Wordfence là một trong các plugin miễn phí cho WordPress tốt nhất, và hiện nó là plugin miễn phí chuyên về bảo mật được nhiều người sử dụng nhất.

Sở dĩ nó được sử dụng nhiều như vậy là do có kèm theo nhiều tính năng cực kỳ tốt, có thể hạn chế được nhiều hình thức tấn công phổ biến như Local Hack, XSS, SQL Injection và có cả chức năng mật khẩu hai lớp, tự động quét mã độc trên host.

Trong bài này, mình sẽ giới thiệu qua các chức năng và cách sử dụng Wordfence Security để bạn bảo mật website WordPress của bạn tốt hơn.

Bạn có thể sử dụng plugin này cùng với iThemes Security vì Wordfence Security chuyên về tường lửa hơn.

Toàn bộ chức năng của Wordfence Security

http://vimeo.com/70908504

Trước khi sử dụng, mình xin liệt kê hết toàn bộ các chức năng có trong Wordfence Security để bạn biết nó có thể làm được gì, mặc dù chúng ta có thể không cần sử dụng hết các chức năng này.

• Bổ sung công nghệ Falcon Engine để tạo bộ nhớ đệm cho website để tăng tốc lên 50 lần. Nếu dùng chức năng này, hãy tháo các plugin cache ra như WP Super Cache, W3 Total Cache.
• Hỗ trợ tương thích với các plugin khác và theme khác, ví dụ như Woocommerce.
• Tự động khóa những người tấn công phổ biến. Ví dụ một website nào đó sử dụng Wordfence mà bị tấn công và họ thiết lập chặn người tấn công đó, thì website của bạn cũng sẽ chặn người tấn công đó.
• Thêm mật khẩu hai lớp bằng mã xác nhận qua điện thoại, giống như tài khoản Google vậy.
• Quét lỗ hổng thông qua lỗi bảo mật “HeartBleed”.
• Bắt buộc các người dùng khác trên website phải sử dụng mật khẩu phức tạp.
• Tự động quét mã nguồn WordPress, plugin và theme để phát hiện mã độc. Đối với mã nguồn, nó sẽ so sánh với mã nguồn gốc của WordPress xem nếu có sự thay đổi gì thì sẽ thông báo cho bạn.
• Thiết lập tường lửa để chặn các cách tấn công phổ biến và những người dùng spammer, ví dụ như giả dạng Googlebot.
• Tự động khóa các người tấn công được liệt vào danh sách đen bằng cách kiểm tra IP nâng cao, kiểm tra domain trên WHO IS.
• Theo dõi sự thay đổi của các tập tin trên host và bạn có thể tùy chỉnh tự động sửa chữa nếu tập tin đó bị thay đổi.
• Tự động scan và tìm kiếm một số mã độc phổ biến như 99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx….và rất nhiều cái tên khác.
• Tự động scan các trang trên website xem có bị liệt chèn mã độc hay không, và kiểm tra xem trang đó có bị Google liệt vào danh sách đen hay không.
• Tự động tìm và khóa các mã độc khả nghi.
• Tùy chỉnh giới hạn các bot có thể thu thập thông tin website, nhằm tránh tình trạng bị botnet tấn công tần suất lớn.
• Theo dõi thời gian thực các lượt truy cập vào website của bạn, thống kê lỗi 404 trên website, thay đổi và sửa xóa nội dung,…
• Theo dõi thời gian thực và thống kê các lượt truy cập dựa theo quốc gia.
• Kiểm tra thông tin ổ cứng của host vì nhiều cách tấn công DDoS sẽ làm cho ổ cứng bạn bị đầy.
• Và một số chức năng nhỏ khác.

Thiết lập Wordfence Security

Mình chỉ hướng dẫn qua các chức năng chính, bạn có thể chủ động tìm hiểu thêm các chức năng khác.

Sau khi cài plugin Wordfence Security, họ đã chủ động thiết lập cho bạn các chức năng quan trọng cần thiết để website của bạn trở nên an toàn.

Bạn có thể vào Wordfence -> Options và chọn lại Security Level để nó tự thiết lập tùy theo level, tốt nhất nếu website bạn đang bình thường, không có ai tấn công thì chỉ chọn Level 2 thôi.

Chặn các quốc gia nguy hiểm

Nếu website của bạn là tiếng Việt thì nên chủ động chặn một số lượt truy cập từ các quốc gia mà bạn không cần họ vào để hạn chế tối đa cơ hội họ vào tấn công.

Để chặn quốc gia, các bạn vào Wordfence -> Country Blocking và chọn một số quốc gia bạn cần chặn rồi ấn Save Change.

