Ảnh: wedevs.com

Đợt rồi khi mình bị hack máy tính, có một số website và blog sử dụng nền tảng WordPress (self-hosted) của mình vô tình bị lộ mật khẩu, khiến cho hacker truy cập và phá hoại ở nhiều mức độ khác nhau. Nhẹ thì đăng bài spam, chèn mã độc vào bài viết; vừa thì bị xóa hết nội dung trên blog; nặng thì bị nhúng mã độc lên blog khiến cho Google đưa blog vào danh sách đen và không thể truy cập được nữa. Phần lớn các blogger khi xây dựng blog bỏ ra rất nhiều thời gian và tâm huyết trong nhiều năm trời, nhưng chỉ trong một phút sơ hở, bao nhiêu công sức của bạn có thể tan tành mây khói.

Sau vụ bị hacker hành, mình tổng hợp lại một số bí quyết giúp tăng cường bảo mật cho blog WordPress (self-hosted), tức phiên bản blog được xây dựng trên hosting và domain riêng, khác với phiên bản blog WordPress miễn phí. Đối với phiên bản blog WordPress trả phí và được tùy chỉnh nhiều hơn ở bảng điều khiển, bạn cũng có thể tham khảo qua các bí quyết này.

1. Cài đặt plugin bảo mật WP Security

Bạn vào menu Plugin => Cài mới => Search tìm plugin All In One WP Security của All In One WP Security & Firewall Team để cài đặt. Đây là plugin đã có hơn 1 triệu lượt cài đặt giúp tăng cường bảo mật tối đa cho blog WordPress của bạn với những tính năng như kích hoạt đăng nhập bằng bảo mật 2 lớp (2FA), scan nhanh mã độc trên web, bật tường lửa, kiểm tra đăng nhập của user, thay đổi link đăng nhập vào bảng điều khiển,… Nói chung, đây là plugin mà bất kỳ blog WordPress nào cũng nên cài và ưu tiên cài hàng đầu.

Sau khi cài đặt, plugin WP Security sẽ hiện ở ngay thanh menu bên trái, ngay dưới cùng. Có một số mục chính bạn cần quan tâm như sau:

  • Two Factor Auth: Cài bảo mật 2 lớp
  • Brute Force: Thay đổi link đăng nhập
  • User login: Theo dõi đăng nhập bất thường
  • Scanner: Quét nhanh mã độc
Ảnh: WordPress.org

2. Cài đặt plugin chặn spam Akismet Anti-Spam

Có một số blogger thường hay gặp tình trạng bài viết bị nhiều người lạ vào spam comment liên tục, thường là ở nước ngoài. Để ngăn chặn tình trạng này, bạn nên cài plugin Akismet Anti-Spam – đây là plugin cơ bản mà khi xây dựng blog WordPress mình thường cài đầu tiên. Sau khi cài đặt, bạn cần kích hoạt mã qua email và dùng code nhận được để kích hoạt plugin. Lưu ý: Plugin này thường đi kèm với plugin Jetpack, cũng là một trong những plugin quan trọng bạn cần cài đặt cho blog WordPress.

Như dữ liệu ở hình dưới đây (ở trang chủ của bảng điều khiển), nhờ Akismet Anti-Spam mà blog mình ngăn chặn được tới 77.398 cuộc tấn công cố gắng truy cập vào link đăng nhập của mình, cũng như đã block thẳng tay 691 comment xàm xí.

3. Bật tính năng cập nhật plugin tự động

Có khá nhiều khách hàng mình từng xây dựng và thiết kế blog WordPress cho họ, mặc dù lần nào xong dự án mình cũng đều gửi guideline hướng dẫn và dặn dò kỹ càng việc phải cập nhật plugin WordPress thường xuyên, nhưng thi thoảng vào kiểm tra hay hỗ trợ blog của khách thì đều thấy các bạn quên điều này. Lúc trước thì WordPress chưa có tính năng cập nhật plugin tự động, bây giờ thì bạn đã có thể dễ dàng bật tính năng này tại menu Plugin => Plugin đã cài đặt.

