Wordfence là một trong các plugin miễn phí cho WordPress tốt nhất, và hiện nó là plugin miễn phí chuyên về bảo mật được nhiều người sử dụng nhất.
Sở dĩ nó được sử dụng nhiều như vậy là do có kèm theo nhiều tính năng cực kỳ tốt, có thể hạn chế được nhiều hình thức tấn công phổ biến như Local Hack, XSS, SQL Injection và có cả chức năng mật khẩu hai lớp, tự động quét mã độc trên host.
Trong bài này, mình sẽ giới thiệu qua các chức năng và cách sử dụng Wordfence Security để bạn bảo mật website WordPress của bạn tốt hơn.
Bạn có thể sử dụng plugin này cùng với iThemes Security vì Wordfence Security chuyên về tường lửa hơn.
Toàn bộ chức năng của Wordfence Security
http://vimeo.com/70908504
Trước khi sử dụng, mình xin liệt kê hết toàn bộ các chức năng có trong Wordfence Security để bạn biết nó có thể làm được gì, mặc dù chúng ta có thể không cần sử dụng hết các chức năng này.
- Bổ sung công nghệ Falcon Engine để tạo bộ nhớ đệm cho website để tăng tốc lên 50 lần. Nếu dùng chức năng này, hãy tháo các plugin cache ra như WP Super Cache, W3 Total Cache.
- Hỗ trợ tương thích với các plugin khác và theme khác, ví dụ như Woocommerce.
- Tự động khóa những người tấn công phổ biến. Ví dụ một website nào đó sử dụng Wordfence mà bị tấn công và họ thiết lập chặn người tấn công đó, thì website của bạn cũng sẽ chặn người tấn công đó.
- Thêm mật khẩu hai lớp bằng mã xác nhận qua điện thoại, giống như tài khoản Google vậy.
- Quét lỗ hổng thông qua lỗi bảo mật “HeartBleed”.
- Bắt buộc các người dùng khác trên website phải sử dụng mật khẩu phức tạp.
- Tự động quét mã nguồn WordPress, plugin và theme để phát hiện mã độc. Đối với mã nguồn, nó sẽ so sánh với mã nguồn gốc của WordPress xem nếu có sự thay đổi gì thì sẽ thông báo cho bạn.
- Thiết lập tường lửa để chặn các cách tấn công phổ biến và những người dùng spammer, ví dụ như giả dạng Googlebot.
- Tự động khóa các người tấn công được liệt vào danh sách đen bằng cách kiểm tra IP nâng cao, kiểm tra domain trên WHO IS.
- Theo dõi sự thay đổi của các tập tin trên host và bạn có thể tùy chỉnh tự động sửa chữa nếu tập tin đó bị thay đổi.
- Tự động scan và tìm kiếm một số mã độc phổ biến như 99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx….và rất nhiều cái tên khác.
- Tự động scan các trang trên website xem có bị liệt chèn mã độc hay không, và kiểm tra xem trang đó có bị Google liệt vào danh sách đen hay không.
- Tự động tìm và khóa các mã độc khả nghi.
- Tùy chỉnh giới hạn các bot có thể thu thập thông tin website, nhằm tránh tình trạng bị botnet tấn công tần suất lớn.
- Theo dõi thời gian thực các lượt truy cập vào website của bạn, thống kê lỗi 404 trên website, thay đổi và sửa xóa nội dung,…
- Theo dõi thời gian thực và thống kê các lượt truy cập dựa theo quốc gia.
- Kiểm tra thông tin ổ cứng của host vì nhiều cách tấn công DDoS sẽ làm cho ổ cứng bạn bị đầy.
- Và một số chức năng nhỏ khác.
Thiết lập Wordfence Security
Mình chỉ hướng dẫn qua các chức năng chính, bạn có thể chủ động tìm hiểu thêm các chức năng khác.
Sau khi cài plugin Wordfence Security, họ đã chủ động thiết lập cho bạn các chức năng quan trọng cần thiết để website của bạn trở nên an toàn.
Bạn có thể vào Wordfence -> Options và chọn lại Security Level để nó tự thiết lập tùy theo level, tốt nhất nếu website bạn đang bình thường, không có ai tấn công thì chỉ chọn Level 2 thôi.
Chặn các quốc gia nguy hiểm
Nếu website của bạn là tiếng Việt thì nên chủ động chặn một số lượt truy cập từ các quốc gia mà bạn không cần họ vào để hạn chế tối đa cơ hội họ vào tấn công.
Để chặn quốc gia, các bạn vào Wordfence -> Country Blocking và chọn một số quốc gia bạn cần chặn rồi ấn Save Change.
Một số quốc gia bạn nên chặn:
- China
- Russia
- Israel
- Turkey
- Iraq
- Iran
- Germany
Còn các chức năng còn lại bạn có thể chủ động tìm hiểu nhé vì nó cũng không quá khó hiểu lắm đâu, riêng chức năng Falcon Engine Cache mình không nói qua vì không chắc là nó có làm việc được trên website của bạn hay không (nhưng mình test thì đều làm việc tốt) nên bạn có thể vào phần Wordfence -> Performence để bật chức năng này lên.
Chúc các bạn thành công!
Xem tiếp bài trong serie
Phần trước: Sau khi website bị hack – các công cụ và dịch vụ nên dùngPhần kế tiếp: Brute Force Attack là gì và làm thế nào để chống cho WordPress?