Hướng dẫn bảo vệ website của bạn khỏi Brute Force Attack

Brute Force Attack có thể làm chậm website của bạn, làm cho nó không thể truy cập được. Thậm chí là nó có thể bẻ khóa mật khẩu của bạn để cài mã độc. Vậy là thế nào để phòng chống Brute Force Attack một cách hiệu quả? Trong bài viết này tôi sẽ chia sẽ một số thủ thuật giúp bạn bảo vệ website WordPress của mình trước Brute Force Attack.

Brute Force Attack là gì?

Brute Force Attack là phương pháp tấn công sử dụng kỹ thuật đoán thử liên tục để đột nhập vào một website hoặc hệ thống mạng máy tính.

Tin tặc sử dụng phần mềm tự động gửi đến hệ thống đích một lượng lớn truy vấn. Với mỗi truy vấn, các phần mềm này sẽ cố gắng đoán thông tin cần thiết để truy cập như mật khẩu, mã PIN.

Những công cụ này cũng có thể ngụy trang bằng cách sử dụng các địa chỉ IP và địa điểm khác nhau, khiến cho hệ thống được nhắm mục tiêu khó xác định và chặn các hoạt động đáng ngờ này.

Nếu Brute Force Attack được thực hiện thành công, tin tặc có thể truy cập vào khu vực quản trị WordPress của bạn. Họ có thể cài đặt backdoor, mã độc, ăn cắp thông tin người dùng và xóa mọi thứ trên website của bạn.

Thậm chí ngay cả khi không thực hiện thành công Brute Force Attack, nó vẫn để lại hậu quả khôn lường cho website của bạn. Vì khi tấn công, tin tặc gửi rất nhiều truy vấn đến máy chủ lưu trữ website WordPress của bạn nên làm chậm, gây xung đột Web Hosting.

Với những hậu quả khôn lường mà Brute Force Attack có thể gây ra cho website của bạn thì việc tìm hiểu làm thế nào để bảo vệ WordPress site của bạn trước Brute Force Attack là vô cùng cần thiết. Phòng bệnh hơn chữa bệnh, bạn nên áp dụng các bước tôi chia sẽ bên dưới để bảo vệ website của mình ngay khi chưa bị nhòm ngó.

Bước 1: Tạo plugin tạo tường lửa

Brute Force Attack làm chậm đáng kể hosting của bạn, ngay cả khi không thực hiện thành công. Thậm chí nó có thế phá hủy máy chủ lưu trữ của bạn. Vì vậy chúng ta cần phải chặn các truy vấn trước khi nó được gửi tới máy chủ.

Để làm điều đó, bạn cần sử dụng một giải pháp tường lửa cho website của mình. Tường lửa lọc các truy cập khả nguy và chặn không cho truy cập vào website của bạn.

Có hai kiểu tường lửa bạn có thể sử dụng cho website của mình:

  • Application Level Firewall: Các plugin tường lửa này kiểm tra lưu lượng truy cập khi nó tiếp cận đến máy chủ của bạn trước khi tải các tập lệnh WordPress. Phương pháp này không hiệu quả vì Brute Force Attack vẫn có thể làm ảnh hưởng đến tốc độ tải trên máy chủ của bạn.
  • DNS Level Website Firewall: Các tường lửa này định tuyến lưu lượng truy cập vào website của bạn thông qua các máy chủ proxy đám mây của chúng. Tường lửa lọc và chỉ gửi lưu lượng truy cập đáng tin cậy đến web hosting của bạn nên không làm ảnh hưởng đến hiệu năng và tốc độ của Web Hosting.

Bạn nên dùng Sucuri. Đây là công ty hàng đầu trong lĩnh vực bảo mật trang website và tường lửa WordPress tốt nhất trên thị trường hiện nay.

Bước 2: Cài đặt WordPress Updates

Một số cuộc tấn công Brute Force Attracks thường nhắm đến mục tiêu là các lỗ hổng bảo mật ở các phiên bản cũ hơn của WordPress, các Plugins, Themes phổ biến.

Nhân của WordPress và đa số các Plugin phổ biến đều là mã nguồn mở nên việc vá lỗi thường rất nhanh bằng bản bản cập nhật. Nếu bạn không cập nhật WordPress, Plugin và Theme lên phiên bản mới nhất thì cũng giống như bạn đã gián tiếp để cho trang web của mình đối mặt với các lỗ hổng bảo mật đã cũ.

