Bạn có nghĩ website wordpress của mình bị hack hay không? Hãy cùng xem cách phòng chống, khắc phục và bảo mật cho website thân yêu của mình qua bài viết này

Rất nhiều doanh nghiệp và cá nhân người dùng thường rất không quan tâm đến vấn đề bảo mật trang web của mình trước khi phát hiện ra điều gì đó bất thường vì bị hack.

Mục đích của hacker là gì khi hack website của bạn?

• Tập sự, thử nghiệm công cụ hay phá phách cho vui.
• Khai thác, thu thập dữ liệu quan trọng như thông tin khách hàng, tài khoản ngân hàng, chiến lược kinh doanh hay bí mật chính trị, quân sự của một quốc gia, v.v…
• Biến website của bạn thành một nơi trung gian để điều hướng đến các trang web khiêu dâm, web xấu cho mục đích lừa đảo,…hay là nơi phát tán mã độc tấn công hệ thống mạng máy tính khác.
• Các mục đích khác.

Tùy vào nội dung và độ nổi tiếng của trang web của bạn mà hacker sẽ dòm ngó và sử dụng cho mục đích của chúng.  

Trang web bị hack sẽ gây ra tổn thất nghiêm trọng về uy tín, hoạt động kinh doanh và các vấn đề phát sinh như tốn thời gian , công sức và tiền để khắc phục hậu quả chưa kể khả năng mất mát dữ liệu không thể khôi phục lại được,…

Vậy thì chúng cần làm gì để phòng chống website wordpress bị hack?

Website có thể được xây dựng từ các cách như:

• Tự xây dựng từ ngôn ngữ lập trình( PHP, java, C#, python,…) kết hợp mã HTML, javascript và hệ quản trị cơ sở dữ liệu lưu trữ thông tin (mySQL, SQL Server,…)
• Dùng các công cụ có sẵn như WordPress, Joomla, Blogger, Tumblr, OpenCMS. Các công cụ này không đòi hỏi người dùng có kiến thức IT quá nhiều cũng có thể làm được.

Với mỗi cách và công cụ trên đều có những lỗi mà người dùng không biết được. Các phương thức và các công cụ trên cũng đều do con người tạo ta và do đó không có cái gì là tuyệt đối chưa tính khả năng các lỗ hỏng bảo mật có sẵn hoặc do họ cố ý để lại để khai thác sau này.

Việc của người dùng cẩn trọng là phải luôn trong tình trạng đối phó và update thường xuyên các thay đổi và cập nhật các công cụ này để phòng trang web của mình bị dễ bị tấn công.

Nói thì dễ nhưng thực tế rất ít người quan tâm đến điều này vì kiến thức IT giới hạn. Và nhiều lúc người ta nghĩ rằng điều đó cao siêu và chắc sẽ không xảy ra với mình đâu nhỉ.

Nhưng không gì là không thể phải không các bạn. Hãy thử nghĩ nếu một này nào đó nó xảy ra với mình thì phải làm sao đối phó và vượt qua . Giống như Nhật Bản họ diễn tập động đất và sóng thần cho người dân vậy. Họ giả lập các tình huống và đưa ra các kịch bản đối phó với chúng sao cho hợp lý nhất, giảm rủi ro nhiều nhất có thể.

Đối với việc website bị tấn công cũng vậy, chúng ta cần đưa ra các kịch bản đối phó với nó sao cho giảm được nhiều rủi ro nhất và có hiệu quả tốt nhất.

Trong bài viết này sẽ hướng dẫn cách phòng chống tấn công cho trang web được xây dựng từ công cụ phổ biến như là WordPress.

