Tìm hiểu những nguyên nhân khiến website của bạn bị hack

Một ngày đẹp trời, bạn ghé thăm blog/ website của mình và bàng hoàng phát hiện ra nó đã bị hack. Có nhiều hậu quả khác nhau của vấn đề này: website bị thay đổi giao diện, bị chuyển hướng sang website khác, bị chiếm quyền quản trị, bị chèn backlink ẩn, quảng cáo và các đoạn script độc hại… Nguyên nhân đầu tiên mà bạn thường nghĩ đến trong những tình huống như vậy là gì? Do theme/ plugin “không sạch”, hay là do hosting bảo mật kém? Tất cả đều có thể. Nhưng ngoài ra, vẫn còn có rất nhiều nguyên nhân khác mà có thể bạn chưa biết. Có rất nhiều nguyên nhân khác nhau có thể dẫn đến việc website của bạn bị hack. Chúng được chia làm 2 nhóm: nguyên nhân chủ quan và nguyên nhân khách quan.

Nguyên nhân chủ quan

Nhóm nguyên nhân chủ quan thường là do thói quen xấu của chính bạn. Và trong trường hợp này – ” tiên trách kỷ, hậu trách nhân”.

1. Sử dụng theme, plugin “lậu” (nulled), không rõ nguồn gốc

Tôi dám chắc rằng rất nhiều bạn ở đây đang hoặc đã từng sử dụng theme, plugin WordPress “lậu”. Chúng là những sản phẩm trả phí nhưng lại được chia sẻ miễn phí một cách tràn lan trên internet. Và không phải tự nhiên mà có nhiều người lại rảnh rỗi để đi làm điều đó. Khi chia sẻ theme, plugin, họ thường “tặng kèm” luôn cả malware, backdoor, backlink ẩn… và các loại iframe, script độc hại khác. Nếu bạn không may sử dụng phải những sản phẩm dạng này thì nguy cơ website bị hack là rất cao.

2. Sử dụng tên đăng nhập mặc định và mật khẩu quá đơn giản

Nhiều bạn có thói quen sử dụng tên đăng nhập mặc định, phổ biến (kiểu như admin, Administrator…) và mật khẩu quá đơn giản (quá ít ký tự, chỉ bao gồm một dãy số hoặc các dòng chữ có nghĩa) để cho dễ nhớ, mà không hề biết rằng điều đó sẽ vô tình biến blog/ website của mình trở thành miếng mồi ngon cho tin tặc. Chỉ với phương thức tấn công brute force phổ thông, mật khẩu của bạn sẽ nhanh chóng bị dò ra và hậu quả thì chắc bạn đã rõ.

Việc sử dụng cùng một username và password trên nhiều website khác nhau cũng có thể gây ra hiệu ứng “chết chùm” một khi tin tặc đã dò ra thông tin đăng nhập của một website nào đó.

3. Không update WordPress, theme và plugin

Ngoài mục đích bổ sung tính năng mới, cải thiện hiệu suất làm việc, update phiên bản mới cho WordPress, theme, plugin còn giúp khắc phục các lỗi bảo mật nguy hiểm còn tồn tại trên các phiên bản cũ. Tuy nhiên, điều đáng buồn là phải đến hơn 60% người dùng rất ngại thực hiện điều này. Có thể họ sợ website sẽ bị lỗi. Cũng có thể là do lười. Nhưng dù với nguyên nhân gì thì họ cũng đang tự mở cửa để mời tin tặc.

4. Không cài plugin bảo mật

Bạn có nghĩ rằng việc cài plugin bảo mật cho blog/ website WordPress là điều cần thiết không? Riêng tôi, đó là điều hoàn toàn cần thiết. Các plugin bảo mật hiện nay đều được trang bị khá đầy đủ các tính năng giúp bạn chống brute force attack, XSS, spam bình luận, quét và tìm ra các file mã độc được chèn vào mã nguồn WordPress… Chúng là một lớp bảo vệ bổ sung hữu hiệu giúp blog/ website của bạn an toàn hơn. Nếu bạn không cài bất cứ plugin hỗ trợ bảo mật nào trên blog/ website thì xin chúc mừng, bạn đang đối mặt với rủi ro cao về bảo mật.

5. Không cài phần mềm antivirus trên máy tính

Máy tính thì liên quan gì đến việc blog/ website của bạn bị hack? Có chứ, liên quan nhiều là đằng khác. Nếu máy tính bị nhiễm virus, trojan, malware… chúng hoàn toàn có thể xâm nhập vào blog/ website của bạn thông qua việc upload file, theo dõi lịch sử duyệt web, phân tích cookie trình duyệt và cả việc ăn thông tin đăng nhập khi bạn gõ trên bàn phím… Do đó, nếu máy tính của bạn không được bảo vệ tốt bởi một phần mềm diệt virus chất lượng và được cập nhật thường xuyên, blog/ website của bạn nhiều khả năng sẽ là nạn nhân tiếp theo.

