NỘI DUNG
Hướng Dẫn Bảo Mật WordPress Toàn Diện Với Plugin All In One WP Security. Giúp website của bạn luôn được an toàn. Hạn chế các rủi ro bảo mật hằng ngày.
Ở bài viết Top Plugin Bảo mật Miễn phí cho WordPress 2024 tôi đã có gợi ý về các Plugin bảo mật cho WordPress. Và theo yêu cầu từ các bạn đọc, tôi sẽ hướng dẫn các bạn thiết lập sử dụng Plugin này để bảo mật cho web.
Plugin All In One WP Security là một giải pháp bảo mật toàn diện dành cho WordPress, được cung cấp miễn phí bởi Tips and Tricks HQ. Plugin này có nhiều tính năng nổi bật như tường lửa, bảo vệ chống tấn công Brute Force, và hệ thống chấm điểm bảo mật. Đây là một công cụ lý tưởng để tăng cường bảo mật cho các website WordPress.
Cài đặt Plugin
Bạn truy cập vào bên trong Dashboard của website. Tìm đến mục Plugin => Add New Plugin => Nhập vào AIOS sau đó chọn Install Now để cài đặt
Khi cài đặt hoàn tất, chọn mục WP Security trên thanh menu bên trái.
Lưu ý: Hãy đảm bảo bạn không khóa quyền truy cập tệp .htaccess trong suốt quá trình thiết lập vì một số quy tắc tường lửa cần tệp này để hoạt động.
Cấu Hình Các Chức Năng Chính
1. User Security (Bảo mật người dùng)
1.1 Tài khoản người dùng (User Accounts) (+25 điểm bảo mật)
- Đổi tên tài khoản quản trị (Change admin username): Khuyến nghị thay đổi tên tài khoản “admin” để tránh bị hacker tấn công (+15 điểm bảo mật)
- Đổi tên hiển thị (Display name security): Tên hiển thị không trùng với tên đăng nhập (+5 điểm bảo mật)
- Ngăn chặn lộ thông tin người dùng (Prevent user enumeration): ngăn bot hoặc hacker thu thập thông tin người dùng qua URL như /wp-json/wp/v2/users. (+5 điểm bảo mật)
1.2 Khóa tài khoản đăng nhập (Login Lockout) (+35 điểm bảo mật)
- Tùy chọn khóa đăng nhập (Login lockout options): Thiết lập bảo mật đăng nhập (+20 điểm bảo mật)
- Login lockout IP whitelist settings: Whitelist IP cho danh sách đăng nhập (+15 điểm bảo mật)
1.3 Buộc đăng xuất (Force Logout) +5 điểm bảo mật
Đăng xuất người dùng sau một khoảng thời gian nhất định.
1.4 Phê duyệt tài khoản thủ công (Manual Approval) +20 điểm bảo mật
Bật tính năng yêu cầu phê duyệt thủ công các tài khoản mới đăng ký qua biểu mẫu WordPress. Các tài khoản mới sẽ được đặt ở trạng thái “chờ phê duyệt” (pending) và không thể đăng nhập cho đến khi được quản trị viên kích hoạt.
1.5 Bảo mật Salt (Salt Security) +15 điểm
Salt là các chuỗi bí mật kết hợp với mật khẩu để bảo vệ thông tin tốt hơn, giúp hạn chế việc hacker bẻ khóa nếu lấy được cơ sở dữ liệu. Khi kích hoạt, tất cả người dùng sẽ tự động bị đăng xuất để áp dụng Salt mới.
1.6 Xác thực HTTP (HTTP Authentication) +10 điểm
Xác thực HTTP cho bảng điều khiển và giao diện WordPress. Với tính năng này sẽ Kích hoạt bảo mật cho Dashboard: Bảo vệ khu vực quản trị WordPress bằng xác thực HTTP. Kích hoạt bảo mật cho giao diện Frontend: Yêu cầu xác thực HTTP cho cả giao diện người dùng
1.7 Cài đặt bổ sung (Additional Settings) +10 điểm bảo mật
Bật tính năng này để ngăn việc sử dụng mật khẩu ứng dụng, bảo vệ tài khoản tốt hơn.
