Các nguyên nhân chính khiến cho website của bạn bị tấn công

Có bao giờ bạn tự hỏi đâu là các nguyên nhân chính khiến cho website của bạn bị tấn công bởi các tin tặc? Website bị tin tặc tấn công là một nỗi lo đối với hầu hết các chủ sở hữu. Có nhiều nguyên nhân dẫn đến việc website của bạn bị tin tặc “để ý”. Một trong những nguyên nhân chủ yếu là bảo mật kém. Trong bài viết này tôi sẽ nêu ra các nguyên nhân chính khiến cho website của bạn dễ bị tấn công cũng như cung cấp các giải pháp giúp bạn tăng cường tối bảo mật cho blog/website của mình.

Tại sao WordPress là đích ngắm của các tin tặc?

Điều đầu tiên bạn nên biết là không chỉ riêng gì WordPress mà tất cả các trang web trên internet đều có thể bị tổn hại bởi các cuộc tấn công của tin tặc. Sau các cuộc tấn công, hậu quả để lại là vô cùng nặng nề. Nhẹ thì hư hỏng cơ sở dữ liệu, mất dữ liệu, nặng thì mất cả tài khoản quản trị, chết trang…

Và lý do tại sao WordPress là điểm ngắm của các tin tặc là bởi vì nó là một CMS phổ biến nhất thế giới hiện nay. WordPress hiện đang chiếm 31% thị phần CMS. Điều đó có nghĩa là có hàng trăm triệu website được tạo bởi nền tảng WordPress thần thánh.

Chính sự phổ biến rộng rãi của WordPress đã khiến cho tin tặc dễ dàng tìm thấy các trang web có độ bảo mật kém để khai thác các lỗ hổng và tấn công.

Tin tặc có rất nhiều động cơ khác nhau khi tấn công một website. Một trong số đó là những người vừa mới tập tò đang học cách khai thác các lỗ hổng trên các trang web bảo mật kém để “thực hành”. Một số tin tặc sừng sỏ khác sẽ sử dụng những thủ đoạn “hiểm độc” hơn bằng cách phân phối mã độc, dùng một trang web này để tấn công trang web khác hoặc spam trên internet.

Vì vậy chúng ta cần phải tìm được các nguyên nhân phổ biến nhất khiến cho tin tặc tấn công website của bạn, sau đó lập tức tránh xa chúng để hạn chế đến mức thấp nhất khả năng bị tấn công.

1. Web hosting bảo mật kém

unsecure hosting

Giống như tất cả các website khác, WordPress.org được lưu trữ trên máy chủ web. Một số công ty cung cấp dịch vụ lưu trữ không thật sử làm tốt việc bảo mật cho nền tảng hosting của họ. Điều này làm cho tất cả các trang web được lưu trữ trên máy chủ của họ dễ bị tổn hại bởi các cuộc tấn công của tin tặc.

Bạn có thể dễ dàng khắc phục nguyên nhân này bằng cách lựa chọn các nhà cung cấp dịch vụ lưu trữ uy tín như Hawkhost, Bluehost…Với các nhà cung cấp dịch vụ hosting uy tín, chất lượng đó, website của bạn đảm bảo sẽ được lưu trữ trên một nền tảng an toàn. Một nền tảng hosting bảo mật có thể giúp cho website WordPress của bạn tránh được các cuộc tấn công phổ biến.

2. Sử dụng mật khẩu yếu

Mật khẩu là chìa khóa để truy cập vào ngôi nhà WordPress site của bạn. Bạn cần phải chắc chắn rằng mình đang sử dụng một mật khẩu mạnh và duy nhất cho các tài khoản bên dưới vì tất cả chúng đều có thể cung cấp cho tin tặc toàn quyền truy cập vào trang web của bạn. Không nên sử dụng chung một mật khẩu cho tất cả các tài khoản này.

  • Tài khoản quản trị WordPress của bạn.
  • Tài khoản cPanel của Hosting.
  • Tài khoản FTP.
  • Cơ sở dữ liệu MySQL dùng cho WordPress site của bạn.
  • Tài khoản email dùng để quản trị WordPress hoặc tài khoản Hosting.

