Nếu bạn đang dùng website WordPress và có cài đặt các plugin hỗ trợ bảo mật như iThemes Security hay Wordfence mã chưa cảm thấy yên tâm với hiệu suất làm việc của các plugin đó, cần tìm plugin thay thế thì hãy thử ngay plugin NinjaFirewall hoàn toàn miễn phí nhưng vô cùng mạnh mẽ, thích hợp cho những người dùng WordPress đã có kinh nghiệm, đặc biệt là sử dụng máy chủ.
NinjaFirewall là plugin gì?
Đọc qua cái tên thì chúng ta biết đó là plugin tạo tường lửa cho website WordPress để chống lại các hình thức tấn công phổ biến trong WordPress. Điểm khác biệt của plugin này so với các plugin bảo mật khác là nó sử dụng sức mạnh của ModSecurity hoặc Suhosin trên máy chủ website nhằm tạo ra các tính năng bảo vệ cho WordPress. Mà nếu bạn là người dùng máy chủ thì có thể đã biết sơ qua là ModSecurity và Suhosin vốn là hai hệ thống bảo mật PHP rất tốt và được sử dụng trên hầu hết các website hiện nay, kể cả Shared Host.
Chức năng của NinjaFirewall
Chức năng của plugin này có thể được tóm gọn lại là nó có sẽ tạo ra một lớp bảo vệ bằng cách làm sạch dữ liệu, scan và lọc tất cả những dữ liệu gửi qua phương thức POST và GET hoặc bất cứ yêu cầu truy cập từ HTTP/HTTPS đến máy chủ có khả nghi. Tất cả các kịch bản PHP, bao gồm những code tự viết hoặc từ các plugin đều sẽ được NinjaFirewall bảo vệ tuyệt đối. Một điểm tuyệt vời của plugin này là nó sẽ tạo ra một tường lửa độc lập, và tường lửa này sẽ luôn được kích hoạt trước khi WordPress được tải ra nên có thể mang nhiều ưu điểm để bảo vệ hơn so với các plugin cùng chức năng khác.
Một vài chức năng cụ thể cần phải kể ra đó là:
- Bảo vệ website trước các hình thức tấn công phổ biến như brute-force attack, SQL Injection, Remote File Injection, Local File Inclusion, Cross-site Scripting, chặn các đoạn mã được thực thi trái phép, backdoor, shell script,…v…v…
- Sử dụng ít tài nguyên, không ảnh hưởng tốc độ.
- Scan và làm sạch các request gửi đến server thông qua HTTP/HTTPS, scan cookie và kiểm tra các biến toàn cục của webserver.
- Chặn upload tập tin hoặc cho phép upload tập tin và làm sạch tên tập tin.
- Bảo mật các HTTP Header để chặn các kiểu tấn công có liên quan như clickjacking, phishing, XSS.
- Chặn các spam bot hoặc các phần mềm scanner.
- Ẩn các lỗi PHP.
- Chặn thực thi trực tiếp các tập tin PHP có trong mã nguồn. Cách này có thể hạn chế một số hacker thực thi một số mã độc đã được upload lên mã nguồn của bạn.
- Xem log theo thời gian thực hoặc log theo thời gian.
- Còn nhiều chức năng khác nữa.
Cách cài đặt
Về cách cài đặt thì mình sẽ làm thông video, trong video này mình sẽ hướng dẫn bạn cài đặt plugin này trên môi trường Shared Host lẫn máy chủ.
Trước khi cài đặt, hãy chắc chắn là máy chủ của bạn đã được cài Suhosin hoặc ModSecurity. Nếu bạn dùng Shared Host thì hãy hỏi nhà cung cấp host của bạn, hiện tại mình thấy StableHost là có ModSecurity đó.
