WordPress là một phần mềm nguồn mở được viết bằng ngôn ngữ lập trình website PHP và sử dụng hệ quản trị cơ sở dữ liệu MySQL.
Cũng là bộ đôi ngôn ngữ lập trình website thông dụng nhất hiện tại. WordPress được ra mắt lần đầu tiên vào ngày 27/5/2003 bởi tác giả Matt Mullenweg và Mike Little.
Hiện nay WordPress được sở hữu và phát triển bởi công ty Automattic có trụ sở tại San Francisco, California thuộc hợp chủng quốc Hoa Kỳ.
WordPress là một mã nguồn mở bằng ngôn ngữ PHP để hỗ trợ tạo blog cá nhân, và nó được rất nhiều người sử dụng ủng hộ về tính dễ sử dụng, nhiều tính năng hữu ích.
Qua thời gian, số lượng người sử dụng tăng lên, các cộng tác viên là những lập trình viên cũng tham gia đông đảo để phát triển mã nguồn WordPress có thêm những tính năng tuyệt vời. Và cho đến thời điểm viết bài này là 2015.
WordPress đã được xem như là một hệ quản trị nội dung (CMS – Content Management System 2) vượt trội để hỗ trợ người dùng tạo ra nhiều thể loại website khác nhau như blog, website tin tức/tạp chí, giới thiệu doanh nghiệp, bán hàng – thương mại điện tử, thậm chí với các loại website có độ phức tạp cao như đặt phòng khách sạn, thuê xe, đăng dự án bất động sản…
Hầu như mọi hình thức website với quy mô nhỏ và vừa đều có thể triển khai trên nền tảng WordPress. Bên cạnh đó có nhiều người sử dụng đồng nghĩa với việc nhiều người tìm ra được lỗ hổng của CMS này.
Bên dưới là 05 yếu tố cơ bản để bạn thiết lập các bảo mật cho website WordPress này.
1/ Trang đăng nhập quản trị Website
Theo như mặc định, việc đăng nhập vào trang quản trị của WordPress có dạng như sau: domain/wp-admin hoặc examplewebsite.com/login hoặc hoặc / wp_login, hoặc một biến thể tương tự.
Khi nhập URL dạng này bạn sẽ được chuyển hướng đến trang đăng nhập của WP nếu bạn biết tài khoản quản trị bạn có thể quản lý trang website với quyền hạn như người quản trị. Điều này làm cho website của bạn tương tự như một lời thách đấu với các Hacker.
Trong thực tế, các Hacker sẽ sử dụng Tools để Pass qua yêu cầu chứng thực này. Tuỳ vào độ pức tạp của mật khẩu bạn đặt mà thời gian Pass qua nhanh hoặc chậm. Nhưng điều này có thể xảy ra. Và website của bạn vẫn có thể gặp nguy hiểm.
Hãy thay đổi URL này không nên để đường dẫn mặc định mà WordPress khởi tạo ra cho bạn. Hãy sử dụng các Module hoặc Plugin thay đổi chúng. Tuy hơi khó chịu ở mỗi lần đăng nhập trang quản trị nhưng đây cũng là một trong yếu tố giúp website của bạn an toàn hơn.
2/ Nâng cấp, cập nhật phiên bản WordPress hiện tại
Hãy thực hiện công việc này thường xuyên, hiện nay nhiều Hosting khi bạn thuê đã có chức năng này. Các Hosting có thể tự động Update phiên bản WordPress cho bạn sau đó gửi cho bạn 1 Email thông báo vấn đề này.
Thông thường mỗi phiên bản cập nhật WordPress thường đưa ra list danh sách các lỗi sẽ được FIX trong bản cập nhật. Hãy quan tâm đến nó. Có thể những lỗi này hiện tại chưa quan trọng với website của bạn nhưng về sau nó sẽ là lỗ hổng dễ dàng khai thác website của bạn.
Giữ bản cập nhật mới nhất về phiên bản WordPress và phiên bản CSDL MySQL. Ngoài an toàn cho website bạn nó còn giúp cho website bạn có độ load nhanh hơn.
Các Tools của Hacker cũng sẽ bị hạn chế bởi phiên bản WordPress nó chỉ hoạt động khá tốt với các phiên bản cũ.
3/ Lựa chọn Plugin và Themes trước khi cài đặt
Bạn có nắm hết các cấu trúc file trong themes và plugin mà bạn chuẩn bị cài đặt. Hacker có thể chèn 1 file “SHELL” vào trong các folder plugin đó mà bạn không thể biết được nó nằm ở đâu.
Bạn có thể tham khảo nội dung video bên dưới. Bài Lab này thực hiện thủ thuật Upload Shell lên website. Ngoài ra thay vì Upload như thế này.
Hacker sẽ để trực tiếp Shell vào trong các Plugin và chia sẻ chúng một cách rộng rãi, miễn phí trên diễn đàn. Facebook. Các kênh download khác. Khi bạn Upload plugin này lên website đồng nghĩa với việc bạn đã cài đặt shell web của bạn. Việc còn lại là của Hacker
Tốt nhất để tránh bị tấn công và an toàn hơn cho website của bạn. Khi cài đặt hoặc upload theme lên website hãy chú ý và chọn lọc kỹ lưỡng nguồn cung cấp tài nguyên này.
4/ Bảo mật Hosting song song với bảo mật Website
Việc bảo mật website rất quan trọng cho bạn nhưng bên cạnh đó bảo mật Hosting lại quan trọng hơn vì toàn bộ tài nguyên trên website của bạn nằm trên Hosting.
Đừng khờ dại nghĩ rằng chia sẽ tài khoản Hosting thì sẻ không ai truy cập được vào trang quản trị website của bạn trên lý thuyết thì nó hoàn toàn đúng.
Nhưng trong thực tế thì điều đó diễn ra một cách dễ dàng. Hacker có thể chiếm toàn quyền trên website của bạn chỉ trong vòng vài giây. Vì vậy suy nghĩ kỹ trước khi cho ai đó “mượn” tài khoản Hosting.
Trên Hosting bạn cũng nên cấu hình lại các phân quyền Folder trong website. Đừng phân quyền cho những folder quan trọng với quyền 777 nó thật sự tồi tệ. Hãy cập nhật nó lại thành 444. Sẽ an toàn hơn đó.
5/ Thường xuyên sao lưu Website
Đây không phải là lỗ hổng nó là thao tác cần thiết khi website bạn bị tấn công. Bạn có thể sử dụng chức năng tự động sao lưu để khi có sự cố hoặc bị tấn công bạn có thể phục hồi lại thời điểm trước đó.
Các nhà dịch vụ cung cấp Host cũng đang làm tốt vấn đề này họ thường xuyên cập nhật và sao lưu nhiều nhà cung cấp sao lưu website 1 ngày 1 lần.
Điều này rất cần thiết cho bạn. Hãy chọn những nhà cung cấp này. Đừng quên tải các bản sao lưu này về máy tính và xoá nó nếu nó có xuất hiện ở trên Hosting.
Nhiều khi bạn thực hiện lệnh sao lưu bản sao lưu đó nằm trên Hosting của bạn và bạn đã tải nó về nhưng chưa xoá trên Host.
Hacker có thể dựa vào các bản sao lưu này để tìm cách chiếm quyền truy cập website của bạn. Để an toàn hãy chọn cơ chế đặt mật khẩu (password) cho các bản sao lưu ấy. Thường xuyên kiểm soát hoạt động của website đế các IP lạ từ nguồn nước ngoài.
T.H
