5 mối đe dọa bảo mật mặc định trong WordPress và cách khắc phục chúng

Bảo mật WordPress

WordPress là một phần mềm mã nguồn mở hoàn toàn phổ biến. Điều tuyệt vời về sự khôn ngoan về bảo mật đó là có một cộng đồng lớn làm việc với nó, những người có thể phát hiện ra các lỗi cũng như rủi ro bảo mật nhanh hơn so với một giải pháp CMS nội bộ. (Thật khó để tìm ra điểm yếu khi một cách để tìm ra thực sự có điểm yếu được khai thác và việc có một lượng người dùng khổng lồ khiến cho việc khám phá có nhiều khả năng hơn.)


Nhược điểm là tin tặc có ý định xấu biết chính xác trang web của bạn được xây dựng như thế nào. Họ đã có ‘kế hoạch chi tiết cho trang web của bạn. Và nếu có bất kỳ điểm yếu nào trong cốt lõi, chủ đề hoặc plugin mà bạn sử dụng, thì đó là thứ gì đó mà họ có thể biết mà không cần truy cập vào phần phụ trợ của trang web của bạn.

Vì vậy, trong bài đăng này, I hèll sẽ chỉ cho bạn cách khắc phục 5 mối đe dọa bảo mật có trong mọi cài đặt mặc định hoàn toàn của WordPress. (Nếu bạn đã thực hiện một số biện pháp phòng ngừa, bạn có thể thấy rằng bạn đã sửa một hoặc hai, nhưng điều quan trọng là phải sửa tất cả năm để giảm thiểu rủi ro bị hack.)

Trang web của bạn hiển thị cho bạn bằng cách sử dụng WordPress, Plus Phiên bản

Phiên bản WordPress

Phiên bản mặc định của WordPress sẽ có các dòng mã cho biết rằng trang web của bạn được xây dựng bằng WordPress, thậm chí xuống phiên bản cho những người biết nơi để tìm. Tùy thuộc vào chủ đề, nó thậm chí có thể được hiển thị trực quan trên mỗi trang của trang web của bạn.

Lý do đây có thể là một rủi ro bảo mật, là mọi người có thể nhắm mục tiêu trang web của bạn không vì lý do nào khác ngoài việc nó được xây dựng trên WordPress. Nếu ai đó tìm thấy điểm yếu bảo mật trong lõi WordPress, chủ đề hoặc plugin, họ có thể tìm đường đến trang web của bạn để khai thác điều đó. Trong khi nếu bạn đã ẩn thành công rằng trang web của bạn được xây dựng bằng WordPress, những người tìm kiếm trang web WordPress bằng bot hoặc trình thu thập thông tin sẽ bị lừa nghĩ rằng trang web của bạn không phải là mục tiêu khả thi.

Cách khắc phục:
Để khắc phục điều này, bạn có thể sử dụng Plugin Hide My WP. Với plugin nhỏ hữu ích này, bạn có thể tránh được lưu lượng không cần thiết trên máy chủ của mình, đồng thời, vẫn an toàn trước các cuộc tấn công nhắm mục tiêu cụ thể vào các trang web WordPress.

Mọi người đều biết vị trí Trang đăng nhập / Khu vực quản trị của bạn

Đăng nhập WordPress

Nếu bạn vẫn cho thấy rằng bạn sử dụng WordPress (hay còn gọi là không chủ động che giấu nó bằng cách sử dụng một plugin như Hide My WP), những người có ý định xấu sẽ biết nơi để thực hiện một cuộc tấn công tàn bạo vào trang web của bạn.

Cách khắc phục:
Để khắc phục mối đe dọa này và giảm đáng kể khả năng bị hack và để giảm căng thẳng máy chủ, chúng tôi cần ngăn chặn những người độc hại và bot truy cập trang đăng nhập của chúng tôi.

