Trang chủ WordpressWordpress Plugin Hướng dẫn bảo mật với Wordfence Security 🔐

Hướng dẫn bảo mật với Wordfence Security 🔐

Bởi Thạch Phạm
Ngày đăng: Cập nhật cuối: 8 bình luận 7,2K lượt xem
Bài này thuộc phần 6 của 6 phần trong serie Bảo mật WordPress

Bảo mật là vấn đề lớn đối với WordPress hiện nay. Không phải là vì mã nguồn WordPress kém bảo mật, nhưng vì nó là mã nguồn CMS mở được sử dụng nhiều nhất hiện nay nên giả sử hacker có phát triển một cách tấn công nào đó thì sẽ khai thác được nhiều website hơn.

Đồng thời, bản chất website WordPress được cài khá nhiều plugin vào cùng với theme, đôi khi website của bạn dễ dàng bị khai thác các lỗ hổng có trong các thành phần này để chèn mã độc, mà thường gặp nhất là mã độc chuyển hướng website của mình đến trang khác về cờ bạc, mại dâm, hay bị chèn nhiều liên kết ẩn bên trong, các nội dung tiếng Nhật,….

Vì vậy khi sử dụng WordPress, ngoài việc phải đặt mật khẩu quản trị thật mạnh, không dùng tên đăng nhập là admin thì cần phải sử dụng thêm một plugin bảo mật để tăng cường.

Trong các plugin bảo mật hiện nay thì phổ biến nhất là có Wordfence Security, Solid Security, Sucuri Security,…nhưng mình đánh giá Wordfence Security tốt nhất hiện nay để sử dụng, với các tính năng miễn phí mạnh mẽ, và phiên bản trả phí của nó thậm chí còn giúp bạn giám sát website tốt hơn.

Lưu ý: Bạn chỉ nên dùng 1 plugin bảo mật duy nhất để tránh bị xung đột tính năng. Khi dùng Wordfence Security thì hầu như không cần thêm bất kỳ plugin bảo mật nào khác.

Giới thiệu tính năng của Wordfence Security

Plugin Wordfence có hai phiên bản miễn phí và trả phí mà dĩ nhiên trả phí nó sẽ có nhiều tính năng mạnh mẽ hơn. Tuy vậy, các tính năng miễn phí của Wordfence cũng rất tốt và đầy đủ để bảo vệ website khỏi các hình thức tấn công cơ bản.

Ở phiên bản Wordfence sẽ cung cấp thêm tuỳ chọn quét tổng thể website bao gồm quét trong mã nguồn và kiểm tra bên ngoài website để phát hiện các mã độc, cùng với một số tính năng nâng cao khác. Tuy nhiên nhược điểm của Wordfence là giá phiên bản trả phí khá cao, ít nhất là $119/năm/website cho đến $950/năm/website. Mặc dù đắt đỏ như vậy nhưng mình vẫn nghĩ chi phí này vẫn xứng đáng bỏ ra với một website thật sự quan trọng.

Dưới đây là bảng so sánh các tính năng của Wordfence miễn phí và Wordfence Premium.

Tính NăngWordfence FreeWordfence PremiumWordfence CareWordfence Response
GiáMiễn phí$119 USD/năm$490 USD/năm$950 USD/năm
Rules WAFCập nhật chậm 30 ngàyCập nhật thời gian thựcCập nhật thời gian thựcCập nhật thời gian thực
Dữ liệu chữ ký mã độcCập nhật chậm 30 ngàyCập nhật thời gian thựcCập nhật thời gian thựcCập nhật thời gian thực
Danh sách chặn IP thời gian thựcKhông
Chặn theo quốc giaKhông
Hỗ trợ khách hàngForumTicketTicket ưu tiênPhản hồi trong 1 giờ, 24/7/365
Hỗ trợ từ chuyên giaKhôngKhông
Dịch vụ cấu hình WordfenceKhôngKhông
Dịch vụ tối ưu hiệu suất và bảo mậtKhôngKhông
Kiểm tra bảo mật và khuyến nghịKhôngKhôngKiểm tra định kỳ hàng nămKiểm tra định kỳ hàng năm
Giám sát bảo mật websiteKhôngKhông
Điều tra và loại bỏ malwareKhôngKhông
Báo cáo chi tiết sau sự cốKhôngKhông
Phản hồi sự cố 24/7/365KhôngKhôngKhông
Support SLAKhông cam kếtKhông cam kếtKhông cam kết1 giờ
Bảng mô tả các tính năng của từng phiên bản Wordfence

