Khi tìm hiểu về vấn đề bảo mật trong WordPress chắc chắn bạn sẽ choáng ngợp, bởi vì có quá nhiều công việc cần làm và hầu hết công việc đều khó hiểu và khó làm.
Trừ khi bạn thuộc dạng đam mê với việc nghiên cứu về bảo mật thì mới thấy mọi thứ trở nên “dễ”, còn lại tất cả mọi người đều cảm thấy “đáng sợ” khi nhắc đến hai chữ “bảo mật”.
Vậy làm sao để một người mới học WordPress có thể thực hành công việc bảo mật một cách dễ dàng nhất có thể?
I. Câu Chuyện Của Mình
Mình có một danh sách dài các bước cần làm để bảo mật WordPress. Và mỗi khi tạo một blog mới mình sẽ thực hành theo checklist đó.
Có thể nói đây thật sự là một trong những điều nhàm chán nhất trong việc sử dụng WordPress.
Mọi thứ cứ thế diễn ra cho đến khi mình tạo blog này và cụ thể là khi viết bài này.
Mình nghĩ rằng những phần trước đây như cài đặt WordPress, cấu hình WordPress mình đã có thể đơn giản hóa xuống mức dễ nhất có thể, vậy tại sao vấn đề bảo mật này lại phức tạp thế, có cách nào để đơn giản hóa hơn không?
Trong lúc đó mình nhận ra một điều rằng, những nghiên cứu của mình trước đây về bảo mật trong WordPress đều là về kỹ thuật mà quên mất rằng phải nghiên cứu về tư duy.
Và thế là mình bắt đầu nghiên cứu lại, lần này mình tìm những người thật sự là chuyên gia trong lĩnh vực bảo mật WordPress, sau đó cố gắng tìm hiểu xem họ nghĩ gì về bảo mật.
Cuối cùng mình cũng hiểu thấu đáo hơn và bạn biết không, hóa ra có đến 70% những việc mình làm trong checklist trước đây là thừa.
Có nghĩa là những việc đó vẫn có ích nhưng hầu hết giống như “mẹo” chứ không phải “giải pháp” thật sự.
Nói thế này cho dễ hiểu, nó giống như một căn nhà cần được bảo vệ để tránh kẻ xấu lẻn vào, nhưng trước đây mình chỉ lo đóng cửa chính, cửa sổ, cửa sau, cửa cổng,… tóm lại là đóng hết mọi thứ.
Và đúng là những việc này cũng có tác dụng thật, nhưng mình quên mất một điều thật sự quan trọng hơn việc “đóng cửa”, đó chính là “ổ khoá”.
Bởi vì việc “đóng cửa” sẽ trở nên “thừa” nếu “ổ khóa” thuộc dạng bình thường.
Quay trở lại WordPress, việc đổi Username, đổi trang wp-login.php, ẩn phiên bản WordPress,… thì sao chứ?
Việc này giống như chúng ta đi “đóng cửa” vậy, nó chỉ làm khó hơn một chút cho kẻ xấu, bởi vì sớm muộn gì họ cũng tìm ra được những cái mà chúng ta đã đổi/ẩn đi.
Và sau khi tìm ra rồi thì sao, họ vẫn cần tới một thứ để có thể đăng nhập WordPress của bạn, đó chính là PASSWORD.
Ý nghĩa của Password ở đây giống như cái “ổ khóa” vậy, bạn cần tập trung chú ý vào nó hơn so với việc “đóng cửa”.
II. Người Khác Muốn “Đột Nhập” Vào Blog Của Tôi Để Làm Gì?
Có rất nhiều mục đích khác nhau:
- Phá hoại danh tiếng của bạn hoặc của doanh nghiệp.
- Sử dụng website của bạn để lây nhiễm các website khác trong hosting.
- Sử dụng website của bạn để làm lợi cho website của họ (chèn backlink/redirect/ads/…).
- Hoặc chỉ đơn giản là họ đang “thực tập tay nghề”.
Nói tóm lại có 2 loại:
- Có chủ đích: nghĩa là blog của bạn đã bị một ai đó nhắm mục tiêu và họ chủ động tìm mọi cách để đăng nhập được vào blog của bạn.
- Không có chủ đích: nghĩa là có những phần mềm tự động tìm trên Internet các website dùng mã nguồn WordPress để tấn công.
Đến 99% website bị tấn công sẽ thuộc trường hợp thứ 2. Các phần mềm này không quan tâm website đó lớn hay nhỏ hoặc thuộc thể loại gì (Ecommerce, Personal Blog, Education, Company,…).
Chúng chỉ làm công việc của mình, đó là liên tục quét các website trên Internet và tìm lỗ hổng bảo mật, sau đó khai thác chúng để tấn công website.
Vì vậy đừng nghĩ rằng website của bạn chỉ là một blog nhỏ mà không bị tấn công, sớm hay muộn việc đó sẽ xảy ra.
Cho nên vấn đề ở đây không phải là why (tại sao nó xảy ra) hoặc when (khi nào nó xảy ra) mà là how (làm sao để phòng ngừa, ngăn chặn và xử lý điều đó).
III. Những Điều Cần Làm Để Phòng Ngừa
1. Cập nhật thường xuyên
Đây được xem là một trong những điều quan trọng nhất trong bảo mật, bởi vì nếu website đang sử dụng một phiên bản cũ của bất cứ thứ gì (WordPress, Plugin, Theme, PHP,…) thì rất có thể đang tồn tại một hoặc nhiều lỗ hổng đang “chờ” bị khai thác.
