Hướng dẫn Plugin Wordfence Security toàn tập

– Chuyên mục: Plugin WordPress

Toàn bộ chức năng của Wordfence Security

Trước khi sử dụng, mình xin liệt kê hết toàn bộ các chức năng có trong Wordfence Security để bạn biết nó có thể làm được gì, mặc dù chúng ta có thể không cần sử dụng hết các chức năng này.

  • Bổ sung công nghệ Falcon Engine để tạo bộ nhớ đệm cho website để tăng tốc lên 50 lần. Nếu dùng chức năng này, hãy tháo các plugin cache ra như WP Super Cache, W3 Total Cache.
  • Hỗ trợ tương thích với các plugin khác và theme khác, ví dụ như Woocommerce.
  • Tự động khóa những người tấn công phổ biến. Ví dụ một website nào đó sử dụng Wordfence mà bị tấn công và họ thiết lập chặn người tấn công đó, thì website của bạn cũng sẽ chặn người tấn công đó.
  • Thêm mật khẩu hai lớp bằng mã xác nhận qua điện thoại, giống như tài khoản Google vậy.
  • Quét lỗ hổng thông qua lỗi bảo mật “HeartBleed”.
  • Bắt buộc các người dùng khác trên website phải sử dụng mật khẩu phức tạp.
  • Tự động quét mã nguồn WordPress, plugin và theme để phát hiện mã độc. Đối với mã nguồn, nó sẽ so sánh với mã nguồn gốc của WordPress xem nếu có sự thay đổi gì thì sẽ thông báo cho bạn.
  • Thiết lập tường lửa để chặn các cách tấn công phổ biến và những người dùng spammer, ví dụ như giả dạng Googlebot.
  • Tự động khóa các người tấn công được liệt vào danh sách đen bằng cách kiểm tra IP nâng cao, kiểm tra domain trên WHO IS.
  • Theo dõi sự thay đổi của các tập tin trên host và bạn có thể tùy chỉnh tự động sửa chữa nếu tập tin đó bị thay đổi.
  • Tự động scan và tìm kiếm một số mã độc phổ biến như 99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx….và rất nhiều cái tên khác.
  • Tự động scan các trang trên website xem có bị liệt chèn mã độc hay không, và kiểm tra xem trang đó có bị Google liệt vào danh sách đen hay không.
  • Tự động tìm và khóa các mã độc khả nghi.
  • Tùy chỉnh giới hạn các bot có thể thu thập thông tin website, nhằm tránh tình trạng bị botnet tấn công tần suất lớn.
  • Theo dõi thời gian thực các lượt truy cập vào website của bạn, thống kê lỗi 404 trên website, thay đổi và sửa xóa nội dung,…
  • Theo dõi thời gian thực và thống kê các lượt truy cập dựa theo quốc gia.
  • Kiểm tra thông tin ổ cứng của host vì nhiều cách tấn công DDoS sẽ làm cho ổ cứng bạn bị đầy.
  • Và một số chức năng nhỏ khác.

Cách thiết lập plugin Wordfence Security (trong 3 bước đơn giản)

Trước khi bắt đầu định cấu hình plugin Wordfence Security, chúng tôi cần cài đặt nó. Khi bạn đã cài đặt và kích hoạt plugin, thông báo sau sẽ xuất hiện trên bảng điều khiển của bạn:

email-notification-Wordfence-Security

Nhập email của bạn vào trường tương ứng, tùy chọn nhận hoặc không nhận thông báo, và đồng ý với những quy định, chính sách sử dụng của Wordfence.

enter-license-key-Wordfence-Security

Bạn có thể nhập mã kích hoạt bản quyền nếu có. Ở đây chúng tôi đang sử dụng phiên bản miễn phí để hướng dẫn cho bài viết này nên bỏ qua bước trên (bằng cách bấm vào No Thanks).

Bước 1: Thiết lập các biện pháp bảo mật đăng nhập

Hãy bắt đầu bằng cách nhấp vào Wordfence > Login Security: Bạn sẽ được đưa đến tab Xác thực 2 bước

two-factor-authentication-Wordfence-Security

Chuyển qua tab Settings:

settings-Wordfence-Security

Tại đây, bạn có thể tùy chọn cài đặt các chức năng:

  • Enable 2FA for these roles: Kích hoạt vai trò sử dụng chức năng Xác thực 2 bước
  • Require 2FA for all administrators: Bắt buộc Xác thực 2 bước cho tất cả các tài khoản quản trị
  • Allow remembering device for 30 days: Nhớ thiết bị trong 30 ngày.
  • Require 2FA for XML-RPC call authentication: Bắt buộc Xác thực 2 bước khi truy xuất XML-RPC
  • Disable XML-RPC authentication: Tắt xác thực XML-RPC
  • Enable reCAPTCHA on the login and user registration pagesKích hoạt reCAPTCHA trên trang đăng nhập và đăng ký người dùng

Sau khi cài đặt những mục cần thiết cho việc bảo vệ đăng nhập. Bạn Lưu cài đặt để nó được áp dụng cho website.

