5 lỗi bảo mật trên WordPress – Nếu bạn sở hữu một trang web sử dụng WordPress hoặc đang xem xét sử dụng WordPress để làm website và bạn đang lo ngại về các vấn đề bảo mật tiềm ẩn của WordPress. Trong bài viết này, HOSTVN sẽ phác thảo 5 lỗi bảo mật trên WordPress phổ biến nhất hiện nay qua đó giúp các bạn có thêm phương hướng trong việc bảo mật cho website WordPress của mình.
Mục lục
WordPress có an toàn không?
WordPress có an toàn không? Đây là một câu hỏi có lẽ sẽ rất nhiều người quan tâm, và câu trả lời là bản thân WordPress rất an toàn miễn là bạn tuân theo các quy tắc về bảo mật của WordPress.
Hiện nay WordPress là một mã nguồn mở miễn phí và được sử dụng rất phổ biến trên toàn thế giới. Vì vậy, lỗ hổng bảo mật WordPress là không thể tránh khỏi vì không phải tất cả người dùng đều cẩn thận, kỹ lưỡng hoặc có ý thức bảo mật với trang web của họ. Nếu tin tặc có thể tấn công vào một trang web WordPress, chúng có thể quét các trang web khác cũng đang chạy các phiên bản WordPress cũ hoặc không an toàn và cũng tấn công chúng.
WordPress chạy trên mã nguồn mở và có một nhóm lập trình viên đặc biệt lập chuyên tìm kiếm, xác định và khắc phục các vấn đề bảo mật của WordPress. Khi lỗ hổng bảo mật được phát hiện, các bản sửa lỗi ngay lập tức được phát hành. Đó là lý do tại sao việc thường xuyên update WordPress lên phiên bản mới nhất là vô cùng quan trọng.
Điều quan trọng cần lưu ý là các lỗ hổng bảo mật của WordPress thường xuất phát từ các theme hoặc plugin bạn cài đặt trên trang web của mình. Theo một báo cáo gần đây của wpvulndb.com, trong số 2.837 lỗ hổng bảo mật WordPress đã biết trong cơ sở dữ liệu của họ:
- 75% là từ các plugin WordPress
- 14% là từ core WordPress
- 11% là từ các theme của WordPress
Hiện nay rất nhiều người đều không có ý thức trong việc bảo mật cho website WordPress của mình. Đa số họ đều nghĩ rằng họ đang sử dụng một theme bản quyền, plugins bản quyền và nó sẽ không thể bị hack. Và ngay khi website bị hack thì trong đầu họ thường nảy sinh ngay ra ý nghĩ rằng họ dùng theme mua trả tiền, plugins trả tiền hoặc tải trên kho chính thức của WordPress thì làm sao có thể bị hack được, vậy nguyên nhân chắc chắn là do hosting rồi. Đây có thể nói là một ý nghĩ hết sức sai lầm khiên cho họ gặp nhiều khó khăn hoặc không biết phải là gì để bảo mật cho website của mình.
5 vấn đề bảo mật WordPress phổ biến
Mục tiêu của tin tặc là giành quyền truy cập trái phép vào trang web WordPress của bạn ở cấp quản trị viên, từ giao diện (bảng điều khiển WordPress của bạn) hoặc ở phía máy chủ (bằng cách chèn tập lệnh hoặc tệp độc hại).
Dưới đây là 5 vấn đề bảo mật WordPress phổ biến nhất bạn nên biết:
1. Brute Force Attacks
Các cuộc tấn công BruteForce đề cập đến phương pháp dò mật khẩu. Bruteforce attack là cách đơn giản nhất để có quyền truy cập vào trang web của bạn. Để hiểu rõ hơn về BruteForce các bạn có thể tham khảo thêm thông tin về Bruteforce trên Wikipedia
Theo mặc định, WordPress không giới hạn số lần đăng nhập sai, do đó tin tặc có thể tấn công trang đăng nhập WordPress của bạn bằng phương pháp tấn công bruteforce cho đến khi tìm được thông tin đăng nhập chính xác.
Để phòng ngừa các cuộc tấn công Bruteforce các bạn có thể xem bài viết Hạn chế Bruteforce attack wordpress với plugins Limit Login Attempts
2. File Inclusion Exploits
Sau các cuộc tấn công Bruteforce, một ỗ hổng khác liên quan đến PHP (Mã nguồn sử dụng để viết WordPress) là File Inclusion Exploits cũng là vấn đề bảo mật phổ biến tiếp theo có thể bị tin tặc khai thác.
