Bảo mật web với wordpress

Vấn đề bảo mật website nói chung và bảo mật website wordpress là một vấn đề rất được quan tâm. Vì có rất nhiều hacker muốn phá web của bạn. Nhiều khi có lý do chẳng hạn như bạn là đối thủ, hay một nguyên nhân nào đó, nhưng cũng nhiều khi chẳng có mục đích gì, chỉ là thích. Hôm nay sẽ nói về vấn đề này để giúp các bạn, cũng như thiếu sót chỗ nào đóng góp để vấn đề bảo mật web được tốt hơn.

A. một số vấn đề chung:

1. Web của bạn luôn có thể bị hack.

Trang web của bạn không bao giờ an toàn tới 100%. Các hacker luôn thử những điều mới và phát hiện ra lỗ hổng bảo mật mới để khai thác . Thế giới mạng cũng phát triển nhanh chóng để vá những lỗ hổng đó. Bảo mật tốt cũng như bảo vệ an toàn là giảm thiểu rủ ro.Nếu một ai nói hay cam kết với bạn là bảo mật được 100%, thì người đó đang lừa bạn đó. Bạn không thể bảo mật hoàn toàn nhưng mà bạn có thể hạn chế tối đa các lỗ hổng để bảo mật website tốt hơn.

2. Không đổ lỗi cho wordpress.

Những kẻ thù ghét nói WordPress không an toàn. Nó phụ thuộc vào cách mà bạn cài đặt và sử dụng WordPress. Nếu bạn không thường xuyên cập nhật, hay do bạn viết code theme không tốt thì nó sẽ không an toàn. Trên thực tế 17% website trên thế giới đang sử dụng wordpress. Nó là một con số khá lớn. Vì vậy , bạn hay cân nhắc trước những lời nói như vậy. Bạn cần có thói quen thường xuyên update và tối ưu code để đảm bảo web của bạn được bảo mật.

Nhiều vấn đề bảo mật ít liên quan đến WordPress , mà phần lớn nằm ở các lỗ hổng máy chủ, lây nhiễm từ các web khác hay mật khẩu quá dễ. Quyết định sai lầm có thể làm mức độ bảo mật web giảm đi. Vấn đề này luôn đúng cho dù bạn sử dụng WordPress hay một giải pháp nào khác. Vì vậy, không nên đổi lỗi của việc web bạn bị hack hay phá là do WordPress.

3. Bảo mật và tính khả dụng

Bảo mật và tính khả dụng luôn tỷ lệ thuận với nhau. Đôi khi bạn bảo mật web của bạn tốt thì nó lại khó sử dụng. Đôi khi web của bạn làm web dẽ sử dụng thì nó lại bảo mật không được tốt. Bạn phải biết dung hòa để tạo ra sự cân bằng giữa tính an toàn và tính khả dụng.

B: 3 bước bảo mật mà web của bạn cần có.

Có 3 giai đoạn để bảo mật : bảo vệ, phát hiện và phục hồi. Nếu bạn muốn bảo vệ trang web của bạn, bạn cần làm tốt những điều trên.

1.) Bảo vệ.

Đầu tiên bạn cần phải bảo mật và giữ cho nó an toàn . Bạn phải tối ưu code, chọn hosting có bảo mật tốt và đặt mật khâu đủ mạnh. Đây là các bước rất rõ ràng không nên bỏ qua để bảo mật web của bạn.

2.) Phát hiện

Khi những kẻ xấu đã phá hủy web của bạn. Bạn cần phải tìm xem nó bị tấn công ở đâu. Các cuộc tấn công không phải luôn luôn là làm web bạn bị lỗi hẳn mà nó chỉ bị lỗi phần nào đó, giả dụ như admin vẫn hoạt động trong khi đó frontend thì bị lỗi.

Bạn nên kiểm tra xem web bị lỗi ở đâu vì nếu không kiểm tra thì web sẽ bị tấn công lần tiếp.

3.) Khôi phục

Bạn cần có kế hoặc để backup code tránh trường hợp rủ ro. Khi mà việc bảo mật hoặc phát hiện lỗi thất bạn thì có bản backup để khôi phục là một cứu cánh cho vấn đề này.

