WordPress là một trong những hệ thống quản lý nội dung phổ biến nhất hiện có và với lý do chính đáng. Nó rất đơn giản để sử dụng, có hàng ngàn chủ đề và plugin có sẵn cho nó và bạn có thể tạo bất kỳ loại trang web nào với nó. Nó không có gì lạ khi WordPress có quyền hạn 35,1% của tất cả các trang web trên mạng.


Nhưng, sự phổ biến của nó đi kèm với một chi phí. WordPress thường bị tin tặc nhắm đến. Dựa theo Sucuri, năm 2018, 90% tất cả các yêu cầu dọn dẹp trang web thuộc về WordPress, tăng 7% so với năm 2017.

Trang web Báo cáo xu hướng Hack 2018 - Sucuri

Do đó, việc bảo mật trang web WordPress của bạn phải ở đầu danh sách của bạn, cho dù bạn có danh mục đầu tư cá nhân, trang web doanh nghiệp hay cửa hàng trực tuyến.

Khi nói đến bảo mật WordPress, người dùng thường rơi vào hai phe: những người nghiêm túc bảo mật và thực hiện các biện pháp phòng ngừa và những người tin hoặc hy vọng điều đó sẽ không bao giờ xảy ra với họ vì trang web của họ không đủ quan trọng.

Để hiểu rõ hơn về mức độ nghiêm trọng của các vấn đề bảo mật liên quan đến trang web, hãy nhớ truy cập vào Trang thống kê trực tiếp trên Internet đôi khi. Ở đó, bạn có thể thấy một số lượng chính xác các trang web bị tấn công mỗi ngày và thậm chí xem số lượng tăng lên trong thời gian thực.

Trang web bị hack trong thời gian thực

Contents

22 bước để bảo mật trang web WordPress của bạn

Để ngăn trang web của bạn kết thúc với tư cách là một trong những trang web trên Internet Live Stats, hãy làm theo các mẹo bên dưới và bảo mật trang web WordPress của bạn.

1. Chọn một công ty lưu trữ có tính năng bảo mật

Bước đầu tiên để bảo mật trang web WordPress của bạn là đầu tư vào một công ty lưu trữ thực hiện các tính năng bảo mật thích hợp. Điều này bao gồm hỗ trợ cho phiên bản mới nhất của PHP, MySQL và Apache cũng như tường lửa và giám sát bảo mật 24/7.

Nếu có thể, hãy chọn một công ty lưu trữ thực hiện sao lưu hàng ngày và quét phần mềm độc hại thông thường. Bạn thậm chí có thể tìm thấy các công ty lưu trữ sử dụng các biện pháp phòng ngừa DDOS khác nhau.

Công ty lưu trữ của bạn thường là những tin tặc tường đầu tiên phải đột nhập để có quyền truy cập vào trang web của bạn, vì vậy, đầu tư trả trước nhiều hơn và mua một gói lưu trữ đắt tiền hơn chắc chắn sẽ được đền đáp. Chúng tôi đề nghị chọn một nhà cung cấp dịch vụ lưu trữ WordPress được quản lý.

2. Sử dụng mật khẩu mạnh

Đảm bảo rằng mật khẩu cho trang web WordPress cũng như khu vực tài khoản lưu trữ của bạn đều an toàn. Sử dụng kết hợp chữ hoa và chữ thường, số và ký hiệu để đưa ra một mật khẩu mạnh. Bạn cũng có thể sử dụng trình quản lý mật khẩu như LastPass để tạo và lưu trữ mật khẩu an toàn cho bạn.

3. Bỏ tên người dùng quản trị

WordPress được sử dụng để đặt tên người dùng mặc định là quản trị viên và hầu hết người dùng không bao giờ bận tâm thay đổi nó. Do đó, quản trị viên thường là tin tặc tên người dùng đầu tiên sẽ thử khi họ khởi động một cuộc tấn công vũ phu.

Như vậy, bạn không bao giờ nên sử dụng tên người dùng quản trị cho trang web WordPress của mình. Nếu gần đây bạn đã cài đặt trang web WordPress của mình, rất có thể bạn đã phải đặt tên người dùng của riêng mình. Nhưng nếu bạn là một người dùng WordPress lâu năm, bạn vẫn có thể sử dụng tên người dùng quản trị viên.

