Bạn có muốn bảo vệ trang web WordPress của mình khỏi các cuộc tấn công bạo lực không? Các cuộc tấn công này có thể làm chậm trang web của bạn, khiến trang web không truy cập được và thậm chí là crack mật khẩu của bạn để cài đặt phần mềm độc hại trên trang web của bạn. Trong bài viết này, chúng tôi sẽ cho bạn thấy làm thế nào để bảo vệ trang web WordPress của bạn khỏi các cuộc tấn công bạo lực.
Tấn công Brute Force là gì?
Brute Force Attack là một phương pháp hack sử dụng các kỹ thuật thử và lỗi để đột nhập vào trang web, mạng hoặc hệ thống máy tính.
Tin tặc sử dụng phần mềm tự động để gửi một số lượng lớn các yêu cầu tới hệ thống đích. Với mỗi yêu cầu, các phần mềm này sẽ cố gắng đoán thông tin cần thiết để truy cập, như mật khẩu hoặc mã pin.
Những công cụ này cũng có thể ngụy trang bằng cách sử dụng các địa chỉ IPvà địa điểm khác nhau , khiến cho hệ thống được nhắm mục tiêu khó xác định và chặn các hoạt động đáng ngờ này.
Một cuộc tấn công brute force thành công có thể cho phép tin tặc truy cập vào khu vực quản trị trang web của bạn . Họ có thể cài đặt backdoor, malware, ăn cắp thông tin người dùng và xóa mọi thứ trên trang web của bạn.
Ngay cả các cuộc tấn công bạo lực không thành công cũng có thể tàn phá bằng cách gửi quá nhiều yêu cầu làm chậm các máy chủ lưu trữ WordPresscủa bạn và thậm chí làm hỏng chúng.
Điều đó đang được nói, chúng ta hãy xem làm thế nào để bảo vệ trang web WordPress của bạn khỏi các cuộc tấn công bạo lực.
Bước 1. Cài đặt Plugin Tường lửa của WordPress
Các cuộc tấn công bạo lực gây ra rất nhiều tải trên máy chủ của bạn. Ngay cả những người không thành công có thể làm chậm trang web của bạn hoặc hoàn toàn sụp đổ máy chủ. Đây là lý do tại sao điều quan trọng là chặn chúng trước khi chúng đến máy chủ của bạn.
Để làm điều đó, bạn sẽ cần một giải pháp tường lửa trang web. Tường lửa lọc ra lưu lượng truy cập không tốt và chặn truy cập trang web của bạn.
Có hai loại tường lửa trang web mà bạn có thể sử dụng.
Application Level Firewall – Các plugin tường lửa này kiểm tra lưu lượng khi nó đến máy chủ của bạn nhưng trước khi tải hầu hết các tập lệnh WordPress. Phương pháp này không hiệu quả vì tấn công brute force vẫn có thể ảnh hưởng đến tải máy chủ của bạn.
DNS Level Website Firewall – Các tường lửa này định tuyến lưu lượng truy cập trang web của bạn thông qua các máy chủ proxy đám mây của chúng. Điều này cho phép họ chỉ gửi lưu lượng truy cập chính hãng đến máy chủ lưu trữ web chính của bạn trong khi tăng tốc độ và hiệu suất WordPress của bạn .
Chúng tôi khuyên bạn nên sử dụng Sucuri . Đây là công ty hàng đầu trong lĩnh vực bảo mật trang web và tường lửa WordPress tốt nhất trên thị trường. Vì đó là tường lửa trang web cấp DNS, điều đó có nghĩa là tất cả lưu lượng truy cập trang web của bạn đều thông qua proxy của họ, nơi lưu lượng truy cập kém được lọc ra.
Chúng tôi sử dụng Sucuri trên trang web của chúng tôi và bạn có thể đọc bài đánh giá đầy đủ của chúng tôi để tìm hiểu thêm.
Bước 2. Cài đặt WordPress Updates
Một số cuộc tấn công bạo lực phổ biến chủ động nhắm mục tiêu các lỗ hổng đã biết trong các phiên bản cũ hơn của WordPress, các plugin WordPress phổ biến hoặc các chủ đề.