Tất cả các tài khoản trên đều được bảo vệ bằng mật khẩu. Sử dụng mật khẩu yếu có thể làm cho tin tặc dễ dàng bẻ khóa mật khẩu bằng cách sử dụng các công cụ cơ bản.

Bạn có thể dễ dàng tránh xa lỗ hổng này bằng cách sử dụng mật khẩu mạnh và duy nhất cho các loại tài khoản. Mật khẩu nên chứa cả chữ hoa, chữ thường, số và các ký tự đặc biệt như@, #, $, &…

3. wp-admin Directory không được bảo vệ

Khu vực quản trị WordPress cung cấp cho người dùng quyền truy cập để thực hiện các tác vụ khác nhau trên trang web WordPress của bạn. Đây cũng là khu vực dễ bị tấn công nhất trên trang web WordPress của bạn.

Nếu nó không được bảo vệ tốt, tin tặc có thể thử các cách tiếp cận khác nhau để bẻ khóa trang web của bạn. Bạn có thể gây khó khăn cho tin tặc bằng cách thêm các lớp xác thực vào thư mục quản trị WordPress của mình.

Đầu tiên, bạn cần bảo vệ khu vực quản trị WordPress của mình bằng mật khẩu. Thao tác này sẽ thêm một lớp bảo mật bổ sung. Bất kỳ ai cố thử truy cập vào khu vực WordPress của bạn sẽ phải cung cấp mật khẩu bổ sung.

Nếu bạn đang chạy một trang web WordPress nhiều người dùng, nhiều tác giả, bạn có thể áp dụng mật khẩu mạnh cho tất cả người dùng trên website của mình. Bạn cũng có thể thêm xác minh hai lớp để tăng cường bảo mật, hạn chế thấp nhất việc tin tặc truy cập vào khu vực quản trị WordPress của mình.

4. Phân quyền sai cho tập tin

Quyền của tập tin là một bộ các quy tắc được sử dụng trên máy chủ web của bạn. Các quyền này giúp máy chủ web kiểm soát quyền truy cập vào các tập tin trên trang web của bạn. Phân quyền không chính xác cho tập tin có thể tạo cơ hội cho tin tặc truy cập, ghi đè và thay đổi các tập tin.

Tất cả các tập tin WordPress của bạn có cả thảy 644 giá trị phân quyền, các thư mục có 755 giá trị.

Để phân quyền cho tập tin, việc đầu tiên bạn cần là kết nối đến trang web của mình bằng cách sử dụng trình máy khách FTP. Sau khi đã kết nối, bạn hãy truy cập vào thư mục gốc của WordPress Site.

Sau đó chọn tất cả các thư mục trong thư mục gốc và nhấp chuột phải kích chọn “File Permissions” từ menu ngữ cảnh. Thao tác này sẽ làm xuất hiện một hộp thoại phân quyền cho tập tin.

Giờ bạn cần nhập số 755 vào trường Numeric Value. Sau đó bạn cần kích chọn hộp kiểm “Recurse into subdirectories” và sau đó chọn tùy chọn Apply to directories only”.

Nhấp vào nút OK để tiếp tục. Trình máy khách FTP của bạn sẽ bắt đầu thiết lập quyền của các thư mục và thư mục con. Bạn cần chờ cho đến khi nó kết thúc việc này.

Tiếp theo bạn cần chọn tất cả các thư mục và tập tin trong thư mục gốc của WordPress Site và sau đó nhấp chuột phải chọn “File permissions”. Hộp thoại phân quyền sẽ xuất hiện. Lúc này bạn cần nhập giá trị 644 cho trường Numeric value. Sau đó bạn cần kích chọn hộp kiểm “Recurse into subdirectories” và sau đó chọn tùy chọn Apply to files only’Nhấp vào nút OK để tiếp tục. Trình máy khách FTP của bạn sẽ bắt đầu thiết lập quyền của các tập tin trên WordPress site của bạn.

5. Không cập nhật WordPress

Một số người dùng WordPress cảm thấy lo lắng khi cập nhật WordPress. Vì họ nghĩ có thể bản cập nhật sẽ làm hỏng website của họ.

