Hướng dẫn bảo vệ website WordPress khỏi Brute Force Attack

Kiến thức hosting
Ngô Dũng0

Bạn có muốn bảo vệ trang web WordPress của mình khỏi các cuộc tấn công Brute Force Attack không? Các cuộc tấn công này có thể làm chậm trang web của bạn, khiến trang web không truy cập được và thậm chí là crack mật khẩu của bạn để cài đặt phần mềm độc hại trên trang web của bạn. Trong bài viết này, chúng tôi sẽ cho bạn thấy làm thế nào để bảo vệ trang web WordPress của bạn khỏi các cuộc tấn công từ bên ngoài.

bruteforceattackwp

Tấn công Brute Force là gì?

Brute Force Attack là một phương pháp hack sử dụng các kỹ thuật thử và lỗi để đột nhập vào trang web, mạng hoặc hệ thống máy tính.

Tin tặc sử dụng phần mềm tự động để gửi một số lượng lớn các yêu cầu tới hệ thống đích. Với mỗi yêu cầu, các phần mềm này sẽ cố gắng đoán thông tin cần thiết để truy cập, như mật khẩu hoặc mã pin.

Những công cụ này cũng có thể ngụy trang bằng cách sử dụng các địa chỉ IP và địa điểm khác nhau , khiến cho hệ thống được nhắm mục tiêu khó xác định và chặn các hoạt động đáng ngờ này.

Một cuộc tấn công brute force thành công có thể cho phép tin tặc truy cập vào khu vực quản trị trang web của bạn . Họ có thể cài đặt backdoor, malware, ăn cắp thông tin người dùng và xóa mọi thứ trên trang web của bạn.

Ngay cả các cuộc tấn công brute force không thành công cũng có thể tàn phá bằng cách gửi quá nhiều yêu cầu làm chậm hosting của bạn và thậm chí làm hỏng chúng.

Và chúng ta hãy xem làm thế nào để bảo vệ trang web WordPress của bạn khỏi các cuộc tấn công brute force.

Bước 1. Cài đặt Plugin Tường lửa của WordPress

Các cuộc tấn công brute force gây ra rất nhiều tải trên máy chủ của bạn. Ngay cả những người không thành công có thể làm chậm trang web của bạn hoặc hoàn toàn sụp đổ máy chủ. Đây là lý do tại sao điều quan trọng là chặn chúng trước khi chúng đến máy chủ của bạn.

Để làm điều đó, bạn sẽ cần một giải pháp tường lửa trang web. Tường lửa lọc ra lưu lượng truy cập không tốt và chặn truy cập trang web của bạn.

sucuriwaf

Có hai loại tường lửa trang web mà bạn có thể sử dụng.

Application Level Firewall – Các plugin tường lửa này kiểm tra lưu lượng khi nó đến máy chủ của bạn nhưng trước khi tải các tập lệnh WordPress. Phương pháp này không hiệu quả vì tấn công brute force vẫn có thể ảnh hưởng đến tải máy chủ của bạn.

DNS Level Website Firewall – Các tường lửa này định tuyến lưu lượng truy cập trang web của bạn thông qua các máy chủ proxy đám mây của chúng. Điều này cho phép họ chỉ gửi lưu lượng truy cập thực sự đến máy chủ hosting web chính của bạn trong khi tăng tốc độ và hiệu suất WordPress của bạn .

 

Bước 2. Cài đặt WordPress Updates

Một số cuộc tấn công brute force phổ biến chủ động nhắm mục tiêu các lỗ hổng đã biết trong các phiên bản cũ hơn của WordPress, các plugin WordPress phổ biến hoặc các chủ đề.

Do WordPress là mã nguồn mở vậy mà lỗ hổng trên các plugin hay core thường được sửa rất nhanh với bản cập nhật. Tuy nhiên nếu bạn không cài đặt bản cập nhật, thì bạn để trang web của bạn dễ bị tổn thương trước những mối đe dọa cũ.

Chỉ cần truy cập TDashboard » Updates trong khu vực quản trị WordPress để kiểm tra các bản cập nhật có sẵn. Trang này sẽ hiển thị tất cả các bản cập nhật cho lõi, plugin và chủ đề WordPress của bạn.

updatespage

Bước 3. Bảo vệ thư mục quản trị WordPress

Hầu hết các cuộc tấn công brute force trên trang WordPress đều cố gắng truy cập vào khu vực quản trị WordPress. Bạn có thể thêm bảo vệ mật khẩu vào thư mục quản trị WordPress của bạn ở cấp độ máy chủ. Điều này sẽ chặn truy cập trái phép vào khu vực quản trị WordPress của bạn.

Chỉ cần đăng nhập vào bảng điều khiển lưu trữ WordPress của bạn (cPanel) và nhấp vào biểu tượng ‘Bảo mật thư mục’ trong phần Tệp.

cpaneldirectoryprotect

Tiếp theo, bạn cần xác định thư mục wp-admin và kích vào tên thư mục.

browsefolder

cPanel giờ sẽ yêu cầu bạn cung cấp tên cho thư mục, tên người dùng và mật khẩu bị hạn chế. Sau khi nhập thông tin này, hãy nhấp vào nút lưu để lưu cài đặt của bạn.

passwordprotect (1)

Thư mục quản trị WordPress của bạn hiện được bảo vệ bằng mật khẩu. Bạn sẽ thấy một dấu nhắc đăng nhập mới khi bạn truy cập khu vực quản trị WordPress của mình.

loginprompt

Nếu bạn gặp lỗi 404 hoặc lỗi quá nhiều thư chuyển hướng , thì bạn cần phải thêm dòng sau vào tệp .htaccess WordPress của mình .

