(123)456 7890 demo@coblog.com

11 lý do website WordPress hay bị hack và cách khắc phục

11 lý do website WordPress hay bị hack và cách khắc phục

Dạo gần đây, một trong những bạn đọc đã hỏi chúng tôi về việc tại sao các website WordPress lại bị hack? Ai cũng sẽ cảm thấy bực bội khi trang web của mình bị tấn công bởi tin tặc. Trong bài viết này, chúng tôi sẽ nêu các lý do vì sao các website WordPress bị hack, từ đó có thể giúp bạn tránh được những sai lầm và bảo vệ được trang web của mình.

Tại sao WordPress là mục tiêu của các Hacker?

Đầu tiên, không chỉ WordPress, mà tất cả các website trên inhernet đều là mục tiêu của hacker.

Lý do mà các website WordPress là mục tiêu phổ biến là bởi WordPress là mã nguồn xây dựng website phổ biến nhất. Hiện nay, có hàng trăm triệu website đang sử dụng WordPress trên thế giới (WordPress chiếm tỷ lệ hơn 31% tất cả các trang web).

Sự xuất hiện dày đặc này khiến hacker dễ dàng xâm nhập những website có lỗi bảo mật kém.

Hacker có rất nhiều động cơ để hack một trang web, đôi khi những người đó chỉ là học cách hack một trang web kém an toàn. Số khác thì có ý định phân tán các phần mềm độc hại, sử dụng một trang này để tấn công các trang web khác, hoặc là để spam trên inhernet.

Trên đây là lý do các website WordPress hay bị hack, tiếp theo hãy cùng xem những nguyên nhân hàng đầu khiến cho chúng thường bị tấn công và cách khắc phục tình trạng này.

1.Web hosting không an toàn

Giống như các website khác, các trang WordPress sử dụng mã nguồn được lưu trữ trên một máy chủ. Và khi các công ty cung cấp dịch vụ lưu trữ không cung cấp công nghệ bảo mật an toàn, tất cả các website được đặt trên cùng một server sẽ dễ dàng bị hacker xâm nhập.

Để tránh lỗi này, bạn nên chọn cho website của mình nhà cung cấp WordPress hosting đáng tin cậy để đảm bảo rằng trang web của mình luôn được an toàn. Những server bảo mật an toàn sẽ giúp chặn nhiều cuộc tấn công của hacker.

Nếu bạn muốn thận trọng hơn, chúng tôi khuyên bạn nên sử dụng thêm một nhà cung cấp WordPress hosting được kiểm duyệt.

2. Sử dụng mật khẩu yếu

Mật khẩu chính là chìa khóa cho trang web WordPress của bạn. Hãy chắc chắn rằng bạn đang sử dụng một mật khẩu mạnh và đặc biệt cho mỗi tài khoản của mình. Bởi nếu không, chúng sẽ có thể cung cấp cho hacker toàn quyền truy cập vào website của bạn.

  • Tài khoản quản trị WordPress của bạn
  • Tài khoản bảng điều khiển lưu trữ web
  • Tài khoản FTP
  • Cơ sở dữ liệu MySQL sử dụng cho trang web WordPress của bạn
  • Tài khoản email được sử dụng cho quản trị viên WordPress hoặc tài khoản lưu trữ

Tất cả những tài khoản trên đều được bảo vệ bởi mật khẩu. Chính vì thế, mật khẩu yếu sẽ khiến cho hacker dễ dàng bẻ khóa bằng một vài công cụ bẻ khóa cơ bản.

Và để tránh điều này, bạn cần sử dụng các mật khẩu đủ mạnh và đặc biệt cho mỗi tài khoản. Bạn có thể tham khảo những cách tốt nhất để quản lý mật khẩu cho người mới bắt đầu để học được cách làm thế nào quản lý những mật khẩu đó.

3. WordPress Admin (wp-admin direchory) không được bảo vệ an toàn

Khu vực quản trị WordPress cung cấp cho người dùng quyền truy cập thực hiện các hành động trên website WordPress. Đây là khu vực thường hay bị tấn công nhất ở một trang web WordPress.

Và khi khu vực này không được bảo vệ, hacker sẽ dễ dàng bẻ khóa website của bạn. Để giải quyết việc này, bạn có thể thêm các lớp xác thực vào thư mục quản trị viên WordPress.