Nếu trường hợp đó, hãy tạo tên người dùng quản trị viên mới cho trang web của bạn bằng cách truy cập Người dùng> Thêm mới và chọn một tên người dùng và mật khẩu mạnh. Đặt vai trò cho Quản trị viên và sau đó nhấp vào Thêm người dùng mới cái nút.

Tạo tài khoản quản trị viên

Sau đó, bạn sẽ đăng nhập với những thông tin mới và xóa người dùng quản trị cũ của bạn. Hãy nhớ gán tất cả nội dung của bạn cho người dùng quản trị viên mới của bạn trước khi xóa nội dung cũ.

4. Sử dụng tài khoản cộng tác viên hoặc biên tập viên để đăng trên trang web của bạn

Nếu bạn muốn thực hiện thêm bước trên, hãy xem xét việc tạo cộng tác viên hoặc tài khoản biên tập viên để thêm bài viết và bài viết mới vào trang web của bạn. Làm như vậy sẽ khiến tin tặc gây thiệt hại trên trang web của bạn khó khăn hơn vì những người đóng góp và biên tập viên don don thường có đặc quyền của quản trị viên.

Tạo một tài khoản biên tập

5. Sử dụng Plugin sao lưu

Nếu bạn chưa sao lưu trang web của mình, bạn cần bắt đầu ngay. Một hệ thống sao lưu sẽ giúp bạn khôi phục trang web của mình nếu điều tồi tệ nhất xảy ra và trang web của bạn cuối cùng bị hack.

Sử dụng một plugin như UpdraftPlus để tạo lịch sao lưu thường xuyên cho trang web của bạn và đừng quên lưu trữ các tệp sao lưu ngoại vi để đảm bảo các tệp đó cũng không bị nhiễm..

6. Harden Khu vực quản trị

Khi nói đến việc làm cứng khu vực quản trị, bạn sẽ cần thay đổi URL quản trị mặc định và giới hạn số lần đăng nhập thất bại trước khi người dùng bị khóa khỏi trang web của bạn.

Theo mặc định, URL quản trị viên cho trang web của bạn sẽ trông như thế này: yourdomain.com/wp-admin. Tin tặc biết điều này và sẽ cố gắng truy cập URL này trực tiếp để chúng có thể truy cập vào trang web của bạn.

Bạn có thể thay đổi URL này bằng một plugin như WPS Ẩn Đăng nhập.

WPS Ẩn Đăng nhập

Theo như giới hạn số lần đăng nhập thất bại, bạn có thể sử dụng Đăng nhập plugin khóa.

Đăng nhập LockDown

7. Giữ tập tin cập nhật

Như chúng tôi đã đề cập trước đó, các tệp lỗi thời gây rủi ro bảo mật vì chúng khiến trang web của bạn dễ bị khai thác khác. Đó là lý do tại sao bạn cần cài đặt bản cập nhật ngay khi chúng được phát hành.

Trong khi bạn sử dụng nó, hãy đảm bảo thường xuyên đi qua các plugin đã cài đặt của bạn và hủy kích hoạt và xóa các plugin mà bạn không sử dụng nữa.

8. Bảo vệ máy tính của bạn

Bạn có thể tự hỏi máy tính của bạn phải làm gì với trang web của bạn. Nếu máy tính của bạn bị nhiễm vi-rút và bạn truy cập trang web của mình hoặc tải tệp lên đó, những tệp bị nhiễm đó cũng có thể lây nhiễm trang web của bạn. Nói tóm lại, bạn muốn chắc chắn rằng:

  • Tránh sử dụng mạng Wi-Fi công cộng để truy cập trang web của bạn
  • Cài đặt phần mềm diệt vi-rút và đảm bảo phần mềm cập nhật

9. Thay đổi tiền tố cơ sở dữ liệu của bạn

Một sự thật khác mà các tin tặc WordPress nổi tiếng là các tiền tố cơ sở dữ liệu của bạn được đặt thành wp. Thực tế này giúp họ dễ dàng đoán được tiền tố bảng và sử dụng phép tiêm SQL tự động để có quyền truy cập vào trang web của bạn.

Thay đổi tiền tố cơ sở dữ liệu của bạn là một quy trình thủ công bao gồm chỉnh sửa wp-config.php tập tin và thay đổi tên bảng bằng phpMyAdmin. Trước khi thực hiện thay đổi, hãy chắc chắn sao lưu trang web của bạn như một biện pháp phòng ngừa.

