Các cuộc tấn công WordPress bởi Brute Force Attack có thể làm chậm và khiến trang web không thể truy cập được. Nó cũng bẻ khóa mật khẩu của bạn để cài đặt phần mềm độc hại trên các trang web. Trong bài viết này, chúng tôi sẽ hướng dẫn bạn cách bảo vệ trang web WordPress của bạn khỏi Brute Force Attack.
Brute Force Attack là gì?
Brute Force Attack là một phương pháp tấn công sử dụng các kỹ thuật thử và sai để đột nhập vào một trang web, mạng hoặc hệ thống máy tính.
Tin tặc sử dụng phần mềm tự động để gửi một số lượng lớn các yêu cầu đến hệ thống mục tiêu. Với mỗi yêu cầu, phần mềm sẽ đoán mã pin hoặc mật khẩu để truy cập.
Những công cụ này có thể ngụy trang bằng nhiều loại địa chỉ IP. Điều này làm cho hệ thống khó xác định và chặn các hoạt động này.
Tấn công Brute Force thành công có thể cho phép tin tặc truy cập vào khu vực quản trị trang web. Chúng có thể cài đặt backdoor, phần mềm độc hại, đánh cắp thông tin người dùng và xóa mọi thứ trên trang web.
Ngay cả các cuộc tấn công Brute Force không thành công cũng có thể gây tổn hại. Bằng cách gửi quá nhiều yêu cầu, chúng làm chậm các máy chủ lưu trữ WordPress. Họ thậm chí có thể làm cho trang web của bạn không thể truy cập được.
Vậy làm thế nào để bảo vệ trang web WordPress của bạn khỏi các cuộc tấn công như vậy?
Bước 1: Cài đặt Plugin tường lửa của WordPress
Brute Force Attack tạo ra rất nhiều tải trên máy chủ của bạn. Ngay cả khi nó không thành công, nó có thể làm chậm trang web của bạn. Rắc rối hơn là nó có thể làm sập máy chủ của bạn. Đây là lý do tại sao bạn nên ngăn chặn chúng trước khi chúng đến máy chủ của bạn.
Để làm được điều đó, bạn sẽ cần đến giải pháp Tường lửa trang web. Tường lửa lọc ra lưu lượng truy cập xấu và chặn quyền truy cập vào trang web của bạn.
Có hai loại tường lửa trang web mà bạn có thể sử dụng.
Tường lửa mức ứng dụng
Các plugin Tường lửa này kiểm tra lưu lượng khi nó đến máy chủ của bạn. Nhưng là trước khi tải hầu hết các tập lệnh WordPress. Phương pháp này không hoạt động vì Brute Force Attack vẫn có thể ảnh hưởng đến tải máy chủ của bạn.
Tường lửa trang web cấp DNS
Các Tường lửa này định tuyến lưu lượng truy cập trang web của bạn thông qua các máy chủ proxy đám mây. Điều này cho phép họ chỉ gửi lưu lượng truy cập chính hãng đến máy chủ của bạn đồng thời tăng tốc độ và hiệu suất WordPress. Bạn có thể tham khảo các dịch vụ của CloudFlare, Sucuri,…
Bước 2: Cập nhật phiên bản WordPress
Một số Brute Force Attack chủ động nhắm mục tiêu vào các lỗ hổng trong các phiên bản cũ hơn của WordPress, plugin hoặc chủ đề WordPress.
Lỗi phổ biến nhất là mã nguồn mở và các lỗ hổng thường được sửa rất nhanh với một bản cập nhật. Tuy nhiên, nếu bạn không cài đặt bản cập nhật, bạn sẽ khiến trang web của mình gặp rủi ro.
Chỉ cần truy cập bảng điều khiển » Trang Cập nhật trong khu vực quản trị WordPress để kiểm tra các bản cập nhật có sẵn. Trang này sẽ hiển thị tất cả các cập nhật cho lõi, plugin và chủ đề WordPress của bạn.
Bước 3: Bảo vệ thư mục quản trị WordPress
Hầu hết Brute Force Attack trên WordPress đều cố gắng truy cập vào khu vực quản trị. Bạn có thể thêm bảo vệ bằng mật khẩu vào thư mục quản trị WordPress của mình ở cấp máy chủ. Điều này sẽ chặn truy cập trái phép vào khu vực quản trị WordPress của bạn.
Chỉ cần đăng nhập vào bảng điều khiển lưu trữ WordPress của bạn (cPanel) và nhấp vào biểu tượng ‘Quyền riêng tư của Thư mục’ trong phần Tệp.
