạn đã được cập nhật
• Chỉ cài đặt theme, plugin và script từ các nguồn chính thống
• Chọn một dịch vụ WordPress Hosting bảo mật tốt
• Đảm bảo website của bạn đang chạy phiên bản PHP mới nhất
• Thay đổi tên đăng nhập mặc định của quản trị viên
• Luôn sử dụng mật khẩu đủ mạnh
• Không tái sử dụng mật khẩu
• Bảo vệ mật khẩu của bạn bằng cách tránh truyền tải mật khẩu bằng văn bản thuần túy
• Chỉ cập nhật website của bạn từ các mạng internet đáng tin cậy
• Sử dụng một phần mềm diệt virus trên máy tính
• Kích hoạt Google Search Console
• Bảo vệ WordPress bằng một plugin bảo mật
• Thường xuyên sao lưu dữ liệu của website
• Thường xuyên kiểm tra danh sách người dùng
• Cài đặt SSL cho website
• Hạn chế số lần đăng nhập thất bại
• Kích hoạt xác thực hai nhân tố (bảo mật 2 bước)
• Bảo đảm chính xác quyền của tập tin và thư mục
• Thay đổi tiền tố bảng mặc định của database
• Đảm bảo bạn đã đặt khóa xác thực WordPress bí mật
• Vô hiệu hóa thực thi tập tin PHP
• Vô hiệu hóa “directory indexing và browsing”
• Phân tách cơ sở dữ liệu WordPress của bạn
• Hạn chế quyền của người dùng cơ sở dữ liệu
• Vô hiệu hoá chỉnh sửa tập tin từ bảng quản trị WordPress
• Bảo vệ tập tin wp-config.php của bạn
• Bảo vệ tập tin .htaccesss của bạn
• Vô hiệu hoá XML-RPC (nếu bạn không sử dụng nó)
• Vô hiệu hoá thông báo lỗi PHP
• Cài đặt một tường lửa cho website
• Sử dụng tường lửa của CDN
• Theo dõi lịch sử đăng nhập và các thay đổi của tập tin

Nếu bạn muốn biết cách thức chi tiết để thực hiện những lời khuyên này, vui lòng tham khảo ebook “Bảo mật WordPress toàn tập” do chính WP Căn bản biên soạn và phát hành cách đây không lâu.

Theo bạn, còn những nguyên nhân nào khác khiến website bị hack? Hãy chia sẻ với chúng tôi quan điểm và ý kiến của bạn trong khung bình luận bên dưới.

Nếu bạn thích bài viết này, hãy theo dõi blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất nhé. Cảm ơn rất nhiều. :)