6. Không biết cách bảo mật server, VPS

Nếu bạn không thực sự có nhiều kinh nghiệm về việc cấu hình và bảo mật VPS/ server, tôi thật lòng khuyên bạn không nên nghĩ đến việc tự build VPS/ server để chạy blog/ website WordPess. Các web server hiện nay vẫn còn tồn tại rất nhiều lỗ hổng bảo mật mà nếu không biết cách “vá”, không biết cách cấu hình, blog/ website của bạn rất dễ trở thành đích ngắm của các cuộc tấn công.

Nguyên nhân khách quan

Nếu bạn tự tin cho rằng mình đã thực hiện tốt những vấn đề kể trên thì nguyên nhân còn lại là do yếu tố khách quan.

7. Do host bảo mật kém

Trùng với nguyên nhân số 6 sao? Không. Ý của tôi trong trường hợp này là shared host. Với shared host, hầu như các bạn không phải làm gì, chính xác hơn là không thể làm gì để cải thiện khả năng bảo mật cho server. Và tất nhiên, nếu nhà cung cấp không biết cách bảo mật server, host của bạn sẽ dễ dàng bị hack. Đó là lý do các bạn cần phải chọn nhà cung cấp dịch vụ hosting uy tín, có nhiều kinh nghiệm trong bảo mật để “gửi vàng”.

8. Do WordPress, theme, plugin còn tồn tại nhiều lỗ hổng bảo mật

Tất nhiên, không có gì là hoàn hảo cả. Ngay cả khi bạn thường xuyên cập nhật WordPress, theme và plugin, download sản phẩm chính hãng, bản quyền, nguồn gốc rõ ràng… thì chúng vẫn có thể còn tồn tại rất nhiều lỗ hổng bảo mật. Hacker hoàn toàn có thể khai thác chúng để tấn công blog/ website của bạn. Và lần này, trách nhiệm thuộc về các nhà phát triển.

Lời khuyên giúp bạn bảo mật WordPress

Do thời lượng của bài viết không cho phép nên sau đây, tôi sẽ nêu tóm tắt một số lời khuyên hữu ích dành cho bảo mật WordPress. Có thắc mắc gì thêm thì các bạn để lại bình luận nhé

  • Luôn luôn giữ phiên bản WordPress của bạn ở trạng thái cập nhật
  • Không tự ý thay đổi mã nguồn WordPress
  • Chắc chắn rằng tất cả plugin của bạn đã được cập nhật
  • Xóa tất cả các plugin và theme không kích hoạt hoặc không sử dụng
  • Đảm bảo tất cả các theme của bạn đã được cập nhật
  • Chỉ cài đặt theme, plugin và script từ các nguồn chính thống
  • Chọn một dịch vụ WordPress Hosting bảo mật tốt
  • Đảm bảo blog/ website của bạn đang chạy phiên bản PHP mới nhất
  • Thay đổi tên đăng nhập mặc định của quản trị viên
  • Luôn sử dụng mật khẩu đủ mạnh
  • Không tái sử dụng mật khẩu
  • Bảo vệ mật khẩu của bạn bằng cách tránh truyền tải mật khẩu bằng văn bản thuần túy
  • Chỉ cập nhật blog/ website của bạn từ các mạng internet đáng tin cậy
  • Sử dụng một phần mềm diệt virus trên máy tính
  • Kích hoạt Google Search Console
  • Bảo vệ WordPress bằng một plugin bảo mật
  • Thường xuyên sao lưu dữ liệu của blog/ website
  • Thường xuyên kiểm tra danh sách người dùng
  • Cài đặt SSL cho blog/ website
  • Hạn chế số lần đăng nhập thất bại
  • Kích hoạt xác thực hai nhân tố (bảo mật 2 bước)
  • Bảo đảm chính xác quyền của tập tin và thư mục
  • Thay đổi tiền tố bảng mặc định của database
  • Đảm bảo bạn đã đặt khóa xác thực WordPress bí mật
  • Vô hiệu hóa thực thi tập tin PHP
  • Vô hiệu hóa “directory indexing và browsing”
  • Phân tách cơ sở dữ liệu WordPress của bạn
  • Hạn chế quyền của người dùng cơ sở dữ liệu
  • Vô hiệu hoá chỉnh sửa tập tin từ bảng quản trị WordPress
  • Bảo vệ tập tin wp-config.php của bạn
  • Bảo vệ tập tin .htaccesss của bạn
  • Vô hiệu hoá XML-RPC (nếu bạn không sử dụng nó) -> cài plugin này: https://vi.wordpress.org/plugins/disable-xml-rpc/
  • Vô hiệu hoá thông báo lỗi PHP
  • Cài đặt một tường lửa cho blog/ website
  • Sử dụng tường lửa của CDN
  • Theo dõi lịch sử đăng nhập và các thay đổi của tập tin

Hy vọng là thông qua bài viết này, bạn có thể phòng tránh những sai lầm để bảo mật website tốt hơn (Tốt hơn thôi chứ không đảm bảo là không bao giờ bị hack nhé)

Nguồn: wpcanban.com

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Contact Me on Zalo