Thủ thuật WP

11 lý do hàng đầu khiến các trang web WordPress bị tấn công (và cách ngăn chặn nó)

Gần đây, một trong những độc giả của chúng tôi đã hỏi chúng tôi tại sao các trang web WordPress bị tấn công? Thật khó chịu khi phát hiện ra rằng trang web WordPress của bạn đã bị tấn công. Trong bài viết này, chúng tôi sẽ chia sẻ những lý do hàng đầu khiến trang web WordPress bị tấn công, để bạn có thể tránh những sai lầm này và bảo vệ trang web của mình.

Có thể bạn quan tâm :

Why WordPress sites get hacked?

Tại sao WordPress lại bị tin tặc nhắm mục tiêu?

Đầu tiên, nó không chỉ là WordPress. Tất cả các trang web trên internet đều dễ bị tấn công.

Lý do tại sao các trang web WordPress là mục tiêu phổ biến là vì WordPress là trình xây dựng trang web phổ biến nhất thế giới. Nó cung cấp hơn 31% tất cả các trang web, nghĩa là hàng trăm triệu trang web trên toàn cầu.

Sự phổ biến rộng rãi này cho phép tin tặc dễ dàng tìm thấy các trang web kém an toàn hơn để chúng có thể khai thác nó.

Tin tặc có nhiều loại động cơ khác nhau để hack một trang web. Một số là người mới bắt đầu học cách khai thác các trang kém an toàn.

Một số tin tặc có ý định xấu như phát tán phần mềm độc hại, sử dụng một trang web để tấn công các trang web khác hoặc gửi thư rác trên internet.

Như đã nói, chúng ta hãy xem xét một số nguyên nhân hàng đầu khiến các trang web WordPress bị tấn công và cách ngăn trang web của bạn bị tấn công.

1. Lưu trữ web không an toàn

Giống như tất cả các trang web, các trang web WordPress được lưu trữ trên một máy chủ web. Một số công ty lưu trữ không bảo mật đúng cách nền tảng lưu trữ của họ. Điều này làm cho tất cả các trang web được lưu trữ trên máy chủ của họ dễ bị tấn công.

Điều này có thể dễ dàng tránh được bằng cách chọn nhà cung cấp dịch vụ lưu trữ WordPress tốt nhất cho trang web của bạn. Nó đảm bảo rằng trang web của bạn được lưu trữ trên một nền tảng an toàn. Các máy chủ được bảo mật đúng cách có thể chặn nhiều cuộc tấn công phổ biến nhất trên các trang web WordPress.

Nếu bạn muốn thận trọng hơn, thì chúng tôi khuyên bạn nên sử dụng nhà cung cấp dịch vụ lưu trữ WordPress được quản lý.

2. Sử dụng mật khẩu yếu

Using weak passwords

Mật khẩu là chìa khóa cho trang web WordPress của bạn. Bạn cần đảm bảo rằng bạn đang sử dụng mật khẩu mạnh duy nhất cho mỗi tài khoản sau đây vì tất cả các tài khoản này đều có thể cung cấp cho tin tặc quyền truy cập đầy đủ vào trang web của bạn.

  • Tài khoản quản trị viên WordPress của bạn
  • Tài khoản bảng điều khiển lưu trữ web
  • Tài khoản FTP
  • Cơ sở dữ liệu MySQL được sử dụng cho trang web WordPress của bạn
  • Tài khoản email được sử dụng cho tài khoản quản trị hoặc lưu trữ WordPress

Tất cả các tài khoản này đều được bảo vệ bằng mật khẩu. Sử dụng mật khẩu yếu khiến tin tặc dễ dàng bẻ khóa mật khẩu bằng một số công cụ hack cơ bản.

Bạn có thể dễ dàng tránh điều này bằng cách sử dụng mật khẩu mạnh và duy nhất cho mỗi tài khoản. Xem hướng dẫn của chúng tôi về cách tốt nhất để quản lý mật khẩu cho người mới bắt đầu sử dụng WordPress để tìm hiểu cách quản lý tất cả các mật khẩu mạnh đó.

3. Quyền truy cập không được bảo vệ vào Quản trị viên WordPress (Thư mục wp-admin)

Khu vực quản trị WordPress cấp cho người dùng quyền truy cập để thực hiện các hành động khác nhau trên trang web WordPress của bạn. Đây cũng là khu vực thường bị tấn công nhất của một trang WordPress.

Để nó không được bảo vệ cho phép tin tặc thử các cách tiếp cận khác nhau để bẻ khóa trang web của bạn. Bạn có thể gây khó khăn cho họ bằng cách thêm các lớp xác thực vào thư mục quản trị WordPress của mình.

Trước tiên, bạn nên đặt mật khẩu bảo vệ khu vực quản trị WordPress của mình. Điều này bổ sung thêm một lớp bảo mật và bất kỳ ai cố gắng truy cập quản trị viên WordPress sẽ phải cung cấp thêm một mật khẩu.