Đầu tiên, bạn cần đặt mật khẩu để bảo vệ khu vực quản trị WordPress bằng cách thêm một lớp bảo mật bổ sung. Khi bất kỳ ai cố gắng truy cập vào mục quản trị WordPress thì sẽ phải cung cấp thêm mật khẩu.

Nếu bạn điều hành một website gồm nhiều tác giả hoặc nhiều người dùng thì bạn có thể đặt mật khẩu mạnh cho tất cả người dùng trên trang web. Bạn cũng có thể thêm xác thực hai yếu tố để gây khó khăn hơn cho những hacker cố gắng xâm nhập vào khu vực quan trọng này.

4. File permissions (quyền truy cập tập tin) không chính xác

File permission là một bộ quy tắc được sử dụng cho máy chủ của website. Những quyền này giúp cho máy chủ kiểm soát các quyền truy cập các file trên trang web của bạn. Các quyền truy cập không chính xác sẽ khiến cho hacker có thể viết và thay đổi các file này.

Tất cả các file WordPress của bạn phải có quyền 644 (Người dùng có quyền read và write. Read được cấp cho group. World có quyền read). Tất cả các thư mục thì phải có quyền 755.

Bạn có thể tham khảo hướng dẫn của chúng tôi về cách khắc phục sự cố tải hình ảnh lên trong WordPress để tìm hiểu cách áp dụng các file permission này.

5. WordPress không được cập nhật

Một vài người dùng WordPress có tâm lý lo lắng khi phải cập nhật website WordPress của họ. Họ cho rằng khi cập nhật sẽ làm yếu trang web của mình.

Mỗi một phiên bản mới của WordPress sẽ sửa các bug và lỗ hỏng bảo mật. Nếu không cập nhật WordPress, đó có thể là nguyên nhân khiến cho website của bạn bị hack.

Nếu vẫn có tâm lý sợ mình sẽ phá hỏng trang web khi cập nhật phiên bản mới thì bạn có thể tạo một bản sao lưu WordPress hoàn chỉnh trước khi cập nhật. Bằng cách này thì khi cập nhật có vấn đề, bạn vẫn có thể dễ dàng trở lại phiên bản trước.

6. Plugin và theme không được cập nhật

Cũng giống như phần mềm WordPress cốt lõi, việc cập nhật theme và plugin cũng rất quan trọng. Việc sử dụng một plugin hay theme lỗi thời cũng có thể khiến trang web của bạn bị ảnh hưởng.

Những lỗi bảo mật và bug thường được phát hiện ở các plugin và theme WordPress. Thông thường, các tác giả theme và plugin sẽ nhanh chóng sửa lỗi, tuy nhiên, nếu người dùng không cập nhật theme và plugin thì các lỗi này sẽ không được phát hiện và sửa kịp thời.

Vì vậy hãy chắc chắn rằng theme và plugin WordPress của mình luôn luôn được cập nhật.

7. Sử dụng FTP thường thay vì SFTP / SSH

Các tài khoản FTP được sử dụng để tải các file lên máy chủ bằng cách sử dụng một máy khách chạy FTP. Đa số các nhà cung cấp dịch vụ lưu trữ đều hỗ trợ kết nối FTP bằng các cách thức khác nhau. Bạn có thể kết nối bằng FTP thường, SFTP, hoặc là SSH.

Khi bạn kết nối website của mình bằng FTP thường thì mật khẩu của bạn sẽ được gửi đến máy chủ mà không được mã hóa. Điều đó khiến việc theo dõi và đánh cắp dễ bị xảy ra. Thay vì sử dụng FTP thì bạn có thể sử dụng SFTP hoặc SSH.

Bạn không cần phải thay đổi máy khách chạy FTP vì đa số các máy này có thể kết nối đến website của bạn trên SFTP cũng như SSH. Điều bạn cần làm chỉ là thay đổi câu lệnh thành ‘SFTP – SSH’ khi kết nối với trang web của mình.

8. Sử dụng Admin làm tên người dùng WordPress

Chúng tôi khuyến khích bạn không nên sử dụng ‘Admin’ để làm tên người dùng WordPress. Nếu tên người dùng quản trị viên của bạn đang là admin thì hãy lập tức thay đổi sang một tên khác.

Bạn có thể xem hướng dẫn chi tiết trong làm thế nào để thay đổi tên người dùng WordPress.

9. Theme và Plugin không có giá trị

Rất nhiều các website trên inhernet phân phối các plugin và theme WordPress trả phí ở dạng miễn phí. Thế nên cũng dễ hiểu khi bạn bị cám dỗ bởi những plugin và theme vô giá trị trên trang web của mình.

