8 cách bảo vệ trang web WordPress khỏi tấn công brute force dễ dàng

nexsoft.vn 20/01/2024
8 cách bảo vệ trang web WordPress khỏi tấn công brute force dễ dàng

Cuộc tấn công bằng brute force có thể làm chậm trang web của bạn, khiến website không thể truy cập và thậm chí có khả năng đánh mật khẩu để cài đặt phần mềm độc hại lên trang web. Để tránh những rắc rối này, hãy cùng Vietnix tham khảo cách bảo vệ trang web WordPress khỏi tấn công brute force có trong bài viết sau.

8 cách bảo vệ trang web WordPress khỏi tấn công brute force đơn giản

1. Cài đặt một plugin firewall cho WordPress

Các tấn công bằng brute force đặt một lượng lớn áp lực lên server. Ngay cả những cuộc tấn công không thành công cũng có thể làm chậm trang web hoặc làm crash server hoàn toàn. Điều này là lý do tại sao việc chặn chúng trước khi chúng tiếp cận server rất quan trọng.

Để làm điều đó, bạn sẽ cần một giải pháp firewall cho trang web. Firewall sẽ lọc traffic không mong muốn và chặn chúng trước khi tiếp cận trang web.

Có hai loại firevall cho trang web mà bạn có thể sử dụng:

  • Firewall ở mức ứng dụng: Kiểm tra traffic khi đến server của bạn, trước khi tải nhiều WordPress script. Phương pháp này không hiệu quả vì cuộc tấn công bằng brute force vẫn có thể ảnh hưởng đến việc tải server.
  • Firewall cho website ở mức DNS: Định tuyến traffic qua các cloud proxy server. Điều này cho phép họ chỉ gửi traffic thực sự đến hosting server chính trong khi cải thiện tốc độ và hiệu suất WordPress.

Bạn có thể sử dụng Sucuri để bảo mật trang web, họ có một firewall cho trang web ở mức DNS, điều này có nghĩa là tất cả traffic trang web của bạn đi qua máy chủ proxy của họ, nơi traffic không mong muốn sẽ được lọc ra.

Để đảm bảo website WordPress của bạn hoạt động một cách nhanh chóng và ổn định, bạn có thể tham khảo sử dụng dịch vụ WordPress Hosting của Vietnix. Các gói WordPress Hosting đều được tích hợp sẵn công nghệ Vietnix Firewall độc quyền do Vietnix nghiên cứu và phát triển, giúp chống lại cả tấn công DDoS lẫn brute force một cách toàn diện. Nhờ đó, website của bạn sẽ luôn duy trì tính ổn định và có khả năng đứng vững trước mọi cuộc tấn công, không ảnh hưởng đến các hoạt động kinh doanh trực tuyến của bạn.

Liên hệ ngay với Vietnix để được hỗ trợ tư vấn chi tiết về dịch vụ!

Dịch vụ WordPress Hosting tại Vietnix
Dịch vụ WordPress Hosting tại Vietnix

2. Cài đặt cập nhật cho WordPress

Một số cuộc tấn công bằng brute force thường có mục tiêu chủ yếu là các lỗ hổng đã biết trong các phiên bản cũ của WordPress, các plugin phổ biến hoặc các theme của WordPress.

WordPress core và hầu hết các plugin phổ biến của WordPress đều là mã nguồn mở, và các lỗ hổng thường được khắc phục rất nhanh với bản cập nhật. Tuy nhiên, nếu bạn không cài đặt các cập nhật, trang web dễ bị tấn công từ những mối đe dọa cũ.

Chỉ cần vào trang Dashboard > Updates trong WordPress admin area để kiểm tra các cập nhật có sẵn. Trang này sẽ hiển thị tất cả các cập nhật cho hệ thống WordPress core, plugin và theme.

3. Bảo vệ thư mục quản trị WordPress

Hầu hết các cuộc tấn công brute force vào một trang web WordPress đều cố gắng truy cập vào WordPress admin area. Bạn có thể thêm bảo vệ mật khẩu cho thư mục WordPress admin ở mức server. Điều này sẽ chặn việc truy cập trái phép vào WordPress admin area.

Chỉ cần đăng nhập vào WordPress hosting control panel (cPanel) và nhấp vào biểu tượng Directory Privacy trong phần Files.

Tiếp theo, bạn cần tìm thư mục wp-admin. Khi tìm thấy, bạn nên nhấp vào tên thư mục.

cPanel sẽ yêu cầu bạn cung cấp tên cho thư mục bị hạn chế, tên người dùng và mật khẩu. Sau khi nhập thông tin này, hãy nhấp vào Save button để lưu cài đặt.

Thư mục WordPress admin hiện đã được bảo vệ bằng mật khẩu. Khi bạn truy cập khu vực quản trị WordPress của mình, bạn sẽ thấy một thông báo đăng nhập mới.

Nếu bạn gặp lỗi 404 hoặc thông báo lỗi quá nhiều chuyển hướng, thì bạn cần thêm dòng sau vào file .htaccess của WordPress:

4. Thêm xác thực hai yếu tố vào WordPress

Xác thực hai yếu tố thêm một lớp bảo mật bổ sung cho màn hình đăng nhập WordPress. Người dùng sẽ cần sử dụng điện thoại của họ để tạo mã xác thực một lần kèm theo thông tin đăng nhập của họ để truy cập khu vực quản trị WordPress.

