Nội dung
Các bạn tìm đến bài viết này có nghĩa bạn đang băn khoăn với câu hỏi rằng tại sao website sử dụng mã nguồn WordPress lại dễ bị tấn công (hack) như vậy. Dù đã cố tình bảo mật nhưng không hiểu vì sao website vẫn bị hack bằng được. Có thể bạn chưa hiểu, chưa có cái nhìn đầy đủ về nó. Vậy hôm nay mình sẽ chỉ rõ các nguyên nhân chính khiến Website sử dụng WordPress CMS dễ bị tấn công (hack) và cách phòng chống, khắc phục vấn đề này.
Tại sao WordPress thường dễ bị hack?
Đầu tiên, không chỉ là website sử dụng mã nguồn WordPress mà thực tế tất cả các trang web trên internet đều bị hack hàng ngày.
Còn lý do WordPress là mục tiêu phổ biến bởi vì WordPress là mã nguồn xây dựng website mạnh mẽ nhất thế giới tại thời điểm hiện tại. WordPress chiếm tỉ lệ đến 31% tất cả các trang web, phần trăm này có nghĩa là hàng trăm triệu trang web trên toàn cầu đang chạy trên nền WordPress, một con số cực kỳ lớn.
Vì sự phổ biến rất lớn này khiến cho các hacker dễ dàng có thể tìm ra các trang web kém an toàn và tiến hành xâm nhập một cách nhanh chóng.
Có rất nhiều loại động cơ để các hacker tấn công một trang web. Một số người mới đầu học cách hack một trang web kém an toàn. Một số người khác lại có mục đích phân phối các phần mềm độc hại, sử dụng một trang web để hack các trang web khác hoặc để spam môi trường internet.
Trên đây là lý do vì sao website sử dụng mã nguồn WordPress dễ bị hack, sau đây chúng ta hãy tìm hiểu cách để ngăn chặn không cho các hacker có thể xâm hại website của mình nữa.
1. Vấn đề về Web Hosting không an toàn.
Không hề khác biệt với các trang web trên nền khác, website sử dụng mã nguồn WordPress được lưu trữ trên một máy chủ giúp website chạy trên môi trường internet. Và website bạn sử dụng WordPress bị hack có thể là do nguyên nhân Hosting không đủ độ an toàn, công ty cung cấp hosting cho bạn không sử dụng các công nghệ bảo mật an toàn dẫn đến việc virus lây lan sang website của bạn.
Điều này có nghĩa bạn cần có một sự lựa chọn đúng đắn để chọn đúng một nhà cung cấp hosting đáng tin cậy (Nam NCN Blog là một nhà cung cấp Hosting đáng để bạn tin cậy) giúp cho website bạn an toàn hơn.
2. Vấn đề do sử dụng mật khẩu yếu
Mật khẩu là chìa khóa cho trang web WordPress của bạn. Bạn cần đảm bảo rằng bạn đang sử dụng một mật khẩu duy nhất đủ mạnh mẽ cho mỗi tài khoản sau đây bởi vì tất cả chúng đều có thể cung cấp cho hacker truy cập hoàn toàn vào trang web của bạn.
- Tài khoản quản trị WordPress của bạn
- Tài khoản bảng điều khiển lưu trữ web
- Tài khoản FTP
- Cơ sở dữ liệu MySQL được sử dụng cho trang web WordPress của bạn
- Tài khoản email được sử dụng cho quản trị viên WordPress hoặc tài khoản lưu trữ
Tất cả các tài khoản này được bảo vệ bằng mật khẩu. Sử dụng mật khẩu yếu giúp tin tặc bẻ khóa mật khẩu dễ dàng hơn bằng cách sử dụng một số công cụ hack cơ bản.
Bạn có thể dễ dàng tránh điều này bằng cách sử dụng mật khẩu mạnh và duy nhất cho mỗi tài khoản.
