Làm thế nào để bảo vệ trang web WordPress hồ sơ cao của bạn khỏi tấn công
Sự cần thiết cho bảo mật WordPress đang phát triển với tốc độ tăng tốc. Báo cáo nói rằng các trang web WordPress trải qua 90.978 cuộc tấn công mỗi phút. Kể từ khi phát hành, WordPress đã vá hơn 2.450 lỗ hổng. Ngoài những biện pháp bảo mật cơ bản mà bạn đã thực hiện để bảo vệ trang web của mình, dưới đây là một số biện pháp bảo mật WordPress nâng cao, bao gồm cách ngăn chặn DDoS của WordPress (Phân phối từ chối dịch vụ) trên trang web của bạn.
1. Tắt chức năng theo dõi HTTP
Các cuộc tấn công như Cross Site Scripting (XSS) và Cross Site Tracing (XST) được hướng tới các hệ thống với chức năng HTTP Trace được kích hoạt. Hầu hết các máy chủ web được đặt theo mặc định để hoạt động với Dấu vết HTTP mà nó sử dụng cho các hoạt động như gỡ lỗi. Sử dụng các yêu cầu tiêu đề, tin tặc sẽ ăn cắp thông tin nhạy cảm như cookie bằng cách thực hiện một cuộc tấn công theo dõi trang web chéo. OWASP Top Ten Project cung cấp danh sách các lỗ hổng và tấn công toàn diện trên các trang web WordPress.
Trong số tất cả các loại lỗ hổng, Cross Site Scripting xếp thứ nhất. Trên thực tế, 46, 9% tất cả các trang web đều dễ bị tấn công loại này. Để tắt chức năng theo dõi HTTP, hãy thêm mã sau vào tệp .htaccess của bạn.
RewriteEngine Trên RewriteCond% {REQUEST_METHOD} ^ TRACE RewriteRule. * - [F]
2. Xóa kết quả đầu ra tiêu đề cài đặt WordPress
Các dịch vụ cụ thể cho các phần khác nhau của trang web WordPress của bạn đòi hỏi phải thêm nhiều đầu ra vào tiêu đề. Bạn có thể loại bỏ các đầu ra này bằng cách thêm mã bên dưới vào tệp "functions.php" của chủ đề của bạn.
remove_action ('wp_head', 'index_rel_link'); remove_action ('wp_head', 'feed_links', 2); remove_action ('wp_head', 'feed_links_extra', 3); remove_action ('wp_head', 'rsd_link'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'parent_post_rel_link', 10, 0); remove_action ('wp_head', 'start_post_rel_link', 10, 0); remove_action ('wp_head', 'nearby_posts_rel_link_wp_head', 10, 0); remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wp_shortlink_wp_head', 10, 0); remove_action ('wp_head', 'noindex', 1);
3. Thay đổi tiền tố cơ sở dữ liệu mặc định cho WordPress
Giá trị tiền tố mặc định cho bảng cơ sở dữ liệu WordPress là “wp_”. Tin tặc và bot có hại có thể sử dụng giá trị tiền tố này để đoán tên bảng cơ sở dữ liệu của bạn thành công. Vì tệp wp-config.php là nơi đặt giá trị tiền tố cơ sở dữ liệu WordPress của bạn, nên dễ dàng thay đổi giá trị tiền tố này khi cài đặt WordPress. Bạn có thể sử dụng plugin Thay đổi bảng tiền tố hoặc nếu bạn muốn thực hiện thủ công, hãy làm theo các bước dưới đây:
1. Hoàn toàn sao lưu cơ sở dữ liệu của bạn và đảm bảo lưu bản sao lưu ở đâu đó an toàn. Dưới đây là một số plugin sao lưu bạn có thể sử dụng.
2. Sử dụng "phpmyadmin" trong bảng điều khiển máy chủ lưu trữ web của bạn để hoàn toàn đổ cơ sở dữ liệu WordPress của bạn vào một tệp văn bản. Sao lưu tệp văn bản này.
3. Tiếp theo, sử dụng trình soạn thảo mã để thay thế tất cả các giá trị tiền tố “wp_” bằng tiền tố của riêng bạn.
4. Tắt tất cả các plugin trong bảng quản trị của bạn.
5. Bây giờ, bằng cách sử dụng tệp bạn đã chỉnh sửa ở bước thứ ba ở trên, hãy nhập cơ sở dữ liệu mới sau khi bạn đã xóa tệp cũ qua phpMyAdmin.
6. Sử dụng giá trị tiền tố cơ sở dữ liệu mới, chỉnh sửa tệp “wp-config.php”.
7. Bây giờ, kích hoạt lại các plugin WordPress của bạn.
8. Để lưu cài đặt permalink, vào Settings và sau đó đến Permalinks; điều này làm mới cấu trúc permalink của trang web của bạn. Lưu ý rằng việc thay đổi tiền tố cơ sở dữ liệu sẽ không thay đổi cài đặt tên miền, URL và liên kết cố định của bạn.
