Ngăn chặn tấn công Brute Force trên website WordPress của bạn

  • Monday 25/10/2021

Một trong những vấn đề được quan tâm thường xuyên của những người quản trị website đó chính là vấn đề bảo mật. Trong bài viết bên dưới PAVietnam sẽ hướng dẫn các bạn tăng cường bảo mật cho website bằng các cách ngăn chặn tấn công brute force cho website WordPress.

Hướng dẫn ngăn chặn tấn công Brute Force trên website WordPress

Trước khi chúng ta đi đến các cách ngăn chặn việc tấn công, ta cần làm rõ về một cuộc tấn công brute force là gì để bạn hiểu rõ hơn trong quá trình hướng dẫn.

Tấn công Brute Force là gì ?

Trong một cuộc tấn công brute force , hay còn được gọi là tấn công vét cạn, kẻ tấn công cần thử hàng nghìn tổ hợp tên tài khoản và mật khẩu cho đến khi chọn đúng. Một khi đã đột nhập vào trang quản trị, họ có thể làm tất cả những việc như thêm quảng cáo độc hại, lừa gạt người dùng hay thậm chí phá hủy trang web của bạn.

Khi nhắc đến việc thử tổ hợp các tài khoản và mật khẩu , chắc bạn đang nghĩ tưởng tượng rằng một người thật đang điền từng mật khẩu trên máy tính phải không ? Hacker tân tiến hơn vậy nhiều. Họ lập trình các bot để quét khắp internet và tìm các trang web chạy bằng WordPress và nhắm vào trang đăng nhập, thường là www.example.com/wp-admin.

Khi các bot truy cập vào trang đăng nhập, các bot này thử hết tất cả các tổ hợp tên tài khoản và mật khẩu thường được sử dụng được lấy từ kho dữ liệu của hacker.

  • Tên người dùng phổ biến bao gồm “admin” hoặc tên của người sở hữu trang web.
  • Mật khẩu phổ biến bao gồm password1234, 12345678 và qwerty1.

Các bot hacker này có khả năng chạy hàng nghìn lần đăng nhập mỗi phút. Và chúng tiếp tục thử đi thử lại nhiều lần cho đến khi đoán đúng hoặc chạy hết kho dữ liệu của mình. Do đó kiểu tấn công này có tên là  ‘brute force’ hoặc vét cạn.

Tạm thời bạn có thể nghĩ rằng tất cả những gì bạn phải làm là đặt một mật khẩu có độ phức tạp cao và vấn đề đã được giải quyết. Nhưng vẫn chưa đủ. Hàng nghìn lần đăng nhập có thể làm chậm trang web của bạn và thậm chí khiến web bị treo. Từ đó làm gián đoạn trải nghiệm của người dùng, có nghĩa là khách truy cập sẽ rời khỏi website vì nó không tải đủ nhanh. Cách tốt hơn để bảo vệ website là ngăn chặn hacker thực hiện tấn công ngay từ ban đầu. Hãy đi tìm hiểu ở các bước tiếp theo.

 

Hướng dẫn ngăn chặn tấn công Brute Force trên website của bạn

1. Giới hạn số lần đăng nhập

Đây là cách giải quyết kinh điển và hiệu quả cho việc phòng chống các cuộc tấn công brute force. Ví dụ bạn cấu hình chỉ cho phép người dùng được nhập tài khoản tối đa 3 lần sai , nếu không sẽ thực hiện chặn IP truy cập hoặc tạm khóa tài khoản. Nếu người dùng quên tài khoản của mình thì có thể dùng chức năng “Lost your password” để lấy lại được thông tin của mình. Bất cứ bot nào khi truy cập quá 3 lần sai đều sẽ phải bỏ cuộc và tìm kiếm một mục tiêu khác.

Có nhiều plugin bảo mật hiện nay hỗ trợ tính năng này, bạn có thể lựa chọn một số plugin phổ biến như Wordfence , Sucuri , iThemes Security, All In One WP Security & Firewall ,….

2. Sử dụng xác thực 2 lớp – 2FA

Đây là một trong những tính năng thường thấy khi bạn sử dụng 1 số dịch vụ khác , ví dụ như email , hoặc tài khoản mạng xã hội.

Ngoài việc nhập mật khẩu, bạn cần điền OTP được gửi đến điện thoại di động hoặc email của bạn.Bạn có thể nhận mã này dưới dạng SMS hoặc thông qua ứng dụng xác thực. 

 
Điều này có nghĩa là người dùng sẽ phải tự xác minh trong thời gian thực, khiến cho hacker rất khó truy cập. Ngay cả khi tình cờ bẻ khóa mật khẩu của bạn, hacker cũng sẽ cần OTP để đăng nhập vào.
Tất cả các plugin bảo mật phổ biến hiện nay đều có hỗ trợ tính năng này , vì vậy bạn có thể kích hoạt mà không cần thêm bất cứ dòng code nào trong web. Chi tiết bạn có thể tham khảo bài viết này.