1
ErrorDocument 401 default

Bước 4. Thêm xác thực hai yếu tố trong WordPress

Xác thực hai yếu tố thêm lớp bảo mật bổ sung vào màn hình đăng nhập WordPress của bạn. Về cơ bản, người dùng sẽ cần điện thoại của họ để tạo mật mã một lần cùng với thông tin đăng nhập của họ để truy cập vào khu vực quản trị WordPress.

backupcode (1)

Việc thêm xác thực hai yếu tố sẽ khiến cho tin tặc khó truy cập ngay cả khi họ có thể crack mật khẩu WordPress của bạn.

Để biết hướng dẫn từng bước chi tiết, hãy xem hướng dẫn của chúng tôi về cách thêm xác thực hai yếu tố trong WordPress

Bước 5. Sử dụng mật khẩu mạnh duy nhất

Mật khẩu là chìa khóa để truy cập vào trang web WordPress của bạn. Bạn cần sử dụng mật khẩu mạnh duy nhất cho tất cả tài khoản của mình. Mật khẩu mạnh là kết hợp số, chữ cái và ký tự đặc biệt.

Điều quan trọng là bạn sử dụng mật khẩu mạnh cho không chỉ tài khoản người dùng WordPress mà còn cho FTP, bảng điều khiển lưu trữ web và cơ sở dữ liệu WordPress của bạn.

Hầu hết người mới bắt đầu hỏi chúng tôi làm thế nào để nhớ tất cả các mật khẩu duy nhất? Vâng, bạn không cần phải. Có các ứng dụng quản lý mật khẩu tuyệt vời có sẵn để lưu trữ mật khẩu của bạn một cách an toàn và tự động điền chúng vào cho bạn.

Bước 6. Vô hiệu hóa duyệt thư mục

Theo mặc định, khi máy chủ web của bạn không tìm thấy tệp chỉ mục (nghĩa là tệp như index.php hoặc index.html), nó sẽ tự động hiển thị trang chỉ mục hiển thị nội dung của thư mục.

directory-index-wp

Trong một cuộc tấn công bạo lực, tin tặc có thể sử dụng duyệt thư mục để tìm các tệp dễ bị tấn công. Để khắc phục điều này, bạn cần phải thêm dòng sau vào cuối tệp .htaccess WordPress của bạn.

1
Options -Indexes

Để biết thêm chi tiết, hãy xem bài viết của chúng tôi về cách tắt tính năng duyệt thư mục trong WordPress .

Bước 7. Vô hiệu hóa thực thi tệp PHP trong thư mục WordPress cụ thể

Tin tặc có thể muốn cài đặt và thực thi một tập lệnh PHP trong các thư mục WordPress của bạn. WordPress được viết chủ yếu bằng PHP, có nghĩa là bạn không thể tắt nó trong tất cả các thư mục WordPress.

Tuy nhiên, có một số thư mục không cần bất kỳ tập lệnh PHP nào. Ví dụ: thư mục tải lên WordPress của bạn nằm ở / wp-content / uploads.

Bạn có thể vô hiệu hóa việc thực thi PHP một cách an toàn trong thư mục tải lên mà là một hacker phổ biến sử dụng để ẩn các tệp backdoor.

Trước tiên, bạn cần mở một trình soạn thảo văn bản như Notepad trên máy tính của bạn và dán mã sau đây:

1
2
3
<Files *.php>
deny from all
</Files>

Bây giờ, hãy lưu tệp này dưới dạng .htaccess và tải tệp đó lên / wp-content / uploads / folders trên trang web của bạn bằng ứng dụng FTP client .

Bước 8. Cài đặt và thiết lập một Plugin sao lưu WordPress

wpbackupplugins (1)

Sao lưu là công cụ quan trọng nhất trong kho lưu trữ bảo mật WordPress của bạn. Nếu mọi thứ khác không thành công thì sao lưu sẽ cho phép bạn dễ dàng khôi phục trang web của mình.

Hầu hết các công ty hosting cung cấp các tùy chọn sao lưu có giới hạn. Tuy nhiên, các bản sao lưu này không được đảm bảo và bạn hoàn toàn chịu trách nhiệm thực hiện các bản sao lưu của riêng bạn.

Có một số plugin sao lưu WordPress tuyệt vời , cho phép bạn lên lịch sao lưu tự động.

Chúng tôi khuyên bạn nên sử dụng UpdraftPlus . UpdraftPlus thân thiện với người dùng mới và cho phép bạn nhanh chóng thiết lập sao lưu tự động và lưu trữ chúng trên các địa điểm từ xa như Google Drive, Dropbox, Amazon S3, và nhiều hơn nữa.

 

Chúng tôi hy vọng bài viết này đã giúp bạn tìm hiểu cách bảo vệ trang web WordPress của mình khỏi các cuộc tấn công Brute Force.

Leave a Reply

Your email address will not be published. Required fields are marked *