Mô tả các gói dịch vụ:

  • Wordfence Free: Phù hợp cho các trang web WordPress cần bảo mật cơ bản.
  • Wordfence Premium: Dành cho các website cần cấp độ bảo mật cao hơn, đảm bảo dữ liệu về mã độc luôn được cập nhật theo thời gian thực.
  • Wordfence Care: Cho các chủ doanh nghiệp bận rộn cần hỗ trợ từ chuyên gia để cài đặt, cấu hình và tối ưu hóa bảo mật WordPress.
  • Wordfence Response: Dành cho các trang web quan trọng, cần phản hồi sự cố nhanh chóng 24/7/365.

Hướng dẫn cài đặt và sử dụng Wordfence Free

Để cài đặt, bạn hãy tìm plugin trên thư viện với từ khoá “Wordfence” và kích hoạt plugin Wordfence Security.

Hướng dẫn bảo mật với Wordfence Security 🔐 24

Sau khi kích hoạt xong, bạn sẽ cần nhập key để sử dụng kể cả phiên bản miễn phí. Bạn ấn nút GET YOUR WORDFENCE LICENSE để dẫn tới trang đăng ký lấy key.

Hướng dẫn bảo mật với Wordfence Security 🔐 25

Sau đó bạn chọn gói Free, còn chịu chơi thì cứ bấm nút gói trả phí nào đó luôn càng tốt.

Hướng dẫn bảo mật với Wordfence Security 🔐 26

Sau đó sẽ có một thông điệp “cảnh báo” với bạn là cơ sở dữ liệu về các mẫu mã độc ở bản miễn phí sẽ cập nhật mỗi 30 ngày, điều này có thể gây nguy hiểm cho website của bạn có chứa lỗ hổng nào đó thì phải đợi đến ngày cập nhật cơ sở dữ liệu tiếp theo của Wordfence thay vì cập nhật theo thời gian thực,..bla bla…nói chung là khuyên bạn nên chọn gói $119/năm đó, chúng ta ấn nút I’m OK waiting 30 days, có còn hơn không.

Hướng dẫn bảo mật với Wordfence Security 🔐 27

Và nhập email của bạn cũng như đồng ý các điều khoản.

Hướng dẫn bảo mật với Wordfence Security 🔐 28

Bây giờ kiểm tra email bạn sẽ nhận được mail chứa key, bạn có thể ấn nút cài đặt tự động trong email để tự chuyển hướng tới trang cài đặt.

Hướng dẫn bảo mật với Wordfence Security 🔐 29

Sau đó ấn Install License để bắt đầu sử dụng.

Hướng dẫn bảo mật với Wordfence Security 🔐 30

Như vậy là đã hoàn tất cài đặt Wordfence, chúng ta sẽ bắt đầu đi cấu hình từng tính năng bảo mật của nó để bảo vệ website của chúng ta ngay từ bây giờ nhé.

Cấu hình bảo mật plugin Wordfence Security

Bật xác thực 2 yếu tố (2FA)

Việc đầu tiên bạn nên làm là kích hoạt tính năng xác thực hai yếu tố cho tài khoản của bạn để chống brute-force hiệu quả. Bạn vào tuỳ chọn Wordfence => Login Security. Trong trang này bạn sẽ được cung cấp một mã QR để thiết lập 2FA cho tài khoản của bạn, bạn có thể thực hiện quét mã này bằng ứng dụng 2FA trên điện thoại (ví dụ như ứng dụng Authenticator), hoặc nhập thủ công khoá bảo mật.

Sau khi thiết lập trên ứng dụng 2FA xong, bạn nhập mã xác thực vào màn hình thiết lập của Wordfence để hoàn tất.