Tuy nhiên họ lại không biết rằng mỗi một phiên bản WordPress được cập nhật nó sẽ giúp gỡ rối và tăng cường bảo mật cho website của bạn. Nếu bạn không tiến hành cập nhật WordPress tức là bạn đang cố tình làm cho trang web của mình đối mặt với nguy cơ bị tổn thương nghiêm trọng.

Nếu bạn sợ việc cập nhật sẽ làm hỏng website của mình thì bạn có thể tiến hành sao lưu dữ liệu trước khi cập nhật. Nếu chẳng may xảy ra sự cố bạn chỉ cần phục hồi dữ liệu cho website của mình là xong.

6. Không cập nhật plugin và theme

Cũng giống như nhân của phần mềm WordPress, việc cập nhật plugin và theme cho website của bạn cũng quan trọng không kém. Sử dụng các plugin và theme lỗi thời có thể khiến cho website của bạn dễ gặp các vấn đề về bảo mật.

Các vấn đề bảo mật thường được phát hiện từ các plugin và theme. Thường thì tác giả của các plugin và theme sẽ nhanh chóng khắc phục các vấn đề này. Tuy nhiên nếu bạn không cập nhật các plugin và theme lên phiên bản mới thì mọi thứ vẫn không có gì thay đổi. Bạn sẽ vẫn đối mặt với các vấn đề bảo mật do plugin và theme lỗi thời gây ra.

Vì vậy hãy tiến hành cập nhật plugin và theme khi nó có thông báo cập nhật.

7. Sử dụng giao thức FTP thay vì SFTP/SSH

ftp or sftp

Tài khoản FPT được dùng để upload tập tin lên máy chủ web của bạn bằng trình ứng dụng khách FTP. Hầu hết các nhà cung cấp dịch vụ hosting hỗ trợ dùng các giao thức khác nhau để thực hiện kết nối FTP như: FTP, SFTP, SSH.

Khi bạn sử dụng FTP để kết nối đến website của mình, mật khẩu gửi đi sẽ không được mã hóa. Nó sẽ dễ bị các phần mềm gián điệp đánh cắp. Thay vì sử dụng FTP, bạn cần dùng SFTP hoặc SSH.

Bạn không cần phải thay đổi ứng dụng khách FTP của mình. Hầu hết các trình ứng dụng khách FTP có thể kết nối đến website của bạn trên SFTP cũng như SSH. Bạn cần phải thay đổi giao thức SFTP – SSH khi kết nối đến website của mình.

8. Sử dụng tên đăng nhập là admin

Sử dụng tên đăng nhập ‘admin’ không được khuyến khích. Nếu tài khoản quản trị của bạn là “admin” bạn cần thay đổi ngay lập tức thành một tên khác.

Để biết cách thay đổi username trong WordPress bạn có thể xem lại bài viết này.

9. Dùng Nulled Theme và Plugin

Có nhiều website trên internet cung cấp WordPress Theme và Plugin cao cấp một cách miễn phí. Vì vấn đề kinh phí nên thật dễ bị cám dỗ để sử dụng các WordPress Theme và Plugin Nulled.

Tải xuống các WordPress Theme và Plugin có xuất xứ, nguồn gốc không rõ ràng rất nguy hiểm. Nó không chỉ làm ảnh hưởng đến khả năng bảo mật mà có có thể đánh cắp các thông tin nhạy cảm trên website của bạn.

Bạn nên luôn tải về các WordPress Theme và Plugin có nguồn gốc, xuất xứ rõ ràng tại các địa chỉ đáng tin cậy như plugin/theme từ website của nhà phát triển hoặc kho plugin/theme chính chủ từ WordPress.org.

Nếu bạn không có điều kiện về kinh phí để mua các plugin/theme trả phí, hãy sử dụng các plugin/theme miễn phí có sẵn để thay thế. Có những plugin/theme miễn phí tốt không kém gì các plugin/theme trả phí đáp ứng được nhu cầu của bạn và quan trọng hơn là nó giữ cho trang web của bạn được an toàn.