Chỉnh sửa wp-config

Bạn cần phải đăng nhập vào tài khoản lưu trữ của mình và truy cập vào cPanel hoặc bất kỳ bảng điều khiển nào mà máy chủ của bạn đang sử dụng. Sau đó, truy cập Trình quản lý tệp và xác định vị trí của bạn wp-config.php tập tin trong thư mục WordPress.

Tìm dòng tiền tố bảng trông như thế này: $ bảng_prefix theo sau là dấu a = và chính tiền tố bảng. Thay thế chuỗi mặc định bằng tiền tố của riêng bạn bằng cách sử dụng kết hợp các số, dấu gạch dưới và chữ cái như sau:

$ table_prefix = ‘hgwp_3456_ hung;

Khi bạn đã chỉnh sửa xong wp-config.php tệp, thoát Trình quản lý tệp và truy cập phpMyAdmin để bạn có thể thay đổi tất cả các tên bảng. Làm điều này bằng tay có thể tẻ nhạt vì có tổng cộng 11 bảng mà bạn cần chỉnh sửa. Thay vào đó, bạn có thể nhập truy vấn SQL bằng cách chuyển đến tab SQL

chạy truy vấn SQL

Sau đó nhập vào đây:

Bảng RENAME `wp_commentmeta` TO` hgwp_3456_commentmeta`;

Bảng RENAME `wp_comments` TO` hgwp_3456_comments`;

Bảng RENAME `wp_links` TO` hgwp_3456_links`;

Bảng RENAME `wp_options` TO` hgwp_3456_options`;

Bảng RENAME `wp_postmeta` TO` hgwp_3456_postmeta`;

Bảng RENAME `wp_posts` TO` hgwp_3456_posts`;

Bảng RENAME `wp_terms` TO` hgwp_3456_terms`;

Bảng RENAME `wp_termmeta` TO` wp_a123456_termmeta`;

Bảng RENAME `wp_term_relationships` TO` hgwp_3456_term_relationships`;

Bảng RENAME `wp_term_taxonomy` TO` hgwp_3456_term_taxonomy`;

Bảng RENAME `wp_usermeta` TO` hgwp_3456_usermeta`;

Bảng RENAME `wp_users` TO` hgwp_3456_users`;

Mặc dù truy vấn trên sẽ thay đổi tiền tố cơ sở dữ liệu của bạn ở mọi nơi, nhưng đó là một ý tưởng hay để chạy một truy vấn khác để đảm bảo mọi tệp khác sử dụng tiền tố cơ sở dữ liệu cũ được cập nhật:

CHỌN * TỪ `hgwp_3456_options` WHERE` tùy chọn_name` THÍCH '% wp_%'

Bạn cũng sẽ muốn tìm kiếm theusermeta và thay thế bất kỳ tiền tố cũ còn sót lại bằng tiền tố mới:

CHỌN * TỪ `hgwp_3456_usermeta` WHERE` meta_key` THÍCH '% wp_%'

10. Làm cứng tập tin .htaccess và wp-config.php của bạn

.htaccess và wp-config.php là các tệp quan trọng nhất trong cài đặt WordPress của bạn. Như vậy, bạn cần đảm bảo chúng an toàn và được bảo vệ.

Chỉ cần thêm các mã bên dưới vào tệp .htaccess của bạn, bên ngoài các thẻ # BEGIN WordPress và # END WordPress để đảm bảo các thay đổi được ghi đè lên với mỗi bản cập nhật mới.



cho phép, từ chối

tư chôi tât cả





cho phép, từ chối

tư chôi tât cả





từ chối đặt hàng, cho phép

Tư chôi tât cả

# cho phép truy cập từ địa chỉ IP của tôi

cho phép từ 192.168.1.1

Các đoạn trích ở trên sẽ bảo vệ wp-config và .htaccess của bạn cũng như giới hạn quyền truy cập vào wp-login.php màn.

Cuối cùng, thêm đoạn mã bên dưới để ngăn thực thi tệp PHP:



tư chôi tât cả

11. Kiểm tra và thay đổi quyền tập tin

Khi bạn đã hoàn thành việc bảo vệ .htaccesswp-config.php tệp, ở lại lâu hơn một chút trong cPanel của bạn và kiểm tra quyền truy cập tệp cho các tệp và thư mục trong trang web WordPress của bạn.

