Cách chặn đăng nhập không thành công trên WordPress

  • Monday 01/11/2021

Đăng nhập không thành công có thể xảy ra với nhiều lý do. Thông thường, nó chỉ đơn giản là kết quả của một người dùng đã thật sự quên thông tin mật khẩu của họ. Tuy nhiên đôi khi, điều gì đó nghiêm trọng hơn có thể đang xảy ra là ai đó đang cố gắng đột nhập vào trang quản trị của bạn.

1. Khắc phục sự cố khi đăng nhập thất bại

Giống như tất cả các vấn đề khác của WordPress, khắc phục sự cố là bước đầu tiên chúng ta cần thực hiện. Điều này sẽ giúp bạn đảm bảo rằng bạn đang giải quyết vấn đề thực tế chứ không phải triệu chứng của nó. May mắn thay, có một cách dễ dàng để bắt đầu quá trình này – xem dữ liệu. Về cơ bản, bạn sẽ thấy một trong hai điều:

Tên người dùng sai và mật khẩu sai vì một trong hai lý do.

+ Ai đó hoặc điều gì đó đang cố gắng thử dùng tên người dùng / mật khẩu để có quyền truy cập. Trong trường hợp này là một sự cố khá phổ biến từ người dùng.

+ Nó cũng có thể là một cuộc tấn công có chủ đích vào trang web của bạn để giành quyền truy cập hoặc làm quá tải trang web của bạn (DoS / DDoS).

Tên người dùng đúng và mật khẩu sai: Có thể nó là trường hợp của người dùng quên mật khẩu của họ hoặc người nào đó đã phát hiện ra tên người dùng thực được đăng ký trên WordPress của bạn và hiện đang cố gắng đoán mật khẩu để đăng nhập vào

Một điều khác mà bạn nên quan tâm đến đó là tần suất. Một số lượng lớn các nỗ lực trong một thời gian ngắn thường là dấu hiệu của một cuộc tấn công tự động. Mặt khác, với khoảng thời gian chậm và không đều là dấu hiệu cho thấy một người dùng chưa tỉnh táo để nhớ thông tin đăng nhập.

2. Nguy cơ quá nhiều lần đăng nhập không thành công

Ngày nay các cuộc tấn công thăm dò mật khẩu khá phổ biến . Với nhiều lần đăng nhập sai vào quản trị wordpress không thành công thường là dấu hiệu của các cuộc tấn công dạng này. Nếu bạn không quan tâm đến vấn đề này sẽ dễ dẫn đến trang web của bạn sẽ có nguy cơ bị tấn công và phá hoại hoặc bị lợi dụng để thực thi các đoạn script spam, chạy blackseo phục vụ cho hacker.

WordPress không cung cấp bất kỳ cơ chế chức năng nào để hạn chế việc tấn công này Người dùng có thể liên tục thử đăng nhập cho đến khi họ thao tác nhập đúng mật khẩu Mặc dù việc này có thể có lợi cho người dùng tuy nhiên nó sẽ làm gia tăng nguy cơ mật thông tin do các cuộc tấn công dò pass.

3. Ngăn chặn đăng nhập không thành công

3.1. Giới hạn các lần đăng nhập không thành công theo cách thủ công:

Nếu bạn đang tìm cách hạn chế các lần đăng nhập không thành công của WordPress mà không dùng plugin, bạn có thể sửa đổi tệp function.php của theme đang hoạt động và thêm mã có liên quan. Có một số cách để thêm mã tùy chỉnh vào các trang web WordPress. Tuy nhiên, điều này đòi hỏi bạn phải hiểu rõ về PHP và cách hoạt động của WordPress.

3.2. Cài đặt plugin bảo mật:

Có khá nhiều plugin để kiểm soát và ngăn chặn các cuộc tấn công brute-force như iThemes Security, plugin 2FA,Password Policy Manager….Bạn có thể tham khảo thêm với plugin wp 2fa tại đây ,hay ithemes security tại đây... Với các plugin này đều cho chính sách quản trị mật khẩu và kiểm soát, ngăn chặn các cuộc tấn công này giúp bảo vệ tài khoản quản trị web của bạn.