Một số quốc gia bạn nên chặn:

• China
• Russia
• Israel
• Turkey
• Iraq
• Iran
• Germany

Còn các chức năng còn lại bạn có thể chủ động tìm hiểu nhé vì nó cũng không quá khó hiểu lắm đâu, riêng chức năng Falcon Engine Cache mình không nói qua vì không chắc là nó có làm việc được trên website của bạn hay không (nhưng mình test thì đều làm việc tốt) nên bạn có thể vào phần Wordfence -> Performence để bật chức năng này lên.

Chúc các bạn thành công!

Sẽ cập nhật video sau.

Việc website WordPress bị dính mã độc bởi việc sử dụng theme/plugin không rõ nguồn gốc (nếu không muốn nói là dùng lậu) hoặc đặt mật khẩu đơn giản dễ đoán là chuyện quá đỗi bình thường của chúng ta.

Hiện nay khi website bị dính mã độc thì thường là có 3 kịch bản thường gặp như sau:

1. Trang chủ bị đổi thành một trang cảnh báo là đã bị hack kèm theo nhạc hoành tráng.
2. Website âm thầm gửi đi các email lừa đảo, spam liên tục trên host mà chủ nhân không hề hay biết.
3. Website chứa các đường liên kết ẩn quảng cáo các dịch vụ thuốc kích dục, cờ bạc, phishing scam.

Và khi website bạn bị rơi vào các trường hợp này, các nhà cung cấp Hosting sẽ khóa lại. Nếu bạn dùng VPS thì sẽ bị cảnh báo hoặc khóa nếu rơi vào kịch bản số 1 và tên miền bị rơi vào sổ đen không sớm cũng muộn, lúc này website sẽ bị tụt thứ hạng ở máy tìm kiếm, khi truy cập bằng Google Chrome sẽ có cảnh báo màu đỏ rằng website này rất nguy hiểm.

Thế nhưng để website không bị hack cũng không phải khó, chỉ cần bạn dùng sản phẩm có bản quyền đầy đủ, đặt mật khẩu phức tạp (lưu vô Lastpass chẳng hạn) và thiết lập iThemes Security là được. Nếu bạn dùng Hosting thì nên chọn các đơn vị cung cấp hosting sử dụng CloudLinux như AZDIGI, StableHost, A2Hosting, Hawkhost,…mà sử dụng để tránh bị nhiễm mã độc từ anh bạn hàng xóm.

Chúng ta làm gì khi website bị hack?

Chúng ta hay lên các trang mạng hỏi công cụ quét mã độc khi bị rơi vào các trường hợp này, thế nhưng tin buồn dành cho bạn là không có công cụ nào giúp bạn gỡ mã độc miễn phí cả, mình thề đấy. Chỉ duy nhất có 1 dịch vụ gỡ mã độc mà mình biết và sử dụng qua rồi đó là Sucuri Antivirus với giá rất đắt đỏ và bạn phải chấp nhận nếu cần gỡ mã độc hoàn toàn. Thế nhưng sau khi gỡ xong, chưa chắc website đã thật sự sạch sẽ mà chỉ duy nhất có 1 cách: Cài lại từ đầu.

Cài website lại từ đầu là cách duy nhất cũng là tốt nhất để website của bạn trở nên sạch sẽ. Cài website lại không có nghĩa là bạn sẽ viết lại nội dung hay sản phẩm vì các dữ liệu này sẽ lưu vô database, nhưng tin vui là không có mã độc nào đính kèm vô database của bạn cả. Cài website lại nghĩa là chúng ta sẽ lấy dữ liệu mềm lưu trong database ở website cũ, sau đó cài website mới và nhập các dữ liệu này vào, rồi cài lại plugin và theme từ đầu với nguồn gốc rõ ràng hơn.

Trong bài viết này, mình sẽ hướng dẫn bạn chi tiết cách làm việc này.

Các bước cài lại website từ đầu

Bước 1. Cài mới website

Bây giờ bạn hãy tiến hành cài đặt một website WordPress mới trên host hoặc localhost và sử dụng một tên miền khác để chạy website này nhằm đảm bảo bạn vừa truy cập vào website mới và cả website cũ để tiện kiểm tra, đối chiếu.

Sau đó mở tập tin wp-config.php của website mới và chèn đoạn sau vào dưới <?php:

define(‘WP_HOME’,’http://example.com’);

define(‘WP_SITEURL’,’http://example.com’);

Thay example.com thành địa chỉ của website mới nhé.

Bước 2. Backup dữ liệu ở website cũ

Đầu tiên hãy truy cập phpMyAdmin để export dữ liệu của database website đang sử dụng ra và tải về máy. Nếu host bạn không có phpMyAdmin, thì có thể dùng plugin BackWPUp để backup database và tải về, chỉ cần database thôi nhé.

