10 việc cần làm ngay để bảo mật cho wordpress

Thảo luận trong 'Hỗ trợ về mã nguồn, code' bắt đầu bởi hoangsuu, 9/6/15.

  1. hoangsuu

    hoangsuu Well-Known Member

    Bài viết:
    142
    Đã thích:
    75
    Như các bạn đã biết, Wordpress CMS là một nền tảng đứng đầu về số lượng sử dụng trên toàn thế giới. Độ tùy biến cao, tính thân thiện với đại đa số người dùng, cộng đồng hỗ trợ lớn và mạnh mẽ. Nhưng cũng chính vì thế mà số lượng website làm trên nền tảng WP bị hack rất cao.
    [​IMG]
    Những nguyên nhân khiến website của bạn bị hack
    • Sử dụng themes và plugins trả phí được share miễn phí trên mạng (hay gọi là nulled).
    • Đặt password quản trị đơn giản.
    • Sử dụng source code share trên mạng không rõ nguồn gốc hoặc chưa được kiểm duyệt an toàn.
    • Upload source code lên hosting mà không cài đặt ngay.
    • Bị tấn công local attack.
    • Bị tấn công brute force.
    • Máy tính nhiễm trojan, keylogger…
    Trong quá trình nghiên cứu học về wordpress, mình thấy đa phần các website bị hack nằm ở nguyên nhân số 1, 2, 3.
    Dấu hiệu nhận biết bị hack
    • Giao diện bị thay đổi (deface).
    • Tự động redirect về trang web lạ.
    • Chèn backlink ẩn.
    • Bị chiếm quyền quản trị (backend)...

    [​IMG]
    Vậy, làm sao để giảm thiểu khả năng bị hack?
    1. Nên backup website thường xuyên.
    Đây là tiêu chí đầu tiên cực kỳ quan trong mà mình muốn chia sẻ. Dù xảy ra bất kỳ sự cố nào đi chăng nữa, thì bạn luôn luôn cần đến các bản backup website của mình. Vậy, đừng để đến khi “mất bò mới lo làm chuồng”. Hãy tạo thói quen backup website của mình một cách thường xuyên.
    2. Sử dụng themes và plugins
    Mình không cổ xúy cho việc dùng phần mềm lậu nhưng nếu bạn sử dụng cho mục đích học tập thì bạn có thể dùng các bản nulled được chia sẻ trên mạng. Tuy nhiên, cần test kỹ nguồn gốc của nó. Các bạn có thể tải về và quét bằng các phần mềm diệt virus để phát hiện shell, mã độc...Đọc các comment, feedback về nó.
    Bên cạnh đó, thường xuyên theo dõi về các lỗi bảo mật của wordpress core, themes và plugin cũng giúp bạn có phương án khắc phục cho website của mình. Có thể tham khảo tại:
    PHP:
    http://packetstormsecurity.com/search/?q=wordpress
    Một thói quen nữa mà mình cũng mong các bạn lưu tâm. Đó là thường xuyên cập nhật website của mình để tránh các lỗ hổng bảo mật đáng tiếc.
    3. Hạn chế dùng source code share trên mạng. Cho dù nó không bị chèn shell thì cũng có thể bị chèn backlink ẩn mà bạn không mong muốn. Quan điểm của mình là: “không ai cho không ai cái gì.”
    4. Đặt password quản trị phức tạp.
    Nhiều bạn có thói quen đặt password đơn giản để login cho nhanh. Điều này sẽ giết chết chính bạn. Hãy đặt pass với đầy đủ: Chữ in hoa, in thường, số và ký tực đặc biệt và thường xuyên thay đổi. Ngoài ra, tránh đặt user đăng nhập là “admin”.
    5. Nếu bạn có thói quen cài đặt website WP trực tiếp trên hosting thì tốt nhất nên cài đặt ngay khi upload source code.
    [​IMG]
    6.Nên thay đổi đường dẫn đăng nhập
    Mặc định URL trang quản trị sẽ có dạng domain.com/wp-admin. Điều này cũng giúp cho hacker dễ dàng hơn trong việc dò password, giảm thiểu nguy cơ bị brute force nhé!
    Để thay đổi, có nhiều plugin giúp bạn thực hiện việc này. Điển hình như iThemes Security. Tham khảo tại:
    PHP:
    https://wordpress.org/plugins/better-wp-security/
    7. Nên đăng nhập vào backend trên các máy tính, network an toàn.
    Điều gì sẽ xảy ra nếu bạn mượn máy tính của người khác mà không biết nó có an toàn (nhiễm virus, backdoor, trojan, keylogger)? Kể cả khi bạn sử dụng mạng công cộng cũng nên dè chừng. Nếu bắt buộc phải login, hãy sử dụng bàn phím ảo có sẵn trong hệ điều hành nhé!
    8. Chọn nhà cung cấp hosting uy tín
    Không hiểu sao mình lại đưa tiêu chí này vào đây. Nhưng thực tâm mà nói, mình không tin tưởng bất cứ nhà cung cấp dịch vụ nào, ngay cả các ông lớn công nghệ. Không ai giúp mình bảo mật bằng chính mình. Tuy nhiên, nếu điều kiện và khả năng không đủ để “tự biên tự diễn” trong vấn đề hosting thì bạn nên chọn những nơi đáng tin cậy. Đôi khi các website khác bị tấn công, hay server vật lý bị chiếm quyền điều khiển thì gói hosting của bạn chỉ là con rối trong tay họ.
    9. Quản trị tên miền
    Mình tin chắc rằng số đông trong các bạn sau khi đăng ký tên miền, trỏ các record cần thiết để cấu hình website, thì quên bén đi thông tin quản trị domain. Điều này thực sự nguy hiểm. Bạn cấu hình được thì hacker cũng có thể cấu hình được. Còn nhớ vụ của Google.com.vn đợt vừa rồi chứ? Chỉ cần có thông tin quản trị domain thì cũng coi như website của bạn trở thành vô dụng.
    10. Đừng quên cập nhật kiến thức
    Học hỏi không bao giờ là thừa và muộn. Hãy luôn tìm đọc các tài liệu mới nhất về các vấn đề liên quan đến wordpress nói riêng, các mã nguồn, code nói chung.
    Kết luận:
    Hàng ngày, hàng giờ có rất nhiều nguy cơ bảo mật xảy ra. Vậy nên, việc các bạn cần làm hơn tất cả, đó là giám sát hoạt động của website, hosting và thường xuyên backup nhé!
    Nguồn: http://hoangsuu.com/thu-thuat/10-viec-can-lam-ngay-de-bao-mat-cho-wordpress.html
     