2. Database Security
Thay Đổi Tiền Tố Cơ Sở Dữ Liệu (Database Prefix) +10 điểm bảo mật
Cơ sở dữ liệu WordPress chứa các thông tin quan trọng nhất của website, bao gồm nội dung, tài khoản người dùng và cấu hình. Tiền tố mặc định của các bảng trong cơ sở dữ liệu là wp_
, và điều này dễ bị khai thác bởi hacker thông qua các cuộc tấn công SQL Injection.
3. Cấu Hình Bảo Mật Tập Tin (File Security)
3.1 WP directory and file permissions scan results
Quyền tập tin và thư mục trong WordPress kiểm soát việc ai có thể đọc, ghi, hoặc thực thi các tệp và thư mục của bạn. Nếu quyền được đặt không chính xác, điều này có thể làm website dễ bị tấn công.
3.2 File protection
Tính năng bảo vệ tập tin của plugin All In One WP Security giúp bảo vệ các tài nguyên quan trọng trên website, ngăn hacker hoặc người dùng trái phép truy cập hoặc lợi dụng các tập tin và tài nguyên của bạn.
- Delete default WP files: Một số tệp như readme.html, license.txt, và wp-config-sample.php có thể tiết lộ thông tin quan trọng về phiên bản WordPress và cấu trúc cài đặt, khiến hacker dễ dàng khai thác.
- Prevent hotlinking (Ngăn Chặn Hotlinking): Hotlinking xảy ra khi một trang web khác sử dụng hình ảnh trực tiếp từ máy chủ của bạn, khiến băng thông và tài nguyên của bạn bị tiêu hao mà không được phép.
- Disable PHP file editing (Vô Hiệu Hóa Chỉnh Sửa Tệp PHP Qua Dashboard):WordPress cho phép quản trị viên chỉnh sửa trực tiếp các tệp PHP (như plugin và theme) từ trang quản trị. Tuy nhiên, nếu hacker chiếm quyền truy cập, họ có thể sử dụng tính năng này để chèn mã độc.
3.3 Copy protection
Tính năng này giúp bạn ngăn chặn người dùng không mong muốn sao chép nội dung từ website của bạn, bảo vệ bài viết, hình ảnh, và dữ liệu quan trọng.
3.4 Frames
Tính năng này bảo vệ nội dung website của bạn khỏi việc bị hiển thị trong các frame hoặc iframe trên các trang web khác. Điều này ngăn chặn các hành vi như:
- Clickjacking: Hacker sử dụng iframe để đánh lừa người dùng nhấp vào một nút hoặc liên kết mà không biết.
- Sử dụng trái phép nội dung: Trang web khác hiển thị nội dung của bạn mà không được phép.
4. Firewall (Tường lứa)
4.1 PHP Rule
- WordPress XMLRPC and pingback vulnerability protection: XML-RPC là một giao thức trong WordPress cho phép các ứng dụng bên ngoài giao tiếp với website của bạn, như Jetpack hoặc ứng dụng WordPress trên di động. Tuy nhiên, nó có thể bị lợi dụng để thực hiện các cuộc tấn công từ chối dịch vụ (DDoS) hoặc khai thác lỗ hổng bảo mật.
- Disable WordPress RSS and ATOM feeds: Tính năng này giúp bạn ngừng cung cấp các feed RSS và ATOM, làm giảm khả năng người khác sao chép nội dung của bạn mà không cần truy cập trang web.
- Proxy comment posting: Tính năng này giúp bạn ngăn chặn việc người dùng sử dụng các dịch vụ proxy để đăng bình luận giả mạo trên trang web của bạn
- Bad query strings: Tính năng Deny Bad Query Strings giúp bảo vệ trang web của bạn khỏi các truy vấn xấu, đặc biệt là các cuộc tấn công Cross-Site Scripting (XSS)
- Advanced character string filter: Tính năng Bộ lọc chuỗi ký tự nâng cao giúp bảo vệ trang web của bạn khỏi các cuộc tấn công Cross-Site Scripting (XSS) bằng cách chặn các chuỗi ký tự có hình thức tương tự mã độc. Các cuộc tấn công XSS thường lợi dụng các chuỗi ký tự đặc biệt trong URL hoặc các biểu mẫu để chèn mã JavaScript độc hại vào trang web của bạn, gây hại cho người dùng và hệ thống.