Thêm xác thực hai yếu tố sẽ làm cho việc hacker truy cập trở nên khó khăn hơn, ngay cả khi họ có thể đoán được mật khẩu WordPress của bạn.

5. Sử dụng mật khẩu mạnh

Mật khẩu là chìa khóa để truy cập trang web WordPress hoặc cửa hàng thương mại điện tử. Bạn cần sử dụng mật khẩu độc đáo và mạnh mẽ cho tất cả các tài khoản của mình. Một mật khẩu mạnh là sự kết hợp của số, chữ cái và ký tự đặc biệt.

Quan trọng là bạn cần sử dụng mật khẩu mạnh không chỉ cho tài khoản người dùng WordPress mà còn cho FTP client, web hosting control panel và WordPress database.

6. Tắt chức năng duyệt thư mục

Khi web server không tìm thấy file index (như index.php hoặc index.html), chúng tự động hiển thị một trang index cho thấy nội dung của thư mục.

Trong quá trình tấn công, hacker có thể sử dụng tính năng duyệt thư mục như vậy để tìm các file có lỗ hổng. Để khắc phục điều này, bạn cần thêm dòng sau vào cuối file .htaccess của WordPress bằng dịch vụ FTP:

7. Tắt khả năng thực thi file PHP trong các thư mục cụ thể

Hacker có thể muốn cài đặt và thực thi một PHP script trong các thư mục WordPress. WordPress được viết chủ yếu bằng PHP, điều này có nghĩa bạn không thể vô hiệu hóa trong tất cả các thư mục WordPress.

Tuy nhiên, có một số thư mục không cần thiết tới bất kỳ PHP script nào, chẳng hạn như thư mục upload của WordPress nằm tại /wp-content/uploads.

Bạn có thể an toàn tắt khả năng thực thi PHP trong thư mục upload, đó là nơi mà hacker thường sử dụng để ẩn các backdoor file.

Trước hết, bạn cần mở một trình soạn thảo văn bản như Notepad trên máy tính và dán code sau:

8. Cài đặt và cấu hình plugin sao lưu

Sao lưu là công cụ quan trọng nhất trong biện pháp bảo mật WordPress. Nếu tất cả các biện pháp khác thất bại, thì sao lưu sẽ cho phép bạn dễ dàng khôi phục lại trang web của mình. Hầu hết các công ty hosting cung cấp các tùy chọn sao lưu hạn chế. Tuy nhiên, các bản sao lưu này không được đảm bảo, và bạn hoàn toàn chịu trách nhiệm tạo sao lưu của riêng mình.

Có nhiều plugin sao lưu WordPress tuyệt vời cho phép bạn lên lịch tự động sao lưu, Duplicator là một trong số đó. Đây là một plugin thân thiện với người mới và cho phép bạn nhanh chóng thiết lập sao lưu tự động và lưu chúng ở các vị trí từ xa như Google Drive, Dropbox, Amazon S3, One Drive và nhiều nơi khác.

Tất cả các mẹo đã được đề cập ở trên sẽ giúp bạn bảo vệ trang web WordPress của mình khỏi các cuộc tấn công bằng brute force.

Ngoài cách bảo vệ trang web WordPress khỏi tấn công brute force, bạn có thể quan tâm:

Nếu cần giải pháp hosting tốc độ cao, tối ưu cho website WordPress, bạn có thể yên tâm lựa chọn Vietnix. Đây là đơn vị chuyên nghiệp hàng đầu Việt Nam trong lĩnh vực cung cấp hosting, VPS tốc độ cao. Một số thành tựu nổi bật của Vietnix đó là:

  • Có 11 năm kinh nghiệm cung cấp dịch vụ hosting, VPS.
  • Sở hữu công nghệ chống DDoS độc quyền tại Việt Nam, giúp website luôn hoạt động ổn định, đứng vững trước tấn công.
  • Đồng hành với hơn 50.000 khách hàng cá nhân lẫn doanh nghiệp như iVIVU.com, Vietnamwork, KINGFOOD, UBGroup, GTV và nhiều thương hiệu khác.
  • Nhận giải Thương hiệu Việt Nam xuất sắc 2022.
  • 97% khách hàng sau khi trải nghiệm dịch vụ đều có đánh giá 5 sao và giới thiệu cho bạn bè, người thân sử dụng.
Vietnix - Dịch vụ hosting, VPS tốc độ cao
Vietnix – Dịch vụ hosting, VPS tốc độ cao

Liên hệ ngay với Vietnix để được tư vấn chi tiết:

  • Địa chỉ: 265 Hồng Lạc, Phường 10, Quận Tân Bình, Thành Phố Hồ Chí Minh
  • Hotline: 1800 1093
  • Email: sales@vietnix.com.vn

Lời kết

Vietnix hy vọng nội dung trên đã giúp bạn hiểu được cách bảo vệ trang web WordPress khỏi tấn công brute force. Ngoài bài viết này, bạn cũng có thể tham khảo thêm các bài viết khác tại vietnix.vn để áp dụng cho website của mình, chúc bạn thành công!