Bên cạnh việc cập nhật plugin, lâu lâu nền tảng WordPress cũng sẽ có bản nâng cấp mới, ví dụ từ bản 6.0 lên 6.1. Lúc đó bạn sẽ nhận được thông báo khi truy cập vào trình điều khiển và cần cập nhật bằng tay, vì phiên bản này không có tính năng cập nhật tự động. Việc cập nhật cả Wodpress và plugin rất quan trọng là vì phiên bản mới là phiên bản vá lỗ hổng bảo mật, cập nhật thêm nhiều tính năng tối ưu hơn. Nếu bạn cứ dùng hoài phiên bản cũ, hacker có thể xâm nhập qua lỗ hổng bảo mật để hack hay đánh sập blog WordPress của bạn.

4. Không cài đặt plugin lạ

Có một số bạn khách làm blog WordPress của mình thường rất thích khám phá kho plugin của WordPress và đôi khi táy máy cài đặt một plugin lạ nào đó để rồi vô tình “rước hổ vào nhà” mà không hay biết. Một số hacker có thể thiết kế plugin có chứa mã độc, bạn vô tình tải plugin và upload lên blog thì kết quả chỉ có ăn hành.

Khi cài đặt plugin cho blog WordPress, có một số điều quan trọng bạn nên nhớ:

  • Chỉ nên cài đặt từ kho plugin được đề xuất tại menu Plugin => Cài mới hoặc download trực tiếp từ trang wordpress.org chính chủ. Tránh việc bạn truy cập vào một trang lạ hoắc lạ huơ nào đó tải plugin về thì hiểm họa khôn lường tiềm tàng.
  • Khi cài trong plugin được đề xuất, có 3 yếu tố bạn cần quan tâm:
    + Plugin tương thích với phiên bản WordPress của bạn
    + Plugin có số lượt kích hoạt cao, từ hàng chục ngàn đến hàng triệu người dùng
    + Thời gian cập nhật lần cuối không quá xa, kiểu vài năm trước tức là đã lâu lắm rồi nhóm thiết kế plugin đó không còn cập nhật gì nữa và nó có khả năng có lỗ hổng bảo mật

5. Không cài theme lạ

Một số bạn blogger thường có nhu cầu đổi mới giao diện blog sau một thời gian và tìm đến kho theme free được chia sẻ trên mạng. Tuy nhiên hầu hết những theme kiểu này đều tiềm ẩn nguy cơ bị chèn mã độc. Trước đây mình cũng thuộc tuýp thích xài theme “chùa” và bị hosting cảnh báo mã độc khi upload theme lên. Từ đó mình cạch các thể loại theme free kiểu này mà chỉ dùng theme chính hãng mua từ themeforest.net hoặc từ kho theme có sẵn của WordPress cung cấp.

Ảnh: themeforest

6. Cẩn trọng với việc cấp quyền user admin

Khi bạn sử dụng dịch vụ thiết kế blog hay nhờ người quen nào đó hỗ trợ về mặt kỹ thuật, bạn tránh việc cung cấp cả username và password của nick admin cho họ. Thay vào đó, bạn nên tạo một tài khoản user mới với quyền admin để gửi họ truy cập.

Điều tối quan trọng bạn cần nhớ là sau khi dịch vụ hoàn tất hay khi người quen đã sửa xong, bạn cần xóa nick của user đó ngay và luôn. Nhiều bạn rất sơ ý ở khoản này, cứ để cho người khác có quyền admin truy cập vào blog mình. Xui rủi thay nếu máy tính của người đó bị hack thì vô tình tài khoản truy cập vào blog của bạn cũng bị lộ, và từ quyền admin đó, hacker có thể phá hoại và đánh sập blog của bạn chỉ trong một nốt nhạc.

Blog của mình chỉ có một tài khoản admin duy nhất là mình

Với 5 bước cơ bản trên, từ nay bạn có thể an tâm viết blog và tăng cường bảo mật cho blog WordPress của mình mà không còn phải lo bị hacker nhăm nhe phá hoại, vì xác suất blog của bạn bị tấn công sẽ cực kỳ thấp.

Nếu thấy nội dung bài viết hữu ích và giá trị, bạn có thể ủng hộ để Chơn Linh có thêm động lực chia sẻ nhiều hơn:

❤️Ủng hộ tác giả
(Subscribe blog để nhận bài mới hằng tuần qua email)
Author

"Hãy trở thành sự thay đổi mà bạn muốn nhìn thấy trên thế giới này." - Gandhi

Chia sẻ cảm nghĩ của bạn

Website này sử dụng Akismet để hạn chế spam. Tìm hiểu bình luận của bạn được duyệt như thế nào.