Vì vậy, nếu WordPress/Theme/Plugin có phiên bản mới bạn hãy xem xét để cập nhật càng sớm càng tốt. Điều này giúp phòng ngừa kẻ xấu/bot lợi dụng các lỗ hổng bảo mật có trong phiên bản cũ để tấn công.
Còn PHP và các công nghệ khác thì liên quan đến Hosting, vì vậy hãy đọc ý tiếp theo.
2. Sử dụng Hosting chất lượng
Để blog của bạn có thể xuất hiện trên Internet và mọi người có thể truy cập thì đằng sau nó có rất nhiều công nghệ đang được sử dụng như PHP, Apache,…
Những công nghệ này cần được quản lý tốt và cập nhật thường xuyên để tránh các sự cố có thể xảy ra hoặc lỗ hổng có thể bị khai thác.
Nếu bạn xây dựng blog cho mục đích kinh doanh hãy sử dụng hosting trả phí, bởi vì họ sẽ đảm bảo các công nghệ đó được vận hành tốt.
Tại sao điều này là quan trọng?
Bởi vì dù cho bạn có sử dụng plugin bảo mật, có update WordPress thường xuyên, sử dụng Password mạnh,… nhưng lại sử dụng một hosting yếu kém về bảo mật thì mọi điều bạn làm như trên đều vô nghĩa.
Vì một khi hosting xảy ra sự cố thì mọi website được lưu trữ trên hosting đó có khả năng cao cũng sẽ “gặp nạn”.
3. Sử dụng Plugin càng ít càng tốt
Plugin giúp cho việc sử dụng WordPress trở nên dễ dàng hơn nhưng cũng mang lại nhiều rủi ro.
Nói đơn giản, sử dụng càng nhiều plugin thì yếu tố “thuận tiện” sẽ tăng nhưng ngược lại yếu tố “bảo mật” sẽ giảm.
Vì vậy nguyên tắc ở đây là sử dụng càng ít plugin càng tốt và xóa ngay các plugin không dùng.
4. Sử dụng Plugin có nguồn gốc rõ ràng
Không nên sử dụng các theme và plugin được chia sẻ tại các trang mà không rõ là ai đăng lên, bởi vì chúng có khả năng cao đã bị chèn mã độc.
Nên sử dụng tại các nguồn chính thống như sau:
- wordpress.org/plugins/
- wordpress.org/themes/
- Từ các tác giả có website rõ ràng, có công ty đứng sau càng tốt, được nhiều người sử dụng và đánh giá cao.
IV. Những Điều Cần Làm Để Ngăn Chặn
1. Sử dụng Password mạnh
Một password mạnh cần đáp ứng được 3 điều sau:
- Chiều dài (long): số ký tự mà password có.
- Khuyến nghị của WordPress: “Find your manager’s built-in password-generation tool, and configure it to create 30-50 random characters” (Nguồn: wordpress.com).
- Ngẫu nhiên (random): được tạo ra mà không cần suy nghĩ, là tập hợp ngẫu nhiên của một bộ ký tự bao gồm chữ cái + chữ số + ký hiệu (letters, numbers, symbols).
- Duy nhất (unique): 1 password chỉ được dùng tại 1 nơi (password của mỗi blog phải khác nhau và phải khác với password của email, điện thoại, máy tính,…).
Thực Hành:
– Truy cập lastpass.com và tạo một tài khoản miễn phí.
– Cài đặt LastPass Extension.
(1) Mở LastPass Extension.
(2) Bấm Generate Secure Password.
(3) Password Length: 50
(4) Advanced Options: tùy chỉnh như hình.
(5) Bấm Cancel để thoát.
(1) Truy cập Users > Your Profile.
(2) Bấm vào biểu tượng của LastPass như trong hình.
(3) Bấm Generate and fill.
(4) Copy password vừa tạo và lưu tạm ra ngoài.
(5) Bấm Update Profile.
Bây giờ bạn hãy đăng xuất WordPress và làm tiếp như sau:
(1) Đăng nhập WordPress sử dụng Username và Password vừa tạo trong Bước 3 – (4).
(2) LastPast sẽ hỏi bạn có muốn lưu thông tin hay không, hãy bấm Add.
(3) Sau này mỗi lần đăng nhập, LastPast sẽ tự động điền thông tin cho bạn, rất tiện lợi và nhanh chóng.
2. Sử dụng 2FA
2FA (Two Factor Authentication) hay còn gọi là bảo mật 2 lớp.
Hiểu ngắn gọn thì ngoài lớp password ra, chúng ta sẽ dùng thêm một lớp khác để tăng cường bảo mật.
Thực Hành: Hướng Dẫn Cài Đặt Bảo Mật 2 Lớp (2FA) Cho WordPress
3. Sử dụng HTTPS
Khi bạn cài chứng chỉ SSL thì domain có thể chạy trên giao thức HTTPS (bảo mật hơn) thay cho HTTP (không bảo mật).
Hiểu đơn giản, SSL sẽ giúp mã hóa mọi thông tin truyền đi giữa Browser và Hosting, giúp tránh nguy cơ bị “đọc trộm thông tin” trong lúc truyền đi.
Thực Hành: Hướng Dẫn Cài Đặt Chứng Chỉ SSL Cho Domain (Miễn Phí)
V. Kết Luận
Phần thực hành này so với trước đây đã giảm ít nhất là 70% khối lượng công việc, bởi vì mình chỉ tập trung vào các việc quan trọng nhất và loại bỏ phần lớn các việc khác.
Mong rằng bài viết này có thể giúp bạn thực hành công việc bảo mật trong WordPress một cách dễ dàng và tiết kiệm thời gian nhất có thể nhưng vẫn đảm bảo tính bảo mật cao.