Danh mục

Tìm kiếm
/

Mục lục

Không có mục lục
Tham gia kênh Telegram của CloudFly để nhận thêm ưu đãi và không bỏ lỡ bất kỳ khuyến mãi nào từ CloudFly

Ngăn Chặn Tấn Công Brute Force Trên Website WordPress

Trên không gian số ngày nay, vấn đề an ninh trực tuyến dần trở nên quan trọng, đặc biệt đối với những trang web sử dụng nền tảng WordPress phổ biến. Một trong những mối lo lớn nhất mà các quản trị viên website phải đối mặt là cuộc tấn công brute force. Nếu bạn muốn tìm hiểu các biện pháp hiệu quả nhất để ngăn chặn tấn công brute force trên website WordPress của mình, hãy theo dõi bài viết dưới đây của CloudFly.

ngăn chặn tấn công brute force trên website wordpress

1. Tấn công Brute Force là gì ?

Trong cuộc tấn công brute force, những kẻ tấn công tiếp cận trang web bằng cách thử hàng nghìn tổ hợp tên tài khoản và mật khẩu cho đến khi tìm ra đúng thông tin đăng nhập. Khi đã xâm nhập vào trang quản trị, chúng có thể thực hiện nhiều hành động nguy hại. Chẳng hạn như chèn quảng cáo độc hại, lừa đảo người dùng, hay thậm chí làm hỏng trang web của bạn. 

Hacker sử dụng các bot lập trình để quét khắp internet và tìm kiếm các trang web chạy WordPress, thường là www.example.com/wp-admin. Các bot này tự động thử tất cả tổ hợp tên người dùng và mật khẩu phổ biến, thường được lấy từ kho dữ liệu của hacker. Những tên người dùng phổ biến bao gồm admin, hoặc tên của chủ sở hữu trang web. Và mật khẩu thường sử dụng như password1234, 12345678, và qwerty1. Các bot có khả năng thực hiện hàng nghìn lần đăng nhập mỗi phút và tiếp tục thử lại đến khi đoán đúng hoặc hết các thông tin trong kho dữ liệu. Do đó, bạn hãy dùng mật khẩu phức tạp để bảo mật tốt hơn và ngăn chặn các cuộc tấn công từ ban đầu nhé.

2. Hướng dẫn ngăn chặn tấn công Brute Force trên website WordPress

2.1. Giới hạn số lần đăng nhập

Đây là một giải pháp phổ biến và hiệu quả để ngăn chặn tấn công brute force. Ví dụ, bạn có thể cấu hình hệ thống chỉ cho phép người dùng nhập sai tên đăng nhập tối đa 3 lần, nếu không sẽ bị chặn IP truy cập hoặc tạm khóa tài khoản. Trong trường hợp người dùng quên tài khoản, họ có thể sử dụng chức năng Lost your password để khôi phục thông tin đăng nhập của mình. Bất cứ bot nào truy cập quá 3 lần sai sẽ bị ngừng lại và phải tìm kiếm mục tiêu khác. 

giới hạn số lần đăng nhập

Hiện nay có rất nhiều plugin bảo mật hỗ trợ tính năng này, bạn có thể lựa chọn một trong số plugin phổ biến như Wordfence, Sucuri, iThemes Security, All In One WP Security & Firewall,...

2.2. Sử dụng xác thực 2 lớp – 2FA

Đây là một trong những tính năng phổ biến khi bạn sử dụng một số dịch vụ như email, hay tài khoản mạng xã hội. Ngoài việc nhập mật khẩu, bạn cần nhập OTP được gửi đến điện thoại di động hoặc email của mình. Bạn có thể nhận được mã này qua SMS hoặc thông qua ứng dụng xác thực. 

sử dụng xác thực hai lớp 2fa

Điều này đồng nghĩa với việc người dùng phải xác minh danh tính của họ trong thời gian thực, khiến cho hacker rất khó truy cập để tấn công brute force. Ngay cả khi mật khẩu của bạn bị bẻ khóa, hacker cũng sẽ cần mã OTP để có thể đăng nhập. Tất cả các plugin bảo mật phổ biến hiện nay đều hỗ trợ tính năng này, cho phép bạn kích hoạt mà không cần thêm bất kỳ dòng mã nào trong trang web.

