Cách bảo vệ website WordPress khỏi Brute Force Attack

Có phải bạn đang tìm cách để bảo vệ website của mình khỏi “Brute Force Attack”? Những cuộc tấn công này có khả năng làm chậm website, khiến người dùng không thể truy cập và thậm chí crack mật khẩu của bạn để xâm nhập và cài đặt malware. Trong bài viết này, chúng tôi sẽ hướng dẫn cho bạn cách để bảo vệ website WordPress của mình khỏi “Brute Force Attack”.

Brute Force Attack là gì?

Brute Force Attack là một phương pháp hack bằng cách tận dụng những kĩ thuật như: trial và error để xâm nhập vào một website, một mạng lưới hay một hệ thống máy tính.

Hacker sử dụng một phần mềm tự động để gửi một cơ số request đến hệ thống. Sau mỗi request, các phần mềm này sẽ cố gắng mò ra những thông tin cần thiết để lấy được quyền truy cập, mật khẩu hoặc mã pin.

Những công cụ này cũng có thể được ngụy trang bằng cách sử dụng nhiều vị trí và địa chỉ IP khác nhau, khiến cho hệ thống được nhắm tới khó lòng xác định và ngăn chặn những hoạt động đáng ngờ này.

Brute Force Attack được xem là thành công khi có thể mang lại cho hacker quyền truy cập vào khu vực admin. trên website của nạn nhân. Lúc này hacker có thể sẽ cài đặt backdoor, malware hoặc đánh cắp thông tin người dùng và xóa mọi thứ trên website.

Ngay cả những nỗ lực “Brute Force Attack” không thành công cũng có thể tàn phá bằng cách gửi rất nhiều request làm chậm server WordPress hosting của bạn và thậm chí đánh sập chúng.

Sau khi bạn đã hiểu được mức độ nguy hiểm của Brute Force Attack, hãy cùng tìm hiểu cách bảo vệ website WordPress của mình trước nguy cơ này.

Hướng dẫn từng bước bảo vệ website WordPress khỏi Brute Force Attack

Bước 1. Cài đặt Plugin Firewall WordPress

Brute Force Attack thường nhắm tới việc làm quá tải server của bạn. Ngay cả những cuộc tấn công thất bại cũng có khả năng làm chậm website hoặc làm sập hoàn toàn server. Đây là lý do tại sao việc chặn chúng trước khi đến server là một điều cần thiết.

Để làm được điều đó, bạn sẽ cần một firewall cho website. Firewall có nhiệm vụ lọc qua những lượt truy cập xấu và ngăn chặn chúng truy cập vào website.

Có hai loại firewall cho website mà bạn có thể sử dụng.

Application Level Firewall – Các plugin firewall này sẽ kiểm tra lưu lượng truy cập ngay khi chúng đến server và trước khi load hết script của WordPress. Phương pháp này không mấy hiệu quả vì thực tế Brute Force Attack vẫn có khả năng sẽ làm ảnh hưởng đến server.

DNS Level Website Firewall – Những firewall này sẽ định tuyến lưu lượng truy cập vào website thông qua các cloud proxy server của họ. Việc này sẽ cho phép họ gửi những lượt truy cập đã được xác thực đến web hosting server chính của bạn và làm tăng tốc độ cùng hiệu suất của WordPress.

Chúng tôi khuyên bạn nên sử dụng Sucuri. Đây là công ty hàng đầu trong lĩnh vực bảo mật website và là firewall WordPress tốt nhất trên thị trường. Vì nó là một DNS Level Website Firewall, nên tất cả các lượt truy cập vào website của bạn đều phải đi qua proxy của họ nơi những lượt truy cập mờ ám sẽ bị lọc ra khỏi.

Chúng tôi cũng đang sử dụng Sucuri trên website của mình và bạn có thể đọc qua bài đánh giá Sucuri hoàn chỉnh để tìm hiểu thêm.

Bước 2. Cập nhật WordPress

Một số Brute Force Attack phổ biến thường nhắm vào các lỗ hổng có sẵn trong các phiên bản cũ của WordPress hoặc của những plugin phổ biến trong WordPress cùng với theme.