4.2 .htaccess rules
- Bảo Vệ Tường Lửa Cơ Bản (Basic Firewall Protection): Tính năng này cung cấp bảo vệ cơ bản cho trang web của bạn thông qua tệp .htaccess
- Ngăn Chặn Truy Cập Tệp Debug Log (Block Access to Debug Log File): Tính năng này ngăn chặn việc truy cập trái phép vào tệp debug.log
- ắt Hiển Thị Danh Sách Thư Mục (Disable Directory Listing):
4.3 6G firewall rules
Tính năng Tường Lửa 6G cung cấp bảo vệ an ninh nâng cao cho trang web của bạn, với bộ quy tắc bảo mật được thiết kế và phát triển bởi Perishable Press. Tường lửa 6G là phiên bản cập nhật và cải tiến của tường lửa 5G, giúp giảm số lượng các yêu cầu URL độc hại tấn công vào trang web của bạn.
Điểm nổi bật của tường lửa 6G là nó không sử dụng tệp .htaccess, mà thay vào đó, nó dựa trên mã PHP để áp dụng các quy tắc bảo mật. Điều này giúp làm giảm sự can thiệp vào cấu hình của máy chủ.
4.4 Internet bot
Bot là phần mềm tự động thực hiện các nhiệm vụ trên Internet, ví dụ như Googlebot để lập chỉ mục trang web. Tuy nhiên, một số bot giả mạo các bot hợp pháp như Googlebot để thực hiện các hành vi không mong muốn.
- Chặn Fake Googlebots: Tính năng này giúp ngăn chặn các bot giả mạo Googlebot nhưng không phải bot chính thức của Google.
- Chặn HTTP Headers Trống: Tính năng này cho phép bạn chặn các yêu cầu POST có header user-agent và referer trống, giúp ngăn chặn các cuộc tấn công hoặc hành vi xấu từ các bot không rõ nguồn gốc.
4.5 Blacklist
Tính năng Blacklist của All In One WP Security cho phép bạn chặn các địa chỉ IP hoặc dãy địa chỉ IP, cũng như các user agents nhất định. Khi tính năng này được kích hoạt, những người dùng có IP hoặc user agent khớp với cấu hình của bạn sẽ bị từ chối truy cập vào toàn bộ trang web ngay khi WordPress tải, ngăn không cho họ tiếp tục truy cập.
4.6 WP REST API
Tính năng này cho phép bạn chặn quyền truy cập vào WP REST API đối với các yêu cầu không được phép.
Lưu ý: Nếu bạn đang sử dụng các plugin có điểm cuối REST API (ví dụ như Contact Form 7, WooCommerce), tính năng này cũng sẽ chặn các yêu cầu REST của các plugin đó nếu người dùng chưa đăng nhập.
5. Brute force
5.1 Rename login page
Thông thường, bạn sẽ truy cập vào trang đăng nhập của WordPress bằng cách nhập URL trang chủ của site, theo sau là wp-login.php. Tuy nhiên, tính năng này cho phép bạn thay đổi phần cuối của URL đăng nhập (wp-login.php) thành một chuỗi tuỳ chỉnh mà bạn chọn.
5.2 Cookie based brute force prevention
Tấn công brute force là khi hacker thử nhiều kết hợp tên người dùng và mật khẩu cho đến khi đoán đúng. Điều này có thể làm giảm hiệu suất và tiêu tốn tài nguyên của máy chủ vì các bot tự động cố gắng đăng nhập vào website.
Tấn công brute force là khi hacker thử nhiều kết hợp tên người dùng và mật khẩu cho đến khi đoán đúng. Điều này có thể làm giảm hiệu suất và tiêu tốn tài nguyên của máy chủ vì các bot tự động cố gắng đăng nhập vào website.