C. Bước bạn cần làm để bảo mật web tốt hơn.

1.) Giữ cho mọi thứ luôn là mới nhất..

Một trong những lỗ hổng bảo mật của WordPress là dùng phiên bản cũ. Wordpress có bản cập nhật rất thường xuyên và trong các lần cập nhật đó, nếu có lỗi về bảo mật thì họ sẽ vá lỗi đó . Nếu bạn chưa làm điều đó thì hãy cập nhật theme và Plugin lên phiên bản mới nhất để tránh những rủ ro không đáng có.

Một số người dùng lo ngại là khi cập nhật sẽ làm ảnh hưởng đến web . Nhưng bạn nên chọn mình làm hỏng mà biết nguyên do hay là bị hack. Vậy thì bạn hãy tạo cho mình một bản backup và mọi chuyện được giải quyết. Nếu có gì đó ko đúng sau khi cập nhật thì bản đã có bản backup.

2.) Đặt mật khẩu có khó hơn

Web của bạn được bảo mật khi mật khẩu truy cập web an toàn, nếu bạn để mật khẩu quá thông dụng hoặc đơn giản thì bạn đang tạo cơ hội cho hacker truy cập vào web của bạn. Mật khẩu của bạn nên có con số, chữ hoa, ký tự đặc biệt (@,#, *, vv) và phải đủ dài

3.) Quản lý người sử dụng

Mật khẩu của bạn tốt nhưng thế là chưa đủ, nếu các thành viên của web của bạn có mật khẩu không tốt, nó cũng đồng nghĩa là web của bạn sẽ không an toàn. Càng nhiều người truy cập trang quản trị thì nó cũng tỷ lệ an toàn sẽ giảm xuống, bạn nên quản lý tốt người dùng.

4. ) Sao lưu code và dữ liệu

Vào một ngày đẹp trời. Nếu có một điều gì đó không may sảy ra với web của bạn.Bạn muốn nó trở lại như trước. Lúc này bạn cần là một bản backup . Vì vậy bạn hãy chủ động backup dữ liệu của bạn. Và đặt nó ở chế độ tự động để tránh trường hợp bạn quên.

5. ) Ẩn file config

Thường thì thông tin của web sẽ được lưu ở file wp-config.php . Và cấu trúc code của wordpess thì quá rõ ràng rồi. Vậy để bảo mật tốt hơn. Bạn sẽ lưu file đó vào một thư mục khác. Mặc định thì nó được lưu với đường dẫn “/home/toyotaha/public_html/wp-config.php”.

Mình đan sử dụng filezilla để truy cập vào code. Tiếp đến là tạo thư mục như mình “giau-file” ngang hàng “public_html”.



Sau đó tải file wp-config.php trong thư mục public_html và upload nó vào thư mục mới tạo ( giau-file ). Cuối cùng là sửa file wp-config.php trong thư mục public_html :

if ( !defined('ABSPATH') )
define('ABSPATH', dirname(__FILE__) . '/');
require_once(ABSPATH . '../baomat/wp-config.php'); 

6.) CHMOD file wp-config.php

Mặc định các file trong WordPress sẽ được CHMOD thành 644 và folder là 755. Nhưng đối với file wp-config.php thì bạn cũng nên CHMOD tối ưu hơn, bạn có thể thay thành 440, 444 hoặc 400.

7.) Chặn thực thi file wp-config.php

bạn hãy chèn đoạn code dưới vào file “.htaccess”

<Files wp-config.php>;
order allow,deny
deny from all
</Files>

8.) Thay đổi prefix các bảng trong database

Mặc định tiền tố CSDL ( prefix ) mặc định của WordPress sẽ là wp_, vô tình làm cho các hacker biết rõ tên của từng table của website bạn nếu bạn không đổi tiền tố này đi. Nếu bạn tạo web từ ban đầu bạn vào file wp-config.php để đổi:

Nếu web của bạn đang hoạt động mà bạn muốn đổi prefix thì bạn có thể sử dụng plugin 'iThemes Security' .

Link bài gốc : 'http://itha.edu.vn/bao-mat-web-voi-wordpress/'