Lõi và những plugin WordPress phổ biến nhất thường là những mã nguồn mở và các lỗ hổng thường được sửa chữa nhanh với những bản cập nhật. Tuy nhiên, nếu không cài đặt các bản cập nhật mới, thì khả năng là bạn sẽ để sót lại những lổ hổng đó.

Để thực hiện cập nhật, truy cập Dashboard»Updates, trong khu vực admin của WordPress tiến hành kiểm tra các bản cập nhật có sẵn. Trang này sẽ hiển thị đầy đủ các bản cập nhật cho lõi, plugin và theme WordPress của bạn.

Để biết thêm chi tiết, xem qua hướng dẫn của chúng tôi về cách cập nhật các plugin trong WordPress đúng cách..

Bước 3. Bảo vệ thư mục admin trong WordPress

Hầu hết Brute Force Attack trên một website WordPress sẽ cố gắng truy cập vào khu vực admin. Để ngăn chặn việc truy cập trái phép, hãy thêm mật khẩu bảo vệ cho thư mục admin trên server.

Chỉ cần đăng nhập vào bảng điều khiển hosting WordPress (cPanel) và nhấp biểu tượng Directory Privacy Privacy trong phần Files.

Lưu ý: Chúng tôi sử dụng Bluehost trong ảnh và các cài đặt tương tự đều có sẵn trên các công ty hosting hàng đầu khác như Tinohost, SiteGround, HostGator,…

Tiếp theo, bạn cần xác định vị trí thư mục wp-admin và nhấp vào đó.

Bây giờ cPanel sẽ yêu cầu bạn đặt tên cho thư mục, tên người dùng và mật khẩu. Sau khi nhập xong thông tin, nhấp vào nút Save để lưu các cài đặt.

Thư mục admin WordPress giờ đã được bảo vệ bằng mật khẩu, bạn sẽ thấy một bảng đăng nhập mỗi khi truy cập vào khu vực admin WordPress.

Nếu gặp phải 404 error hay error too many redirects chỉ cần thêm dòng sau vào file .htaccess

1 ErrorDocument 401 default

Để biết thêm chi tiết, hãy xem bài viết của chúng tôi về cách bảo vệ thư mục admin WordPress bằng mật khẩu..

Bước 4. Thêm xác thực hai yếu tố trong WordPress

Xác thực hai yếu tố sẽ thêm một lớp bảo mật bổ sung vào màn hình đăng nhập WordPress. Về cơ bản, bạn sẽ cần điện thoại của mình để lấy mã sử dụng một lần (one-time passcode) và thông tin đăng nhập sau đó truy cập vào khu vực admin trên WordPress.

Việc thêm xác thực hai yếu tố sẽ khiến hacker khó truy cập hơn ngay cả khi chúng có thể bẻ khóa mật khẩu WordPress của bạn.

Để biết hướng dẫn chi tiết. hãy xem qua hướng dẫn của chúng tôi về cách thêm xác thực hai yếu tố trong WordPress.

Bước 5. Sử dụng mật khẩu mạnh và đặc biệtbảo vệ website WordPress khỏi Brute Force Attack

Mật khẩu là chìa khóa để lấy được quyền truy cập vào website WordPress, Vì vậy bạn cần phải sử dụng mật khẩu mạnh cho tất cả các tài khoản của mình. Mật khẩu mạnh là sự kết hợp của các chữ số, chữ cái và ký tự đặc biệt.

Điều quan trọng là bạn không chỉ nên sử dụng mật khẩu mạnh cho mỗi tài khoản WordPress mà còn cho FTP, bảng điều khiển web hosting và cơ sở dữ liệu WordPress.

Hầu hết người mới sẽ hỏi chúng tôi làm thế nào để nhớ tất cả những mật khẩu này? Chà, thật ra bạn không nhất thiết phải nhớ hết chúng. Có những ứng dụng quản lý mật khẩu sẽ giúp lưu trữ mật khẩu và tự động điền chúng cho bạn.

