Hướng dẫn bảo mật WordPress với WordPress Toolkit

WordPress ngày càng là hệ thống quản lý nội dung được sử dụng rộng rãi. Đây cũng là CMS bị tấn công nhiều nhất. Bài viết này sẽ giúp khám phá ra các lỗ hổng của WordPress và cách bảo mật WordPress bằng các phương pháp đơn giản và plugin.

Các lỗ hổng WordPress phổ biến hiện nay

Mỗi lỗ hổng bảo mật là duy nhất. Nhưng hầu hết các cuộc tấn công chống lại các web WordPress đều thuộc một trong bốn loại:

• Brute force và dictionary attack: Những hacker cố gắng đoán thông tin xác thực bảo mật như username và password. Các cuộc tấn công kiểu này được thực hiện bởi các bot có thể nhanh chóng làm tràn ngập hệ thống xác thực WordPress với vô số lần đăng nhập.
• Denial of Service (DOS) và Distributed Denial of Service (DDoS): Hacker phá các trang web và mạng bằng các yêu cầu và dữ liệu. Làm tiêu tốn tài nguyên, giảm hiệu suất và có khả năng đưa chúng vào chế độ ngoại tuyến. WordPress bao gồm một hệ thống có tên là XML-RPC thường được sử dụng trong các cuộc tấn công từ chối dịch vụ.
• Các lỗ hổng, plugin và theme: Các bug trong code có thể bị khai thác để phá vỡ hệ thống xác thực, tải lên các mã độc hại. Những hacker thường xem xét các file của một trang web để tìm manh mối về các loại tấn công.
• Tấn công code injection: Chạy code độc là mục tiêu của nhiều hacker. Họ lùng sục các web WordPress để tìm các lỗ hổng cho phép họ đưa code PHP, JavaScript hoặc SQL vào.

WordPress Toolkit cho cPanel triển khai các tính năng và biện pháp bảo mật để bảo các trang web chống lại từng loại tấn công này.

Cách bảo mật cho WordPress bằng cPanel

Tăng cường bảo mật với WordPress Toolkit cho cPanel

WordPress Toolkit cho cPanel là một giải pháp quản lý WordPress hoàn chỉnh với giao diện trực quan. Bạn có thể coi nó như một bảng điều khiển kiểm soát tất cả các trang web WordPress của mình. Nó tự động hóa các tác vụ lưu trữ WordPress, bao gồm cài đặt, cập nhật và backup. Nó cũng hiển thị các chỉnh sửa cấu hình. Nếu không, bạn phải tìm hiểu kỹ trong giao diện admin hoặc chỉnh sửa file config để thay đổi.

WordPress security là một trong những nơi mà WordPress Toolkit thực sự tỏa sáng. Đầu tiên, nó áp dụng các bản sửa lỗi cho các lỗ hổng nghiêm trọng trong quá trình cài đặt. Vì vậy các trang web được bảo mật trước khi chúng trực tuyến. Thứ hai, nó quét các trang web hiện có để tìm các cài đặt bảo mật dưới mức tối ưu và có thể sửa chúng chỉ bằng một nút bấm.

Chúng ta sẽ xem xét một số bản sửa lỗi bảo mật mà nó áp dụng trong giây lát. Nhưng trước tiên, chúng tôi sẽ cho bạn thấy việc bảo mật WordPress với cPanel là dễ dàng.

Để bảo mật WordPress với cPanel, bạn sẽ cần:

• Một phiên bản cPanel đã cài đặt WordPress ToolKit.
• Giấy phép WordPress Toolkit Deluxe.

Bạn có thể tìm thấy WordPress Toolkit ở trong Application trên cPanel. Các trang web được liệt kê trên trang tổng quan với thông tin trạng thái và công tắc cấu hình.

Nếu bạn xem xét kỹ hơn trang web thứ hai, bạn sẽ nhận thấy rằng bên dưới tiêu đề Status, dòng Security có nội dung Check Security. WordPress Toolkit đã quét trang web và nhận thấy rằng một trong số biện pháp bảo mật website không quan trọng đã không được áp dụng. Trang web đầu tiên đã được là cứng, vì vậy nó sẽ hiểu thị View Settings.

Bạn cũng có thể thấy Fix Security tại đây. Có nghĩa là các biện pháp bảo mật quan trọng chưa được áp dụng.

Chúng ta có thể nhấp vào để mở Security Status. Bảng này hiển thị tất cả các biện pháp bảo mật mà WordPress Toolkit có thế áp dụng

Bạn có thể áp dụng từng biện pháp riêng lẻ bằng cách chọn ô bên cạnh và nhấp vào Security. Chúng có thể được hoàn nguyên, nếu có thể, bằng cách chọn chúng và nhấp vào Revert. Nhưng chúng tôi muốn bảo mật WordPress với cPanel của mình chỉ bằng một cú nhấp chuột. Để làm điều đó, chúng tôi sẽ chọn ô Security Measures và nhấp vào nút Secure.