Có hai cách chính để làm điều này. Bạn có thể thay đổi vị trí thực của trang đăng nhập của mình thành một thứ khác bằng cách sử dụng plugin (hoặc một vài dòng mã) hoặc bạn có thể giới hạn quyền truy cập vào trang đăng nhập và khu vực quản trị của mình bằng địa chỉ IP. Bạn có thể làm điều này với một plugin dành riêng cho điều đặc biệt này hoặc với một plugin bảo mật như Sucuri, Lời nói, iTheme Security Pro hoặc Tường lửa và bảo mật tất cả trong một WP.

WordPress có tiền tố bảng mặc định mà mọi người đều sử dụng

Tiền tố bảng WordPress

Một tiền tố bảng là những gì xuất hiện trước tên của các bảng trong cơ sở dữ liệu của bạn. Thay vì người dùng, với tiền tố WordPress tiêu chuẩn, nó sẽ là wp_users. Nếu bạn sử dụng tiền tố bảng mặc định, mọi người sẽ dễ dàng truy cập vào trang web của bạn hơn bằng cách khai thác các điểm yếu có thể xảy ra. Bởi vì họ biết chính xác nơi tiêm thông tin vào cơ sở dữ liệu của bạn để sau đó có quyền truy cập vào trang web của bạn.

Tôi thực sự đã có một trong những trang web của tôi bị hack vì tiêm sql, vì vậy đây là một mối đe dọa rất thực tế mà bạn cần phải có biện pháp đối phó chống lại.

Cách khắc phục:
Rất may, nó rất dễ dàng để loại bỏ mối đe dọa này. Nếu bạn đã cài đặt WordPress bằng tiền tố wp_ mặc định, bạn có thể dễ dàng thay đổi nó bằng cách sử dụng một plugin như Sucuri. Trước tiên, bạn cần sao lưu cơ sở dữ liệu của mình trước khi sử dụng tùy chọn đó vì có khả năng xảy ra sự cố nhỏ. Bạn có thể làm điều này với một nút bấm. Sau đó, bạn có thể chọn tiền tố mới hoặc đơn giản là để Sucuri tạo ngẫu nhiên tiền tố mới cho bạn.

Lưu ý: Nếu bạn chỉ cài đặt WordPress lần đầu tiên, bạn có thể thay đổi nó trong giao diện cài đặt.

Các tệp WordPress Theme & Plugin có thể chỉnh sửa thông qua Bảng điều khiển

Trình chỉnh sửa plugin WordPress

Vấn đề với điều này là nếu một hacker có quyền truy cập vào trang web của bạn, họ có thể gây ra nhiều thiệt hại. Họ có thể khiến trang web của bạn gây hại cho người khác bằng phần mềm độc hại (có thể kết thúc bằng việc trang web của bạn bị đưa vào danh sách đen của Google và bị loại bỏ khỏi các công cụ tìm kiếm), làm mất trang web của bạn hoặc dễ dàng mở ra các cửa hậu.

Cách khắc phục:
Bạn có thể thêm dòng mã này vào tệp wp-config.php của mình:

định nghĩa ('DISALLOW_FILE_EDIT', đúng);

Hoặc sử dụng một plugin bảo mật để làm điều đó cho bạn (về cơ bản sẽ chỉ chèn dòng mã đó cho bạn). Vấn đề duy nhất là có các plugin cho phép mọi người bật và tắt khả năng này, do đó, một hacker rất tận tâm có thể cài đặt plugin, bật plugin và sau đó truy cập vào mã chỉnh sửa mà không cần truy cập FTP.

