Bảo vệ website WordPress với Plugin Wordfence Security

1/ Giới thiệu

WordPress cho đến nay là Hệ thống quản lý nội dung (CMS), mã nguồn mở phổ biến nhất trên thế giới. Chính vì là mã nguồn mở, nên những kẻ tấn công (hacker) rất dễ và luôn tìm cách xâm nhập vào website nhằm thực hiện chèn mã độc, Malware/Virus để thu thập thông tin hoặc phá hoại website của bạn. Do đó vấn đề bảo mật luôn là vấn đề được đặt lên hàng đầu nếu bạn muốn bảo về website của mình. Và ở bài viết này mình sẽ giới thiệu đến các bạn một Plugin bảo mật có tên là Wordfence Security.

Wordfence Security là gì?

Wordfence Security là một trong những plugin bảo mật WordPress đầy đủ tính năng tốt nhất hiện nay. Nó cho phép người dùng quản lý và bảo mật website toàn diện và thậm chí tự động hóa nó. Wordfence Security cung cấp cho bạn nhiều tính năng tuyệt vời và đi kèm với tài liệu hướng dẫn đầy đủ, chi tiết.

Các tính năng chính:

• Cho phép bạn quét trang web WordPress của bạn để tìm lỗ hổng.
• Cảnh báo bạn qua email nếu có bất kỳ mối đe dọa nào xuất hiện.
• Hỗ trợ các biện pháp bảo mật đăng nhập nâng cao.
• Có thể tự động chặn IP tùy thuộc vào hoạt động đáng ngờ.

Ưu điểm:

• Phiên bản miễn phí của plugin chứa tất cả các tính năng bạn cần để bảo mật trang web của bạn.
• Hỗ trợ cảnh báo tự động cho các mối đe dọa bảo mật.
• Nó hoàn toàn là mã nguồn mở.

Nhược điểm:

• Chỉ phiên bản trả phí mới cho phép người dùng lên lịch và tự động quét bảo mật.

Xem thêm:

• Hướng dẫn cài lại WordPress khi bị nhiễm mã độc
• Cách xử lý khi Google Ads từ chối quảng cáo do phần mềm độc hại
• Hướng dẫn xử lý website bị Google cảnh báo nguy hiểm
• Xử lý spam index trong Google Search Console
• Một số PLugin bảo mật tốt
• Một số cách bảo mật website
• Top 5 phần mềm diệt Malware tốt nhất
• Dấu hiệu nhận biết website bị Hack
• Một số công cụ phát hiện bảo mật website

2/ Cài đặt và Đăng ký License Wordfence Free

Trước khi đi vào phần cấu hình, thì các bạn hãy cài đặt và kích hoạt Plugin Wordfence Security trước theo hướng dẫn bên dưới.

• Cài đặt Plugin trên website WordPress

Ngay sau khi kích hoạt Plugin, thông báo sau sẽ xuất hiện ở bảng điều khiển của bạn. Bạn cần làm theo các bước bên dưới để nhận key kích hoạt Wordfence Free nhé.

Sau khi đã có Key , trong giao diện Admin các bạn truy cập vào Wordfence và thực hiện Active Wordfence.

3/ Hướng dẫn cấu hình

A. Thiết lập Firewall

Trong phần thiết lập này các bạn có thể chú ý 2 tính năng quan trọng là Block IP Address và Block Country . Ở đây mình sẽ làm ví dụ với cả 2 tính năng để bạn dễ hình dung

• Block IP Address

Thì tính năng này chúng ta sẽ thiết lập chặn theo địa chỉ IP, nghĩa là nếu các bạn phát hiện hoặc nghi ngờ IP nào đó đang tấn công website của bạn, thì bạn có thể chặn nó theo cách này.

Để thiết lập bạn truy cập Wordfence >> Firewall

Bạn nhấn sang tab Blocking >> IP Address

Và sau khi chặn IP xong, IP sẽ được hiển thị ở danh sách chặn như hình. Nếu cần mở chặn IP, thì bạn chỉ cần click vào IP cần mở khóa và nhấn UNBLOCK

• Block Country

Thì tính năng này chúng ta sẽ thiết lập chặn theo quốc giá, nghĩa là nếu các bạn phát hiện hoặc nghi ngờ có nhiều IP từ một hoặc nhiều quốc đang tấn công website của bạn, thì bạn có thể chặn nó theo cách này.

Bạn nhấn sang tab Blocking >> IP Country

Cụ thể cách chặn hoặc bỏ chặn theo quốc gia thì bạn xem ảnh bên dưới nhé.

