/ / Cách bảo mật trang web của bạn

Cách bảo mật trang web của bạn

Cho đến nay là hệ thống quản lý nội dung phổ biến nhất, WordPress cung cấp sức mạnh cho hàng triệu trang web khác nhau. Đó là phần mềm nguồn mở, có nghĩa là mã nguồn của nó có thể truy cập công khai và có thể được sửa đổi bởi khá nhiều người có đủ bí quyết.

Mặc dù bạn có thể mua các plugin và chủ đề WordPress, nhưng hàng chục nghìn trong số đó được cung cấp miễn phí. Như người ta có thể mong đợi, điều này không xảy ra mà không có mặt trái của nó. Vậy các trang web WordPress dễ bị tấn công như thế nào? Điều gì về các chủ đề và plugin của nó? Và làm thế nào bạn có thể bảo vệ các trang web của mình?


WordPress dễ bị tổn thương như thế nào?

Vào tháng 2 năm 2022, Jetpack phát hiện ra rằng các chủ đề và plugin phổ biến từ nhà cung cấp Chủ đề AccessPress (còn được gọi là Khóa truy cập) đã bị xâm phạm. Các nhà nghiên cứu đã tình cờ phát hiện ra lỗ hổng bảo mật sau khi phát hiện ra mã đáng ngờ trên một trang web bị xâm nhập. Sau khi điều tra sâu hơn, họ nhận ra rằng hầu hết các plugin AccessPress và mọi chủ đề đều chứa cùng một mã.

Sau đó, hóa ra AccessPress Themes đã trở thành nạn nhân của một cuộc tấn công mạng vào tháng 9 năm 2021, với các tin tặc đã chèn một cửa sau vào các plugin và chủ đề của nhà cung cấp.

AccessPress cuối cùng đã cập nhật và dọn dẹp các sản phẩm của họ, nhưng có lẽ hàng nghìn người dùng dễ bị tấn công trong một thời gian dài.

LÀM VIDEO TRONG NGÀY

Các plugin và chủ đề WordPress có lỗ hổng không?


Một phích cắm có cáp được nhìn thấy bên cạnh logo WordPress (đồ họa)

Các phát hiện của Jetpack nhấn mạnh WordPress có thể dễ bị tấn công như thế nào. Nhưng đây không phải là một trường hợp cá biệt.

Ví dụ, vào tháng 3 năm 2021, Wordfence đã tiết lộ các lỗ hổng chính trong hai plugin WordPress, nếu khai thác thành công, sẽ cho phép kẻ tấn công chiếm lấy một trang web. Các lỗ hổng đã được phát hiện trong các plugin Elementor và WP Super Cache. Elementor là một trình xây dựng trang web được sử dụng trên hơn bảy triệu trang web, trong khi WP Super Cache là một plugin bộ nhớ đệm phổ biến.

Vào tháng 2 năm 2022, như Tạp chí Công cụ Tìm kiếm đã báo cáo, Cơ sở dữ liệu về lỗ hổng bảo mật của Chính phủ Hoa Kỳ và các nhà nghiên cứu bảo mật WordPress đã cảnh báo về các lỗ hổng nghiêm trọng trong hàng chục plugin WordPress.


Trong số các plugin đó, chín plugin đã được sử dụng trên hơn 1,3 triệu trang web: Trình quản lý mã đầu trang chân trang, Trình chèn quảng cáo — Trình quản lý quảng cáo & Quảng cáo AdSense, Trình tạo cửa sổ bật lên, Bảo mật chống phần mềm độc hại và Tường lửa Brute-Force, Bảo vệ sao chép nội dung WP & Không nhấp chuột phải, Sao lưu cơ sở dữ liệu cho WordPress, GiveWP, Trình quản lý tải xuống và Trình dọn dẹp cơ sở dữ liệu nâng cao.

Cách bảo mật trang web WordPress của bạn

Người ta sẽ cho rằng những lỗ hổng này luôn được vá hoặc loại bỏ sau khi được phát hiện, nhưng thực tế không phải vậy.

Nghiên cứu từ Patchstack cho thấy rằng năm 2021 chứng kiến ​​sự gia tăng 150% trong các lỗ hổng WordPress được báo cáo so với năm 2020 — và 29% trong số các lỗ hổng đó không nhận được bản vá. Patchstack cũng phát hiện ra rằng chỉ 0,58% các lỗ hổng được báo cáo nằm trong lõi WordPress, có nghĩa là các lỗ hổng hầu như luôn được tìm thấy trong các plugin.


Điều quan trọng là đảm bảo tất cả các plugin bạn sử dụng đều được cập nhật, cũng như bản thân lõi WordPress.

Trước khi tải xuống và cài đặt plugin, hãy đảm bảo rằng bạn đã nghiên cứu một chút trước. Kiểm tra xem plugin có bao nhiêu lượt cài đặt, đọc các bài đánh giá trực tuyến, xem thời điểm nó được cập nhật lần cuối và kiểm tra xem nó có được kiểm tra với lõi WordPress mới nhất hay không. Quá trình này sẽ chỉ mất vài phút, nhưng nó có thể giúp bạn tránh được rất nhiều rắc rối trên đường.


Hình minh họa đồ họa, một chiếc khiên được nhìn thấy trên logo WordPress

Ngoài ra, bạn có thể sử dụng WPScan, đây là một trình quét lỗ hổng WordPress khá đơn giản và hiệu quả. Công cụ này cũng có thể được sử dụng để tra cứu một plugin theo tên. Phiên bản miễn phí cho phép tối đa 25 yêu cầu API mỗi ngày.

May mắn thay, một số plugin thực sự được thiết kế để bảo vệ trang web WordPress của bạn khỏi những kẻ xâm nhập. Login LockDown, Wordfence, BulletProof Security là một số plugin bảo mật WordPress tốt nhất hiện nay. Đăng nhập LockDown là hoàn toàn miễn phí, trong khi hai cái còn lại có các mô hình cơ bản, miễn phí.

Mẹo An toàn WordPress

Có thể dễ bị tấn công như WordPress, việc thực hiện các biện pháp phòng ngừa bảo mật cơ bản là một chặng đường dài khi nói đến việc ngăn chặn và chống lại các cuộc tấn công mạng.

Sử dụng chi tiết đăng nhập duy nhất và Xác thực hai yếu tố, giữ cho tất cả phần mềm được cập nhật, ẩn tên chủ đề và chi tiết đăng nhập phải là nền tảng của vệ sinh bảo mật WordPress của bạn.


Hình ảnh màn hình máy tính có hiển thị chữ bảo mật

Cách bảo mật trang web WordPress của bạn trong 5 bước đơn giản

Đọc tiếp


Thông tin về các Tác giả

61192a0ea0793 Damir Mujezinovic

Damir Mujezinovic
(23 bài báo đã xuất bản)

Damir là một nhà văn và phóng viên tự do với công việc tập trung vào an ninh mạng. Ngoài việc viết lách, anh ấy thích đọc sách, âm nhạc và phim ảnh.

Xem thêm từ Damir Mujezinovic

Bài viết liên quan:

  1. Cách thêm thanh tác vụ bổ sung vào Windows 11
  2. Cách thay đổi âm thanh thông báo chậm của bạn (Ngay cả thành “Hummus”)
  3. Cách tải các bài hát tùy chỉnh trên Beat Sabre cho Oculus Quest
  4. 8 tiện ích bổ sung không gian làm việc tốt nhất của Google để quản lý tác vụ

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *