4 cách để bảo mật khi đăng nhập vào Website WordPress

4-cach-de-bao-mat-dang-nhap-wordpress-cua-ban

4 cách để bảo mật khi đăng nhập vào Website WordPress? Tin tặc không cần phải đặc biệt lén lút hay thật tinh vi để có được thứ chúng muốn. Thông thường, họ chỉ đột nhập qua cửa trước. Sử dụng công cụ phù hợp giúp ích, tuy nhiên bạn làm được nhiều hơn để bảo vệ website bạn quản lý.

Ở báo cáo bởi Nathan Finch thuộc Aussie Hosting này, họ đã xem xét, so sánh công ty lưu trữ khác nhau dựa trên hiệu suất. Họ phát hiện ra công ty có nhiều thời gian chết hơn cũng có máy chủ được bảo trì kém làm tăng nguy cơ lo ngại về bảo mật.

Nó đã được báo cáo danh sách đen từ Google khoảng 70.000 website mỗi tuần cho vấn đề bảo mật như phần mềm độc hại hay lừa đảo. Dòng phòng thủ đầu tiên chống lại sự xâm nhập là bảo vệ thông tin đăng nhập WordPress. Hình thức kiểm soát truy cập này có vẻ như không có trí tuệ, nhưng sẽ gây ngạc nhiên về mức độ thường xuyên biện pháp bảo mật đơn giản nhất bị bỏ qua hoặc đặt vào ổ ghi phía sau.

Bất kể tính năng bảo mật được cung cấp bởi dịch vụ lưu trữ ở mặt sau, với tư cách là chủ sở hữu website, buck sẽ dừng lại với bạn.

4-cach-de-bao-mat-dang-nhap-wordpress-cua-ban

Điều gì khiến đăng nhập WordPress dễ bị tổn thương?

Sự phổ biến ở WordPress là những gì khiến nó trở thành mục tiêu hấp dẫn. Tuy vậy, điều gì khiến nền tảng dễ bị tấn công, khai thác?

Có điều, tin tặc làm vô số trinh sát trước khi phá vỡ hệ thống. Họ biết rằng vài phiên bản WP nhất định có nhiều lỗ hổng hơn phiên bản khác, nền tảng đã tồn tại đủ lâu để chuyên gia biết chúng là gì. Số phiên bản nằm tại website bên bạn hay ở URL trừ khi bạn xóa nó.

Xem thư mục bên bạn cũng cung cấp vô số thông tin hữu ích, chẳng hạn như loại plugin, giao diện bạn đã cài đặt. Bởi vì nó hoạt động trên mã hóa nguồn mở, để lại plugin không được sử dụng hoặc không được hỗ trợ ở thư mục bên bạn, ngay cả khi chúng bị vô hiệu hóa, là cách đơn giản để tin tặc truy cập vào mã bên bạn. Khi đã vào trong, chúng khởi chạy khai thác, thay đổi mã hóa, phiên cướp hoặc khóa bạn khỏi website riêng bạn.

4-cach-de-bao-mat-dang-nhap-wordpress-cua-ban

Tin tặc kiểm tra được việc lập chỉ mục thư mục bằng cách duyệt vị trí thư mục hay kiểm tra phản hồi Index Index Of thế này:

/ wp-nội dung /

/ wp-content / plugin /

/ wp-content / giao diện /

/ tải lên /

/ hình ảnh /

Họ tìm kiếm plugin dễ bị tổn thương ở thư mục bên bạn thông qua tìm kiếm hoạt động nhờ sử dụng công cụ tập lệnh hoặc tìm kiếm thụ động với yêu cầu HTML thông thường. Điều này đạt được bằng cách xem xét mã nguồn HTML rồi tìm kiếm plugin đã cài đặt thông qua biểu định kiểu CSS, nhận xét, liên kết JS.

Cách khác để tin tặc truy cập website WordPress là thông qua liệt kê người dùng. Đây là khúc dạo đầu đơn giản cho cuộc tấn công liên quan đến việc phát hiện ra tên người dùng, đoán mật khẩu thông qua cuộc tấn công từ điển hoặc cố gắng nhập thông qua cơ chế mặc định. Ví dụ: người dùng được phát hiện bằng cách lặp lại Id rồi thêm nó vào URL thế này:

wordpressexample.com/? viên = 1

wordpressexample.com/? viên = 2

wordpressexample.com/? viên = 3

Nếu nó hoạt động, ID đăng nhập sẽ được tiết lộ thông qua chuyển hướng 303.