Quyền tập tin

Theo Mật mã WordPress, các quyền nên được đặt như sau:

  • Tất cả các thư mục nên là 755 hoặc 750
  • Tất cả các tệp phải là 644 hoặc 640
  • wp-config.php phải là 600

Nếu cài đặt của bạn khác nhau, tin tặc có thể dễ dàng đọc nội dung cũng như thay đổi nội dung của tệp và thư mục dẫn đến trang web của bạn bị hack cũng như các trang web khác trên cùng một máy chủ bị hack..

12. Sử dụng xác thực hai yếu tố

Cân nhắc sử dụng một plugin như Trình xác thực Google để thiết lập xác thực hai yếu tố cho trang web của bạn. Điều này có nghĩa là ngoài việc nhập mật khẩu, bạn cũng sẽ phải nhập mã do ứng dụng di động tạo để đăng nhập vào trang web của bạn. Điều này có thể ngăn chặn các cuộc tấn công vũ phu vì vậy nó là một ý tưởng tốt để thiết lập nó ngay bây giờ.

Trình xác thực Google

13. Vô hiệu hóa XML-RPC

XML-RPC cho phép trang web của bạn thiết lập kết nối với các ứng dụng và plugin WordPress di động như Jetpack. Thật không may, nó cũng là một yêu thích của tin tặc WordPress vì họ có thể lạm dụng giao thức này để thực thi một số lệnh cùng một lúc và có quyền truy cập vào trang web của bạn. Sử dụng một plugin như Vô hiệu hóa plugin XML-RPC để tắt tính năng này.

Vô hiệu hóa XML-RPC

14. Sử dụng HTTPS và SSL

Internet đã ồn ào với các bài đăng trên blog và các bài viết về tầm quan trọng của giao thức HTTPS và thêm chứng chỉ bảo mật SSL vào trang web của bạn trong một thời gian khá lâu.

HTTPS là viết tắt của Giao thức truyền siêu văn bản Bảo mật trong khi SSL là viết tắt của Lớp cổng bảo mật. Tóm lại, HTTPS cho phép khách truy cập trình duyệt có thể thiết lập kết nối an toàn với máy chủ lưu trữ của bạn (và do đó, trang web của bạn). Giao thức HTTPS được bảo mật thông qua SSL. Cùng nhau, HTTPS và SSL đảm bảo rằng tất cả thông tin giữa trình duyệt của khách truy cập và trang web của bạn được mã hóa.

Sử dụng cả hai trên trang web của bạn sẽ không chỉ tăng tính bảo mật cho trang web của bạn mà còn có lợi cho thứ hạng công cụ tìm kiếm của bạn, tạo niềm tin cho khách truy cập của bạn và cải thiện tỷ lệ chuyển đổi của bạn.

Nói chuyện với nhà cung cấp dịch vụ lưu trữ của bạn và hỏi về khả năng có được chứng chỉ SSL hoặc chỉ cho bạn theo hướng của một công ty có uy tín nơi bạn có thể mua chứng chỉ.

15. Vô hiệu hóa chỉnh sửa chủ đề và plugin thông qua Bảng điều khiển WordPress của bạn

Có tùy chọn chỉnh sửa các tệp chủ đề và plugin ngay trong bảng điều khiển WordPress của bạn rất tiện lợi khi bạn cần nhanh chóng thêm một dòng mã. Nhưng nó cũng có nghĩa là bất cứ ai đăng nhập vào trang web của bạn đều có thể truy cập các tệp đó.

Vô hiệu hóa tính năng này bằng cách thêm mã sau vào wp-config.php tập tin:

// Không cho phép chỉnh sửa tập tin

định nghĩa ('DISALLOW_FILE_EDIT', đúng);

16. Di chuyển tệp wp-config.php vào thư mục không phải WWW

Như đã đề cập trước đó, wp-config.php tệp là một trong những tệp quan trọng nhất trong cài đặt WordPress của bạn. Làm cho nó khó truy cập hơn bằng cách di chuyển nó từ thư mục gốc sang thư mục không thể truy cập www.

  1. Để bắt đầu, sao chép nội dung của bạn wp-config.php tập tin vào một tập tin mới và lưu nó dưới dạng wp-config.php.
  1. Trở về cũ wp-config.php tập tin và thêm dòng mã dưới đây:
  1. Tải lên và lưu mới wp-config.php tập tin vào một thư mục khác.

