Theo những thống kê ở thời gian gần đây, cả thế giới có hơn 60 triệu site được làm từ WordPress, trong 10 triệu site hàng đầu thế giới hiện nay có khoảng 22% được xây dựng trên nền tảng WordPress. Những thống kê này ngoài việc cho thấy sự phát triển mạnh mẽ của WordPress giai đoạn qua cũng cho thấy WordPress sẽ rất dễ trở thành mục tiêu tấn công của các hacker bởi độ phổ biến của nó. Một báo cáo không chính thức cho thấy rằng 77% trong tổng số 40.000 website hàng đầu được xây dựng trên nền tảng WordPress ẩn chứa nguy cơ bảo mật, ngoài ra 50 plugin hàng đầu được nhiều website sử dụng cũng tiềm ẩn nguy cơ bảo mật. Do đó, việc đề phòng và ngăn chặn sự tấn công từ bên ngoài (và cả bên trong) là rất quan trọng.
Trong khuôn khổ buổi Meetup: Sài Gòn WordPress vừa được tổ chức tại ERC Institute Vietnam vừa qua, Thomas Howad – một lập trình viên đã có nhiều năm kinh nghiệm bảo mật WordPress đã chia sẻ một số phương pháp có thể giúp bạn giữ hệ thống của bạn an toàn. Hãy cùng khảo sát nhanh.
Phụ mục
Những con số đáng lưu ý
Theo thống kê được Thomas chỉ ra:
- 41% những vụ tấn công WordPress được thực hiện thông qua những lỗi bảo mật liên quan đến hosting của bạn.
- 29% vụ tấn công vào WordPress được thực hiện thông qua các theme WordPress mà đa phần là các theme được chia sẻ miễn phí.
- 22% vụ tấn công được thực hiện thông qua các plugin, cũng như theme – phần lớn là các plugin miễn phí được chia sẻ hiện nay.
- 8% các vụ tấn công từ lỗi đặt mật khẩu lỏng lẽo của người quản trị
Đây quả là con số đáng lưu tâm, nếu như vấn đề bảo mật hosting đa phần được thực hiện bởi nhà cung cấp hosting của bạn do phần lớn các bạn sử dụng WordPress thường chọn giải pháp share host thì con số 29% và 22% những vụ tấn công xuất phát từ theme và plugin là con số đáng để bạn suy ngẫm. Bạn download một theme(hoặc plugin) miễn phí hoặc được chia sẻ về và trở thành nạn nhân của một vụ tấn công mà ngay cả bạn cũng chưa đủ kiến thức và kinh nghiệm để nhận ra. Qua đây NhanWeb cũng muốn nhắc nhở các bạn hãy cẩn trọng khi quyết định sử dụng theme và plugin miễn phí được chia sẻ. Trong điều kiện có thể, bạn hãy bỏ tiền ra mua để chắc chắn về sự đảm bảo, nếu không hãy lựa chọn một người chia sẻ theme có uy tín và trách nhiệm.
Bảo mật host
– Hãy lựa chọn một nhà cung cấp hosting uy tín hoặc được cộng đồng WordPress ủng hộ. Điều này rất quan trọng đối với bạn, nhất là khi bạn không thể làm gì nhiều với việc bảo mật, vá lỗi máy chủ…
– Đừng bao giờ đặt nhiều niềm tin vào các chương trình cung cấp host miễn phí, host giá rẻ. Nên nhớ, tiền nào của đó.
– Hãy nói không với shared host ngay khi có thể.
– Hãy sử dụng một gói hosting được cung cấp bởi một nhà cung cấp host chuyên nghiệp cho WordPress, ví dụ như WP Engine. Đơn giản: tất cả đã được tối ưu cho WordPress của bạn.
Theme
Theo thống kê, chỉ 10% theme được chia sẻ trên Internet được cho là an toàn, 10% được đặt dấu hỏi về độ an toàn và đến 80% theme được chia sẻ được cho là không an toàn. Vì vậy, khi quyết định thay đổi theme cho WP của mình bạn nên nhớ một số nguyên tắc sau:
- Không sử dụng theme miễn phí nếu được.
- Nếu bạn phải sử dụng theme miễn phí, hãy download từ những nguồn có độ tin cậy cao như: WordPress.org, ThemeForest hay WooThemes
- Nên sử dụng những framework an toàn cho theme như Genesis hoặc Thesis
Plugin bảo mật
Thật khó mà biết được plugin nào an toàn hoặc không an toàn cho bạn. Ngoài những nguyên tắc về an toàn đã được nói ở phần theme mà NhanWeb đã cung cấp, bạn cũng có thể bổ sung thêm một vài plugin liên quan đến bảo mật. Một trong số những plugin đó là iThemes Security (formerly Better WP Security). Đây là một plugin hay có thể giúp bạn bảo vệ hệ thống của mình tốt hơn bằng các đưa ra những lựa chọn bảo mật phù hợp cho hệ thống. Dưới đây là một số hình ảnh về iThemes Security và cấu hình mà có thể bạn quan tâm.
iThemes Security Dashboar iThemes Security Setting iThemes Security Setting iThemes Security Setting iThemes Security AdvandeNgoài những măc định của iThemes Security, bạn cần chú ý một số điều sau để đảm bảo hệ thống của bạn được an toàn:
- Bật tính năng HackRepair’s Blasklist trong ITheme Security
- Enable 404 detection
- Protect System Files
- Disable Directory Browsing
- Filter Request Methods
- Filter Suspicious Query Strings in the URL
- Filter Non-English Characters(áp dụng cho các site tiếng Anh)
- Filter Long URL Strings
- Remove File Writing Permissions
- Disable PHP in Uploads
- Remove WordPress Generator Meta Tag
- Remove the Windows Live Writer header.
- Remove the RSD (Really Simple Discovery) header.
- Reduce Comment Spam (also you should be using Akismet or Disable Comments)
- Display Random Version
- Disable XMLRPC (unless use trackbacks or Jetpack)
- Disables user’s author page nếu không có bài viết nào.
Bạn có thể xem tài liệu được cung cấp bởi Thomas Howard tại đây