Bạn có thể tìm hiểu thêm tại sao không nên sử dụng Nulled Theme và Plugin tại đây.

10. Không bảo mật tập tin wp-config.php

Tập tin cấu hình WordPress wp-config.php chứa các thông tin đăng nhập cơ sở dữ liệu WordPress của bạn. Nếu nó bị xâm nhập, nó sẽ để lộ các thông tin cần thiết giúp cho tin tặc có thể toàn quyền truy cập vào website của bạn.

Bạn có thể sử dụng tập tin .htaccess để bổ sung thêm một lớp bảo mật từ chối truy cập vào tập tin wp-config.php. Chỉ cần thêm đoạn code bên dưới vào tập tin .htaccess là được.

<files wp-config.php>
order allow,deny
deny from all
</files>

11. Không thay đổi tiền tố bảng trong cơ sở dữ liệu WordPress

Nhiều chuyên gia khuyến nghị rằng bạn nên thay đổi tiền tố wp_ mặc định trong cơ sở dữ liệu WordPress. Theo mặc định WordPress dùng tiền tố wp_ làm tiền tố của các bảng mà nó tạo ra trong cơ sở dữ liệu WordPress. Bạn có thể nhìn thấy tùy chọn này và thay đổi nó trong quá trình cài đặt WordPress.

Bạn nên sử dụng tiền tố phức tạp hơn so với mặc định một chút để gây khó khăn chon tin tặc khi chúng muốn đoán tên bảng trong cơ sở dữ liệu của bạn.

Cách nhanh nhất để thay đổi tiền tố bảng là dùng tập tin wp-config.php. Mở tập tin wp-config.php lên sau đó tìm đến dòng có từ $table_prefix, thay đổi tiền tố mặc định sang tiền tố mà mình mong muốn là xong.

Ví dụ:

$table_prefix=’wp_thanh1986t123′;

Tôi hy vọng sau khi đọc xong bài viết này bạn sẽ có thể biết được các nguyên nhân chính khiến cho website của bạn bị tấn công. Hãy làm tất cả mọi thứ có thể để tránh xa các nguyên nhân này nhằm đảm bảo an toàn cho website của bạn.

Nếu bạn thấy bài viết hữu ích đừng quên Like và Share.

Hẹn gặp lại bạn trong các bài viết tiếp theo./.

Đăng ký nhận bài viết mới nhất

Hãy đăng ký nhận tin để nhận được những nội dung thú vị và tuyệt vời!

Để lại bình luận

Plugins Themes Thủ thuật
Thay đổi email quản trị trong wordpress
Hướng dẫn thay đổi email quản trị trong WordPress
hướng dẫn khắc phục lỗi không gửi được email trong wordpress
Hướng dẫn khắc phục lỗi không gửi được email trong WordPress
Hướng dẫn chụp màn hình để minh hoạ cho bài viết trong WordPress
Cách chụp màn hình để minh hoạ cho các bài viết trên blog WordPress
Keyword Research SEO Offpage SEO Onpage
Từ khoá và website của bạn
Xây dựng Website chuẩn SEO
Xây dựng Website chuẩn SEO
Hướng dẫn chi tiết WordPress SEO
Hướng dẫn chi tiết WordPress SEO cho người mới
Ajax Bootstrap HTML/CSS JavaScript Joomla jQuery PHP/MySQL
Cách đặt tên miền
Tên miền là gì? Cách chọn tên miền cho blog WordPress
Thay đổi tên miền cho website wordpress
Hướng dẫn thay đổi tên miền cho website WordPress
Sự khác nhau giữa tên miền và Web Hosting
Sự khác nhau giữa tên miền và Web Hosting
Amazon Nichesite Google Adsense Product Lauch Social Marketing Viết Blog Youtube Partner
Thêm Google Adsense vào trang web WordPress
Hướng dẫn thêm Google Adsense vào trang web WordPress
Hướng dẫn đăng ký tài khoảnClickbank khi bị chặn ở Việt Nam
Hướng dẫn đăng ký tài khoản Clickbank khi bị chặn tại Việt Nam
Kiếm tiền từ blog WordPress
Kiếm tiền từ blog WordPress như thế nào?