Hướng dẫn bảo mật với Wordfence Security 🔐 31

Khi thiết lập xong, mỗi lần đăng nhập vào tài khoản quản trị bạn sẽ đều phải nhập mã OTP từ ứng dụng 2FA. Trường hợp bạn bị mất 2FA thì hãy xử lý bằng cách tắt plugin này bằng cách xoá thư mục của plugins này tại wp-content/plugins/wordfence/ là được.

Vô hiệu hoá XML-RPC

WordPress áp dụng sử dụng XML-RPC để giúp các ứng dụng bên ngoài giao tiếp với WordPress, tuy nhiên nó vô tình lại có những rủi ro về bảo mật. Hiện nay với các nhu cầu giao tiếp từ bên ngoài vào WordPress chủ yếu thực hiện qua REST API được WordPress phát triển gần đây. Do đó, website bạn nên tắt hẳn XML-RPC bằng cách chặn thực thi tập tin xmlrpc.php trong mã nguồn.

Để tắt XML-RPC trong WordPress với Wordfence, bạn truy cập vào Wordfence => Login Security => Settings và đánh dấu vào Disable XML-RPC authentication để vô hiệu hoá xác thực truy cập thông qua XML-RPC.

Hướng dẫn bảo mật với Wordfence Security 🔐 32

Chọn xong nhớ ấn nút Save để lưu lại.

Thiết lập reCAPTCHA

reCAPTCHA có thể giúp bạn hạn chế lại được tình trạng spam đăng ký thành viên hay spam đặt hàng (nếu như sử dụng WooCommerce). Ngoài ra trong Wordfence, tính năng reCAPTCHA này cũng có thêm một bước để bảo mật tài khoản người dùng trong website WordPress bằng cách bắt buộc nhấp vào liên kết xác nhận qua email nếu đăng nhập trên một thiết bị hay trình duyệt lạ. Vì vậy để đảm bảo tính năng hoạt động tốt, bạn nên cấu hình gửi mail trong website qua SMTP.

Để dùng tính năng này, bạn cần chuẩn bị reCAPTCHA Site Key và reCAPTCHA Secret, bạn lấy nó bằng cách truy cập vào https://www.google.com/recaptcha/admin/ bằng tài khoản Google của bạn, sau đó ấn nút Create bên tay phải để tạo một ứng đụng mới.

Hướng dẫn bảo mật với Wordfence Security 🔐 33

Sau đó nhập tên ứng dụng, nhập tên miền và nhớ chọn phiên bản reCAPTCHA v3.

Hướng dẫn bảo mật với Wordfence Security 🔐 34

Khi tạo ra xong bạn sẽ được cấp Site Key và Secret.

Hướng dẫn bảo mật với Wordfence Security 🔐 35

Bạn mang thông tin này nhập vào Wordfence tại Login Security => Settings và tìm đến mục reCAPTCHA để bật lên.

Hướng dẫn bảo mật với Wordfence Security 🔐 36

Ấn nút Save để lưu lại và hoàn tất. Bây giờ ở các trang đăng nhập hay đăng ký (nếu có bật) thì sẽ có logo reCAPTCHA để xác nhận trang này đã được bảo vệ bằng reCAPTCHA.

Hướng dẫn bảo mật với Wordfence Security 🔐 37

Nếu bạn đang dùng WooCommerce thì nên đánh dấu vào tuỳ chọn WooCommerce Integration để tích hợp luôn reCAPTCHA vào các trang đăng nhập và đăng ký tài khoản trong WooCommerce nhé.

Bật tường lửa bảo vệ

Tính năng tường lửa (firewall) của Wordfence có thể giúp bảo vệ website khỏi các kiểu tấn công thường gặp như chặn spambot truy cập, các quy tắc chống tấn công SQL Injection, XSS, upload tập tin độc hại,…

Để bật nó lên, bạn truy cập vào Wordfence => Firewall và bấm vào tuỳ chọn Manage WAF.

Hướng dẫn bảo mật với Wordfence Security 🔐 38

Sau đó chuyện trạng thái của tường lửa thành Enable and Protecting để kích hoạt tường lửa.

