Bảo mật web WordPress bằng Plugin Wordfence

421

Bảo mật web WordPress bằng Plugin Wordfence như thế nào?

Hiện nay WordPress có thể coi là một CMS phổ biến nhất thế giới, được nhiều người dùng sử dụng ở nước ngoài nói chung và cộng đồng WordPress ở Việt Nam nói riêng. WordPress tiếp cận người dùng không chuyên, giúp người không chuyên vẫn có thể sử dụng thuần thục được. Thay vào đó những lỗ hổng bảo mật và những rủi ro khi sử dụng là không thể tránh khỏi. Vẫn có rất nhiều cuộc tấn công khai thác website của bạn nhằm mục đích phá hoại.

Để phòng chống các cuộc tấn công, dò tìm có rất nhiều các cách để nâng cao tính bảo mật cho website WordPress, nhiều Plugin hỗ trợ trong đó không thể bỏ qua Wordfence. Plugin với hơn 3 triệu lượt cài đặt kích hoạt. Và bài viết hôm nay hãy cùng AZDIGI tìm hiểu các tính năng và cách sử dụng Wordfence.

Ưu điểm và tính năng Wordfence

Quét và bảo mật WordPress

• Web Application Firewall lọc và chặn các traffic độc hại
• Kiểm tra và quét Malware ở Core WordPress, Themes, Plugin, bad URLs, backdoors, SEO spam, malicious redirects và code injections
• So sánh các tệp cốt lõi, themes và plugin của bạn với kho lưu trữ WordPress.org, kiểm tra tính toàn vẹn của chúng và báo cáo bất kỳ thay đổi cho bạn.
• Sửa chữa các tệp đã thay đổi bằng cách ghi đè chúng bằng một phiên bản gốc. Xóa bất kỳ tệp nào không thuộc về core dễ dàng trong giao diện Wordfence.
• Kiểm tra trang web của bạn để tìm các lỗ hổng bảo mật đã biết và cảnh báo bạn.
• Kiểm tra độ an toàn nội dung của bạn bằng cách quét nội dung tệp, bài đăng và nhận xét để tìm các URL nguy hiểm và nội dung đáng nghi ngờ.

Bảo mật đăng nhập WordPress

• Xác thực hai yếu tố (2FA), một trong những hình thức xác thực hệ thống từ xa an toàn nhất hiện nay thông qua các ứng dụng trên TOTP như (Google Auth, Authy,FreeOTP…)
• Trang đăng nhập CAPTCHA ngăn chặn không cho BOT đăng nhập
• Tắt hoặc thêm 2FA vào XML-RPC.
• Chặn thông tin đăng nhập đối với quản trị viên sử dụng mật khẩu bị xâm phạm đã được phát hiện.

Bên trên là tất cả những tính năng hỗ trợ trong bản miễn phí. Với bản trả phí bạn có thể chủ động lên lịch cho quét tự động cho mã nguồn.

Cài đặt và sử dụng.

Hướng dẫn cài đặt Wordfence.

Bạn có thể cài đặt Wordfence trực tiếp trong WordPress hoặc file zip được tải từ trang chủ về. Bạn hãy xem hướng dẫn sau để thực hiện cài đặt Plugin trên WordPress.

• Hướng dẫn cài Plugin lên website WordPress
• Download Plugin Wordfence

Nhập vào email của bạn và chọn YES/NO để nhận hoặc không nhận các thông báo từ Plugin Wordfence. Click chọn đồng ý chính sách và click CONTINUE.

Nếu bạn có mã kích hoạt bản Premium hãy nhập vào và click INSTALL. Nếu bạn chỉ dùng bản miễn phí hãy chọn No Thanks.

Vào giao diện Dashboard của Wordfence, nếu nhận được thông báo trên bạn hãy chọn Yes, enbale auto-update để tự động cập nhật phiên bản mới của nhà phát triển. Và click chọn CLICK HERE TO CONFIGURE để tối ưu hóa tường lửa cho website, Plugin sẽ viết lại các quy tắc trong .htaccess cho bạn.

Plugin sẽ scan và recommend Webserver mà bạn sử dụng. Bạn hãy Click Download file .htaccess dự phòng về và chọn CONTINUE.

Thiết lập bảo mật đăng nhập

Bạn hãy truy cập vào Wordfence => Login Security => Two-Factor Authentication. Tại đây bạn có thể sử dụng mã QR để thiết lập cho xác minh 2 bước hoặc Code dự phòng.

Tiếp đến bạn chuyển qua tab Settings để điều chỉnh các tùy chọn nâng cao. Tại đây bạn có thể tùy chọn các chức năng sau.