Công cụ có tên WPScan sử dụng để kiểm tra lỗ hổng sàng lọc hàng trăm mật khẩu trong vòng chưa đầy 1 phút. Nó trả về đầu ra sau từ giao diện giá rẻ trong vài giây:

4-cach-de-bao-mat-dang-nhap-wordpress-cua-ban

Xem thêm: Hướng dẫn cách cài đặt WordPress khi dùng cPanel

4 cách để bảo vệ quyền truy cập đăng nhập của bạn

May mắn thay, nhà phát triển, cộng đồng người dùng WP rất siêng năng khi cung cấp hỗ trợ. Do đó, có những công cụ có sẵn miễn phí, thực hành tốt nhất bạn tìm hiểu được rồi triển khai để giữ an toàn cho website.

Tiếp đây là bốn kỹ thuật mà bạn thực hiện để bảo mật trang đăng nhập WordPress.

  1. Xóa số phiên bản WP

Vì tin tặc thường tìm kiếm số phiên bản đầu tiên khi kiểm tra lỗ hổng, đây là điều đầu tiên bạn nên thay đổi khi thiết lập website. Việc này nên được thực hiện theo cách nó được xóa khỏi trang, URL, thẻ meta mà không xóa móc tiêu đề hay phương thức xấu khác đang được quảng cáo trên internet.

Cách tốt nhất để xóa số phiên bản WP là thêm bit mã này vào tệp tin.php.

4-cach-de-bao-mat-dang-nhap-wordpress-cua-ban

4-cach-de-bao-mat-dang-nhap-wordpress-cua-ban

Bất kể khi bạn cài đặt WP, bạn cần luôn cập nhật WordPress lên phiên bản mới nhất ngay khi phát hành. Plugin, giao diện cũng vậy.

  1. Thay đổi URL đăng nhập của bạn

4-cach-de-bao-mat-dang-nhap-wordpress-cua-ban

Địa chỉ đăng nhập mặc định cho quản trị viên WP là yourwebsite.com/wp-admin, đó là điều mà hầu hết mọi người quen thuộc với nền tảng này đều biết. Tất cả cần là thêm /wp-login.php sau tên miền bạn đang ở. Thay đổi đơn giản cho URL là tất cả cần thiết để giữ cho tin tặc đoán trang đăng nhập.

Bạn có thể sử dụng plugin như iTheme Security để thực hiện việc này hiệu quả.

  1. Giảm số lần thử đăng nhập

Tính năng mặc định WP thiếu sót khác là đồng ý thử đăng nhập không giới hạn. Việc này đồng ý cuộc tấn công từ điển, kỹ thuật đoán mật khẩu khác. Plugin iTheme Security có tính năng khóa website sau vài lần thử đăng nhập thất bại rồi gửi đến bạn cảnh báo.

Nếu bạn chỉ muốn chức năng đăng xuất đăng nhập, bạn cài đặt plugin có tên Giới hạn đăng nhập Thử tải lại rồi đi vào cài đặt để định cấu hình số lần đăng nhập được phép.

  1. Hạn chế quyền truy cập và sử dụng Xác thực hai yếu tố

4-cach-de-bao-mat-dang-nhap-wordpress-cua-ban

Đến giờ, bạn nên biết cách chọn mật khẩu an toàn nhờ sử dụng plugin xác thực hai yếu tố. Bước kế tiếp để hạn chế quyền truy cập là giới hạn số lượng người có quyền truy cập vào hoạt động bên trong website. Thứ ba, sử dụng xác thực 2 yếu tố sử dụng kết hợp mật khẩu, khóa mã hóa để đăng nhập.

Suy nghĩ cuối cùng!

Mặc dù biện pháp phòng ngừa bảo mật cùng biện pháp phòng ngừa được giải thích ở bài đăng này sẽ không bảo vệ website 100%, nhưng chúng sẽ cung cấp biện pháp bảo mật rất lớn.

Điều quan trọng cần nhớ là tin tặc hay bên thứ ba độc hại đang tìm kiếm backtime dễ dàng nhất vào website bạn. Hầu hết giải pháp tự động được sử dụng để tìm backtime này.

Đảm bảo đăng nhập WP giữ những cánh cửa đó đóng lại, đảm bảo người duy nhất có quyền truy cập vào website bạn là chính bạn.

Viết một bình luận

0 Shares
Share
Tweet
Pin