17. Thay đổi khóa bảo mật WordPress của bạn

Các khóa bảo mật của WordPress chịu trách nhiệm mã hóa thông tin được lưu trữ trong cookie của người dùng. Chúng nằm ở wp-config.php tập tin và trông như thế này:

định nghĩa ('AUTH_KEY', 'đặt cụm từ duy nhất của bạn ở đây');

định nghĩa ('SECURE_AUTH_KEY', 'đặt cụm từ duy nhất của bạn ở đây');

xác định ('LOGGED_IN_KEY', 'đặt cụm từ duy nhất của bạn ở đây');

định nghĩa ('NONCE_KEY', 'đặt cụm từ duy nhất của bạn ở đây');

định nghĩa ('AUTH_SALT', 'đặt cụm từ duy nhất của bạn ở đây');

định nghĩa ('SECURE_AUTH_SALT', 'đặt cụm từ duy nhất của bạn ở đây');

định nghĩa ('LOGGED_IN_SALT', 'đặt cụm từ duy nhất của bạn ở đây');

định nghĩa ('NONCE_SALT', 'đặt cụm từ duy nhất của bạn ở đây');

Sử dụng Trình tạo khóa WordPress muối để thay đổi chúng và làm cho trang web của bạn an toàn hơn.

18. Vô hiệu hóa báo cáo lỗi

Báo cáo lỗi rất hữu ích để khắc phục sự cố và xác định plugin hoặc chủ đề cụ thể nào gây ra lỗi trên trang web WordPress của bạn. Tuy nhiên, một khi hệ thống báo lỗi, nó cũng sẽ hiển thị đường dẫn máy chủ của bạn. Không cần phải nói, đây là một cơ hội hoàn hảo cho tin tặc khám phá cách thức và nơi chúng có thể tận dụng các lỗ hổng trong trang web của bạn.

Bạn có thể vô hiệu hóa điều này bằng cách thêm mã dưới đây vào wp-config.php tập tin:

lỗi thông báo (0);

@ini_set (‘display_errors, 0);

19. Xóa số phiên bản WordPress

Bất cứ ai xem qua mã nguồn của trang web của bạn đều có thể cho biết phiên bản WordPress nào bạn sử dụng. Vì mỗi phiên bản WordPress có các thay đổi công khai chi tiết danh sách các lỗi và bản vá bảo mật, họ có thể dễ dàng xác định lỗ hổng bảo mật nào họ có thể tận dụng.

Phiên bản WordPress

May mắn thay, có một bản sửa lỗi dễ dàng. Bạn có thể xóa số phiên bản WordPress bằng cách chỉnh sửa tệp chủ đề của bạn.

remove_action ('wp_head', 'wp_generator');

20. Sử dụng tiêu đề bảo mật

Một cách khác để bảo mật trang web WordPress của bạn là triển khai các tiêu đề bảo mật. Thông thường, chúng được đặt ở cấp máy chủ để ngăn chặn các cuộc tấn công hack và giảm số lần khai thác lỗ hổng bảo mật. Bạn có thể tự thêm chúng bằng cách sửa đổi chủ đề của bạn Hàm.php tập tin.

Tiêu đề bảo mật

Tấn công kịch bản chéo

Thêm mã sau vào danh sách trắng cho phép nội dung, tập lệnh, kiểu và các nguồn nội dung khác:

tiêu đề ('Chính sách bảo mật nội dung: default-src https:');

Điều này sẽ ngăn trình duyệt tải các tệp độc hại.

Nhấp chuột vào khung nội tuyến

Thêm dòng bên dưới để hướng dẫn trình duyệt không hiển thị trang trong khung: tiêu đề (X-Frame-Tùy chọn: SAMEORIGIN Phong);

Tùy chọn X-XSS-Protection và X-Content-Type

Thêm các dòng sau để ngăn chặn các cuộc tấn công XSS và yêu cầu Internet Explorer không đánh hơi các loại mime

tiêu đề ('X-XSS-Protection: 1; mode = block');

tiêu đề ('Tùy chọn loại nội dung X: nosniff');

Thi hành HTTPS

Thêm mã dưới đây để hướng dẫn trình duyệt chỉ sử dụng HTTPS:

tiêu đề ('Strict-Transport-Security: max-age = 31536000; includeSubdomains; preload');