Việc tải các theme và plugin WordPress từ những nguồn không đáng tin cậy rất nguy hiểm. Nó không chỉ gây ảnh hưởng đến bảo mật của website mà còn được sử dụng để đánh cắp những thông tin nhạy cảm.

Chính vì vậy, chúng tôi khuyên bạn nên tải các theme và plugin WordPress từ những nguồn đáng tin cậy như là các website phát triển plugin/theme hoặc là kho lưu trữ chính thức của WordPress.

Nếu bạn không đủ khả năng, hoặc đơn giản là không muốn mua một plugin/theme cao cấp thì luôn có sẵn các lựa chọn thay thế miễn phí cho các sản phẩm đó. Các plugin miễn phí này có thể không tốt bằng các sản phẩm trả phí, nhưng chúng cũng giúp bạn hoàn thành công việc, và quan trọng hơn là luôn giữ cho website của bạn an toàn.

Bạn cũng có thể săn các mã giảm giá cho rất nhiều sản phẩm WordPress phổ biến trên website của chúng tôi.

10. Không có cấu hình bảo mật cho file wp-config.php

File cấu hình bảo mật wp-config.php chứa các thông tin đăng nhập cơ sở dữ liệu WordPress của bạn. Nếu bị rò rỉ, thì nó sẽ tiết lộ thông tin có thể cung cấp cho hacker toàn quyền truy cập vào trang web của bạn.

Bạn có thể thêm một lớp bảo mật để từ chối quyền truy cập vào tệp wp-config bằng cách sử dụng .htaccess. Bạn đơn giản chỉ cần thêm code dưới đây vào file .htaccess của mình.

  1. <files wp-config.php>
  2. order allow,deny
  3. deny from all
  4. </files>

11. Không thay đổi tiền tố bảng WordPress

Rất nhiều chuyên gia khuyến khích việc thay đổi tiền tố bảng mặc định của WordPress. Theo mặc định, WordPress sử dụng wp_ làm tiền tố cho các bảng mà nó tạo trong cơ sở dữ liệu của bạn. Bạn có thể thay đổi nó trong quá trình cài đặt.

Sử dụng một tiền tố phức tạp hơn một chút sẽ khiến hacker khó đoán tên bảng cơ sở dữ liệu của bạn.

Để thêm hướng dẫn chi tiết, bạn có thể tham khảo cách thay đổi tiền tố cơ sở dữ liệu WordPress thay đổi tiền tố cơ sở dữ liệu WordPress để tăng tính bảo mật cho trang web của mình.

Cách khắc phục một trang web WordPress bị hack

Dù rất đau đầu khi phải khắc phục một trang web WordPress bị hack, nhưng bạn hoàn toàn có thể làm được việc này.

Dưới đây là một vài bài viết bạn có thể tham khảo để dọn dẹp một website WordPress bị hack:

  • Hướng dẫn khắc phục một website WordPress cho người mới bắt đầu
  • Làm thế nào để quét mã độc hại trên website WordPress của bạn
  • Làm thế nào để tìm mã độc tiềm ẩn trong website WordPress bị hack và cách khắc phục
  • Cần làm gì khi bạn bị khóa quyền admin WordPress (wp-admin)
  • Hướng dẫn cho người mới bắt đầu: cách khôi phục WordPress từ bản sao lưu

Mẹo

Để bảo mật chắc chắn, chúng tôi thường sử dụng Sucuri cho tất cả các website WordPress. Sucuri cung cấp dịch vụ phát hiện và loại bỏ phần mềm độc hại cũng như tường lửa trang web bảo vệ website của bạn khỏi các mối đe dọa phổ biến nhất.

Bạn có thể tìm hiểu cách mà Sucuri giúp chúng tôi chặn 450000 cuộc tấn công WordPress trong vòng 3 tháng.

Hi vọng bài viết này có thể giúp bạn hiểu ra được những lý do khiến website WordPress bị tấn công. Tham khảo thêm hướng dẫn bảo mật WordPress cơ bản để bảo vệ website WordPress của bạn.

Nếu thích bài viết này, hãy đăng ký kênh Youtube của chúng tôi về các video hướng dẫn WordPress. Bạn cũng có thể tìm thấy chúng tôi trên Twither và Facebook.

Leave a Reply

Your email address will not be published. Required fields are marked *