Các biện pháp phòng chống website wordpress bị hack:

• Dùng mật khẩu mạnh và an toàn:

Mật khẩu nên kết hợp độ dài và độ khó của ký tự. Không dùng mật khẩu dễ đoán như ngày sinh nhật hay tên. Đặt ra các yêu cầu về độ dài và loại ký tự mà mọi người cần phải sử dụng để họ phải sáng tạo hơn là việc tiếp tục sử dụng các mật khẩu tiêu chuẩn, dễ đoán gây nên các vấn đề nghiêm trọng về bảo mật và khiến cho website bị hack. Áp dụng cho mọi mật khẩu quản trị trên trang web, trên Cpanel của hosting, FTP , mySQL,..

• Phân quyền truy cập chặt chẽ trên máy chủ:

Tất cả các trang web được tạo bởi một loạt các tập tin và thư mục được lưu trữ trên máy chủ. Bên cạnh việc chứa tất cả các tập lệnh và dữ liệu cần thiết để làm cho trang web của bạn hoạt động. Mỗi tập tin và thư mục phải được gán cho một tập hợp các quyền thực thi nhất định. Bạn phải chắc chắn kiểm soát việc ai có thể đọc, ghi và thực thi các tệp tin trên máy chủ. Nên thiết lập 1 tài khoản máy chủ riêng để chạy dịch vụ website của bạn.

• Luôn cập nhật phiên bản mới của website:

• Sử dụng giao thức truyền tải bảo mật HTTPS thay vì HTTP cho website.
• Dùng các plugin chuyên dụng ngăn chặn xâm nhập và quét virus. Tất nhiên là có tính phí nhé các bạn
• Kiểm tra và khắc phục lỗi bảo mật SQL Ịnjection của website:

• Kiểm tra và khắc phục lỗi bảo mật XSS:

Kỹ thuật XSS được thực hiện dựa trên việc chèn các đoạn script nguy hiểm vào trong source code ứng dụng web. Nhằm thực thi các đoạn mã độc Javascript để chiếm phiên đăng nhập của người dùng.

Kẻ tấn công có thể sử dụng lỗ hổng XSS để ăn cắp cookie, chiếm đoạt tài khoản, thực hiện ActiveX, thực thi Flash content, lừa người dùng tải phần mềm… Các vụ tấn công lừa đảo thường khai thác lỗ hổng XSS để giả mạo là các website hợp pháp.

Các bạn có thể tham khảo các công cụ kiểm tra như NETSPARKER, CyStack Platform, Arachni,..

• Thường xuyên backup database và toàn bộ file của website:

Dùng Cpanel trên hosting để backup file và SQL data , ngoài ra có thể dùng FTP để backup toàn bộ file trên hosting

• Sử dụng nhà cung cấp hosting có uy tín và tin cậy về bảo mật. Việc dùng chung đồng thời 1 hosting của nhiều website dẫn đến khả năng khi một website bị hack thì ảnh hưởng đến tất cả website khác khi hacker chiếm được quyền cả hotsting server

Ngoài các cách cơ bản cần cho việc phòng chống website wordpress bị hack như trên thì chúng ta cần làm thêm một số thao tác sau:

1. Khắc phục lỗ hỏng thư mục mặc định wp:

Khi cài WP thì người dùng hay để và sử dung các đường dẫn mặc định như \wp-admin , \wp-contents, \wp-includes,….Việc này vô tình lộ thông tin lưu trữ vật lý của website và hacker sẽ dễ dàng tấn công . Giống như là bạn có 1 ngôi nhà và treo bảng ghi chi tiết bên trong có bao nhiêu phòng và phòng nào chứa cái gì cho người ta biết vậy. Việc giấu những thông tin này là việc cần thiết nên ưu tiên thực hiện để tránh bị dòm ngó nhé.

Chúng ta có thể cài  plugin WP Hide & Security Enhancer và thay đổi các đường dẫn mặc định của WordPress theo ý các bạn đồng thời khóa đường dẫn mặc định lại. Hình bên dưới là cách thay đổi và khóa wp-admin

Các bạn hãy thực hiện việc thay đổi và khóa đường dẫn mặc định của wp-admin, pw-contents, pw-includes, pw-theme, pw-plugins, XML-RPC, JSON RSET,…

Việc giấu các thư mục mặc định còn giúp cho các công cụ quét không nhận dạng được website của bạn là làm từ WordPres, từ đó hacker khó nhận biét được phải tán công như thế nào. Nếu họ biết chính xác là chúng ta dùng WordPress thì họ sẽ biết dùng các phương pháp tấn công cụ thể hơn.