Cookie với cờ HTTPOnly và Secure trong WordPress 

Yêu cầu trình duyệt chỉ tin tưởng cookie do máy chủ đặt và cookie có sẵn trên các kênh SSL bằng cách thêm vào như sau:

@ini_set ('session.cookie_httponly', đúng);

@ini_set ('session.cookie_secure', đúng);

@ini_set ('session.use_only_cookies', đúng);

Nếu bạn không muốn thêm các tiêu đề này một cách thủ công, hãy xem xét sử dụng một plugin như Tiêu đề bảo mật. Bất kể bạn chọn phương thức nào để triển khai các tiêu đề bảo mật, hãy chắc chắn kiểm tra chúng bằng cách sử dụng https://securityheaders.io trang web và nhập URL trang web của bạn.

21. Ngăn chặn liên kết nóng

Hotlinking không phải là một vi phạm bảo mật mỗi se nhưng xem xét nó đề cập đến một trang web khác sử dụng URL của trang web của bạn để trỏ trực tiếp đến một hình ảnh hoặc một tập tin phương tiện khác, nó được coi là hành vi trộm cắp. Do đó, liên kết nóng có thể dẫn đến chi phí không mong muốn không chỉ vì bạn sẽ phải đối phó với sự phân nhánh hợp pháp mà còn vì hóa đơn lưu trữ của bạn có thể đi qua mái nhà nếu trang web đánh cắp hình ảnh của bạn nhận được nhiều lưu lượng truy cập.

Thêm mã bên dưới vào tệp .htaccess của bạn nếu bạn sử dụng máy chủ Apache và thay thế tên miền giả bằng tên miền thực của bạn:

Viết lại trên

RewriteCond% {HTTP_REFERER}! ^ Http (s) ?: // (www \.)? Domain.com [NC]

RewriteRule \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

Ngoài ra, nếu bạn sử dụng máy chủ NGINX, bạn sẽ muốn sửa đổi tệp cấu hình của mình bằng cách sau:

vị trí ~. (gif | png | jpe? g) $ {

những người hợp lệ không bị chặn ~ .google. ~ .bing. ~ .yahoo yourdomain.com * .yourdomain.com;

if ($ default_Vferer) {

trả lại 403;

}

}

22. Đăng xuất người dùng nhàn rỗi

Mẹo cuối cùng trong hướng dẫn này để tăng tính bảo mật của trang web của bạn là đăng xuất người dùng nhàn rỗi sau một thời gian không hoạt động. Bạn có thể sử dụng một plugin như Thoát khỏi không hoạt động tự động chấm dứt các phiên không hoạt động.

Thoát khỏi không hoạt động

Điều này là cần thiết bởi vì nếu bạn đăng nhập vào trang web của bạn để thêm một bài đăng blog mới và bị phân tâm bởi một nhiệm vụ khác, phiên của bạn có thể bị tấn công và tin tặc có thể lạm dụng tình huống để lây nhiễm trang web của bạn. Điều quan trọng hơn nữa là chấm dứt các phiên không hoạt động nếu bạn có nhiều người dùng trên trang web của mình.

Làm thế nào để phục hồi từ một hack

Các biện pháp bảo mật ở trên là một cách tuyệt vời để bảo mật trang web của bạn. Nhưng nếu trang web của bạn bị hack thì sao? Dưới đây là một vài bước để làm theo trong trường hợp trang web của bạn bị hack.

1. Xác nhận Hack và thay đổi mật khẩu của bạn

Nếu trang web của bạn bị hack, trước hết, đừng hoảng sợ. Chiến thắng này giúp bạn và hành động được thực hiện vì vậy nó rất quan trọng để hành động nhanh chóng. Bắt đầu bằng cách kiểm tra trang web của bạn và xem liệu bạn có thể đăng nhập vào bảng điều khiển của mình không. Kiểm tra xem trang web của bạn đang chuyển hướng đến một trang web khác hay nếu bạn thấy bất kỳ liên kết hoặc quảng cáo đáng ngờ hoặc lạ nào.

Thay đổi mật khẩu của bạn ngay lập tức và sau đó tiến hành bước tiếp theo.

2. Liên lạc với công ty Hosting của bạn

Liên hệ với máy chủ của bạn và cho họ biết trang web của bạn đã bị hack. Họ có thể giúp bạn xác định nguồn gốc của vụ hack. Một số máy chủ cũng sẽ dọn sạch trang web của bạn và xóa mã và tệp độc hại.