3. Sử dụng Firewall Plugin

Firewall đóng vai trò là tuyến phòng thủ đầu tiên của website. Nó sẽ phân tích mọi khách truy cập vào trang web và chặn các bot xấu. Điều này có nghĩa là chỉ có lưu lượng truy cập tốt mới được phép xem trang web của bạn.
Có hai loại tường lửa trang web mà bạn có thể sử dụng.
  • Web Application Firewall: Các firewall này nằm trước trang web WordPress để quét lưu lượng truy cập đến. Chúng khá hiệu quả nhưng không cung cấp cho bạn khả năng bảo vệ cấp server. Điều này có nghĩa là hacker vẫn có thể nhắm mục tiêu vào server chứa website và làm hỏng trang web của bạn.
  • DNS Level Website Firewall: firewall này giúp bạn bảo vệ tốt hơn khỏihacker vì nó nằm trướcserver của bạn. Vì vậy, nó sẽ quét tất cả lưu lượng truy cập trước khi chúng đến máy chủ trang web chính của bạn.

Đây là một giải pháp bạn có thể cân nhắc nếu có đầy đủ kinh phí để đầu tư. Nếu có điều kiện thì bạn nên sử dụng firewall ở cấp độ DNS , trong đó Sucuri là một trong những nhà cung cấp DNS firewall hàng đầu hiện nay.

 

4. Cập nhật mật khẩu thường xuyên

Cách tốt nhất để bảo vệ bất kỳ tài khoản hoặc trang web nào trên internet là sử dụng username và mật khẩu mạnh. Bên cạnh đó, bạn cũng cần phải thay đổi mật khẩu thường xuyên. Nếu nghi ngờ đang gặp phải một cuộc tấn công, bạn cần phải thay đổi mật khẩu  ngay lập tức.

Nếu website có nhiều người dùng có quyền truy cập vào wp-admin, họ có thể không nhớ thay đổi mật khẩu của mình thường xuyên. Để khắc phục điều này, bạn có thể đặt lời nhắc và buộc họ phải đặt lại mật khẩu trong khoảng thời gian nhất định.

Bạn có thể sử dụng plugin như Expire User Passwords để giúp bạn buộc người dùng phải thay đổi mật khẩu định kỳ trước khi họ có thể đăng nhập lại.

5. Cấu hình HTTP Authentication

Với phương án này thì bạn sẽ tạo thêm 1 trang đăng nhập trên chính trang wp-admin của website.bruteforce

Nhìn có vẻ hơi rườm rà nhưng điều này hoạt động như một lớp bảo vệ bổ sung và là một cách chắc chắn để chặn hacker xâm nhập vào trang web của bạn thông qua các cuộc tấn công brute force.

HTTP authentication hoạt động bằng cách ẩn trang đăng nhập của bạn và hiển thị một hộp đăng nhập. Khi bạn nhập tài khoản chính xác, trang đăng nhập WordPress của bạn sẽ xuất hiện.

Bạn có thể cấu hình dễ dàng trong hosting cPanel của mình với các bước rất đơn giản :

– Đăng nhập vào hosting , tìm đến mục Directory Privacy và truy cập.

– Vào thư mục public_html , bạn sẽ thấy thư mục wp-admin ở bên trong. Chọn edit để bật HTTP authentication cho thư mục


– Sau đó kích hoạt Password protect this directory , cPanel sẽ hỏi bạn tài khoản đăng nhập mong muốn.

Sau khi nhấn Save thì bạn đã hoàn tất các bước cài đặt để kích hoạt HTTP authentication cho trang quản trị wp-admin. Khi bạn truy cập wp-admin sẽ thấy hiển thị một pop up yêu cầu bạn đăng nhập để điền tài khoản bạn vừa mới tạo.

 

Tổng kết

Trên đây là 1 số cách bạn có thể thực hiện để có thể bảo vệ website của mình trước các cuộc tấn công brute force. Ngoài ra bạn cũng nên thường xuyên sao lưu trang web của mình. Khi xảy ra sự cố, cho dù đó là do tấn công hay chỉ do lỗi của người dùng, chúng ta đều có thể nhanh chóng khôi phục trang web của mình và đưa nó trở lại bình thường. Điều này cho phép giảm thiểu thiệt hại cho website của bạn. Bạn cũng có thể tham khảo bài viết này để lựa chọn các plugin backup phù hợp với nhu cầu sử dụng.

Ngoài ra các bạn có thể xem thêm các bài viết khác của chúng tôi tại đây.

 

P.A Việt Nam cung cấp đa dạng các Plan Hosting WordPress đáp ứng yêu cầu của khách hàng
WordPress Hosting phổ thông
WordPress Hosting chất lượng cao
WordPress VIP

Tham khảo các ưu đãi: https://www.pavietnam.vn/vn/tin-khuyen-mai/