Nếu bạn muốn cực kỳ kỹ lưỡng và bảo vệ chống lại điều này, bạn có thể vô hiệu hóa tất cả các cập nhật / cài đặt plugin và chủ đề bằng cách thêm dòng mã này vào wp-config.php:

định nghĩa ('DISALLOW_FILE_MODS', đúng);

Nhưng rõ ràng điều này có nghĩa là bạn sẽ phải thay đổi giá trị thành sai mỗi lần bạn muốn cập nhật hoặc cài đặt plugin hoặc chủ đề (chúng tôi không thực sự khuyên dùng tùy chọn này, vì luôn cập nhật chủ đề và plugin là một trong những cách tốt nhất để đảm bảo trang web của bạn ít bị tổn thương hơn).

WordPress có các cài đặt tường lửa rất mở có thể cho phép các lỗi độc hại được biết đến ngay cả khi cố gắng tấn công

Tường lửa WordPress

Các cài đặt tường lửa mặc định của WordPress thực sự nằm ở phía tự do. Điều này có nghĩa là một số bot không mong muốn và khách truy cập không mong muốn khác bật đèn xanh.

Cách khắc phục:
Bạn có thể làm cho điều này tốt hơn bằng cách cài đặt các quy tắc tường lửa danh sách đen 5G cơ bản, bằng cách sao chép thủ công vào tệp .htaccess của bạn, (bạn có thể tìm thấy nó ở đây) hoặc bằng cách cài đặt plugin này, hoặc sử dụng plugin bảo mật để tối ưu hóa tốt hơn các quy tắc trong .htaccess của bạn.

Nỗ lực đăng nhập WordPress không giới hạn

Mặc dù cài đặt mặc định thực sự là các lần thử đăng nhập không giới hạn, nhưng bạn có thể đã chọn để hạn chế các lần đăng nhập khi bạn cài đặt WordPress trên trang web của mình. Tuy nhiên, nếu bạn không làm như vậy, thì đó là một cách khắc phục cực kỳ dễ dàng.

Cách khắc phục:
Đơn giản chỉ cần cài đặt Hạn chế đăng nhập plugin. Hoặc, nếu bạn sử dụng dịch vụ lưu trữ WPEngine thì đây là một tính năng mà họ đã tích hợp sẵn cho bạn – không yêu cầu plugin! Nếu bạn đã bảo vệ khu vực đăng nhập của mình bằng cách chỉ cho phép các địa chỉ IP của riêng bạn truy cập vào bảng dasbhboard, bạn đã giành chiến thắng cần phải làm điều này. Nhưng nếu bạn chỉ ẩn địa chỉ trang đăng nhập của mình, địa chỉ đó sẽ bảo vệ gấp đôi khỏi các cuộc tấn công vũ phu tiềm năng.

Phần kết luận

Tội phạm mạng đang phát triển nhanh chóng và mạng internet đang trên đường trở thành nơi có nhiều tội phạm hơn thế giới thực. Hiện tại ở một số quốc gia, điều này đã xảy ra. Và trong khi phần lớn trong số này là thẻ tín dụng và gian lận ngân hàng, thì ngày càng có nhiều tin tặc ra ngoài, và là chủ sở hữu trang web, chúng tôi phải bảo vệ bản thân và các trang web của mình một cách tốt nhất có thể.

Mặc dù cài đặt mặc định của WordPress có một số điểm yếu, nhưng vẻ đẹp của WordPress thực sự rất dễ dàng để bạn có thể giải quyết khá nhiều vấn đề của mình với trang web của mình, bao gồm các mối đe dọa bảo mật được đề cập trong bài đăng này. Ngoài việc có một tên người dùng và mật khẩu mạnh, bằng cách cài đặt một plugin bảo mật, chỉnh sửa một số cài đặt và có thể chèn một hoặc hai dòng mã, bạn đã có thể giảm đáng kể nguy cơ trang web của bạn bị hack hoặc bị nhiễm phần mềm độc hại.

Bạn đã thực hiện bất kỳ biện pháp để cải thiện bảo mật của trang web WordPress của bạn? Loại nào? Chúng tôi rất thích nghe một số lời khuyên và thủ thuật của bạn! Xin vui lòng cho chúng tôi biết trong các ý kiến.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map