Brute Force là kỹ thuật tấn công đoán mò dò đăng nhập cũng là kẻ hỏng WordPress bị tấn công nhiều nhất. các hacker dùng những srcipt tool để đoán mò dỏ mật khẩu để truy cập cướp quyền quản trị viên trang WordPress của bạn.
hôm nay mình sẽ chia sẻ những thủ thuật để nâng cao bảo mật WordPress về chủ đề brute force.
Mục lục
Brute force là gì
brute force là đoán mò dò tìm đăng nhập.
các hacker dùng những srcipt tool để đoán mò dỏ mật khẩu để truy cập cướp quyền quản trị viên trang WordPress của bạn.
Bảo mật WordPress để chống lại brute force
có rất nhiều cách bảo mật hạn chế cái này, hôm nay mình sẽ chia sẻ những cách mà những cao thủ, những người dùng WordPress chuyên nghiệp thường làm để nâng cao bảo mật của họ để chống lại.
Cho phép IP truy cập vào trang quản trị
đây là kỹ thuật mình cảm thấy hay nhất và cực kì mạnh mẽ.
Hiểu ngắn gọn thủ thuật này là chỉ cho phép một số IP nhất định truy cập vào trang quản trị viên còn lại những IP khác chặn hết. Như vậy sẽ nâng cao bảo mật WordPress cho bạn.
<Files wp-login.php> order deny,allow allow from 192.168.1.1 deny from all </Files>
cái này áp dụng cho websever apache, litespeed, openlitespeed còn nginx thì bạn có thể google gõ chuyển đổi mã rồi sử dụng nhé, mình sẽ thị phạm hướng dẫn trên websever apache, litespeed, openlitespeed bạn cho đoạn mã code này vào file .htaccess rồi thay 192.168.1.1
bằng chính ip của bạn, cách nhận biết ip của bạn là gì thì bạn truy cập vào trang web này: https://whatismyipaddress.com/ để nhận biết nhé và bạn cũng thể thêm ip chỗ công ty bạn, hay bạn có thể thêm ip chỗ quán cafe bạn hay ngồi làm việc.
<Files wp-login.php> order deny,allow allow from 192.168.1.1 allow from 192.168.1.2 allow from 192.168.1.3 deny from all </Files>
192.168.1.1, 192.168.1.2 , 192.168.1.3
bạn hãy thay thế ip của bạn mong muốn bạn thích thêm bao nhiêu thì bạn cứ tự thêm vào nhé.
Ưu điểm: bảo mật chống brute force rất tốt, những người dùng WordPress chuyên nghiệp họ hay sử dụng kỹ thuật này để bảo mật.
Nhược điểm: Cách này bảo mật rất hiệu quả nhưng ở Việt Nam thì IP dạng động thỉnh thoảng nhà mạng nó cứ bị chuyển đổi IP thì cũng rất khó coi như là tan, cái này bên bạn cần có hệ thông quản trị mạng và liên hệ với nhà cung cấp mạng internet của họ đề nghị IP tĩnh hoặc bạn phải chịu khó truy cập bằng tài khoản websever hay cpanel để sửa lại .htaccess qua ip mới nếu như bị chuyển thì mới truy cập vào được, hơi bất tiện nhưng cũng khá đáng để làm.
Sử dụng tên đăng nhập và mật khẩu khó đoán
Hãy thật tinh tế trong vấn đề tên đăng nhập và mật khẩu của bạn trong WordPress.
Không sử dụng “quản trị viên” làm tên người dùng của bạn và chọn một mật khẩu càng phức tạp càng tốt, phức tạp đến lỗi bạn không nhớ nổi cũng được chỉ cần copy và pates là xong.
Đây có lẽ là một trong những cách tốt nhất để tăng cường bảo mật WordPress và nó lại là một trong những cách dễ làm nhất.
Tuy nhiên, nhiều người sử dụng một cái gì đó mà họ có thể dễ dàng nhớ được chẳng hạn như “123456” và cuối cùng hối hận sau khi bị tấn công, thêm phương trình chuẩn nữa id đăng nhập là admin, pass là 123456 thì tỷ lệ cao là toang hẳn.