2.3. Sử dụng Firewall Plugin

Firewall đóng vai trò là tuyến phòng thủ đầu tiên của trang web. Nó phân tích mọi lưu lượng truy cập và ngăn chặn các bot độc hại, chỉ cho phép lưu lượng truy cập hợp lệ được xem trang web. Có hai loại tường lửa trang web mà bạn có thể sử dụng:

  • Web Application Firewall (WAF): Loại tường lửa này đặt trước trang web WordPress để quét và lọc lưu lượng truy cập đến. Mặc dù khá hiệu quả, nhưng chúng không cung cấp khả năng bảo vệ tại cấp độ máy chủ. Điều này có nghĩa là hacker vẫn có thể nhắm mục tiêu vào máy chủ chứa trang web và gây hậu quả cho trang web của bạn.
  • DNS Level Website Firewall: Tường lửa này cung cấp mức độ bảo vệ cao hơn trước các mối đe dọa từ hacker, vì nó đặt trước cả máy chủ của bạn. Do đó, nó quét và lọc mọi lưu lượng truy cập trước khi nó đến máy chủ trang web chính của bạn.

Nếu có đủ kinh phí để đầu tư, bạn nên sử dụng tường lửa ở cấp độ DNS để bảo vệ trang web khỏi các cuộc tấn công brute force.

2.4. Cập nhật mật khẩu thường xuyên

Một cách hiệu quả để bảo vệ tài khoản hoặc trang web khỏi cuộc tấn công brute force là sử dụng username và mật khẩu mạnh. Không chỉ vậy, điều quan trọng nhất là bạn phải thay đổi mật khẩu định kỳ. Nếu có bất kỳ nghi ngờ nào về một cuộc tấn công, bạn cần thay đổi mật khẩu ngay lập tức.

Trong trường hợp trang web có nhiều người dùng có quyền truy cập vào wp-admin và họ quên thay đổi mật khẩu thường xuyên. Bạn có thể áp dụng giải pháp đặt lời nhắc và yêu cầu họ phải đặt lại mật khẩu trong khoảng thời gian cố định. Việc sử dụng các plugin như Expire User Passwords có thể giúp bạn thực hiện điều này một cách dễ dàng.

cập nhật mật khẩu thường xuyên

2.5. Cấu hình HTTP Authentication

Với phương pháp này, bạn sẽ thêm một trang đăng nhập bổ sung trực tiếp trên trang wp-admin của website để chống lại cuộc tấn công brute force. Cơ chế HTTP authentication hoạt động bằng cách ẩn trang đăng nhập của bạn và hiển thị một hộp đăng nhập. Khi bạn nhập tài khoản chính xác, trang đăng nhập WordPress sẽ xuất hiện. Bạn có thể dễ dàng cấu hình điều này trong trang quản lý hosting cPanel của mình bằng các bước đơn giản sau:

Bước 1: Bạn đăng nhập vào hosting và tìm mục Directory Privacy để truy cập.

Bước 2: Trong thư mục public_html, bạn sẽ thấy thư mục wp-admin ở bên trong. Bạn chọn Edit để kích hoạt HTTP authentication cho thư mục.

Bước 3: Tiếp theo, bạn kích hoạt Password protect this directory và cPanel sẽ yêu cầu bạn nhập tài khoản đăng nhập mong muốn.

Bước 4: Cuối cùng, bạn nhấn Save để hoàn tất các bước cài đặt kích hoạt HTTP authentication cho trang quản trị wp-admin. 

Khi truy cập wp-admin, bạn sẽ thấy một hộp thoại yêu cầu bạn đăng nhập để nhập thông tin tài khoản mới tạo.

Hy vọng những thông tin trên đã giúp bạn hiểu hơn về cách ngăn chặn tấn công brute force trên website WordPress. Nếu bạn còn thắc mắc hay muốn thuê Cloud Server, hãy liên hệ ngay với CloudFly để được tư vấn và hỗ trợ nhanh chóng. Đội ngũ kỹ thuật có chuyên môn cao của chúng tôi cũng luôn sẵn sàng giải quyết mọi vấn đề một cách nhanh chóng nhất.

THÔNG TIN LIÊN HỆ:

>>> Xem thêm:

 

Chia sẻ

Bài viết nổi bật

Tham gia kênh Telegram của CloudFly để nhận thêm ưu đãi và không bỏ lỡ bất kỳ khuyến mãi nào từ CloudFly