Lõi WordPress và các plugin WordPress phổ biến nhất là mã nguồn mở và lỗ hổng thường được sửa rất nhanh với bản cập nhật. Tuy nhiên nếu bạn không cài đặt bản cập nhật, thì bạn để trang web của bạn dễ bị tổn thương trước những mối đe dọa cũ.
Chỉ cần truy cập Trang tổng quan » Trang cập nhật trong khu vực quản trị WordPress để kiểm tra các bản cập nhật có sẵn. Trang này sẽ hiển thị tất cả các bản cập nhật cho lõi, plugin và chủ đề WordPress của bạn.
Để biết thêm chi tiết, hãy xem hướng dẫn của chúng tôi về cách cập nhật đúng plugin WordPress .
Bước 3. Bảo vệ thư mục quản trị WordPress
Hầu hết các cuộc tấn công bạo lực trên trang WordPress đều cố gắng truy cập vào khu vực quản trị WordPress. Bạn có thể thêm bảo vệ mật khẩu vào thư mục quản trị WordPress của bạn ở cấp độ máy chủ. Điều này sẽ chặn truy cập trái phép vào khu vực quản trị WordPress của bạn.
Chỉ cần đăng nhập vào bảng điều khiển lưu trữ WordPress của bạn (cPanel) và nhấp vào biểu tượng ‘Bảo mật thư mục’ trong phần Tệp.
Lưu ý: Chúng tôi đang sử dụng Bluehost trong ảnh chụp màn hình của chúng tôi nhưng các cài đặt tương tự có sẵn trên các công ty lưu trữ hàng đầu khác cũng như SiteGround , HostGator , v.v.
Tiếp theo, bạn cần xác định thư mục wp-admin và kích vào tên thư mục.
cPanel giờ sẽ yêu cầu bạn cung cấp tên cho thư mục, tên người dùng và mật khẩu bị hạn chế. Sau khi nhập thông tin này, hãy nhấp vào nút lưu để lưu cài đặt của bạn.
Thư mục quản trị WordPress của bạn hiện được bảo vệ bằng mật khẩu. Bạn sẽ thấy một dấu nhắc đăng nhập mới khi bạn truy cập khu vực quản trị WordPress của mình.
Nếu bạn gặp lỗi 404 hoặc lỗi quá nhiều thư chuyển hướng , thì bạn cần phải thêm dòng sau vào tệp .htaccess WordPress của mình .
Để biết thêm chi tiết, hãy xem bài viết của chúng tôi về cách mật khẩu bảo vệ thư mục quản trị WordPress .
Bước 4. Thêm xác thực hai yếu tố trong WordPress
Xác thực hai yếu tố thêm lớp bảo mật bổ sung vào màn hình đăng nhập WordPress của bạn. Về cơ bản, người dùng sẽ cần điện thoại của họ để tạo mật mã một lần cùng với thông tin đăng nhập của họ để truy cập vào khu vực quản trị WordPress.
Việc thêm xác thực hai yếu tố sẽ khiến cho tin tặc khó truy cập ngay cả khi họ có thể crack mật khẩu WordPress của bạn.
Để biết hướng dẫn từng bước chi tiết, hãy xem hướng dẫn của chúng tôi về cách thêm xác thực hai yếu tố trong WordPress
Bước 5. Sử dụng mật khẩu mạnh duy nhất
Mật khẩu là chìa khóa để truy cập vào trang web WordPress của bạn. Bạn cần sử dụng mật khẩu mạnh duy nhất cho tất cả tài khoản của mình. Mật khẩu mạnh là kết hợp số, chữ cái và ký tự đặc biệt.
Điều quan trọng là bạn sử dụng mật khẩu mạnh cho không chỉ tài khoản người dùng WordPress mà còn cho FTP, bảng điều khiển lưu trữ web và cơ sở dữ liệu WordPress của bạn.
Hầu hết người mới bắt đầu hỏi chúng tôi làm thế nào để nhớ tất cả các mật khẩu duy nhất? Vâng, bạn không cần phải. Có các ứng dụng quản lý mật khẩu tuyệt vời có sẵn để lưu trữ mật khẩu của bạn một cách an toàn và tự động điền chúng vào cho bạn.
Để tìm hiểu thêm, hãy xem hướng dẫn cho người mới bắt đầu về cách tốt nhất để quản lý mật khẩu cho WordPress .
