Làm thế nào để bảo vệ trang web WordPress của bạn khỏi Brute Force Attack

Các cuộc tấn công WordPress bởi Brute Force Attack có thể làm chậm và khiến cho trang web không truy cập được. Ngoài ra nó còn bẻ khóa mật khẩu của bạn để cài đặt phần mềm độc hại trên trang web. Trong bài viết này, chúng tôi sẽ hướng dẫn cho bạn cách làm thế nào để bảo vệ trang WordPress khỏi Brute Force Attack.

Brute Force Attack là gì?

Brute Force Attack là một phương pháp hack sử dụng các kỹ thuật thử và lợi dụng lỗi để đột nhập vào trang web, mạng hoặc hệ thống máy tính.

Hacker sử dụng phần mềm tự động để gửi một số lượng lớn các yêu cầu tới hệ thống đích. Với mỗi yêu cầu, các phần mềm này sẽ đoán mã pin hoặc mật khẩu để truy cập.

Những công cụ này có thể ngụy trang bằng cách sử dụng nhiều địa chỉ IP khác nhau. Điều này khiến cho hệ thống khó xác định và chặn các hoạt động này.

Một cuộc Brute Force Attack thành công có thể cho phép hacker truy cập vào khu vực admin trang web. Họ có thể cài đặt backdoor, malware, ăn cắp thông tin người dùng và xóa mọi thứ trên trang web.

Ngay cả các cuộc Brute Force Attack không thành công cũng có thể gây tổn hại. Bằng cách gửi quá nhiều yêu cầu, chúng sẽ làm chậm các máy chủ lưu trữ WordPress. Thậm chí chúng còn có thể làm website của bạn không truy cập được.

Vậy làm thế nào để bảo vệ trang web WordPress của bạn khỏi các cuộc tấn công đó ?

Bước 1: Cài đặt WordPress Firewall Plugin

Brute Force Attack tạo ra rất nhiều lượt tải trên máy chủ của bạn. Kể cả khi thực hiện không thành công nó có thể làm chậm trang web của bạn. Rắc rối hơn là nó có thể làm sụp đổ máy chủ của bạn. Đây là lý do vì sao tại sao nên ngăn chặn chúng trước khi chúng đến máy chủ của bạn.

Để làm điều đó, bạn sẽ cần một giải pháp Firewall cho trang web. Firewall lọc ra lưu lượng truy cập không tốt và chặn truy cập trang web của bạn.

Có hai loại firewall dành cho trang web mà bạn có thể sử dụng.

Application Level Firewall

Các plugin Firewall này kiểm tra lưu lượng khi nó đến máy chủ của bạn. Nhưng là trước khi tải hầu hết các tập lệnh WordPress. Phương pháp này không hiệu quả vì Brute Force Attack vẫn có thể ảnh hưởng đến tải máy chủ của bạn.

DNS Level Website Firewall

Các Firewall này định tuyến lưu lượng truy cập trang web của bạn thông qua các máy chủ proxy đám mây. Điều này cho phép họ chỉ gửi lưu lượng truy cập chính hãng đến máy chủ của bạn trong khi tăng tốc độ và hiệu suất WordPress. Bạn có thể tham khảo dịch vụ của CloudFlare, Sucuri,…

Bước 2: Cập nhật phiên bản WordPress

Một số Brute Force Attack chủ động nhắm mục tiêu các lỗ hổng trong các phiên bản cũ hơn của WordPress, các plugin WordPress hoặc themes.

Lỗi phổ biến nhất là mã nguồn mở và lỗ hổng thường được sửa rất nhanh với bản cập nhật. Tuy nhiên nếu bạn không cài đặt bản cập nhật, thì bạn để trang web của bạn dễ gặp nguy hiểm.

Chỉ cần truy cập Dashboard » Trang Updates trong khu vực quản trị WordPress để kiểm tra các bản cập nhật có sẵn. Trang này sẽ hiển thị tất cả các bản cập nhật cho lõi, plugin và chủ đề WordPress của bạn.

Bước 3: Bảo vệ thư mục quản trị WordPress

Hầu hết Brute Force Attack trên WordPress đều cố gắng truy cập vào khu vực admin. Bạn có thể thêm bảo vệ mật khẩu vào thư mục admin WordPress của bạn ở cấp độ máy chủ. Điều này sẽ chặn truy cập trái phép vào khu vực admim WordPress của bạn.

Chỉ cần đăng nhập vào bảng điều khiển lưu trữ WordPress của bạn (cPanel) và nhấp vào biểu tượng ‘Directory Privacy’ trong phần Tệp.

Tiếp theo, bạn cần xác định thư mục wp-admin và kích vào tên thư mục.

cPanel giờ sẽ yêu cầu bạn cung cấp tên cho thư mục, tên người dùng và mật khẩu bị hạn chế. Sau khi nhập thông tin này, hãy nhấp vào nút lưu để lưu cài đặt của bạn.

Thư mục quản trị WordPress của bạn hiện được bảo vệ bằng mật khẩu. Bạn sẽ thấy một dấu nhắc đăng nhập mới khi bạn truy cập khu vực quản trị WordPress của mình.

Bước 4: Thêm xác thực hai yếu tố trong WordPress

Xác thực hai yếu tố thêm lớp bảo mật bổ sung vào màn hình đăng nhập WordPress của bạn. Về cơ bản, người dùng sẽ cần điện thoại của họ để tạo mật mã một lần cùng với thông tin đăng nhập để truy cập vào khu vực quản trị WordPress.

Xác thực 2 yếu tố khiến cho hacker khó truy cập ngay cả khi họ có thể crack mật khẩu.

Bước 5: Sử dụng mật khẩu mạnh

Mật khẩu là chìa khóa để truy cập vào trang web WordPress của bạn. Bạn cần sử dụng mật khẩu mạnh duy nhất cho tất cả tài khoản của mình. Mật khẩu mạnh là kết hợp số, chữ cái và ký tự đặc biệt.

Điều quan trọng là bạn sử dụng mật khẩu mạnh cho không chỉ tài khoản người dùng WordPress mà còn cho FTP, bảng điều khiển lưu trữ web và cơ sở dữ liệu WordPress của bạn.

Hầu hết người mới bắt đầu hỏi chúng tôi làm thế nào để nhớ tất cả các mật khẩu duy nhất? Vâng, bạn không cần phải nhớ. Có các ứng dụng quản lý mật khẩu tuyệt vời có sẵn để lưu trữ mật khẩu của bạn một cách an toàn và tự động điền chúng vào cho bạn.

Bước 6. Vô hiệu hóa duyệt thư mục

Theo mặc định, khi máy chủ web của bạn không tìm thấy tệp chỉ mục. Nó sẽ tự động hiển thị trang chỉ mục hiển thị nội dung của thư mục.

Trong một cuộc Brute Force Attack, hacker có thể sử dụng duyệt thư mục để tìm các tệp dễ bị tấn công. Để khắc phục điều này, bạn cần phải thêm dòng sau vào cuối tệp .htaccess WordPress của bạn.