Chỉ cần truy cập vào trang Dashboard » Updates trong khu vực quản trị để kiểm tra xem có bản cập nhật mới nào được phát hành hay không. Trang này sẽ hiển thị tất cả các thông báo cập nhật đối với WordPress, Theme và Plugin.

wordpress udpate

Bước 3: Bảo vệ thư mục WordPress Admin

Hầu hết các cuộc tấn công Brute Force Attack đều cố truy cập vào khu vực quản trị WordPress của bạn. Bạn có thể thêm mật khẩu bảo vệ cho thư mục WordPress Admin ở cấp độ máy chủ. Điều này sẽ chặn truy cập trái phép vào khu vực quản trị WordPress của bạn.

Chỉ cần đăng nhập vào cPanel và nhấp vào biểu tượng Directory Privacy trong phần FiLES.

Lưu ý: Tôi dùng cPanel của Hawkhost để làm ví dụ minh họa. Đối với các công ty hosting khác mọi thứ cũng tương tự.

directory private in cpanel

Tiếp theo bạn cần tìm đến thư mục wp-admin và nhấp vào tên của nó.

set password for wp-admin

cPanel yêu cầu bạn nhập tên và mật khẩu truy cập vào khu vực bị hạn chế.

khu vuc han che wp-admin

Giờ thư mục WordPress Admin của bạn đã được bảo vệ bằng mật khẩu. Bạn sẽ thấy một cửa sổ yêu cầu tên đăng nhập và mật khẩu khi bạn truy cập vào khu vực quản trị WordPress của mình.

Nếu bạn gặp phải lỗi 404, bạn cần thêm dòng mã bên dưới vào tập tin .htaccess

ErrorDocument 404 default

Bước 4: Thêm xác thực hai yếu tố trong WordPress

Xác thực hai yếu tố bổ sung thêm một lớp bảo mật vào màn hình đăng nhập WordPress. Về cơ bản, người dùng chỉ cần dùng điện thoại của mình để tạo mật mã cùng với thông tin đăng nhập để truy cập vào khu vực quản trị WordPress.

Thêm xác thực hai yếu tố sẽ khiến cho tin tặc khó có thể truy cập vào khu vực quản trị WordPress ngay cả khi mật khẩu đăng nhập WordPress bị bẻ khóa.

Để tìm hiểu thêm chi tiết cách thêm xác thực hai yếu tố bạn hãy đọc bài viết Hướng dẫn thêm xác thực hai yếu tố miễn phí cho WordPress.

Bước 5: Sử dụng mật khẩu mạnh

Mật khẩu là chìa khóa để chống truy cập trái phép vào website của bạn. Vì thế bạn cần sử dụng mật khẩu mạnh mẽ cho các tài khoản của mình. Một mật khẩu mạnh là tổ hợp của số, chữ cái và ký tự đặc biệt.

Điều quan trọng là bạn không chỉ sử dụng mật khẩu mạnh cho tài khoản WordPress mà còn cần phải sử dụng mật khẩu mạnh cho cả FTP, cPanel và cơ sở dữ liệu WordPress.

Rất nhiều người mới sẽ băn khoăn vì không biết làm sao để nhớ các mật khẩu mạnh mẽ này. Bạn không cần phải nhớ chúng. Có rất nhiều phần mềm ứng dụng có thể giúp bạn lưu trữ mật khẩu một cách an toàn và tự động điền chúng cho bạn. Bạn có thể dễ dàng tìm thấy chúng trên internet.

Bước 6: Vô hiệu hóa Directory Browsing

Theo mặc định, khi web server của bạn không tìm thấy tập tin index (tập tin index có dạng index.php hoặc index.html), nó sẽ tự động hiển thị một trang chỉ mục liệt kê nội dung của thư mục.

Trong một cuộc tấn công Brute Force Attack tin tặc có thể dùng tính năng Directory Browsing để tìm các tập tin dễ bị tổn thương. Để khắc phục đều đó bạn cần thêm dòng code bên dưới vào cuối tập tin .htaccess.

Options -Indexes

Bước 7: Vô hiệu hóa thực thi tập tin PHP trong một thư mục WordPress cụ thể

Tin tặc có thể muốn cài đặt và thực thi mã PHP trong thư các mục WordPress của bạn. WordPress được viết bằng ngôn ngữ PHP và sử dụng cơ sở dữ liệu MySQL. Điều đó có nghĩa là bạn không thể vô hiệu hóa trong tất cả các thư mục trong WordPress.