Tham khảo: Xuất dữ liệu database trong phpMyAdmin

Kế tiếp là hãy mang các thư mục chứa hình ảnh upload trong /wp-content/uploads/ như 2017, 2016, 2015, 2014,…về máy. Lưu ý là chỉ các thư mục chứa hình ảnh upload, các thư mục khác không cần lấy về để đảm bảo an toàn. Nếu bạn dùng Hosting thì có thể vào File Manager dùng tính năng Compress để nén các thư mục này lại và tải về. Hoặc nếu bạn cài website mới trên cùng host thì không cần tải mà chỉ cần copy dữ liệu các thư mục này vào /wp-content/uploads/ ở thư mục website mới.

Bước 3. Nhập dữ liệu cũ vào website mới

Bây giờ bạn hãy truy cập vào phpMyAdmin tại host (hoặc localhost) đang chạy website mới và tìm tên database của website đó, sau đó ấn Nhập (Import) và tải lên tập tin .sql mà bạn có được ở bước 1.

[alert color=”orange” type=”alert-message-background” title=”Lỗi khi import database” size=”small”]Nếu bạn gặp lỗi khi import database thì hãy tạo một database mới hoàn toàn và import vào database mới. Sau đó thiết lập website sử dụng database mới nhé.[/alert]

Sau khi nhập xong, bạn hãy xem tên bảng dữ liệu có tiền tố là wp_ hay một tiền tố khác. Nếu bạn sử dụng tên tiền tố khác với wp_ thì hãy mở tập tin wp-config.php ở website mới, tìm $table_prefix và thay wp_ thành tiền tố của bảng database. Ví dụ mình có bảng tên 38dug_options trong cơ sở dữ liệu thì sẽ thay thành:

$table_prefix = ’38dug_’;

Sau đó hãy tải các thư mục hình ảnh trong website cũ đang chạy trên host (wp-content/uploads) vào thư mục wp-content/uploads ở website mới để đảm bảo hình ảnh không bị mất.

Để kiểm tra, bạn có thể truy cập vào phần Media Library trên website mới để xem đã có hiển thị hình ảnh đầy đủ hay chưa. Nếu hình ảnh hiển thị ra bình thường thì đã hoàn tất.

Bước 4. Cài lại theme an toàn hơn

Bây giờ bước còn lại của bạn là hãy cài lại theme trên website. Nếu bạn dùng theme trả phí thì tốt nhất nên mua bản quyền theme đó để đảm bảo hơn, được cập nhật phiên bản mới thường xuyên nếu có lổ hổng bảo mật xảy ra.

Về bước này chắc mình không cần nói qua rồi, khi cài theme nếu theme đó yêu cầu cài thêm plugin gì bạn có thể cài vào vì các plugin đi theo theme cũng rất đảm bảo nên bạn có thể hoàn toàn yên tâm.

Bước 5. Upload mã nguồn vào website chính

Khi bạn đã thiết lập website hoàn tất và bắt đầu sử dụng. Hãy tiến hành truy cập vào website cũ và xóa toàn bộ dữ liệu trên host đi, sau đó chuyển mã nguồn của website bạn mới làm lên host vào thư mục của website chính. Về bước này, bạn làm giống như việc chuyển host của một website bình thường bao gồm 2 bước:

1. Backup và khôi phục mã nguồn website mới lên host.
2. Backup database và khôi phục database trên host.

Tham khảo:

• Chuyển host thủ công với cPanel
• Chuyển host website WordPress với server/VPS

Sau khi chuyển hoàn tất, hãy mở tập tin wp-config.php của website mới trên host và sửa lại WP_HOME, WP_SITEURL thành địa chỉ website chính. Ví dụ:

define(‘WP_HOME’,’http://example.com’);

define(‘WP_SITEURL’,’http://example.com’);

Việc này sẽ đảm bảo bạn có thể truy cập vào website mới theo tên miền chính của website.

Bước 6. Thay địa chỉ website trong database

Bây giờ bạn hãy đăng nhập vào website mới trên host và cài plugin Better Search Replace, sau đó vào mục Tools -> Better Search Replace và tìm tên miền cũ trong tất cả bảng database và đổi sang tên miền mới, bỏ chọn Run as dry run như hình dưới.

Như vậy tất cả các liên kết trong website đang sử dụng tên miền cũ sẽ được đổi thành tên miền mới mà không cần phải làm thủ công.

Bước cuối. Thiết lập bảo mật cho website WordPress

Ngay sau khi website đã hoạt động hoàn tất, hãy tiến hành thiết lập bảo mật cho website. Bạn hãy xem qua serie Bảo mật WordPress toàn tập và làm theo các bước để tăng sự an toàn của website.

Và quan trọng nhất là không sử dụng các plugin/theme được chia sẻ không rõ nguồn gốc vì điều này là nguyên nhân của 90% trường hợp bị mã độc mà mình từng biết đến. Nếu bạn không cài cái gì lạ vào website, mật khẩu quản trị phức tạp, thiết lập plugin bảo mật tốt thì bạn sẽ không cần quan tâm đến các giải pháp bảo mật nào nữa.

Chúc website của bạn sớm được phục hồi và hoạt động ổn định.