Điều đầu tiên tôi muốn nói là không chỉ WordPress mà tất cả các trang web có hệ thống quản lý nội dung (CMS) trên Internet đều dễ bị hack.
Lý do WordPress là một mục tiêu bị hack phổ biến nhất vì WordPress là mã nguồn phổ biến nhất thế giới. Với hơn 40% các trang web trên toàn thế giới sử dụng WordPress
Các tin tặc, hacker dễ dàng tìm thấy nhiều website kém an toàn, không được cập nhật các bản vá lỗi nên các lỗ hổng bảo mật được công bố trước trước đó để tiến hành tấn công hàng loạt website có cùng đặc điểm bảo mật.
Có một quan niệm sai lầm là tin tặc sẻ lấy dữ liệu cá nhân trên các website nhưng hơn 95% các cuộc tấn công chỉ muốn phát tán thư rác! Họ truy cập vào máy chủ, chiếm quyền điều khiển để chia sẻ một số liên kết (backlinks cho SEO), chèn quảng cáo vào website v.v
Tại sao xảy ra vấn đề này? Chúng ta hãy xem bốn lý do quan trọng làm website của bạn dễ trở thành mục tiêu bị hạ bệ và làm thế nào để ngăn chặn các cuộc tấn công ấy.
1. Plugins và theme
Các plugin và chủ đề (WordPress theme) lỗi thời hoặc không xác định là lý do đầu tiên làm các website kém bảo mật. Khi một lỗ hổng bảo mật tồn tại trong theme hoặc plugin thì các hacker sẻ tiến hành khai thác hàng loạt các website sử dụng plugin hoặc theme nào đó. VD như vài tháng trước đây một lỗi bảo mật được tìm thấy ở plugin Easy WP SMTP đã bị hacker khai thác và ảnh hưởng đến hàng nghìn website.
Để đối phó với vấn đề này bạn nên cập nhật plugin và chủ đề thường xuyên vì các nhà phát triển sẽ cập nhật các bản vá lỗi giúp hệ thống bạn an toàn hơn. Bạn cũng nên chọn các plugin và chủ đề bởi các nhà phát triển uy tín, tránh mua plugin qua các kênh mua bán lại plugin. Nhiều người dùng thích các theme hay plugin lậu hay còn gọi là Nulled, thì điều này cực kỳ nguy hiểm bởi bạn sẻ không thể kiểm soát được toàn bộ mã nguồn đó có bị chèn vào mã độc hay không
2. Mật khẩu
Trong nhiều năm qua, Chúng tôi đã xử lý nhiều vấn đề khác nhau đối với các trang WordPress. Đôi khi, người dùng nhờ chúng tôi fix lỗi trên website và họ cung cấp thông tin tài khoản quản trị viên vô cùng hài hước. Đối với hầu hết mật khẩu quản trị viên kiểu rất thô sơ như: admin123, 654321, v.v
Mật khẩu cần được đặt mạnh cho tất cả các loại
– Tài khoản quản trị WordPress
– Cơ sở dữ liệu MySQL
– Tài khoản FTP
– Tài khoản email
Tất cả các mật khẩu nên sử dụng mật khẩu mạnh (bao gồm chữ hoa và chữ thường, số, ký hiệu đặc biệt, v.v.) và không sử dụng cùng một mật khẩu cho tất cả các tài khoản .
Nếu có nhiều mật khẩu, bạn có thể cân nhắc sử dụng các công cụ quản lý mật khẩu của bên thứ ba, chẳng hạn như Last Pass, v.v. . Nếu bạn sử dụng mật khẩu yếu, tin tặc có thể dễ dàng lấy được mật khẩu bằng một số công cụ hack.
3. Cập nhật WordPress
Theo báo cáo danh sách các trang web bị tấn công của Sucuri, khoảng 55-61% website sử dụng WordPress phiên bản cũ
Theo kinh nghiệm của chúng tôi, những người không cập nhật trang web được chia thành 2 dạng
– Họ không quan tâm, hoặc không biết cách cập nhật, nói chung họ không ý thức được việc cập nhật WordPress
– Họ lo ngại rằng bản cập nhật sẽ làm website của họ bị lỗi (trong trường hợp này theme hoặc plugin không tương thích với phiên bản WP mới)
Nếu bạn ở nhóm 1 bạn còn chờ gì nữa! Hãy tìm hiểu một tí để có thể cập nhật WordPress trong 2 cú click mà thôi
Còn nếu bạn ở nhóm 2, bạn nên sao lưu và cập nhật bình thường, nếu gặp sự cố thì nhờ chuyên gia hỗ trợ.
WordPress phát hành các bản cập nhật vì một lý do nào đó có thể là tăng trải nghiệm, tối ưu hiệu suất hoặc fix lỗi bảo mật vì vậy cập nhật WordPress lên bản mới nhất là điều vô cùng cần thiết để website của bạn an toàn hơn.
Kết luận
Hầu hết mọi người thường bỏ qua việc bảo mật website, khi xây dựng trang web họ quan tâm nhất đến vẻ bề ngoài của website và chức năng của trang web. Họ tập trung vào xuất bản nội dung và SEO, nhưng bỏ qua vấn đề bảo mật nên khi gặp sự cố họ đều hoảng loạn.
Rõ ràng, đây là một sai lầm rất lớn! Vì vậy, từ bây giờ, hãy chú ý hơn đến bảo mật trang web của bạn! Bởi vì cho dù bạn có nỗ lực bao nhiêu để SEO hoặc phát triển web mà không chú ý đến bảo mật thì có thể bạn sẻ mất tất cả.
Ngoài các lưu ý nêu trên bạn có thể tham khảo một số plugin bảo mật tại đây
