27/08/2024

Hướng dẫn bảo mật website wordpress bằng Plugin Wordfence hiệu quả nhất

Làm thế nào để bảo vệ website wordpress bằng Plugin Wordfence?

Như chúng ta đã biết, WordPress hiện nay được coi là một CMS phổ biến nhất với số lượng người dùng không chỉ ở Việt Nam mà trên toàn thế giới. Mã nguồn WordPress với ưu điểm dễ sử dụng giúp tiếp cận người dùng không chuyên về code web vẫn có thể cài đặt được 1 website đơn giản phục vụ cho nhu cầu cá nhân hoặc bán hàng,… Đồng nghĩa với việc đó, vì là mã nguồn mở nên những lỗ hổng bảo mật và những rủi ro khi sử dụng là không thể tránh khỏi.Từ các lỗ hổng đó dẫn rất nhiều cuộc tấn công khai thác website của bạn nhằm mục đích phá hoại.

Để đề phòng và giúp xử lý cũng như nâng cao các vấn đề bảo mật cho website WordPress, rất nhiều Plugin được cộng đồng cho ra mắt. Tuy nhiên, nổi bật nhất trong các plugin được cung cấp hiện nay chính là Wordfence với hơn 5 triệu lượt người cài đặt và sử dụng. Ở bài viết này Nhân Hòa sẽ hướng dẫn bạn cách cài đặt và sử dụng plugin này nhé.

Ưu điểm và tính năng Wordfence
Quét và bảo mật WordPress

Web Application Firewall lọc và chặn các traffic độc hại
Kiểm tra và quét Malware ở Core WordPress, Themes, Plugin, bad URLs, backdoors, SEO spam, malicious redirects và code injections
So sánh các tệp cốt lõi, themes và plugin của bạn với kho lưu trữ WordPress.org, kiểm tra tính toàn vẹn của chúng và báo cáo bất kỳ thay đổi cho bạn.
Sửa chữa các tệp đã thay đổi bằng cách ghi đè chúng bằng một phiên bản gốc. Xóa bất kỳ tệp nào không thuộc về core dễ dàng trong giao diện Wordfence.
Kiểm tra trang web của bạn để tìm các lỗ hổng bảo mật đã biết và cảnh báo bạn.
Kiểm tra độ an toàn nội dung của bạn bằng cách quét nội dung tệp, bài đăng và nhận xét để tìm các URL nguy hiểm và nội dung đáng nghi ngờ.

 

Bảo mật đăng nhập WordPress

  • Xác thực hai yếu tố (2FA), một trong những hình thức xác thực hệ thống từ xa an toàn nhất hiện nay thông qua các ứng dụng trên TOTP như (Google Auth, Authy,FreeOTP…)
  • Trang đăng nhập CAPTCHA ngăn chặn không cho BOT đăng nhập
  • Tắt hoặc thêm 2FA vào XML-RPC.
  • Chặn thông tin đăng nhập đối với quản trị viên sử dụng mật khẩu bị xâm phạm đã được phát hiện.

Cài đặt và sử dụng.
Hướng dẫn cài đặt Wordfence.

Bạn tiến hành đăng nhập vào trang quản trị WordPress và vào mục plugin để cài đặt:

Nhập vào email của bạn và chọn YES/NO để nhận hoặc không nhận các thông báo từ Plugin Wordfence. Click chọn đồng ý chính sách và click CONTINUE.

Nếu bạn có mã kích hoạt bản Premium hãy nhập vào và click INSTALL. Nếu bạn chỉ dùng bản miễn phí hãy chọn No Thanks. Sau đó Wordfence sẽ gửi license cài đặt về email đã điền trước đó. Bạn tiến hành check mail và nhấn vào cài đặt

Sau khi cài đặt, một số plugin hoặc phiên bản WordPress sẽ được cảnh báo là phiên bản cũ cần update. Các bạn nên lưu ý nếu nâng cấp plugin hoặc nâng cấp core WordPress vì khi update một số hàm hoặc phần code không tương thích gây lỗi đến website của bạn.

Plugin sẽ scan và recommend Webserver mà bạn sử dụng. Bạn hãy Click Download file .htaccess dự phòng về và chọn CONTINUE.

