Virus/mã độc luôn là vấn đề gây đau đầu cho website của bạn, nếu bạn không có kiến thức chuyên môn về quản trị, hoặc chưa có kinh nghiệm trong việc đề cao tính bảo mật. Tuy nhiên bạn vẫn có thể phòng chống được ngay từ ban đầu với các cách mà mình muốn đề xuất cho bạn. Giảm thiểu website bị dính mã độc, hạn chế từ các cuộc tấn công.
Nguyên nhân vì sao bị mã độc.
- Trong quá trình sử dụng, bạn thực hiện upload dữ liệu, nếu dữ liệu ở máy tính cá nhân nhiễm virus khi thực hiện upload sẽ kéo theo virus.
- Thông tin quản trị mật khẩu đặt ở mức độ đơn giản, không đủ độ khó, rất dể hacker khai thác
- Vd: Một số trường hợp để password 12345678, 12345678a, 1234512345, 123acb … Password cần để có độ phức tạp cao như BkodbOjNBu5H
- Không thực update phiên bản WordPress, plugin và theme lên bản mới, các bản cũ có nhiều lổ hỗng
- Sử dụng theme, plugin free rất khả năng nhiễm virus rất cao so với bản trả phí (bản trả phí vẫn bị, tuy nhiên bản trả phí có update định kỳ của nhà phát triển)
- Sử dụng theme, plugin trả phí nhưng được share miễn phí rất dể bị cài mã độc vào.
- Không tuân thủ chuẩn, nguyên tắt bảo mật, sử dụng website/hosting.
- Không thường xuyên scan website bằng các công cụ, plugin quét tìm mã độc.
- Website hoạt động ở internet, sẽ có rủi ro hằng ngày, hằng giờ vì sẽ có hacker, con bot auto tìm lỗ hổng để khai thác và chèn các mã độc vào, vì thế website cần được kiểm tra cập nhật và bảo trì thường xuyên. (Một sốcông ty, doanh nghiệp luôn có team dev, IT để thực hiện việc rà soát này)
Một số cách cơ bản để tăng cường bảo mật
1. Luôn kiểm tra và cập nhật WordPress/Plugin/Theme lên phiên bản mới nhất
2. Đặt mật khẩu có độ khó với ký tự đặc biệt
Một số người dùng thường để pass 12345678, 12345678a, 1234512345, 123acb để dễ nhớ, tuy nhiên việc này rất nguy hiểm, vì Hacker chỉ mất vài phút để có thể scan ra mật khẩu này. Các bạn có thể tạo Password Generator thông qua các công cụ hoặc trang trực tuyến Tại đây.
3. Bật xác thực 2FA cho tài khoản đăng nhập
Để hạn chế việc thông tin đăng nhập bị lộ ra ngoài, các bạn có thể cài đặt thêm xác thực 2FA cho trang đăng nhập. Việc thiết lập 2FA đảm bảo rằng, dù thông tin đăng nhập có bị lộ thì Hacker cũng sẽ không thể đăng nhập vào Admin khi không có mã.
Hiện nay có khá nhiều Plugin hỗ trợ bật 2FA, tuy nhiên bạn có thể tham khảo Plugin WordFence vì nó vừa có tích hợp 2FA và cả scan mã độc tốt nhất hiện nay. Bạn có thể tham khảo thêm Tại đây.
4. Thay đổi đường dẫn Admin mặc định
Mặc định đường dẫn đăng nhập của WordPress sẽ là /wp-admin , và đây chính là đường dẫn Hacker hay dựa vào để thực hiện scan và cố tình đăng nhập vào. Vì vậy, việc đổi url đăng nhập mặc định cũng là một cách bảo mật khá hiệu quả.
Hiện nay có khá nhiều Plugin hỗ trợ việc đổi Url, các bạn có thể tham khảo Plugin WPS Hide Login nhé.
5. Cài đặt chứng chỉ SSL/HTTPS
6. Vô Hiệu hóa trình chỉnh sửa code trên Admin
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
