Bảo mật là vấn đề lớn đối với WordPress hiện nay. Không phải là vì mã nguồn WordPress kém bảo mật, nhưng vì nó là mã nguồn CMS mở được sử dụng nhiều nhất hiện nay nên giả sử hacker có phát triển một cách tấn công nào đó thì sẽ khai thác được nhiều website hơn.
Đồng thời, bản chất website WordPress được cài khá nhiều plugin vào cùng với theme, đôi khi website của bạn dễ dàng bị khai thác các lỗ hổng có trong các thành phần này để chèn mã độc, mà thường gặp nhất là mã độc chuyển hướng website của mình đến trang khác về cờ bạc, mại dâm, hay bị chèn nhiều liên kết ẩn bên trong, các nội dung tiếng Nhật,….
Vì vậy khi sử dụng WordPress, ngoài việc phải đặt mật khẩu quản trị thật mạnh, không dùng tên đăng nhập là admin
thì cần phải sử dụng thêm một plugin bảo mật để tăng cường.
Trong các plugin bảo mật hiện nay thì phổ biến nhất là có Wordfence Security, Solid Security, Sucuri Security,…nhưng mình đánh giá Wordfence Security tốt nhất hiện nay để sử dụng, với các tính năng miễn phí mạnh mẽ, và phiên bản trả phí của nó thậm chí còn giúp bạn giám sát website tốt hơn.
Lưu ý: Bạn chỉ nên dùng 1 plugin bảo mật duy nhất để tránh bị xung đột tính năng. Khi dùng Wordfence Security thì hầu như không cần thêm bất kỳ plugin bảo mật nào khác.
Giới thiệu tính năng của Wordfence Security
Plugin Wordfence có hai phiên bản miễn phí và trả phí mà dĩ nhiên trả phí nó sẽ có nhiều tính năng mạnh mẽ hơn. Tuy vậy, các tính năng miễn phí của Wordfence cũng rất tốt và đầy đủ để bảo vệ website khỏi các hình thức tấn công cơ bản.
Ở phiên bản Wordfence sẽ cung cấp thêm tuỳ chọn quét tổng thể website bao gồm quét trong mã nguồn và kiểm tra bên ngoài website để phát hiện các mã độc, cùng với một số tính năng nâng cao khác. Tuy nhiên nhược điểm của Wordfence là giá phiên bản trả phí khá cao, ít nhất là $119/năm/website cho đến $950/năm/website. Mặc dù đắt đỏ như vậy nhưng mình vẫn nghĩ chi phí này vẫn xứng đáng bỏ ra với một website thật sự quan trọng.
Dưới đây là bảng so sánh các tính năng của Wordfence miễn phí và Wordfence Premium.
Tính Năng | Wordfence Free | Wordfence Premium | Wordfence Care | Wordfence Response |
---|---|---|---|---|
Giá | Miễn phí | $119 USD/năm | $490 USD/năm | $950 USD/năm |
Rules WAF | Cập nhật chậm 30 ngày | Cập nhật thời gian thực | Cập nhật thời gian thực | Cập nhật thời gian thực |
Dữ liệu chữ ký mã độc | Cập nhật chậm 30 ngày | Cập nhật thời gian thực | Cập nhật thời gian thực | Cập nhật thời gian thực |
Danh sách chặn IP thời gian thực | Không | Có | Có | Có |
Chặn theo quốc gia | Không | Có | Có | Có |
Hỗ trợ khách hàng | Forum | Ticket | Ticket ưu tiên | Phản hồi trong 1 giờ, 24/7/365 |
Hỗ trợ từ chuyên gia | Không | Không | Có | Có |
Dịch vụ cấu hình Wordfence | Không | Không | Có | Có |
Dịch vụ tối ưu hiệu suất và bảo mật | Không | Không | Có | Có |
Kiểm tra bảo mật và khuyến nghị | Không | Không | Kiểm tra định kỳ hàng năm | Kiểm tra định kỳ hàng năm |
Giám sát bảo mật website | Không | Không | Có | Có |
Điều tra và loại bỏ malware | Không | Không | Có | Có |
Báo cáo chi tiết sau sự cố | Không | Không | Có | Có |
Phản hồi sự cố 24/7/365 | Không | Không | Không | Có |
Support SLA | Không cam kết | Không cam kết | Không cam kết | 1 giờ |
Mô tả các gói dịch vụ:
- Wordfence Free: Phù hợp cho các trang web WordPress cần bảo mật cơ bản.
- Wordfence Premium: Dành cho các website cần cấp độ bảo mật cao hơn, đảm bảo dữ liệu về mã độc luôn được cập nhật theo thời gian thực.
- Wordfence Care: Cho các chủ doanh nghiệp bận rộn cần hỗ trợ từ chuyên gia để cài đặt, cấu hình và tối ưu hóa bảo mật WordPress.