Thiết lập bảo mật đăng nhập

Bạn hãy truy cập vào Wordfence => Login Security => Two-Factor Authentication. Tại đây bạn có thể sử dụng mã QR để thiết lập cho xác minh 2 bước hoặc Code dự phòng.

 

Tiếp đến bạn chuyển qua tab Settings để điều chỉnh các tùy chọn nâng cao. Tại đây bạn có thể tùy chọn các chức năng sau.

  • Enable 2FA for these roles: Kích hoạt 2FA đối với các user thuộc quyền, admin, editor, Author…
  • Require 2FA for all administrators: Bắt buộc xác minh 2FA cho tất cả các tài khoản có quyền admin.
  • Allow remembering device for 30 days: Khi nhờ các thiết bị trong 30 ngày.
  • Require 2FA for XML-RPC call authentication: Nếu được bật, các lệnh gọi XML-RPC yêu cầu xác thực cũng sẽ yêu cầu mã 2FA hợp lệ được thêm vào mật khẩu. Bạn phải chọn tùy chọn “Đã bỏ qua” nếu bạn sử dụng ứng dụng WordPress, plugin Jetpack hoặc các dịch vụ khác yêu cầu XML-RPC.
  • Allow remembering device for 30 days: Nếu bị tắt, các yêu cầu XML-RPC cố gắng xác thực sẽ bị từ chối.
  • Enable reCAPTCHA on the login and user registration pages: Kích hoạt reCAPTCHA trên trang đăng nhập và đăng ký người dùng

Sau khi đã thiết lập các tùy chọn bạn hãy lưu lại để áp dụng các tùy chọn.

 

Scan website loại bỏ mã độc với Wordfence

Với chức năng Wordfence Scan, plugin sẽ scan toàn bộ website của bạn để dò tìm các mã độc gây hại trong Core WordPress, Themes và Plugin. Chức năng này sẽ mất khá thời gian để quét toàn bộ website và sẽ phụ thuộc vào website của bạn có nhiều dữ liệu hay không. Khi scan bạn sẽ thấy một điều rằng máy chủ của bạn sẽ sử dụng rất nhiều tài nguyên RAM,CPU để làm việc.

Sau khi scan hoàn tất Plugin sẽ hiển thị một bảng báo cáo quá trính scan, dò tìm mã độc và liệt kê chi tiết cho bạn file nào bị nhiễm, file thuộc đường dẫn thư mục vào, và file bị nhiễm chứa đoạn mã nào nguy hiểm.

Ở mục này nếu mã độc được phát hiện trong source code của bạn thì kết quả sẽ hiển thị ở mục Scan ( Quét) này. Từ đó các bạn sẽ có hướng xử lý các file virus chèn vào website của mình.

Thiết lập chức năng cảnh báo bảo mật.

Ở thiết lập đầu tiên sau khi cài đặt Plugin bạn nhập mail và chọn YES để nhận các thông báo bảo mật từ Wordfence. Thì ở tùy chọn này khi bạn thiết lập sẽ nhận được các cảnh báo từ Plugin với chức năng tùy chọn như sau.

Chọn Wordfence => All option => Email Alert Preferences

Tùy theo nhu cầu sử dụng mà thiết lập tương ứng với từng người quản trị. Mình sử dụng mặc định và chỉ tắt chức năng thông báo đăng nhập trên thiết bị mới.

Kết luận

Như vậy bài viết trên Nhân Hòa đã hướng dẫn các bước cơ bản và cần thiết để bạn bảo vệ website WordPress của mình trên môi trường public Internet. Việc mã nguồn WordPress là mã nguồn mở nên nếu website không đủ bảo mật sẽ bị chèn virus, malware, mã độc,… gây ảnh hưởng đến hoạt động của website và công việc của bạn. Ngoài việc sử dụng plugin bảo mật như bài viết, người quản trị phải chủ động bảo mật hơn từ mã nguồn như (Không đặt pass đơn giản, sử dụng plugin,themes null, themes trả phí nhưng share miễn phí…)

Hi vọng bài viết trên của Nhân Hòa sẽ giúp website của bạn được bảo mật và hoạt động tốt nhất nhé.