Hãy dùng một công cụ quét là http://www.wpthemedetector.com/ và nhập vào trang web của bạn. Nếu kết quả như hình bên dưới thì chúc mừng bạn. Website của bạn không bị phát hiện đang dùng WordPress

Nếu công cụ detect ra website của bạn là WordPress thì nó sẽ hiện ra các thông tin WordPress như tên theme đang dùng là gì,…như hình bên dưới thì bạn nên cẩn thận nên khắc phục lỗ hỏng thư mục mặc định wp nhé

• Vô hiệu hóa lỗi hiển thị danh sách thư mục:

Tắt danh sách thư mục trong WordPress là một phương pháp hay để tránh tiết lộ thông tin nhạy cảm cho người dùng và công cụ tìm kiếm, các tính năng của máy chủ đang được sử dụng và các lỗ hổng tiềm ẩn trong các plugin, chủ đề hoặc tệp chung. Thực tiễn này góp phần tăng cường bảo mật cho WordPress. Hình bên dưới là một ví dụ chưa tắt danh sách thư mục và nó hiển thị mọi thông tin thư mục khi truy cập vào www.domainxyz.com/wp-content/plugins/wordpress-seo/vendor.

Cách khắc phục thông thường là thêm một đoạn code sau vào cuối file .htaccess tại thư mục gốc.

Options –DirectoryIndex

• Quét virus thường xuyên:

Dùng chức năng Virus scanner trong Cpanel

• Nâng cấp PHP lên khi có phiên bản mới.

Tiếp theo là chúng ta bàn về việc làm gì khi website wordpress bị hack:

Bước 1: Hãy ghi ra các dấu hiệu mà bạn nghi ngờ như sau:

• Bạn có đăng nhập vào WordPress được không?
• Trang web có tự chuyển hướng đến website khác không?
• Trang web có chứa các đường link không chính thức không?
• Có bị google đánh dấu là trang web không an toàn hay không?

Sau đó liên hệ với nhà dịch vụ hosting để hỗ trợ kiểm tra và làm theo hướng dẫn của họ

Bước 2: Khôi phục từ các bản backup đã được lưu trước đó. Tuy nhiên việc khôi  phục này cũng không khôi phục hoàn toàn 100% dữ liệu , tuy nhiên có còn hơn không.

Ví dụ bạn đã backup ngày 12/1/2021 lúc 12h trưa mà bị hack lúc 5h chiều. Vậy là từ thời điểm 12h trưa đến 5h chiều dữ liệu mới chưa được backup. Cho nên khi khôi phục lại thì sẽ mất dữ liệu trong khoảng 12h đến 5 giờ chiều.

Bước 3: Quét và diệt malware

• Xóa bất kỳ theme WordPress và plugin nào không hoạt động. Đây là nơi mà các hacker thường xuyên giấu backdoor của họ.
• Scan virus

Bước 4: Thay đổi mật khẩu của WordPress, Cpanel, FTP, mySQL và bất kỳ nơi nào đã dùng mật khẩu cũ

Bài viết này được đúc kết kiến thức từ kinh nghiệm thực tế của chúng tôi và từ nhiều nguồn tham khảo khác. Hy vọng nó hữu ích cho các bạn trong việc quản lý và duy trì website thân yêu cảu mình nhé.

Nếu bạn không có kinh nghiệm về bảo mật, hãy để chuyên gia làm việc đó. Hãy liên hệ với chúng tôi tại https://thietkeweb.maytech.vn

Xin cám ơn đã đọc bài