5.3 CAPTCHA settings
Tính năng CAPTCHA giúp bạn thêm một form CAPTCHA vào các trang đăng nhập và biểu mẫu WordPress. Đây là một phương pháp đơn giản và hiệu quả để ngăn chặn các cuộc tấn công brute force.
- Cloudflare Turnstile:
- Google reCAPTCHA v2:
- Maths CAPTCHA:
5.4 Login whitelist
Tính năng Whitelist cho phép bạn chỉ định các địa chỉ IP được phép truy cập trang đăng nhập WordPress của bạn. Tất cả các địa chỉ IP không nằm trong danh sách trắng sẽ bị từ chối truy cập.
5.5. 404 detection
Tính năng Phát hiện Lỗi 404 giúp phát hiện và ngăn chặn các hành vi đáng ngờ khi một địa chỉ IP cố gắng truy cập nhiều trang không tồn tại trên website của bạn, điều này có thể là dấu hiệu của một cuộc tấn công.
5.6 Honeypot
Tính năng Honeypot giúp bảo vệ trang đăng nhập và đăng ký của WordPress khỏi các bot tự động. Honeypot hoạt động bằng cách thêm một trường ẩn vào các form đăng nhập và đăng ký, mà chỉ có các bot mới điền vào. Nếu trường này có giá trị, plugin sẽ nhận biết đây là hành động của một bot và ngăn chặn nó.
6. Spam prevention
6.1 Comment spam
Tính năng Phát Hiện Spam Bình Luận giúp bảo vệ blog WordPress khỏi các bình luận spam do bot tự động tạo ra, giảm tải cho máy chủ của bạn và ngăn chặn những bình luận vô ích.
6.2 Comment spam IP monitoring
Tính năng Tự Động Chặn IP Spam cho phép chặn các địa chỉ IP gửi bình luận spam sau một số lượng nhất định, giúp bảo vệ trang web khỏi sự xâm nhập của bot hoặc người dùng cố tình spam bình luận.
7. Scanner
Tính Năng Phát Hiện Thay Đổi Tệp (File Change Detection)
Tính năng Phát Hiện Thay Đổi Tệp giúp bạn theo dõi các thay đổi đối với tệp tin trên website WordPress của mình. Điều này rất quan trọng để phát hiện sớm các hành động của hacker có thể thay đổi hoặc thêm mã độc vào các tệp của bạn. Khi được kích hoạt, tính năng này sẽ thông báo cho bạn về bất kỳ sự thay đổi nào trong các tệp trên hệ thống, bao gồm việc thêm, xóa hoặc sửa đổi tệp.
Sau khi cấu hình xong mức độ bảo mật tổng thể của trang web WordPress của bạn dựa trên các thiết lập và cấu hình bảo mật khác nhau.
Như cấu hình của tôi thì Điểm bảo mật hiện tại: 395/570
Import cấu hình mẫu
Lưu ý: File cấu hình mẫu đường dẫn url login đã được thay đổi thành login
nếu bạn sử dụng hãy truy cập bằng https://domain/login
Toàn bộ các thiết lập ở trên tôi đã export ra file config. Bạn có thể tải file mẫu của tôi và import vào.
Để import bạn truy cập vào WP Security => Settings => Import/Export => Chọn tập tin => Select your import settings file
Tổng kết
Với sự kết hợp của các tính năng bảo mật mạnh mẽ từ plugin All In One WP Security, bạn có thể dễ dàng bảo vệ website WordPress khỏi các mối nguy hiểm trực tuyến. Việc thực hiện đầy đủ các bước bảo mật không chỉ giúp ngăn chặn các cuộc tấn công mà còn tăng cường độ tin cậy và hiệu suất cho trang web của bạn. Hãy nhớ rằng bảo mật là một quá trình liên tục, vì vậy luôn cập nhật và theo dõi thường xuyên để đảm bảo website của bạn được bảo vệ tối đa. Chúc bạn thành công trong việc bảo vệ website của mình và không ngừng cải thiện khả năng bảo mật trên nền tảng WordPress!