Sử dụng Sao lưu để Khôi phục Trang web của bạn

Nếu bạn đã siêng năng sao lưu trang web của mình, hãy tìm một bản sao lưu từ trước khi hack và sử dụng nó để khôi phục trang web của bạn. Mặc dù bạn có thể mất một số nội dung, nhưng bạn sẽ có thể đưa trang web của mình lên và chạy như trước khi cuộc tấn công xảy ra.

3. Quét trang web của bạn để tìm phần mềm độc hại

Sử dụng trình quét miễn phí Sucuri nhiệt để quét trang web của bạn để tìm phần mềm độc hại và xác định các tệp bị xâm nhập. Bạn cũng có thể chọn dịch vụ dọn dẹp trang web của họ nếu bạn không biết cách tự xóa phần mềm độc hại.

4. Kiểm tra người dùng trang web của bạn

Đăng nhập vào trang web WordPress của bạn và đi đến Người dùng> Tất cả Người dùng. Hãy chắc chắn rằng không có người dùng nào nên có mặt ở đó và xóa chúng nếu cần thiết.

5. Thay đổi khóa bí mật của bạn

Sử dụng Trình tạo khóa WordPress Salts đã nói ở trên để tạo các khóa bảo mật mới và thêm chúng vào tệp wp-config.php của bạn. Vì các khóa đó mã hóa mật khẩu của bạn, tin tặc sẽ vẫn đăng nhập cho đến khi cookie của chúng bị vô hiệu. Các khóa bảo mật mới sẽ làm điều đó và buộc tin tặc ra khỏi trang web của bạn.

6. Thuê một chuyên gia

Cuối cùng, thuê một chuyên gia để dọn sạch hack và loại bỏ phần mềm độc hại khỏi trang web của bạn. Hãy nhớ rằng tin tặc có thể ẩn mã độc hại trong nhiều tệp vì vậy nếu bạn không có kinh nghiệm trong việc loại bỏ phần mềm độc hại, thì nó rất dễ bỏ sót một tệp bị nhiễm. Điều này giúp tin tặc dễ dàng hack trang web của bạn một lần nữa vì vậy việc thuê một chuyên gia rất được khuyến khích.

7 loại lỗ hổng phổ biến nhất của WordPress

Trước khi đi sâu hơn với bài viết này, hãy để Hãy giải quyết con voi trong phòng: WordPress có an toàn không? Câu trả lời cho câu hỏi đó là "vâng" Cốt lõi của phần mềm WordPress là bảo mật và công ty đứng sau WordPress rất coi trọng vấn đề bảo mật.

Của chúng đội an ninh có 50 chuyên gia trong đó bao gồm các nhà phát triển chính và các nhà nghiên cứu bảo mật đang làm việc đằng sau hậu trường để đảm bảo rằng WordPress an toàn.

Trên thực tế, hầu hết các sự cố và rủi ro bảo mật là kết quả của lỗi con người được kết hợp với sự hiện diện của lỗ hổng bảo mật.

Có bảy loại lỗ hổng WordPress bạn cần lưu ý:

  • Các tệp WordPress lỗi thời
  • Khai thác cửa sau
  • Hacks dược
  • Mật khẩu yếu
  • Chuyển hướng độc hại
  • Lỗ hổng trong nền tảng lưu trữ
  • Sự từ chối của dịch vụ tấn công

Hãy để Vượt qua họ và giải thích chính xác họ là gì.

1. Tệp WordPress lỗi thời

Các tệp WordPress lỗi thời đề cập đến các phiên bản WordPress, chủ đề và các tệp plugin. Chúng gây ra rủi ro bảo mật vì chúng khiến trang web của bạn tiếp xúc với các lỗ hổng khác như khai thác cửa sau và hack dược phẩm.

Như vậy, bạn cần đảm bảo rằng bản cài đặt WordPress của bạn được cập nhật cũng như chủ đề và plugin của bạn. Bạn nên chủ động áp dụng các bản cập nhật khi chúng được phát hành vì chúng không chỉ đi kèm với các tính năng mới mà chúng còn bao gồm các bản sửa lỗi và bảo mật khác nhau.

2. Khai thác cửa sau

Khi nói đến khai thác cửa sau, tin tặc sẽ tận dụng các tệp WordPress lỗi thời để có quyền truy cập vào trang web của bạn. Ngoài các tệp lỗi thời, họ cũng có thể truy cập vào trang web của bạn thông qua SFTP, FTP và tương tự.