3. Thư mục wp-admin không được bảo vệ.
Khu vực quản trị WordPress cung cấp cho người dùng quyền truy cập để thực hiện các hành động khác nhau trên trang web WordPress của bạn. Đây cũng là khu vực thường bị hack nhất của một trang web WordPress.
Để nó không được bảo vệ cho phép tin tặc thử các cách tiếp cận khác nhau để bẻ khóa trang web của bạn. Bạn có thể gây khó khăn cho họ bằng cách thêm các lớp xác thực vào thư mục quản trị viên WordPress của bạn.
Trước tiên, bạn nên dùng mật khẩu bảo vệ khu vực quản trị WordPress của bạn. Thêm một lớp bảo mật bổ sung và bất kỳ ai cố gắng truy cập quản trị WordPress sẽ phải cung cấp thêm mật khẩu.
Nếu bạn điều hành một trang web WordPress nhiều tác giả hoặc nhiều người dùng, thì bạn có thể thực thi mật khẩu mạnh cho tất cả người dùng trên trang web của mình. Bạn cũng có thể thêm xác thực hai yếu tố để khiến tin tặc xâm nhập vào khu vực quản trị WordPress của bạn càng khó khăn hơn.
4. Quyền truy cập tệp tin
Quyền truy cập tệp là một bộ quy tắc được sử dụng bởi máy chủ web của bạn. Các quyền này giúp máy chủ web của bạn kiểm soát quyền truy cập vào các tệp trên trang web của bạn. Quyền truy cập tệp không chính xác có thể cung cấp cho hacker truy cập để viết và thay đổi các tệp này.
Tất cả các tệp WordPress của bạn phải có 644 giá trị dưới dạng quyền. Tất cả các thư mục trên trang web WordPress của bạn phải có 755 dưới dạng quyền của tệp.
5. Không cập nhật WordPress
Một số người dùng WordPress sợ cập nhật các trang web WordPress của họ. Họ sợ rằng làm như vậy sẽ phá vỡ trang web của họ.
Mỗi phiên bản mới của WordPress đều sửa các lỗi và lỗ hổng bảo mật. Nếu bạn không cập nhật WordPress, thì bạn đang cố tình để trang web của bạn dễ bị hack hơn.
Nếu bạn sợ rằng một bản cập nhật sẽ phá vỡ trang web của bạn, thì bạn có thể tạo bản sao lưu WordPress hoàn chỉnh trước khi chạy bản cập nhật. Bằng cách này, nếu một cái gì đó không hoạt động, thì bạn có thể dễ dàng trở lại phiên bản trước.
6. Không cập nhật plugin hoặc theme
Giống như phần mềm WordPress cốt lõi, việc cập nhật theme và gói mở rộng của bạn cũng quan trọng không kém. Sử dụng một gói mở rộng hoặc theme lỗi thời có thể làm cho trang web của bạn dễ bị hack.
Lỗi bảo mật và lỗi thường được phát hiện trong các gói mở rộng và theme WordPress. Thông thường, các tác giả theme và gói mở rộng rất nhanh chóng để sửa chúng. Tuy nhiên, nếu người dùng không cập nhật theme hoặc gói mở rộng của họ, thì họ không thể làm gì về nó.
Hãy chắc chắn rằng bạn luôn cập nhật theme và gói mở rộng WordPress của mình.
7. Sử dụng FTP đơn giản thay vì SFTP / SSH
Tài khoản FTP được sử dụng để tải tệp lên máy chủ web của bạn bằng ứng dụng khách FTP . Hầu hết các nhà cung cấp dịch vụ lưu trữ đều hỗ trợ kết nối FTP bằng các giao thức khác nhau. Bạn có thể kết nối bằng FTP, SFTP hoặc SSH đơn giản.
Khi bạn kết nối với trang web của mình bằng FTP đơn giản, mật khẩu của bạn sẽ được gửi đến máy chủ không được mã hóa. Nó có thể bị theo dõi và dễ dàng bị đánh cắp. Thay vì sử dụng FTP, bạn nên luôn sử dụng SFTP hoặc SSH.