3.3. Những điều khác cần xem xét:

Một tùy chọn khác được đề cập đến là sử dụng captcha  1 vài plugin này như Advanced noCaptcha & invisible Captcha… rất có ích cho bạn ngăn chặn các cuộc tấn công dò mật khẩu. Vì cơ chế captcha sẽ bắt buộc bạn phải điền đúng mã hoặc hình ảnh trước khi đăng nhập, việc này sẽ hạn chế các bot chạy dò tìm mật khẩu.

Một tùy chọn khác trong chính xac đăng nhập không thành công là giới hạn IP , thông qua cơ chế này thì các IP nào vi phạm sẽ đưa vào danh sách đen khi đó các yêu cầu đăng nhập thông tin từ các địa chỉ IP này sẽ bị từ chối ngay lập tức.Tuy nhiên các tác nhân tấn công có thể liên tục thay đổi IP để tiếp tục nên tùy chọn này chỉ có thể giới hạn 1 phần không thể ngăn chặn hoàn toàn.

Một lựa chọn khác tốt hơn có thể nhắc đến là CDN. Điều này có thể giúp bạn tiết kiệm thời gian để bạn có thể tập trung vào các vấn đề khác.

3.4. Cách thiết lập chính sách đăng nhập không thành công trên wordpress

Để bắt đầu thiết lập chính sách cần phải suy nghĩ đến 1 vài điều sau. Giống như tất cả các vấn đề liên quan đến bảo mật khác, việc quản lý các lần đăng nhập thất bại gặp phải nghịch lý về tính bảo mật / khả năng sử dụng vì càng an toàn thì nó càng trở nên kém khả dụng hơn.
Không cho phép bất kỳ ai đăng nhập rất an toàn nhưng hầu như không sử dụng được và ngược lại để cho người dùng cơ hội không giới hạn đăng nhập lại có thể ảnh hưởng đến bảo mật nhưng làm tăng khả năng sử dụng.

Điều bạn cần xem xét là bạn sẵn sàng cho người dùng của mình bao nhiêu thời gian. Theo thông thường 5 lần thử đăng nhập được coi là vừa đủ và hợp lý. Một số khác không đồng ý với quan điểm này và đặt số lần đăng nhập tối đa cho phép là 10.

Dù bằng cách nào, việc cung cấp số lần đăng nhập không giới hạn không phải là một chiến lược tốt và có thể gây ra hậu quả tiêu cực. Khi sử dụng Trình quản lý chính sách mật khẩu cho WordPress, sẽ rất dễ dàng thay đổi con số này. Do đó, bạn có thể dễ dàng điều chỉnh chính sách cho phù hợp với người dùng và hoàn cảnh của mình.

Điều gì sẽ xảy ra với chính sách khóa tài khoản và được tự động mở khóa sau 1 khoảng thời gian hay người quản trị viên mới được phép mở lại tài khoản bị khóa .Khi sử dụng chính sách này bạn cần phải quyết định giữa khả năng sử dụng và bảo mật.

Ở một khía cạnh thiết yếu khác có thể ảnh hưởng đến phần này của chính sách là vị trí của người dùng của bạn.
Nếu một người đang đăng nhập từ 1 nơi khác không cùng múi giờ với bạn thì bạn có vui khi thức dậy lúc hai giờ sáng để mở khóa tài khoản không? Và nếu không, người dùng nên đợi bao lâu trước khi họ có thể đăng nhập lại? Điều này sẽ ảnh hưởng đến năng suất của họ hay lợi nhuận của bạn?

Bài viết mục đích giới thiệu cho bạn cách để xác định và áp dụng các chính sách quản lý, phòng chống tấn công đăng nhập thất bại với tài khoản wordpress của bạn.

 

P.A Việt Nam cung cấp đa dạng các Plan Hosting WordPress đáp ứng yêu cầu của khách hàng
WordPress Hosting phổ thông
WordPress Hosting chất lượng cao
WordPress VIP

Tham khảo các ưu đãi: https://www.pavietnam.vn/vn/tin-khuyen-mai/