Nếu bạn chạy một trang web WordPress nhiều tác giả hoặc nhiều người dùng, thì bạn có thể thực thi mật khẩu mạnh cho tất cả người dùng trên trang web của mình. Bạn cũng có thể thêm xác thực hai yếu tố để khiến tin tặc xâm nhập vào khu vực quản trị WordPress của bạn càng khó khăn hơn.

4. Quyền đối với tệp không chính xác

File permissions

Quyền đối với tệp là một tập hợp các quy tắc được sử dụng bởi máy chủ web của bạn. Các quyền này giúp máy chủ web của bạn kiểm soát quyền truy cập vào các tệp trên trang web của bạn. Quyền đối với tệp không chính xác có thể cung cấp cho tin tặc quyền truy cập để ghi và thay đổi các tệp này.

Tất cả các tệp WordPress của bạn phải có giá trị 644 dưới dạng quyền đối với tệp. Tất cả các thư mục trên trang web WordPress của bạn phải có 755 làm quyền đối với tệp của chúng.

Xem hướng dẫn của chúng tôi về cách khắc phục sự cố tải lên hình ảnh trong WordPress để tìm hiểu cách áp dụng các quyền đối với tệp này.

5. Không cập nhật WordPress

Một số người dùng WordPress sợ cập nhật các trang web WordPress của họ. Họ sợ rằng làm như vậy sẽ phá vỡ trang web của họ.

Mỗi phiên bản mới của WordPress đều sửa các lỗi và lỗ hổng bảo mật. Nếu bạn không cập nhật WordPress, thì bạn đang cố tình để trang web của mình dễ bị tấn công.

Nếu bạn sợ rằng bản cập nhật sẽ phá vỡ trang web của mình, thì bạn có thể tạo một bản sao lưu WordPress hoàn chỉnh trước khi chạy bản cập nhật. Bằng cách này, nếu có gì đó không hoạt động, bạn có thể dễ dàng hoàn nguyên về phiên bản trước đó.

6. Không cập nhật plugin hoặc chủ đề

Cũng giống như phần mềm WordPress cốt lõi, cập nhật chủ đề và plugin của bạn cũng quan trọng không kém. Sử dụng một plugin hoặc chủ đề lỗi thời có thể khiến trang web của bạn dễ bị tấn công.

Các lỗi và lỗi bảo mật thường được phát hiện trong các plugin và chủ đề WordPress. Thông thường, các tác giả chủ đề và plugin nhanh chóng sửa chữa chúng. Tuy nhiên, nếu người dùng không cập nhật chủ đề hoặc plugin của họ, thì họ không thể làm gì với nó.

Đảm bảo bạn luôn cập nhật chủ đề và plugin WordPress của mình.

7. Sử dụng FTP thông thường thay vì SFTP / SSH

SFTP instead of FTP

Tài khoản FTP được sử dụng để tải tệp lên máy chủ web của bạn bằng ứng dụng khách FTP. Hầu hết các nhà cung cấp dịch vụ lưu trữ đều hỗ trợ kết nối FTP bằng các giao thức khác nhau. Bạn có thể kết nối bằng FTP, SFTP hoặc SSH thuần túy.

Khi bạn kết nối với trang web của mình bằng FTP thuần túy, mật khẩu của bạn sẽ được gửi đến máy chủ mà không được mã hóa. Nó có thể bị theo dõi và dễ dàng bị đánh cắp. Thay vì sử dụng FTP, bạn nên luôn sử dụng SFTP hoặc SSH.

Bạn không cần phải thay đổi ứng dụng FTP của mình. Hầu hết các ứng dụng khách FTP có thể kết nối với trang web của bạn trên SFTP cũng như SSH. Bạn chỉ cần thay đổi giao thức thành ‘SFTP – SSH’ khi kết nối với trang web của mình.

8. Sử dụng Quản trị viên làm Tên người dùng WordPress

Sử dụng ‘quản trị viên’ làm tên người dùng WordPress của bạn không được khuyến khích. Nếu tên người dùng quản trị viên của bạn là quản trị viên, thì bạn nên ngay lập tức thay đổi tên người dùng đó thành một tên người dùng khác.

Để biết hướng dẫn chi tiết, hãy xem hướng dẫn của chúng tôi về cách thay đổi tên người dùng WordPress của bạn.

9. Nulled Themes và Plugins

Malware

Có rất nhiều trang web trên internet phân phối các plugin và chủ đề WordPress trả phí miễn phí. Đôi khi bạn rất dễ bị cám dỗ để sử dụng các plugin và chủ đề đã bị vô hiệu hóa đó trên trang web của mình.

Tải xuống các chủ đề và plugin WordPress từ các nguồn không đáng tin cậy là rất nguy hiểm. Chúng không chỉ có thể xâm phạm đến tính bảo mật của trang web của bạn mà còn có thể được sử dụng để lấy cắp thông tin nhạy cảm.

Bạn nên luôn tải xuống các plugin và chủ đề WordPress từ các nguồn đáng tin cậy như trang web của nhà phát triển plugin / chủ đề hoặc các kho lưu trữ chính thức của WordPress.

Nếu bạn không đủ khả năng hoặc không muốn mua một plugin hoặc chủ đề cao cấp, thì luôn có sẵn các lựa chọn thay thế miễn phí cho các sản phẩm đó. Các plugin miễn phí này có thể không tốt bằng các plugin trả phí, nhưng chúng sẽ hoàn thành công việc và quan trọng nhất là giữ an toàn cho trang web của bạn.

Bạn cũng có thể tìm thấy giảm giá cho nhiều sản phẩm WordPress phổ biến trong phần ưu đãi trên trang web của chúng tôi.

10. Không bảo mật tệp wp-config.php cấu hình WordPress

Tệp cấu hình WordPress wp-config.php chứa thông tin đăng nhập cơ sở dữ liệu WordPress của bạn. Nếu nó bị xâm phạm, thì nó sẽ tiết lộ thông tin có thể cho phép tin tặc truy cập hoàn toàn vào trang web của bạn.

Bạn có thể thêm một lớp bảo vệ bổ sung bằng cách từ chối quyền truy cập vào tệp wp-config bằng cách sử dụng .htaccess. Chỉ cần thêm mã nhỏ này vào tệp .htaccess của bạn.

<files wp-config.php>
order allow,deny
deny from all
</files>

11. Không thay đổi tiền tố bảng WordPress

Nhiều chuyên gia khuyên bạn nên thay đổi tiền tố bảng WordPress mặc định. Theo mặc định, WordPress sử dụng wp_ làm tiền tố cho các bảng mà nó tạo trong cơ sở dữ liệu của bạn. Bạn có một tùy chọn để thay đổi nó trong khi cài đặt.

Bạn nên sử dụng tiền tố phức tạp hơn một chút. Điều này sẽ khiến tin tặc khó đoán tên bảng cơ sở dữ liệu của bạn hơn.

Để biết hướng dẫn chi tiết, hãy xem hướng dẫn của chúng tôi về cách thay đổi tiền tố cơ sở dữ liệu WordPress để cải thiện bảo mật.

Dọn dẹp trang web WordPress bị tấn công

Dọn dẹp một trang web WordPress bị tấn công có thể thực sự khó khăn. Tuy nhiên, nó có thể được thực hiện.

Dưới đây là một số tài nguyên giúp bạn bắt đầu dọn dẹp một trang WordPress bị tấn công:

  • Hướng dẫn cho người mới bắt đầu để sửa trang web WordPress bị tấn công của bạn
  • Cách quét trang web WordPress của bạn để tìm mã độc hại tiềm ẩn
  • làm thế nào để tìm một cửa sau trong một trang web WordPress bị tấn công và sửa chữa nó
  • Phải làm gì khi bạn bị khóa quyền quản trị viên WordPress (wp-admin)
  • Hướng dẫn cho người mới bắt đầu: cách khôi phục WordPress từ bản sao lưu

Mẹo thưởng

Để bảo mật vững chắc, chúng tôi sử dụng Sucuri trên tất cả các trang web WordPress của mình. Sucuri cung cấp các dịch vụ phát hiện và loại bỏ phần mềm độc hại cũng như tường lửa trang web sẽ bảo vệ trang web của bạn chống lại các mối đe dọa phổ biến nhất.

Xem cách Sucuri đã giúp chúng tôi chặn 450.000 cuộc tấn công WordPress trong 3 tháng như thế nào

Chúng tôi hy vọng bài viết này đã giúp bạn tìm hiểu những lý do hàng đầu khiến trang web WordPress bị tấn công. Bạn cũng có thể muốn xem hướng dẫn bảo mật WordPress cuối cùng của chúng tôi để bảo vệ trang web WordPress của bạn.

Nếu bạn thích bài viết này, vui lòng đăng ký Kênh YouTube của chúng tôi để xem các video hướng dẫn về WordPress. Bạn cũng có thể tìm thấy chúng tôi trên Twitter và Facebook.

Free Download 11 lý do hàng đầu khiến các trang web WordPress bị tấn công (và cách ngăn chặn nó) :

Trong khi chờ đợi, vui lòng nhấn vao quảng cáo phía trên để tác giả có phí duy trì website , xin cám ơn ^^^

In the meantime, please click on the ad so that the author has a website maintenance fee, very very very thank you ^^^ !!!!

Join our official telegram group and channel for latest updates.

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button

Adblock Detected

Vui lòng tắt extension, các ứng dụng chặn quảng cáo trước khi truy cập !!!!! Please disable extensions, ad blocking applications before accessing!!!!!