Bước 6. Vô hiệu hóa duyệt thư mục
Theo mặc định, khi máy chủ web của bạn không tìm thấy tệp chỉ mục (nghĩa là tệp như index.php hoặc index.html), nó sẽ tự động hiển thị trang chỉ mục hiển thị nội dung của thư mục.
Trong một cuộc tấn công bạo lực, tin tặc có thể sử dụng duyệt thư mục để tìm các tệp dễ bị tấn công. Để khắc phục điều này, bạn cần phải thêm dòng sau vào cuối tệp .htaccess WordPress của bạn.
Để biết thêm chi tiết, hãy xem bài viết của chúng tôi về cách tắt tính năng duyệt thư mục trong WordPress .
Bước 7. Vô hiệu hóa thực thi tệp PHP trong thư mục WordPress cụ thể
Tin tặc có thể muốn cài đặt và thực thi một tập lệnh PHP trong các thư mục WordPress của bạn. WordPress được viết chủ yếu bằng PHP, có nghĩa là bạn không thể tắt nó trong tất cả các thư mục WordPress.
Tuy nhiên, có một số thư mục không cần bất kỳ tập lệnh PHP nào. Ví dụ: thư mục tải lên WordPress của bạn nằm ở / wp-content / uploads.
Bạn có thể vô hiệu hóa việc thực thi PHP một cách an toàn trong thư mục tải lên mà là một hacker phổ biến sử dụng để ẩn các tệp backdoor.
Trước tiên, bạn cần mở một trình soạn thảo văn bản như Notepad trên máy tính của bạn và dán mã sau đây:
Bây giờ, hãy lưu tệp này dưới dạng .htaccess và tải tệp đó lên / wp-content / uploads / folders trên trang web của bạn bằng ứng dụng khách FTP .
Bước 8. Cài đặt và thiết lập một Plugin sao lưu WordPress
Sao lưu là công cụ quan trọng nhất trong kho lưu trữ bảo mật WordPress của bạn. Nếu mọi thứ khác không thành công thì sao lưu sẽ cho phép bạn dễ dàng khôi phục trang web của mình.
Hầu hết các công ty lưu trữ WordPress cung cấp các tùy chọn sao lưu có giới hạn. Tuy nhiên, các bản sao lưu này không được đảm bảo và bạn hoàn toàn chịu trách nhiệm thực hiện các bản sao lưu của riêng bạn.
Có một số plugin sao lưu WordPress tuyệt vời , cho phép bạn lên lịch sao lưu tự động.
Chúng tôi khuyên bạn nên sử dụng UpdraftPlus . Nó là người mới bắt đầu thân thiện và cho phép bạn nhanh chóng thiết lập sao lưu tự động và lưu trữ chúng trên các địa điểm từ xa như Google Drive, Dropbox, Amazon S3, và nhiều hơn nữa.
Để được hướng dẫn từng bước, hãy xem hướng dẫn của chúng tôi về cách sao lưu và khôi phục trang web WordPress của bạn bằng UpdraftPlus
Tất cả các mẹo được đề cập ở trên sẽ giúp bạn bảo vệ trang web WordPress của mình khỏi các cuộc tấn công bạo lực. Để có thiết lập bảo mật toàn diện hơn, bạn nên làm theo hướng dẫn trong hướng dẫn bảo mật WordPress cuối cùng dành cho người mới bắt đầu.
Chúng tôi hy vọng bài viết này đã giúp bạn tìm hiểu cách bảo vệ trang web WordPress của mình khỏi các cuộc tấn công bạo lực. Bạn cũng có thể muốn tìm ra các dấu hiệu cho thấy WordPress của bạn bị tấn công và cách sửa một trang WordPress bị tấn công .
DienDan.Edu.Vn Cám ơn bạn đã quan tâm và rất vui vì bài viết đã đem lại thông tin hữu ích cho bạn.DienDan.Edu.Vn! là một website với tiêu chí chia sẻ thông tin,... Bạn có thể nhận xét, bổ sung hay yêu cầu hướng dẫn liên quan đến bài viết. Vậy nên đề nghị các bạn cũng không quảng cáo trong comment này ngoại trừ trong chính phần tên của bạn.Cám ơn.