Và sau khi chặn quốc gia xong, quốc gia sẽ được hiển thị ở danh sách chặn như hình. Nếu cần mở chặn, thì bạn chỉ cần click vào quốc gia cần mở khóa và nhấn UNBLOCK

B. Sử dụng tính năng Scan

Chức năng Wordfence Scan cho phép Plugin scan qua website của bạn để tìm kiếm mã độc hoặc mô hình lây nhiễm, ngoài ra nó còn thông báo các phiên bản cập nhật mới của Plugin/Theme. Về cơ bản, nó giống như sử dụng một ứng dụng chống virus để quét máy tính, bạn có thể sử dụng nó để xác định vị trí và vá các lỗ hổng hiện có, và tốt nhất bạn nên scan mã độc định kỳ để phát hiện sớm các mối nguy hiểm nếu có.

Để sử dụng bạn truy cập Wordfence >> Scan

Tiếp đó bạn nhấn START NEW SCAN để bắt đầu quá trình scan toàn bộ website.

Quá trình scan sẽ diễn ra hơi lâu một chút, bạn nên chờ cho hoàn tất nhé. Và sau khi quá trình scan hoàn tất, các bạn sẽ nhận được kết quả scan tại mục Results Found.

Ở đây website của mình đang có các cảnh báo phiên bản PLugin mới cần cập nhật. Còn nếu site bạn bị cảnh báo bởi mã độc, Malware thì bạn nên bấm vào phần Xem chi tiết để xem cụ thể tên File cũng như đường dẫn để có hướng xử lý mã độc đó nhé.

C. Thiết lập bảo mật đăng nhập

Với tính năng bảo mật trang đăng nhập, bạn vào Wordfence >> Login Security

• Thiếp lập Two-Factor Authentication cho trang đăng nhập

Tại tab Two-Factor Authentication chúng ta sẽ có tùy chọn cấu hình Two-Factor Authentication (Xác thực 2 lớp).

Bây giờ bạn hãy sử dụng điện thoại hoặc thiết bị đã được cài đặt ứng dụng Authenticator, để thực hiện scan mã QR (1) . Sau khi scan xong bạn sẽ nhận được code gồm 6 chữ số, và các số này sẽ thay đổi mỗi 30s một lần. Các bạn nhập code đã scan ở mục (1) vào mục (3) >> nhấn ACTIVATE để hoàn tất thiết lập.

Tiếp đó bạn nếu đã Download phần Code rồi thì bạn nhấn vào SKIP để bỏ qua, ngược lại nếu chưa Download thì có thể nhấn vào DOWNLOAD.

Và dưới đây là kết quả sau khi cấu hình.

• TIếp đến bạn chuyển sang tab Settings

Tại đây, sẽ có các thiết lập chức năng cụ thể sau:

• Enable 2FA for these roles: Kích hoạt vai trò sử dụng chức năng Xác thực 2 bước
• Require 2FA for all administrators: Bắt buộc Xác thực 2 bước cho tất cả các tài khoản quản trị
• Allow remembering device for 30 days: Nhớ thiết bị trong 30 ngày.
• Require 2FA for XML-RPC call authentication: Bắt buộc Xác thực 2 bước khi truy xuất XML-RPC
• Disable XML-RPC authentication: Tắt xác thực XML-RPC
• Enable reCAPTCHA on the login and user registration pages: Kích hoạt reCAPTCHA trên trang đăng nhập và đăng ký người dùng

Sau khi thiết lập xong bạn nhấn SAVE để lưu lại cấu hình.

Và dưới đây là kết quả khi đăng nhập vào trang quản trị website. Wordfence đã yêu cầu nhập mã xác thực 2 lớp như hình.

D. Thiết lập các cảnh báo bảo mật

Với phần thiết lập cảnh báo bảo mật, các bạn vào Wordfence >> All Options >> Email Alert Preferences

Thì tại đây mặc định Wordfence đã bật sẵn các thông báo cần thiết. Nếu bạn muốn bật tắt thông báo nào thì có thể chọn lại và nhấn SAVE CHANGES để lưu lại nhé.

Ở trên là các thiết lập cơ bản của Plugin Wordfence Security để giúp website của bạn được bảo mật và an toàn hơn trước các mối nguy hiểm tiềm tàng từ Internet. Hy vọng bài viết sẽ giúp ích cho bạn.

Chúc các bạn thực hiện thành công.!