Hãy nhớ rằng có những bot liên tục thu thập thông tin trên internet và khi trang web của bạn phát triển, chúng sẽ luôn cố gắng giả mạo thông tin đăng nhập của bạn. Xem hướng dẫn này về cách chọn mật khẩu mạnh và hướng dẫn này về cách thay đổi tên người dùng quản trị viên WordPress của bạn .
Theo thống kế khoảng 8% các trang web WordPress bị tấn công là do mật khẩu yếu.
lời khuyên của tôi: là hãy đặt mật khẩu ít nhất là 32 kí tự và thêm đủ kí tự đặc biệt, khi hack dùng tool rò mật khẩu của bạn thì gần như là rất rất lâu mới ro ra. và thường xuyên thay đổi mật khẩu khoảng 3 tháng thì hãy thay một lần
thú thật: mình từng bị hack vì đặt mật khẩu quá ngắn và id đăng nhập cùng tên miền. Một bài học nhớ đời thời tuổi trẻ vẫn chưa trải sự đời, thuật ngữ bây giờ đó gọi là chiếu mới
Giới hạn số lần đăng nhập sai
bạn có thể sử dụng plugin : Limit Login Attempts Reloaded để có thể dễ dàng giới hạn số lần đăng nhập sai, để nâng cao bảo mật.
plugin này cá nhân mình thì thấy được mã hóa rất tốt, nếu bạn cài thì chỉ có bị chậm website đi 1ms, một con số khá lý tưởng đến cho website của bạn có thể nâng cao được bảo mật.
Thay đổi đường dẫn mặc định wp-admin
http://domain.com/wp-admin là trang đăng nhập vào quản trị viên mặc đinh của WordPress, bạn cần thay đổi quản trị lại wp-admin bằng một kí tự khác nào đó hay chỉ cho ip này truy cập được vào trang quản trị wp-admin… rất nhiều chiến lược để bảo mật cơ bản.
http://domain.com/wp-admin trang đăng nhập của bạn cho đến nay là biện pháp phòng ngừa bảo mật dễ dàng nhất mà bạn có thể thực hiện nhờ nhiều plugin hỗ trợ khoản này. Trên hầu hết các trang WordPress website, có hàng nghìn lần đăng nhập wp-admin thất bại mỗi ngày mà bạn có thể không bao giờ nhận ra. Với nhiều plugin hỗ trợ thay đổi wp-admin thành cái bạn muốn bạn có thể thử.
để cử 2 plugin có thể làm điều này một cách miễn phí:
wordfence login attempts
WPS Hide Login (mình khá thích)
mỗi một plugin thì có một cách quản trị wp-admin khác nhau cũng là một kiểu hay thú vị, để bài viết này ngắn thì mình sẽ không giải thích plugin nó có cái gì hay, bạn có thể trải nghiệm xem thử plugin đó là như thế nào.
Thay đổi url đăng nhập không chỉ nâng cao bảo mật cho website mà còn giúp website của bạn có vẻ cá nhân hóa trông ngầu hơn.
Mã hóa Email
WordPress thì id đăng nhập còn có thể đăng nhập bằng Email, có thể bạn vô tình thì bạn có viết bài, có nhắc đến email của bạn. thủ thật này cũng hạn chế được những email spam.
bạn có thể sử dụng plugin: Email Address Encoder, plugin này múc đích là mã hóa email có máy móc hay tool srcipt thì không thể quét được email, chỉ có người dùng thì mới có thể nhìn nhận thấy được.
kích hoạt plugin này: tác động đến tốc độ load website của bạn là 2ms.
Tóm tắt:
Còn rất nhiều cách bảo mật thêm như tích hợp thêm captcha, mật khẩu 2 lớp, đăng nhập bằng API Google, facebook, github … vào trang quản trị bạn có thể tự tìm hiểu để thêm vào.
Nhưng mình thấy những ý tưởng mình chia sẻ trong bài viết này bạn áp dụng thì đã có thể làm triển khai là cũng đã đủ bảo mật brute force WordPress cũng gọi là khá ổn rồi.
Để lại một bình luận