Hướng dẫn bảo mật với Wordfence Security 🔐 39

Khi bật tường lửa, nó sẽ cần bạn hoàn tất cấu hình, bạn nhấp vào nút cấu hình hiển thị ở trên.

Hướng dẫn bảo mật với Wordfence Security 🔐 40

Sau đó nó sẽ tự phát hiện loại webserver bạn đang dùng là gì và chọn phù hợp. Nó yêu cầu bạn phải sao lưu lại tập tin .htaccess đang sử dụng của website về máy để khôi phục lại, bạn ấn nút DOWNLOAD .HTACCESS và sau đó ấn nút Continue để tiếp tục.

Hướng dẫn bảo mật với Wordfence Security 🔐 41

Sau đó nó sẽ tự cấu hình và nếu không gặp lỗi gì thì sẽ báo thành công.

Hướng dẫn bảo mật với Wordfence Security 🔐 42

Quét mã độc

Để sử dụng tính năng quét mã độc trong Wordfence bạn truy cập vào Wordfence => Scan và ấn nút Start A New Scan để bắt đầu tác vụ quét mới.

Hướng dẫn bảo mật với Wordfence Security 🔐 43

Ở phiên bản miễn phí, tính năng quét kiểm tra sẽ bao gồm:

  • Server State: Kiểm tra trạng thái máy chủ.
  • File Changes: Kiểm tra các thay đổi trong tập tin thuộc mã nguồn WordPress, và các plugin (miễn phí) và theme (miễn phí). Đồng thời nó sẽ dò tìm trong thư mục wp-includes/wp-admin/ có chứa tập tin nào lạ mà không bao gồm trong mã nguồn WordPress.
  • Malware Scan: Kiểm tra các tập tin có mã độc có trong cơ sở dữ liệu mã độc của Wordfence.
  • Content Safety: Kiểm tra các đường dẫn hoặc nội dung độc hại có trong nội dung các bình luận và bài viết.
  • Public File: Quét xem bạn có tập tin nào nhạy cảm mà có thể truy cập được hay không. Ví dụ như các tập tin backup hoặc file log.
  • Password Strength: Kiểm tra độ mạnh của mật khẩu.
  • Vulnerability Scan: Kiểm tra các lỗ hổng đã được công khai trong các plugin và theme đang sử dụng.
  • User & Option Audit: Quét trong mã nguồn, plugin và các tuỳ chọn theme options để tìm ra nội dung độc hại. Kiểm tra xem có người dùng quyền admin nào được tạo từ bên ngoài website WordPress (backdoor).

Sau khi quét hoàn tất, bạn sẽ nhận được kết quả trả về nếu vấn đề nào đó được tìm thấy.

Hướng dẫn bảo mật với Wordfence Security 🔐 44

Việc của bạn bây giờ là bấm vào chi tiết từng vấn đề xem đó là gì, Wordfence cũng cung cấp lời khuyên xử lý cho bạn, ví dụ như hình trên thì Wordfence có gợi ý cách xử lý là nâng cấp lên phiên bản các theme và plugin lên mới nhất.

Tính năng này rất hay, tiếc là dùng miễn phí bạn phải thường xuyên vào bấm scan thủ công chứ không thể đặt lịch scan tự động định kỳ và báo qua email như bản trả phí được.

Kết bài

Ở trên là hướng dẫn chi tiết cách sử dụng các tính năng quan trọng trong plugin Wordfence Security miễn phí để giúp website bảo mật tốt hơn. Ngoài việc dùng plugin này, bạn có thể tham khảo thêm các kiến thức bảo mật WordPress để website luôn hoạt động ổn định nhất nhé.

3.6/5 - (5 bình chọn)

Tham gia nhóm hỗ trợ WordPress

Tham gia nhóm Hỗ trợ Server - Hosting & WordPress để cùng nhau hỏi đáp và hỗ trợ các vấn đề về WordPress, tối ưu máy chủ/server.

Tham gia ngay
8 bình luận

Có thể bạn quan tâm

Hiện tại blog tạm đóng bình luận vì mình cần tập trung thời gian vào cập nhật bài viết. Bình luận sẽ mở ra cho đến khi mình sẵn sàng.