4. Chặn các chuỗi truy vấn có khả năng gây nguy hiểm
Để ngăn chặn các cuộc tấn công Cross Site Scripting (XSS), hãy thêm đoạn mã sau vào tệp .htaccess của bạn. Trước tiên, trước khi thêm mã, xác định các chuỗi truy vấn có khả năng gây nguy hiểm. Yêu cầu URL bị loại bỏ nhiều lần tiêm độc hại theo bộ quy tắc này. Có hai điều quan trọng cần lưu ý ở đây:
- Một số plugin hoặc chủ đề nhất định sẽ phá vỡ các chức năng nếu bạn không loại trừ các chuỗi mà chúng đã sử dụng.
- Mặc dù các chuỗi bên dưới là phổ biến nhất, bạn có thể chọn thêm nhiều chuỗi hơn.
RewriteCond% {REQUEST_METHOD} ^ (HEAD | TRACE | DELETE | TRACK) [NC] RewriteCond% {QUERY_STRING} ../ [NC, OR] RewriteCond% {QUERY_STRING} thẻ boot.ini [NC, OR] RewriteCond% {QUERY_STRING} = [NC, OR] RewriteCond% {QUERY_STRING} ftp: [NC, OR] RewriteCond% {QUERY_STRING} http: [NC, OR] RewriteCond% {QUERY_STRING} https: [NC, OR] RewriteCond% {QUERY_STRING} mosConfig [NC, OR] RewriteCond% {QUERY_STRING} ^. * ([|] | (|) || '| "|; |? | *). * [NC, OR] RewriteCond% {QUERY_STRING} ^. * (% 22 | % 27 |% 3C |% 3E |% 5C |% 7B |% 7C). * [NC, OR] RewriteCond% {QUERY_STRING} ^. * (% 0 |% A |% B |% C |% D |% E |% F | 127.0). * [NC, OR] RewriteCond% {QUERY_STRING} ^. * (Globals | mã hóa | config | localhost | loopback). * [NC, OR] RewriteCond% {QUERY_STRING} ^. * (Yêu cầu | select | insert | union | declaration | drop). * [NC] RewriteRule ^ (. *) $ - [F, L]
5. Sử dụng Deflect để ngăn chặn tấn công DDoS
Các trang web còn non trẻ, các nhóm truyền thông độc lập và các trang web của hầu hết các nhà hoạt động nhân quyền thường không có tài nguyên kỹ thuật và tài chính để chịu được sự tấn công từ chối dịch vụ (DDoS) phân tán. Đó là nơi Deflect đi vào. Làm lệch vị trí của chính nó như là một giải pháp tốt hơn so với các tùy chọn giảm thiểu DDoS thương mại.
Các tùy chọn giảm thiểu DDoS thương mại tốn rất nhiều tiền và có thể thay đổi điều khoản dịch vụ của họ nếu một trang web dưới sự bảo vệ của họ thu hút các cuộc tấn công DDoS thường xuyên. Deflect chủ động dừng các cuộc tấn công DDoS bằng cách giữ các trang web dưới sự bảo vệ liên tục.
Một lợi ích phụ của việc sử dụng Deflect trên trang web của bạn là nó giúp bạn tiết kiệm tiền bằng cách giảm căng thẳng trên máy chủ của khách hàng và tài nguyên sysadmin. Deflect đặt tất cả các mã nguồn và tài liệu của họ trong miền công cộng theo Giấy phép Creative Commons; điều này cho phép bất cứ ai để giảm thiểu các cuộc tấn công DDoS bằng cách thiết lập mạng Deflect của riêng họ. Bạn có thể đăng ký miễn phí trên trang web của họ và bắt đầu sử dụng dịch vụ ngay lập tức.
6. Sử dụng Lớp cổng bảo mật (SSL) và bảo vệ tường lửa
Các dịch vụ bảo mật như Sucuri cung cấp các tùy chọn bảo mật như cài đặt chứng chỉ Lớp cổng bảo mật (SSL) và bảo vệ tường lửa tuân theo chuẩn PCI. Đây là một tùy chọn dễ dàng truy cập cho tất cả mọi người, kể cả những người không có kỹ thuật.
Bạn có thể dễ dàng thiết lập các giải pháp bảo mật như thế này và cho phép nó hoạt động ở chế độ nền và trong một số trường hợp, hãy tự cập nhật khi cần thiết (như Sucuri). Đây là một tùy chọn bảo mật bảo trì thấp, hiệu quả cao.
Một số plugin WordPress có thể được sử dụng để thêm chứng chỉ lớp cổng bảo mật (SSL) vào trang web của bạn. Một số plugin WordPress SSL được đề xuất nhiều nhất bao gồm CM HTTPS Pro, SSL thực sự đơn giản, SSL Force WP, Trình sửa lỗi nội dung không an toàn SSL và Chuyển hướng HTTPS dễ dàng.
Bọc lại
Bạn sẽ trải nghiệm các cải tiến bảo mật trang web được đánh dấu bằng cách sử dụng các điểm được nêu ở trên. Thật hữu ích khi lưu ý rằng bảo mật WordPress luôn phát triển. Mục đích là để giảm thiểu rủi ro, không loại trừ chúng, vì đó là gần như không thể làm như vậy. Bảo mật WordPress là động và hoạt động trong các lớp, vì vậy không có một plugin nào phù hợp với tất cả hoặc một chiến thuật phù hợp với tất cả.
Tín dụng hình ảnh: DDOS Attack Roadsign