Để tìm hiểu thêm, hãy xem qua hướng dẫn dành cho người mới bắt đầu của chúng tôi về cách tốt nhất để quản lý mật khẩu cho WordPress.

Bước 6. Vô hiệu hóa Directory Browsing

Theo mặc định, khi web server của bạn không tìm thấy file yêu cầu (ví dụ như index.php hoặc index.html), nó sẽ tự động hiển thị một trang hiển thị các nội dung trong Directory.

Bằng cách sử dụng Brute Force Attack, hacker có thể dùng các directory này để tìm kiếm các file dễ tấn công nhất. Để khắc phục điều này hãy thêm dòng sau vào cuối file .htaccess của bạn.

1 Options -Indexes

Để biết thêm chi tiết xem qua bài viết của chúng tôi về cách vô hiệu hóa Directory Browsing trong WordPress.

Bước 7. Vô hiệu hóa thực thi file PHP trong một số thư mục WordPress.

Hacker có thể sẽ cài đặt và chạy tập lệnh PHP trong các thư mục WordPress. Vì WordPress được viết chủ yếu bằng PHP, nên bạn sẽ không thể vô hiệu hóa chúng trong tất cả các thư mục được.

Tuy nhiên, có một số thư không cần bất kỳ tập lệnh PHP nào. Ví dụ: thư mục upload WordPress nằm ở / wp-content / uploads.

Bạn có thể vô hiệu hóa những file PHP cho an toàn, bởi vì đây là nơi phổ biến mà hacker thường sử dụng để ẩn các file backdoor.

Trước tiên, bạn cần mở một trình soạn thảo văn bản như Notepad trên máy tính của mình và dán đoạn code sau:

1
2
3
<Files *.php>
deny from all
</Files>

Sau đó lưu file này dưới dạng .htaccess và tải nó lên / wp-content / uploads / trên website của bạn bằng FTP client.

Bước 8. Cài đặt và thiết lập Plugin sao lưu cho WordPress

Sao lưu là một phần quan trọng nhất trong việc bảo mật WordPress. Trường hợp tất cả phương pháp đều thất bại thì các bản sao lưu sẽ là những công cụ đặc lực để giúp bạn khôi phục lại website của mình.

Hầu hết các công ty WordPress hosting đều cung cấp những tùy chọn sao lưu khá hạn chế, các bản sao lưu này thường không được bảo đảm vì vậy bạn nên chịu trách nhiệm hoàn toàn về việc tạo các bản sao lưu cho riêng mình.

Có một số  WordPress plugins sao lưu tuyệt vời cho phép bạn lên lịch sao lưu tự động.

Chúng tôi khuyến khích bạn sử dụng UpdraftPlus. Plugin này tương đối thân thiện với những người mới bắt đầu và cho phép bạn nhanh chóng thiết lập sao lưu tự động và lưu trữ chúng trên các địa điểm như Google Drive, Dropbox, Amazon S3,…

Để được hướng dẫn cụ thể, xem qua hướng dẫn của chúng tôi về cách sao lưu và khôi phục website WordPress của bạn với UpdraftPlus

Hi vọng tất cả các mẹo được đề cập ở trên sẽ giúp bạn bảo vệ website WordPress của mình trước Brute Force Attack. Để thiết lập bảo mật toàn diện hơn, bạn nên làm theo những hướng dẫn bảo mật WordPress của chúng tôi dành cho người mới bắt đầu.

Chúng tôi hy vọng bài viết này giúp bạn tìm hiểu thêm về cách bảo vệ website WordPress của mình khỏi Brute Force Attack. Bạn cũng có thể xem qua các dấu hiệu cho thấy WordPress của bạn bị hack và cách khắc phục một website WordPress bị hack.

Nếu bạn thích bài viết này, vui lòng đăng ký Kênh YouTube của chúng tôi để xem video hướng dẫn. Bạn cũng có thể tìm thấy chúng tôi trên Twitter và Facebook.