• Enable 2FA for these roles: Kích hoạt 2FA đối với các user thuộc quyền, admin, editor, Author…
• Require 2FA for all administrators: Bắt buộc xác minh 2FA cho tất cả các tài khoản có quyền admin.
• Allow remembering device for 30 days: Khi nhờ các thiết bị trong 30 ngày.
• Require 2FA for XML-RPC call authentication: Nếu được bật, các lệnh gọi XML-RPC yêu cầu xác thực cũng sẽ yêu cầu mã 2FA hợp lệ được thêm vào mật khẩu. Bạn phải chọn tùy chọn “Đã bỏ qua” nếu bạn sử dụng ứng dụng WordPress, plugin Jetpack hoặc các dịch vụ khác yêu cầu XML-RPC.
• Disable XML-RPC authentication: Nếu bị tắt, các yêu cầu XML-RPC cố gắng xác thực sẽ bị từ chối.
• Enable reCAPTCHA on the login and user registration pages: Kích hoạt reCAPTCHA trên trang đăng nhập và đăng ký người dùng

Sau khi đã thiết lập các tùy chọn bạn hãy lưu lại để áp dụng các tùy chọn.

Scan website loại bỏ mã độc với Wordfence

Với chức năng Wordfence Scan, plugin sẽ scan toàn bộ website của bạn để dò tìm các mã độc gây hại trong Core WordPress, Themes và Plugin. Chức năng này sẽ mất khá thời gian để quét toàn bộ website và sẽ phụ thuộc vào website của bạn có nhiều dữ liệu hay không. Khi scan bạn sẽ thấy một điều rằng máy chủ của bạn sẽ sử dụng rất nhiều tài nguyên RAM,CPU để làm việc.

Sau khi scan hoàn tất Plugin sẽ hiển thị một bảng báo cáo quá trính scan, dò tìm mã độc và liệt kê chi tiết cho bạn file nào bị nhiễm, file thuộc đường dẫn thư mục vào, và file bị nhiễm chứa đoạn mã nào nguy hiểm.

Mã độc được phát hiện bạn sẽ thấy như ảnh minh họa bên dưới, plugin chỉ rõ các file bị nhiễm với đường dẫn. Để xem chi tiết bạn hãy click vào DETAILS để xem chi tiết trong file nhiễm.

Phần DETAILS hiển thị chuổi mã độc mà các bị virus chèn vào. Hãy chọn DELETE FILE nếu bạn muốn xóa bỏ file này ra khỏi website.

Thiết lập chức năng cảnh báo bảo mật.

Ở thiết lập đầu tiên sau khi cài đặt Plugin bạn nhập mail và chọn YES để nhận các thông báo bảo mật từ Wordfence. Thì ở tùy chọn này khi bạn thiết lập sẽ nhận được các cảnh báo từ Plugin với chức năng tùy chọn như sau.

Chọn Wordfence => All option => Email Alert Preferences

Tùy theo nhu cầu sử dụng mà thiết lập tương ứng với từng người quản trị. Mình sử dụng mặc định và chỉ tắt chức năng thông báo đăng nhập trên thiết bị mới.

Kết luận.

Bảo mật website WordPress là điều không thể bỏ qua khi bạn xậy dựng một website public trên internet. Các website phải “hứng chịu” mọi rủi ro hằng ngày, hằng giờ bởi các bad bot, hacker dò tìm lỗ hổng bảo mật nhằm phá hoại. Với Wordfence không hoàn toàn 100% ngăn chặn tuy nhiên vẫn đảm bảo được cho website bạn luôn ở mức an toàn. Song song là một người quản trị không thể phụ thuộc vào Plugin mà người quản trị phải chủ động bảo mật hơn từ mã nguồn như (Không đặt pass đơn giản, sử dụng plugin,themes null, themes trả phí nhưng share miễn phí…)

Hi vọng với bài viết này sẽ giúp cho bạn thiết lập cấu hình bảo mật thật tốt cho máy chủ server của mình khỏi các cuộc tấn công từ bên ngoài vào.

Nếu bạn có thắc mắc hoặc cần hỗ trợ hãy mở khung chat đến Phòng kỹ thuật. Hoặc gửi thông tin về Phòng kỹ thuật theo thông tin bên dưới nhé.

• Hotline 247: 028 888 24768 (Ext 0)
• Ticket/Email: Bạn dùng email đăng ký dịch vụ gửi trực tiếp về: support@azdigi.com
• Click vào website AZDIGI để tham khảo dịch vụ hosting/VPS tốt nhất Việt Nam.