Trên không gian số ngày nay, vấn đề an ninh trực tuyến dần trở nên quan trọng, đặc biệt đối với những trang web sử dụng nền tảng WordPress phổ biến. Một trong những mối lo lớn nhất mà các quản trị viên website phải đối mặt là cuộc tấn công brute force. Nếu bạn muốn tìm hiểu các biện pháp hiệu quả nhất để ngăn chặn tấn công brute force trên website WordPress của mình, hãy theo dõi bài viết dưới đây của CloudFly.
Trong cuộc tấn công brute force, những kẻ tấn công tiếp cận trang web bằng cách thử hàng nghìn tổ hợp tên tài khoản và mật khẩu cho đến khi tìm ra đúng thông tin đăng nhập. Khi đã xâm nhập vào trang quản trị, chúng có thể thực hiện nhiều hành động nguy hại. Chẳng hạn như chèn quảng cáo độc hại, lừa đảo người dùng, hay thậm chí làm hỏng trang web của bạn.
Hacker sử dụng các bot lập trình để quét khắp internet và tìm kiếm các trang web chạy WordPress, thường là www.example.com/wp-admin. Các bot này tự động thử tất cả tổ hợp tên người dùng và mật khẩu phổ biến, thường được lấy từ kho dữ liệu của hacker. Những tên người dùng phổ biến bao gồm admin, hoặc tên của chủ sở hữu trang web. Và mật khẩu thường sử dụng như password1234, 12345678, và qwerty1. Các bot có khả năng thực hiện hàng nghìn lần đăng nhập mỗi phút và tiếp tục thử lại đến khi đoán đúng hoặc hết các thông tin trong kho dữ liệu. Do đó, bạn hãy dùng mật khẩu phức tạp để bảo mật tốt hơn và ngăn chặn các cuộc tấn công từ ban đầu nhé.
Đây là một giải pháp phổ biến và hiệu quả để ngăn chặn tấn công brute force. Ví dụ, bạn có thể cấu hình hệ thống chỉ cho phép người dùng nhập sai tên đăng nhập tối đa 3 lần, nếu không sẽ bị chặn IP truy cập hoặc tạm khóa tài khoản. Trong trường hợp người dùng quên tài khoản, họ có thể sử dụng chức năng Lost your password để khôi phục thông tin đăng nhập của mình. Bất cứ bot nào truy cập quá 3 lần sai sẽ bị ngừng lại và phải tìm kiếm mục tiêu khác.
Hiện nay có rất nhiều plugin bảo mật hỗ trợ tính năng này, bạn có thể lựa chọn một trong số plugin phổ biến như Wordfence, Sucuri, iThemes Security, All In One WP Security & Firewall,...
Đây là một trong những tính năng phổ biến khi bạn sử dụng một số dịch vụ như email, hay tài khoản mạng xã hội. Ngoài việc nhập mật khẩu, bạn cần nhập OTP được gửi đến điện thoại di động hoặc email của mình. Bạn có thể nhận được mã này qua SMS hoặc thông qua ứng dụng xác thực.
Điều này đồng nghĩa với việc người dùng phải xác minh danh tính của họ trong thời gian thực, khiến cho hacker rất khó truy cập để tấn công brute force. Ngay cả khi mật khẩu của bạn bị bẻ khóa, hacker cũng sẽ cần mã OTP để có thể đăng nhập. Tất cả các plugin bảo mật phổ biến hiện nay đều hỗ trợ tính năng này, cho phép bạn kích hoạt mà không cần thêm bất kỳ dòng mã nào trong trang web.
Firewall đóng vai trò là tuyến phòng thủ đầu tiên của trang web. Nó phân tích mọi lưu lượng truy cập và ngăn chặn các bot độc hại, chỉ cho phép lưu lượng truy cập hợp lệ được xem trang web. Có hai loại tường lửa trang web mà bạn có thể sử dụng:
Nếu có đủ kinh phí để đầu tư, bạn nên sử dụng tường lửa ở cấp độ DNS để bảo vệ trang web khỏi các cuộc tấn công brute force.
Một cách hiệu quả để bảo vệ tài khoản hoặc trang web khỏi cuộc tấn công brute force là sử dụng username và mật khẩu mạnh. Không chỉ vậy, điều quan trọng nhất là bạn phải thay đổi mật khẩu định kỳ. Nếu có bất kỳ nghi ngờ nào về một cuộc tấn công, bạn cần thay đổi mật khẩu ngay lập tức.
Trong trường hợp trang web có nhiều người dùng có quyền truy cập vào wp-admin và họ quên thay đổi mật khẩu thường xuyên. Bạn có thể áp dụng giải pháp đặt lời nhắc và yêu cầu họ phải đặt lại mật khẩu trong khoảng thời gian cố định. Việc sử dụng các plugin như Expire User Passwords có thể giúp bạn thực hiện điều này một cách dễ dàng.
Với phương pháp này, bạn sẽ thêm một trang đăng nhập bổ sung trực tiếp trên trang wp-admin của website để chống lại cuộc tấn công brute force. Cơ chế HTTP authentication hoạt động bằng cách ẩn trang đăng nhập của bạn và hiển thị một hộp đăng nhập. Khi bạn nhập tài khoản chính xác, trang đăng nhập WordPress sẽ xuất hiện. Bạn có thể dễ dàng cấu hình điều này trong trang quản lý hosting cPanel của mình bằng các bước đơn giản sau:
Bước 1: Bạn đăng nhập vào hosting và tìm mục Directory Privacy để truy cập.
Bước 2: Trong thư mục public_html, bạn sẽ thấy thư mục wp-admin ở bên trong. Bạn chọn Edit để kích hoạt HTTP authentication cho thư mục.
Bước 3: Tiếp theo, bạn kích hoạt Password protect this directory và cPanel sẽ yêu cầu bạn nhập tài khoản đăng nhập mong muốn.
Bước 4: Cuối cùng, bạn nhấn Save để hoàn tất các bước cài đặt kích hoạt HTTP authentication cho trang quản trị wp-admin.
Khi truy cập wp-admin, bạn sẽ thấy một hộp thoại yêu cầu bạn đăng nhập để nhập thông tin tài khoản mới tạo.
Hy vọng những thông tin trên đã giúp bạn hiểu hơn về cách ngăn chặn tấn công brute force trên website WordPress. Nếu bạn còn thắc mắc hay muốn thuê Cloud Server, hãy liên hệ ngay với CloudFly để được tư vấn và hỗ trợ nhanh chóng. Đội ngũ kỹ thuật có chuyên môn cao của chúng tôi cũng luôn sẵn sàng giải quyết mọi vấn đề một cách nhanh chóng nhất.
THÔNG TIN LIÊN HỆ:
>>> Xem thêm: