Wordpress

Top 5 Lỗi Bảo Mật WordPress Và Biện Pháp Khắc Phục Hiệu Quả

Posted on by Tùng Bùi
lỗi bảo mật wordpress
01
Th3

WordPress được biến đến là một trong những hệ thống mã nguồn mở được dùng để xuất bản nội dung blog/website phổ biến nhất trên thế giới hiện nay. Hãy cùng Tungphat.com cập nhật Top 5+ lỗi bảo mật WordPress phổ biến nhất và biện pháp khắc phục hiệu quả qua bài viết dưới đây.

Độ an toàn của WordPress

lỗi bảo mật wordpress
Độ an toàn của WordPress

WordPress có an toàn hay không? Đây là câu hỏi được rất nhiều người quan tâm, và câu trả lời là bản thân WordPress có độ an toàn cực cao, đảm bảo rằng bạn luôn tuân thủ mọi quy tắc về bảo mật của phần mềm nhé!

Tuy nhiên, WordPress chưa bao giờ thoát khỏi tầm ngắm của những kẻ xấu. Tính đến năm 2019, WordPress chiếm 33,7% web platform trên toàn cầu, chiếm 60% thị phần CMS. Mã nguồn mẹ của WP là PHP chiếm tới 79% toàn cầu, trong khi đó ASP.NET chỉ chiếm 11%, Java chiếm 4%, còn Ruby chỉ khiêm tốn với 2%. Điều đó cho thấy WordPress chính là miếng mồi béo bở của những tin tặc – kẻ muốn ăn cắp thông tin với mục đích xấu xa.

Vì sao bảo mật WordPress lại quan trọng?

Dưới đây là những con số thống kê chứng minh tầm quan trọng của bảo mật WordPress:

  • 98% các cuộc tấn công WordPress xảy ra đều do Plugin.
  • 81% lỗ hổng WordPress xảy ra do mật khẩu yếu hoặc bị đánh cắp.
  • 51% các trang WordPress đều trải qua các cuộc tấn công từ chối dịch vụ.
  • Năm 2021, Sucuri đã loại bỏ phần mềm độc hại có ở hơn 94% các trang web WordPress.
  • 41% các lỗ hỏng do nền tảng lưu trữ của người dùng gây ra.
  • 4-% các trang web bị ảnh hưởng bởi tệp lệnh giữa các web.
  • 52% các cuộc tấn công thường gặp do các phiên bản WordPress cũ.
  • 59% các trang web có lỗ hổng bảo mật xuất phát từ mã độc, phần mềm độc hại và mạng botnet.

Xem thêm >>> Bí Kíp Bảo Mật WordPress Chi Tiết Cho Người Mới Bắt Đầu – 2022

Những lỗi bảo mật WordPress thường gặp

Mục tiêu của tin tặc là giành quyền truy cập trái phép vào WordPress của bạn ở cấp quản trị viên từ giao diện hoặc phía máy chủ. Dưới đây là 5 lỗi bảo mật WordPress phổ biến nhất mà bạn nên lưu ý:

Brute Force Attacks

lỗi bảo mật wordpress
Brute Force Attacks

Các vấn đề tấn công Brute Force Attacks liên quan đến phương pháp dò mật khẩu. Đây chính là cách đơn giản nhất để có quyền truy cập vào trang web của bạn. 

Theo mặc định, WordPress sẽ không giới hạn số lần đăng nhập sai vào tài khoản. Do đó, tin tặc sẽ tấn công trang đăng nhập WordPress của bạn bằng phương pháp tấn công Brute Force cho đến khi tìm được thông tin đăng nhập chính xác.

File Inclusion Exploits

Sau các cuộc tấn công bằng Brute Force, một lỗ hổng khác liên quan đến PHP (mã nguồn sử dụng để viết WordPress) là File Inclusion Exploits cũng trở thành mối lo ngại tiếp theo mà tin tặc tấn công.

Lỗ hổng File Inclusion cho phép bọn chúng truy cập trái phép vào những tập tin nhạy cảm trên máy chủ web hoặc thực thi các tệp tin độc hại bằng chức năng “Include”.

Thông qua lỗ hổng này, kẻ tấn công sẽ đọc được file wp-config.php và biết được các thông tin kết nối database, từ đó chiếm lấy quyền điều khiển website của bạn.