    Đang tải...
    khaihoanphong and minhphuc0101 like this.
  2. vipthuong

    vipthuong Well-Known Member

    Bài viết:
    58
    Đã thích:
    1
    nguy hiểm vậy sao? minh tường bảo mất của wp là tốt nhất rùi chứ
     
  3. hoangsuu

    hoangsuu Well-Known Member

    Bài viết:
    142
    Đã thích:
    75
    Không có cái tốt nhất đâu bạn à! :D
    WP là một CMS được số lượng người sử dụng nhiều nhất thế giới nên dễ bị nhòm ngó hơn!
     
  4. Huyết Tử Lam

    Huyết Tử Lam Well-Known Member

    Bài viết:
    87
    Đã thích:
    9
    Mình chưa dùng những CMS khác, nhưng thấy tỉ lệ rủi ro bị hack của WP là rất cao. Nhưng được cái quản trị hệ thống bằng wp thì đơn giản và nhàn hơn rất nhiều, kể cả về mặt code hay admin. Đây cũng là lý do mà mình thích nó.
     
    Riviera thích bài này.
  5. remnhaxinh

    remnhaxinh Member

    Bài viết:
    10
    Đã thích:
    1
    bây giờ có nhiều plugin hỗ trợ lắm. nếu cần bảo mật thì cần bảo mật từ code ra plugin thì chỉ một phần thôi, theo em như vậy, e cũng từng dùng wordpress nhiều năm qua.
     
  6. minhphuc0101

    minhphuc0101 Well-Known Member

    Bài viết:
    47
    Đã thích:
    7
    Hay lắm, cảm ơn bác :)
    Mà dạo này mình còn bị hack thẳng trên host luôn. Cũng đổi sang host khác rồi, không có biết có ok hơn không nữa :-?
     
  7. hoangsuu

    hoangsuu Well-Known Member

    Bài viết:
    142
    Đã thích:
    75
    Trường hợp này là bạn bị local attach nhé! Xem tiêu chí số 8 :) mình có để cập về nhà cung cấp dịch vụ ấy!
     
  8. hieuvu899

    hieuvu899 Member

    Bài viết:
    21
    Đã thích:
    0
    Mình thì dùng iThemes Security vì thấy nó an toàn. Với lại thay đổi đường dẫn vào quản trị mặc định là wp-admin thành tên khác và cuối cùng là CHMOD các file quan trọng về 644 hoặc 444
     
  9. Weescape

    Weescape Well-Known Member

    Bài viết:
    92
    Đã thích:
    13
    Cứ đặt pass khó có cả chữ và số chắc ổn hết mà. Còn code củng share thì thôi tốt nhất là ai yên tâm thì lấy chứ không thì mua lấy cái cũng không quá đắt
     
  10. hinhyeuphuong

    hinhyeuphuong Well-Known Member

    Bài viết:
    89
    Đã thích:
    10
    Bảo mật này chỉ dùng cho wordpress thôi hả bác? web có dùng được không ak?
     
Đang tải...
Đang tải...