- Wordfence Response: Dành cho các trang web quan trọng, cần phản hồi sự cố nhanh chóng 24/7/365.
Hướng dẫn cài đặt và sử dụng Wordfence Free
Để cài đặt, bạn hãy tìm plugin trên thư viện với từ khoá “Wordfence” và kích hoạt plugin Wordfence Security.
Sau khi kích hoạt xong, bạn sẽ cần nhập key để sử dụng kể cả phiên bản miễn phí. Bạn ấn nút GET YOUR WORDFENCE LICENSE để dẫn tới trang đăng ký lấy key.
Sau đó bạn chọn gói Free, còn chịu chơi thì cứ bấm nút gói trả phí nào đó luôn càng tốt.
Sau đó sẽ có một thông điệp “cảnh báo” với bạn là cơ sở dữ liệu về các mẫu mã độc ở bản miễn phí sẽ cập nhật mỗi 30 ngày, điều này có thể gây nguy hiểm cho website của bạn có chứa lỗ hổng nào đó thì phải đợi đến ngày cập nhật cơ sở dữ liệu tiếp theo của Wordfence thay vì cập nhật theo thời gian thực,..bla bla…nói chung là khuyên bạn nên chọn gói $119/năm đó, chúng ta ấn nút I’m OK waiting 30 days, có còn hơn không.
Và nhập email của bạn cũng như đồng ý các điều khoản.
Bây giờ kiểm tra email bạn sẽ nhận được mail chứa key, bạn có thể ấn nút cài đặt tự động trong email để tự chuyển hướng tới trang cài đặt.
Sau đó ấn Install License để bắt đầu sử dụng.
Như vậy là đã hoàn tất cài đặt Wordfence, chúng ta sẽ bắt đầu đi cấu hình từng tính năng bảo mật của nó để bảo vệ website của chúng ta ngay từ bây giờ nhé.
Cấu hình bảo mật plugin Wordfence Security
Bật xác thực 2 yếu tố (2FA)
Việc đầu tiên bạn nên làm là kích hoạt tính năng xác thực hai yếu tố cho tài khoản của bạn để chống brute-force hiệu quả. Bạn vào tuỳ chọn Wordfence => Login Security. Trong trang này bạn sẽ được cung cấp một mã QR để thiết lập 2FA cho tài khoản của bạn, bạn có thể thực hiện quét mã này bằng ứng dụng 2FA trên điện thoại (ví dụ như ứng dụng Authenticator), hoặc nhập thủ công khoá bảo mật.
Sau khi thiết lập trên ứng dụng 2FA xong, bạn nhập mã xác thực vào màn hình thiết lập của Wordfence để hoàn tất.
Khi thiết lập xong, mỗi lần đăng nhập vào tài khoản quản trị bạn sẽ đều phải nhập mã OTP từ ứng dụng 2FA. Trường hợp bạn bị mất 2FA thì hãy xử lý bằng cách tắt plugin này bằng cách xoá thư mục của plugins này tại wp-content/plugins/wordfence/
là được.
Vô hiệu hoá XML-RPC
WordPress áp dụng sử dụng XML-RPC để giúp các ứng dụng bên ngoài giao tiếp với WordPress, tuy nhiên nó vô tình lại có những rủi ro về bảo mật. Hiện nay với các nhu cầu giao tiếp từ bên ngoài vào WordPress chủ yếu thực hiện qua REST API được WordPress phát triển gần đây. Do đó, website bạn nên tắt hẳn XML-RPC bằng cách chặn thực thi tập tin xmlrpc.php
trong mã nguồn.
Để tắt XML-RPC trong WordPress với Wordfence, bạn truy cập vào Wordfence => Login Security => Settings và đánh dấu vào Disable XML-RPC authentication để vô hiệu hoá xác thực truy cập thông qua XML-RPC.
Chọn xong nhớ ấn nút Save để lưu lại.
Thiết lập reCAPTCHA
reCAPTCHA có thể giúp bạn hạn chế lại được tình trạng spam đăng ký thành viên hay spam đặt hàng (nếu như sử dụng WooCommerce). Ngoài ra trong Wordfence, tính năng reCAPTCHA này cũng có thêm một bước để bảo mật tài khoản người dùng trong website WordPress bằng cách bắt buộc nhấp vào liên kết xác nhận qua email nếu đăng nhập trên một thiết bị hay trình duyệt lạ. Vì vậy để đảm bảo tính năng hoạt động tốt, bạn nên cấu hình gửi mail trong website qua SMTP.
