[Bảo mật] 4 cuộc tấn công website WordPress phổ biến nhất 

403
Các cuộc tấn công website wordpress phổ biến nhất
Các cuộc tấn công website wordpress phổ biến nhất

 

WordPress là nền tảng của hơn một phần tư số trang web trên thế giới và con số này đang không ngừng tăng lên một cách nhanh chóng; đồng thời các cuộc tấn công website wordpress cũng đang xảy ra hàng ngày. Bởi nó là một mục tiêu ngon lành cho tin tặc và những tên tội phạm khác. Nếu họ có thể tìm thấy lỗ hổng trong WordPress, họ có chìa khóa của hàng triệu trang web. Đặc biệt, lỗ hổng từ plugin WordPress, ngay cả một plugin không phổ biến lắm cũng có thể cung cấp cho kẻ tấn công quyền truy cập vào hàng nghìn trang web.

WordPress là một mã nguồn mở, các nhà phát triển nỗ lực giữ cho WordPress an toàn nhưng họ chỉ làm được đến vậy. Nếu bạn là Chủ sở hữu trang web WordPress bạn phải tự chủ động bảo vệ chính trang web của mình.

Và để làm được điều đó, bạn phải hiểu những rủi ro gì có thể xảy ra với trang web của mình và cách bảo vệ trang web khỏi các lỗ hổng phổ biến.

Gần đây, công ty bảo mật WordPress Wordfence đã công bố danh sách các cách phổ biến nhất khiến các trang web WordPress bị xâm nhập. Bạn không nên bỏ lỡ thông tin này.

4 cuộc tấn công website WordPress phổ biến nhất

Các lỗ hổng plugin

Cho đến nay, thủ phạm lớn nhất gây ra các cuộc tấn công website wordpress đến từ các lỗ hổng trong các plugin. Có hàng chục nghìn plugin, được tạo ra bởi hàng nghìn nhà phát triển, vì vậy plugin là rủi ro lớn nhất.

Một cách để bảo vệ trang web của bạn khỏi các lỗ hổng trong plugin là cài đặt càng ít plugin càng tốt. Hệ sinh thái plugin là lý do chính khiến mọi người chọn WordPress ngay từ đầu, vì vậy tôi không khuyên bạn nên tránh hoàn toàn các plugin. Tuy nhiên, nếu bạn không sử dụng một plugin, hãy xóa nó. Cân nhắc xem bạn có cần chức năng mà plugin cung cấp hay không.

Tiếp theo, hãy đảm bảo cập nhật các plugin bạn sử dụng. Các lỗ hổng được tìm thấy và sửa chữa mọi lúc. Bản cập nhật cung cấp các bản sửa lỗi. Giữ các plugin lỗi thời chẳng khác gì bạn đang muốn mời các kẻ tấn công trang web wordpress của mình.

Nếu một plugin không được cập nhật trong một thời gian, nó có thể đã bị nhà phát triển bỏ qua. Nếu bạn nghi ngờ một plugin không được phát triển tích cực, hãy tìm một giải pháp thay thế . Và hãy cài đặt cho mình các plugin bảo mật tốt nhất vì điều này là vô cùng cần thiết.

Brute Force

Brute Force  đến từ việc lơ là bảo mật đăng nhập wordpress. Kẻ tấn công – thường là bot – sẽ thử tất cả các chuỗi mật khẩu với tên người dùng có thể để tìm ra mật khẩu. Cách khắc phục ở đây rất dễ dàng; không sử dụng mật khẩu và tên người dùng có thể đoán được. Mật khẩu càng dài, càng phức tạp càng tốt. Các mật khẩu như “pa55word” và “ilovejustin” sẽ được đoán trong phần nhỏ của giây.

Ngoài việc sử dụng mật khẩu an toàn, bạn cũng nên cân nhắc cài đặt xác thực hai yếu tố để đăng nhập vàp trang web WordPress của mình và sử dụng công cụ rate-limiting chặn IP sau quá nhiều lần đăng nhập không thành công.

Xác thực hai yếu tố Duo và plugin chặn đăng nhập sai quá nhiều lần
Xác thực hai yếu tố Duo và plugin chặn đăng nhập sai quá nhiều lần

Lỗ hổng WordPress Core và theme

WordPress Core thường an toàn hơn nhiều so với hệ sinh thái plugin và phần lớn các cuộc tấn công thành công đều dựa vào các lỗ hổng đã được sửa trong phiên bản gần đây nhất.

Đó là lí do bạn nhất định phải cập nhật trang web WordPress của bạn!

Lỗ hổng hosting

Đôi khi, các công ty cung cấp web hosting mắc lỗi hoặc phần mềm mà họ dựa vào – ví dụ như hệ điều hành Linux – chứa các lỗ hổng. Cách tốt nhất để tránh web hosting không đủ năng lực là chọn một máy chủ web có danh tiếng bảo mật tốt và chuyên môn để bảo vệ khách hàng của họ.

Kết luận

Không mất nhiều công sức để bảo mật website WordPress. Các nhà phát triển của WordPress đã tạo ra một nền tảng vững chắc và liên tục cập nhật các lỗ hổng. Việc của bạn là đầu tư một chút thời gian và sự chú ý để bảo vệ trang web hay blog của bạn khỏi các cuộc tấn công website WordPress mà bạn chẳng bao giờ ngờ đến.

 

Bình luận