Bước 2: Cách thực hiện quét toàn trang web

Chức năng Wordfence Scan cho phép plugin xem qua trang web của bạn để tìm bất kỳ mã độc hại hoặc mô hình lây nhiễm nào. Về cơ bản, nó giống như sử dụng một ứng dụng chống virus để quét máy tính, bạn có thể sử dụng nó để xác định vị trí và vá các lỗ hổng hiện có, nhưng tốt hơn hết là thường xuyên quét trang web của bạn.

Để sử dụng tính năng này, bạn cần truy cập Wordfence / Scan và nhấp vào nút Bắt đầu quét (Start New Scan):

scan-Wordfence-Security

Wordfence Scan sẽ bắt đầu kiểm tra trang web của bạn. Nếu quá trình quét tìm thấy bất kỳ vấn đề lỗ hổng nào trên trang web WordPress của bạn, nó sẽ cung cấp cho bạn tùy chọn xóa hoặc khôi phục mọi tệp bị nhiễm về phiên bản gốc của chúng. Việc cần làm trong trường hợp này là tùy thuộc vào bạn, nhưng được cảnh báo rằng việc xóa bất kỳ tệp quan trọng nào có khả năng phá vỡ trang web của bạn. Nếu bạn tìm thấy một lỗ hổng, trong hầu hết các trường hợp khôi phục lại một bản sao lưu sạch có thể là phương án tốt nhất.

Bước 3: Cách thiết lập cảnh báo bảo mật

Ở đầu phần này, chúng tôi đã hướng dẫn bạn trong quá trình nhập email của bạn để nhận thông báo bảo mật từ Wordfence Security. Khi được định cấu hình để làm như vậy, plugin có thể gửi cho bạn thông báo về một số vấn đề bảo mật, từ khối IP tự động đến khóa đăng nhập. Đi đến Wordfence / All Options và cuộn xuống cho đến khi bạn tìm thấy phần Email Alert Preferences:

email-alert-Wordfence-Security

Hầu hết các tùy chọn mặc định được thấy ở trên là tuyệt vời từ quan điểm bảo mật, nhưng những tùy chọn khác có thể hơi khó chịu nếu bạn nhận được email mỗi khi chúng xảy ra. Ví dụ: chúng tôi khuyên bạn nên tắt tùy chọn để nhận thông báo mỗi khi ai đó sử dụng chức năng ‘mất mật khẩu’. Đây là một sự kiện tương đối chuẩn và trong hầu hết trong các trường hợp, nó sẽ chỉ dẫn đến việc spam hộp thư đến của bạn.

Điều tương tự cũng áp dụng cho việc nhận thông báo khi quản trị viên đăng nhập. Tùy thuộc vào số lượng quản trị viên mà trang web WordPress của bạn có, điều này có thể trở nên khá khó sử dụng, vì vậy hãy bỏ tùy chọn đó. Thay vào đó, hãy bật tùy chọn ngay bên dưới, thông báo cho bạn khi quản trị viên đăng nhập từ  thiết bị mới:

new-device-location-Wordfence-Security

Trong trường hợp này, bạn có thể nhanh chóng đánh giá xem đăng nhập của quản trị viên có khác thường hay không tùy thuộc vào vị trí của họ và thiết bị họ đang sử dụng. Nó thực tế hơn nhiều so với cài đặt mặc định và tất cả những gì bạn phải làm là đánh dấu vào một tùy chọn để kích hoạt nó.

Chúng tôi đã hướng dẫn bạn các bước cơ bản để bảo vệ trang web WordPress của bạn bằng Wordfence Security.

Kết luận

Bảo mật WordPress là một vấn đề quan trọng ưu tiên. Tuyệt vời như WordPress nhưng nó không an toàn 100% – như chúng tôi đã đề cập trước đó (không ngoại trừ bất kỳ CMS nào). Tuy nhiên, miễn là bạn thực hiện các biện pháp phòng ngừa và tìm hiểu những điều cơ bản về cách bảo vệ trang web WordPress của mình, bạn đảm bảo cho trang web của mình an toàn khi nói đến vấn đề bảo mật.

Nếu bạn đã sẵn sàng để bảo mật website của mình thì đây là cách bảo vệ trang web WordPress của bạn bằng Wordfence Security:

  • Cài đặt và kích hoạt plugin Wordfence Security.
  • Cập nhật các biện pháp bảo mật đăng nhập của bạn.
  • Tìm hiểu làm thế nào để thực hiện quét toàn bộ trang web.
  • Thiết lập cảnh báo bảo mật nâng cao.
0 comments… add one

Leave a Comment

Do NOT follow this link or you will be banned from the site!