Khi họ có quyền truy cập vào trang web của bạn, họ sẽ lây nhiễm trang web của bạn và cũng có thể lây nhiễm các trang web khác trên cùng máy chủ với trang web của bạn. Tiêm backdoor trông giống như các tệp WordPress thông thường cho người dùng thiếu kinh nghiệm. Nhưng đằng sau hậu trường, họ lợi dụng các lỗi trong các tệp lỗi thời để truy cập cơ sở dữ liệu của bạn và phá hoại trang web của bạn cũng như hàng ngàn trang web khác.

3. Dược phẩm

Các bản hack dược phẩm đề cập đến việc khai thác các lỗ hổng trong các tệp WordPress lỗi thời nơi tin tặc chèn mã vào các tệp đó. Khi mã được chèn, các công cụ tìm kiếm sẽ hiển thị quảng cáo cho các sản phẩm dược phẩm thay vì trang web của bạn. Điều này có thể dẫn đến các công cụ tìm kiếm đánh dấu trang web của bạn là thư rác.

4. Mật khẩu yếu

Mật khẩu yếu có thể dễ nhớ nhưng chúng cũng giúp tin tặc dễ dàng truy cập vào trang web của bạn thông qua một cuộc tấn công vũ phu. Một cuộc tấn công vũ phu xảy ra khi tin tặc sử dụng các tập lệnh tự động chạy trong nền để thử các kết hợp tên người dùng và mật khẩu khác nhau cho đến khi chúng tìm thấy sự kết hợp hoạt động.

5. Chuyển hướng độc hại

Tương tự như việc sử dụng các tệp lỗi thời và giao thức FTP hoặc SFTP để tiêm mã dẫn đến hack dược phẩm hoặc khai thác cửa sau, tin tặc sẽ sử dụng tệp .htaccess trong cài đặt WordPress của bạn để chuyển hướng khách truy cập của bạn đến trang web độc hại.

Khách truy cập của bạn sau đó có thể bị nhiễm vi-rút hoặc trở thành con mồi của lừa đảo.

6. Lỗ hổng trong nền tảng Hosting

Đôi khi, bảo mật của trang web của bạn có thể bị xâm phạm vì bạn sử dụng một công ty lưu trữ mà không có các tính năng bảo mật như tường lửa hoặc giám sát tệp. Điều này thường xảy ra với các nhà cung cấp dịch vụ lưu trữ rẻ hơn, điều đó có nghĩa là việc chọn một máy chủ rẻ hơn, trớ trêu thay, sẽ khiến bạn tốn nhiều tiền hơn nếu trang web của bạn bị hack.

Hãy nhớ rằng các nền tảng lưu trữ rẻ hơn cũng có rủi ro bảo mật cao hơn vì trang web của bạn có thể bị nhiễm hoặc bị tấn công do tin tặc khai thác lỗ hổng trên một trang web khác mà lưu trữ trên cùng một máy chủ.

7. Tấn công từ chối dịch vụ

Tấn công từ chối dịch vụ hoặc tấn công DDOS là một trong những mối đe dọa nguy hiểm nhất đối với bất kỳ chủ sở hữu trang web nào. Trong một cuộc tấn công DDOS, một hacker sẽ khai thác các lỗi và lỗi trong mã khiến bộ nhớ của hệ điều hành trang web của bạn trở nên quá tải. Các cuộc tấn công DDOS thường sẽ làm sập một số lượng lớn các trang web sử dụng một nền tảng cụ thể, chẳng hạn như WordPress.

Bây giờ bạn đã biết các lỗ hổng phổ biến liên quan đến WordPress là gì, hãy để nhanh chóng chuyển sang các mẹo, cách thực hành tốt nhất và các đề xuất bảo mật sẽ giúp bạn bảo mật trang web WordPress của mình.

Kết thúc

WordPress là một CMS mạnh mẽ và phổ biến giúp mọi người dễ dàng tạo một trang web. Nhưng vì nó rất phổ biến nên nó cũng là mục tiêu ưa thích của tin tặc. May mắn thay, có một số bước bạn có thể thực hiện để bảo vệ trang web WordPress của mình và nếu bạn làm theo các mẹo trong bài viết này, bạn sẽ tiếp tục có một trang web WordPress an toàn.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me