Tăng cường bảo mật cho website WordPress

Điều gì xảy ra nếu bạn lưu trữ hàng chục trang WordPress? Sẽ tốn nhiều thời gian để bảo mật từng trang riêng lẻ, vì vậy bạn sẽ rất vui khi biết rằng bạn có thể sử dụng WordPress Toolkit để bảo mật bất kỳ số lượng trang web nào cùng một lúc. Trên trang tổng quan, nhấp vào Security.

cPanel hiển thị danh sách trang web và trạng thái bảo mật của chúng. Sử dụng ô bên cạnh mỗi trang web để chọn những trang web chưa được làm cứng hoàn toàn. Sau đó nhấp vào nút Secure ở đầu trang.

Bạn có cơ hội chỉ định các biện pháp bảo mật nào sẽ áp dụng và sau đó cPanel sẽ tự động tăng cường tất cả các trang web đã chọn. Bạn có thể sử dụng phương pháp này để bảo mật hàng chục hoặc thậm chí hàng trăm trang web WordPress đồng thời.

Security Settings trong WordPress Toolkit

WordPress Toolkit áp dụng gần 20 biện pháp bảo mật, nhưng chúng tôi muốn làm nổi bật một số biện pháp quan trọng nhất.

• Cấm thực thi các file PHP: Bộ công cụ cấm thực thi các file PHP trong folder wp-include và wp-content / uploads. Cả hai đều là mục tiêu phổ biến của những kẻ xấu và người dùng độc hại, những người tải lên mã PHP và cố gắng thực thi nó.
• Chặn duyệt các thư mục: Các file bên trong thư mục của WordPress chứa thông tin về các plugin, theme và code khác có thể làm lộ lỗ hổng bảo mật. Toolkit giúp bất kỳ người dùng chưa được xác thực nào không thể xem trong các thư mục. Nó cũng đặt các file an toàn cho file wp-config và tất cả các file và thư mục khác.
• Bật tính năng bảo vệ các bot: Việc cho phép bot quét trang web của bạn là một rủi ro bảo mật cũng như lãng phí tài nguyên của server. WordPress Toolkit chặn các bot xấu để hạn chế sự xuất hiện của một trang web.
• Thay đổi username của admin: Khi được cài đặt lần đầu tiên, WordPress tạo một người dùng có đặc quyền quản trị được gọi là admin. Bots và các tác nhân xấu khác thường nhắm mục tiêu vào admin bằng các cuộc tấn công brute force và dictionary.
• Tắt Pingbacks: Khi một trang web WordPress liên kết đến web của bạn, nó sẽ gửi một ping, dẫn đến một nhận xét trên blog của bạn. Pingback dựa vào giao thức XML-RPC không an toàn, nó có thể bị lạm dụng để lấn át tài nguyên của một trang web trong một cuộc tấn công DDoS.
• Bảo vệ hotlink: Hotlink cho phép các trang web bên ngoài nhúng hoặc hiển thị hình ảnh được lưu trữ trên server của bạn. Bạn thu được ít lợi ích từ hotlink và nó có thể trở thành một nguồn tiêu hao đáng kể đối với server và tài nguyên mạng.

Cuối cùng, WordPress Toolkit giúp dễ dàng cập nhật nhanh chóng WordPress Core, plugin và theme trong một giao diện thống nhất, cũng như quản lý các bản cập nhật tự động. Các lỗ hổng plugin và theme là cách khai thác WordPress phổ biến nhất và cập nhật thường xuyên là cách duy nhất để bảo vệ các trang web khỏi các lỗ hổng trong code của chúng.

Khôi phục bản sao lưu bằng WordPress Toolkit

Để kết thúc, chúng ta hãy xem xét một yếu tố bảo mật khác mà cPanel đơn giản hóa: khôi phục các backup. Nó cho phép người dùng khôi phục trang web bị xâm phạm. Với WordPress Toolkit việc tạo và khôi phục các backup chỉ mất vài giây.

Để tạo backup với cPanel, hãy nhấn vào nút Back Up. Nếu bạn có các backup trước đó, chúng sẽ được liệt kê trên trang. Để khôi phục trang web WordPress của bạn và cơ sở dữ liệu của nó về trạng thái trước đó, hãy chọn một file và nhấp vào biểu tượng khôi phục, như được hiển thị trong hình ảnh tiếp theo.

WordPress Toolkit giúp việc xây dựng một nền tảng lưu trữ WordPress an toàn với cPanel và trở nên dễ hơn bao giờ hết. Tăng cường bảo mật hiện là quy trình một cú nhấp chuột, cho phép host bảo vệ server, trang web và người dùng mà không cần quá trình thủ công lâu dài và tốn kém.

Plugin giúp bảo mật WordPress

Một số Plugin phổ biến hiện nay giúp bảo mật website WordPress:

1. Wordfence Security — Firewall & Malware Scan
2. Sucuri Security — Auditing, Malware Scanner and Security Hardening
3. iThemes Security
4. All In One WP Security & Firewall
5. BulletProof Security

Lời kết

Hy vọng bài viết trên sẽ giúp bạn có thêm kiến thức bảo mật WordPress. Nếu có thắc mắc hay đóng góp ý kiến, mời bạn để lại bình luận phía dưới bài viết này.