Để dùng tính năng này, bạn cần chuẩn bị reCAPTCHA Site Key và reCAPTCHA Secret, bạn lấy nó bằng cách truy cập vào https://www.google.com/recaptcha/admin/ bằng tài khoản Google của bạn, sau đó ấn nút Create bên tay phải để tạo một ứng đụng mới.
Sau đó nhập tên ứng dụng, nhập tên miền và nhớ chọn phiên bản reCAPTCHA v3.
Khi tạo ra xong bạn sẽ được cấp Site Key và Secret.
Bạn mang thông tin này nhập vào Wordfence tại Login Security => Settings và tìm đến mục reCAPTCHA để bật lên.
Ấn nút Save để lưu lại và hoàn tất. Bây giờ ở các trang đăng nhập hay đăng ký (nếu có bật) thì sẽ có logo reCAPTCHA để xác nhận trang này đã được bảo vệ bằng reCAPTCHA.
Nếu bạn đang dùng WooCommerce thì nên đánh dấu vào tuỳ chọn WooCommerce Integration để tích hợp luôn reCAPTCHA vào các trang đăng nhập và đăng ký tài khoản trong WooCommerce nhé.
Bật tường lửa bảo vệ
Tính năng tường lửa (firewall) của Wordfence có thể giúp bảo vệ website khỏi các kiểu tấn công thường gặp như chặn spambot truy cập, các quy tắc chống tấn công SQL Injection, XSS, upload tập tin độc hại,…
Để bật nó lên, bạn truy cập vào Wordfence => Firewall và bấm vào tuỳ chọn Manage WAF.
Sau đó chuyện trạng thái của tường lửa thành Enable and Protecting để kích hoạt tường lửa.
Khi bật tường lửa, nó sẽ cần bạn hoàn tất cấu hình, bạn nhấp vào nút cấu hình hiển thị ở trên.
Sau đó nó sẽ tự phát hiện loại webserver bạn đang dùng là gì và chọn phù hợp. Nó yêu cầu bạn phải sao lưu lại tập tin .htaccess
đang sử dụng của website về máy để khôi phục lại, bạn ấn nút DOWNLOAD .HTACCESS và sau đó ấn nút Continue để tiếp tục.
Sau đó nó sẽ tự cấu hình và nếu không gặp lỗi gì thì sẽ báo thành công.
Quét mã độc
Để sử dụng tính năng quét mã độc trong Wordfence bạn truy cập vào Wordfence => Scan và ấn nút Start A New Scan để bắt đầu tác vụ quét mới.
Ở phiên bản miễn phí, tính năng quét kiểm tra sẽ bao gồm:
- Server State: Kiểm tra trạng thái máy chủ.
- File Changes: Kiểm tra các thay đổi trong tập tin thuộc mã nguồn WordPress, và các plugin (miễn phí) và theme (miễn phí). Đồng thời nó sẽ dò tìm trong thư mục
wp-includes/
vàwp-admin/
có chứa tập tin nào lạ mà không bao gồm trong mã nguồn WordPress. - Malware Scan: Kiểm tra các tập tin có mã độc có trong cơ sở dữ liệu mã độc của Wordfence.
- Content Safety: Kiểm tra các đường dẫn hoặc nội dung độc hại có trong nội dung các bình luận và bài viết.
- Public File: Quét xem bạn có tập tin nào nhạy cảm mà có thể truy cập được hay không. Ví dụ như các tập tin backup hoặc file log.
- Password Strength: Kiểm tra độ mạnh của mật khẩu.
- Vulnerability Scan: Kiểm tra các lỗ hổng đã được công khai trong các plugin và theme đang sử dụng.
- User & Option Audit: Quét trong mã nguồn, plugin và các tuỳ chọn theme options để tìm ra nội dung độc hại. Kiểm tra xem có người dùng quyền admin nào được tạo từ bên ngoài website WordPress (backdoor).
Sau khi quét hoàn tất, bạn sẽ nhận được kết quả trả về nếu vấn đề nào đó được tìm thấy.
Việc của bạn bây giờ là bấm vào chi tiết từng vấn đề xem đó là gì, Wordfence cũng cung cấp lời khuyên xử lý cho bạn, ví dụ như hình trên thì Wordfence có gợi ý cách xử lý là nâng cấp lên phiên bản các theme và plugin lên mới nhất.
Tính năng này rất hay, tiếc là dùng miễn phí bạn phải thường xuyên vào bấm scan thủ công chứ không thể đặt lịch scan tự động định kỳ và báo qua email như bản trả phí được.
Kết bài
Ở trên là hướng dẫn chi tiết cách sử dụng các tính năng quan trọng trong plugin Wordfence Security miễn phí để giúp website bảo mật tốt hơn. Ngoài việc dùng plugin này, bạn có thể tham khảo thêm các kiến thức bảo mật WordPress để website luôn hoạt động ổn định nhất nhé.