Tiếp theo, bạn cần tìm thư mục wp-admin và nhấp vào tên thư mục.
cPanel bây giờ sẽ yêu cầu bạn cung cấp tên cho thư mục bị hạn chế, tên người dùng và mật khẩu. Sau khi nhập thông tin này, hãy nhấp vào nút lưu để lưu cài đặt của bạn.
Thư mục quản trị WordPress của bạn hiện đã được bảo vệ bằng mật khẩu. Bạn sẽ thấy một lời nhắc đăng nhập mới khi bạn truy cập vào khu vực quản trị WordPress của mình.
Bước 4: Thêm xác thực hai yếu tố trong WordPress
Xác thực hai yếu tố bổ sung thêm một lớp bảo mật cho màn hình đăng nhập WordPress của bạn. Về cơ bản, người dùng sẽ cần điện thoại của họ để tạo mật mã một lần cùng với thông tin đăng nhập để truy cập khu vực quản trị WordPress.
Xác thực hai yếu tố khiến tin tặc khó truy cập ngay cả khi chúng có thể bẻ khóa mật khẩu.
Bước 5: Sử dụng mật khẩu mạnh
Mật khẩu là chìa khóa để truy cập trang WordPress của bạn. Bạn cần sử dụng một mật khẩu mạnh duy nhất cho tất cả các tài khoản của mình. Mật khẩu mạnh là sự kết hợp của số, chữ cái và các ký tự đặc biệt.
Điều quan trọng là bạn phải sử dụng mật khẩu mạnh cho không chỉ tài khoản người dùng WordPress mà còn cho FTP, bảng điều khiển lưu trữ web và cơ sở dữ liệu WordPress của bạn.
Hầu hết người mới bắt đầu hỏi chúng tôi làm thế nào để nhớ tất cả các mật khẩu duy nhất? Chà, bạn không cần phải nhớ. Có những ứng dụng quản lý mật khẩu tuyệt vời có sẵn để lưu trữ mật khẩu của bạn một cách an toàn và tự động điền chúng cho bạn.
Bước 6. Tắt duyệt thư mục
Theo mặc định, khi máy chủ web của bạn không tìm thấy chỉ mục. Nó sẽ tự động hiển thị trang chỉ mục hiển thị nội dung của thư mục.
Trong cuộc tấn công Brute Force, tin tặc có thể sử dụng tính năng duyệt thư mục để tìm các tệp dễ bị tấn công. Để khắc phục điều này, bạn cần thêm dòng sau vào cuối tệp .htaccess WordPress của mình.
Bước 7: Tắt thực thi tệp PHP trong thư mục WordPress cụ thể
Tin tặc có thể muốn cài đặt và thực thi một tập lệnh PHP trong thư mục của bạn. WordPress được viết chủ yếu bằng PHP. Có nghĩa là bạn không thể tắt nó trong tất cả các thư mục WordPress.
Tuy nhiên, có một số thư mục không cần bất kỳ tập lệnh PHP nào. Ví dụ: thư mục tải lên WordPress của bạn nằm tại / wp-content / uploads.
Bạn có thể vô hiệu hóa việc thực thi PHP một cách an toàn trong thư mục tải lên mà hacker thường sử dụng để ẩn các tệp backdoor.
Trước tiên, bạn cần mở một trình soạn thảo văn bản như Notepad trên máy tính của mình và dán đoạn mã sau:
|
|
Bây giờ, hãy lưu tệp này dưới dạng .htaccess và tải nó lên / wp-content / uploads / folder trên trang web của bạn bằng FTP.
Bước 8: Cài đặt và thiết lập một plugin sao lưu WordPress
Sao lưu là công cụ quan trọng nhất trong bảo mật WordPress. Nếu vẫn thất bại thì một bản sao lưu sẽ cho phép bạn dễ dàng khôi phục trang web.
Hầu hết các dịch vụ lưu trữ WordPress đều cung cấp các tùy chọn sao lưu hạn chế. Tuy nhiên, các bản sao lưu này không được đảm bảo. Và bạn hoàn toàn chịu trách nhiệm về việc thực hiện các bản sao lưu của riêng mình.
Có một số plugin sao lưu WordPress tuyệt vời cho phép bạn lên lịch sao lưu tự động.
Chúng tôi hy vọng bài viết này đã giúp bạn tìm hiểu cách bảo vệ trang web WordPress của mình khỏi Brute Force Attack. Chúc bạn dễ dàng thực hiện thành công!