Lỗ hổng File Inclusion cho phép tin tặc truy cập trái phép vào những tập tin nhạy cảm trên máy chủ web hoặc thực thi các tệp tin độc hại bằng cách sử dụng chức năng “include” .
Thông qua lỗ hổng này kẻ tấn công có thể đọc được file wp-config.php và biết được các thông tin kết nối database, qua đó chiếm quyền điều khiển website của bạn
3. SQL Injections
Trang web WordPress của bạn sử dụng cơ sở dữ liệu MySQL để hoạt động. SQL Injections xảy ra khi kẻ tấn công giành quyền truy cập vào cơ sở dữ liệu WordPress của bạn và tất cả dữ liệu trang web của bạn.
Với SQL Injections, kẻ tấn công có thể tạo tài khoản người dùng cấp quản trị viên mới, sau đó có thể được sử dụng để đăng nhập và có quyền truy cập đầy đủ vào trang web WordPress của bạn. SQL Injections cũng có thể được sử dụng để chèn dữ liệu mới vào cơ sở dữ liệu của bạn, bao gồm các liên kết đến các trang web độc hại hoặc spam.
SQL Injections thường xảy ra do lập trình viên khi code theme, plugins đã sai sót và không lọc kỹ dữ liệu trước khi insert chúng vào cơ sở dữ liệu.
4. Cross-Site Scripting (XSS)
84% của tất cả các lỗ hổng bảo mật trên internet được gọi là các cuộc tấn công Cross-Site Scripting (XSS). Lỗ hổng Cross-Site Scripting là lỗ hổng phổ biến nhất được tìm thấy trong các plugin, theme của WordPress.
Cơ chế cơ bản của Cross-Site Scripting hoạt động như thế này: kẻ tấn công tìm cách khiến nạn nhân tải các trang web với các đoạn script javascript không an toàn. Các tập lệnh này tải sau đó được sử dụng để đánh cắp dữ liệu từ trình duyệt của người dùng.
5. Malware
Malware – phần mềm độc hại, là mã độc được sử dụng để chèn vào trang web và thu thập các dữ liệu nhạy cảm. Trang web WordPress bị tấn công thường có nghĩa là phần mềm độc hại đã được chèn vào trang web của bạn, vì vậy nếu bạn nghi ngờ có phần mềm độc hại trên trang web của mình, hãy kiểm tra thật kỹ các file trong mã nguồn.
Tất cả các gói hosting Linux của HOSTVN đều được trang bị phần mềm tự động quét mã độc và gửi mail cảnh bảo tới khách hàng ngay khi mã độc được phát hiện.
Bốn trường hợp nhiễm phần mềm độc hại WordPress phổ biến nhất hiện nay là:
- Backdoors
- Drive-by downloads (Tự động download)
- Pharma hacks
- Chuyển hướng độc hại (Redirects)
Để kiểm tra xem mã nguồn của bạn có nhiễm mã độc hay không các bạn có thể sử dụng plugins quét mã độc của wordpress. Bài viết Top 4 plugins hỗ trợ xoá mã độc wordpress tốt nhất 2019 sẽ giúp bạn lựa chọn plugins hỗ trợ tốt cho việc này.3
Ngoài ra để bảo vệ website của bạn trước các lỗ hổng bảo mật hãy xem xét sử dụng Firewall cho website của mình, bài viết Top 6 tường lửa cho WordPress tốt nhất hiện này sẽ giúp bạn dễ dàng lựa chọn cho mình một Firewall phù hợp.
Kết luận
Qua bài viết này HOSTVN đã cùng các bạn tìm hiểu 5 lỗ hổng bảo mật phổ biến nhất hiện này của WordPress. Hi vọng qua bài viết này phần nào sẽ giúp các bạn hiểu rõ hơn vấn đề bảo mật cho WordPress qua đó biết cách bảo vệ website của mình khỏi tin tặc. Nếu có bất kỳ ý kiến đóng góp nào các bạn có thể để lại bình luận ở bên dưới. Ngoài ra các bạn cũng có thể xem thêm Hướng dẫn tăng cường bảo mật cho WordPress của HOSTVN.