Bạn sẽ không cần phải thay đổi ứng dụng khách FTP của mình. Hầu hết các máy khách FTP có thể kết nối với trang web của bạn trên SFTP cũng như SSH. Bạn chỉ cần thay đổi giao thức thành ‘SFTP – SSH’ khi kết nối với trang web của bạn.
8. Sử dụng Admin làm tên người dùng WordPress
Không nên sử dụng ‘admin’ làm tên người dùng WordPress của bạn. Nếu tên người dùng quản trị viên của bạn là quản trị viên, thì bạn nên thay đổi ngay lập tức thành tên người dùng khác.
9. Theme và Plugin không có giá trị
Có rất nhiều trang web trên internet phân phối các plugin và theme WordPress trả phí ở dạng miễn phí. Đôi khi thật dễ dàng để sử dụng các plugin và theme không có giá trị trên trang web của bạn.
Tải xuống các theme và plugin WordPress từ các nguồn không đáng tin cậy là rất nguy hiểm. Không chỉ họ có thể làm tổn hại đến bảo mật của trang web của bạn, mà chúng còn có thể được sử dụng để đánh cắp thông tin nhạy cảm.
Bạn phải luôn tải xuống các plugin và theme WordPress từ các nguồn đáng tin cậy như trang web của nhà phát triển plugin/theme hoặc kho lưu trữ chính thức của WordPress.
Nếu bạn không đủ khả năng hoặc không muốn mua một plugin hoặc theme cao cấp, thì luôn có sẵn các lựa chọn thay thế miễn phí cho các sản phẩm đó. Các plugin miễn phí này có thể không tốt như các đối tác được trả tiền của họ, nhưng họ sẽ hoàn thành công việc và quan trọng nhất là giữ an toàn cho trang web của bạn.
Bạn cũng có thể tìm thấy giảm giá cho nhiều sản phẩm WordPress phổ biến trong phần mã giảm giá trên trang web của chúng tôi.
10. Không cấu hình bảo mật cho file wp-config.php
Tệp cấu hình WordPress wp-config.php chứa thông tin đăng nhập cơ sở dữ liệu WordPress của bạn. Nếu nó bị xâm phạm, thì nó sẽ tiết lộ thông tin có thể cung cấp cho tin tặc quyền truy cập hoàn toàn vào trang web của bạn.
Bạn có thể thêm một lớp bảo vệ bổ sung bằng cách từ chối quyền truy cập vào tệp wp-config bằng cách sử dụng .htaccess. Chỉ cần thêm mã nhỏ này vào tệp .htaccess của bạn.
<files wp-config.php>
order allow,deny
deny from all
</files>
11. Không thay đổi tiền tố bảng WordPress
Nhiều chuyên gia khuyên bạn nên thay đổi tiền tố bảng mặc định của WordPress. Theo mặc định, WordPress sử dụng wp_ làm tiền tố cho các bảng mà nó tạo trong cơ sở dữ liệu của bạn. Bạn có một tùy chọn để thay đổi nó trong quá trình cài đặt.
Bạn nên sử dụng một tiền tố phức tạp hơn một chút. Điều này sẽ khiến tin tặc khó đoán tên bảng cơ sở dữ liệu của bạn hơn.
Để biết hướng dẫn chi tiết, hãy xem hướng dẫn của chúng tôi về cách thay đổi tiền tố cơ sở dữ liệu WordPress để cải thiện bảo mật.
Kết luận
Trên đây là tổng hợp các lý do khiến website của bạn dễ bị hack, mong rằng sau bài này, bạn sẽ có những kiến thức tổng quản nhất giúp cho bạn bảo mật website WordPress được tốt hơn.
Nếu bạn có những thắc mắc, đóng góp xin hãy để lại bình luận, mình rất vui khi nhận được đóng góp từ bạn và sẽ có những món quà dành tặng các bạn!