Tuy nhiên có một vài thư mục không cần bất  cứ mã PHP nào. Ví dụ: thư mục upload /wp-contet/uploads.

Bạn có thể vô hiệu hóa việc thực thi PHP một cách an toàn trong thư mục uploads nơi mà tin tặc có thể để ẩn các tập tin backdoor.

Đầu tiên, bạn cần mở một trình chỉnh sửa văn bản như Notepad trên máy tính và dán đoạn mã bên dưới vào:

<Files *.php>

deny from all

</Files>

Giờ, lưu tập tin lại dưới dạng .htaccess và upload nó vào thư mục /wp-content/uploads/ trên website của bạn bằng cách dùng trình ứng dụng khác FTP.

Bước 8: Cài đặt và thiết lập plugin sao lưu dữ liệu

WordPress Backups Data

Sao lưu dữ liệu là việc làm quan trọng nhất trong bảo mật cho WordPress site. Nếu gặp sự cố các bản sao lưu sẽ giúp bạn có thể khôi phục dữ liệu một cách dễ dàng.

Hầu hết các công ty cung cấp hosting đều cung cấp tính năng sao lưu giới hạn các tuỳ chọn. Tuy nhiên các bản sao lưu này không được đảm bảo và bạn phải chịu trách nhiệm hoàn toàn trong việc tạo các bản sao lưu cho riêng mình.

Có một số plugin tuyệt vời có thể giúp bạn sao lưu dữ liệu trên website của mình theo lịch trình đã được lên sẵn. Tôi khuyên bạn nên dùng plugin UpdraftPlus để sao lưu dữ liệu cho website của mình. Đây là một plugin thân thiện, dễ dùng và cho phép bạn nhanh chóng thiết lập sao lưu tự động và phục hồi từ các vị trí bên ngoài website của bạn như Dropbox, Google Driver, Amazon S3…

Bạn có thể xem lại bài viết này để biết cách sử dụng plugin UpdraftPlus để sao lưu và phục hồi dữ liệu trên trang web của mình.

Tôi hy vọng tất cả các thủ thuật trên sẽ có thể giúp bạn bảo vệ website của mình trước các cuộc tấn công Brute Force Attack.

Nếu bạn thấy bài viết này hữu ích đừng quên Like và Share.

Hẹn gặp lại bạn trong bài viết tiếp theo./.

Đăng ký nhận bài viết mới nhất

Hãy đăng ký nhận tin để nhận được những nội dung thú vị và tuyệt vời!

Để lại bình luận

Plugins Themes Thủ thuật
Hướng dẫn tạo mục lục cho bài viết trong wordpress
Hướng dẫn tạo mục lục cho bài viết trong WordPress
Brute Force Attack là gì cách bảo vệ website của bạn trước các cuộc tấn công brute force attack
Hướng dẫn bảo vệ website của bạn khỏi Brute Force Attack
Hướng dẫn thêm xác thực hai yếu tố miễn phí cho WordPress
Keyword Research SEO Offpage SEO Onpage
Từ khoá và website của bạn
Xây dựng Website chuẩn SEO
Xây dựng Website chuẩn SEO
Hướng dẫn chi tiết WordPress SEO
Hướng dẫn chi tiết WordPress SEO cho người mới
Ajax Bootstrap HTML/CSS JavaScript Joomla jQuery PHP/MySQL
Cách đặt tên miền
Tên miền là gì? Cách chọn tên miền cho blog WordPress
Thay đổi tên miền cho website wordpress
Hướng dẫn thay đổi tên miền cho website WordPress
Sự khác nhau giữa tên miền và Web Hosting
Sự khác nhau giữa tên miền và Web Hosting
Amazon Nichesite Google Adsense Product Lauch Social Marketing Viết Blog Youtube Partner
Thêm Google Adsense vào trang web WordPress
Hướng dẫn thêm Google Adsense vào trang web WordPress
Hướng dẫn đăng ký tài khoảnClickbank khi bị chặn ở Việt Nam
Hướng dẫn đăng ký tài khoản Clickbank khi bị chặn tại Việt Nam
Kiếm tiền từ blog WordPress
Kiếm tiền từ blog WordPress như thế nào?