SQL Injections

WordPress của bạn thường sử dụng cơ sở dữ liệu MySQL để hoạt động. SQL Injections xảy ra khi kẻ tấn công giành lấy quyền truy cập vào cơ sở dữ liệu WordPress và tất cả các trang web của bạn. 

Sau đó, tin tặc sẽ tạo tài khoản người dùng cấp quản trị viên mới và sử dụng để đăng nhập vào trang WordPress của bạn. SQL Injections cũng có thể được sử dụng để chèn những phần dữ liệu mới vào cơ sở dữ liệu của bạn, bao gồm các đường dẫn đến các web độc hại, phản cảm.

Cross-Site Scripting (XSS)

lỗi bảo mật wordpress
Cross-Site Scripting (XSS)

Một lỗi bảo mật WordPress khác có tên là Cross Site Scripting. Theo nghiên cứu, 84% tất cả các lỗ hổng bảo mật trên Internet được gọi là các cuộc tấn công Cross Site Scripting (XSS). Chúng là một trong những lỗ hổng phổ biến nhất được tìm thấy trong các plugin, theme của WordPress.

Cơ chế cơ bản của lỗ hổng trên hoạt động như sau: 

  • Kẻ tấn công sẽ tìm cách khiến nạn nhân tải các trang web với đoạn Script Javascript không an toàn. 
  • Các lệnh này sau đó sẽ được dùng để đánh cắp toàn bộ dữ liệu từ trình duyệt của người dùng.

Malware

Malware – phần mềm độc hại, là một mã độc được sử dụng để chèn vào các trang web và lấy đi những phần dữ liệu nhạy cảm. Trang web WordPress bị tấn công thường có nghĩa là phần mềm độc hại đã được chèn vào trước đó. Vì vậy, nếu bạn nghi ngờ có phần mềm này trên trang web của mình thì hãy kiểm tra thật kỹ các file trong mã nguồn nhé.

Cách khắc phục các vấn đề lỗi bảo mật của WordPress

Cách khắc phục vấn đề về những lỗi bảo mật wordpress mà bạn cần chú ý như:

Vấn đề về hosting và lỗi server

lỗi bảo mật wordpress
Vấn đề về hosting và lỗi server

Khi hosting server được chia sẻ của bạn bị tấn công bởi DDoS, rất có thể khả năng kết nối trong WordPress.org sẽ bị tạm ngừng, dẫn đến lỗi bảo mật kết nối. Trong trường hợp này, bạn có thể chờ thêm một vài phút và thử lại lần nữa. Nếu lỗi vẫn còn thì phải liên hệ với đội hỗ trợ của công ty cung cấp hosting để kịp thời xử lý.

Lỗi Cloud và VPS Server kết nối

Nếu bạn đang trên Cloud hoặc VPS hosting thì có thể máy chủ của bạn sẽ không thể kết nối với WordPress.org do một số vấn đề liên quan đến DNS.

Trong trường hợp này, bạn hãy chuyển hướng trực tiếp server của bạn đến các server WordPress.org. Bạn cần phải kết nối server của mình bằng cách sử dụng SSH – một trình bảo mật cho phép người dùng kết nối với máy chủ thông qua lệnh. 

Xem thêm >>> Cách Khắc Phục Trang Web Bị Sập Bạn Cần Biết

Lỗi kết nối bảo mật WordPress trên Localhost

lỗi bảo mật wordpress
Lỗi bảo mật WordPress tại Localhost

Nếu bạn đang chạy WordPress trên máy tính cá nhân, bạn sẽ không có URL mở rộng được kích hoạt cho PHP. Phần mở rộng đó được yêu cầu để truy cập WordPress.org nhằm mục đích cập nhật tính năng mới.

Để khắc phục lỗi bảo mật WordPress Localhost, bạn cần phải chỉnh sửa tập tin php.ini trên máy tính như sau:

  • Nếu bạn đang trên Windows thì tìm dòng: ;extension=php_curl.dll
  • Nếu bạn sử dụng Mac hoặc Linus thì tìm dòng: ;extension=curl.so
  • Tiếp theo, loại bỏ dấu chấm phẩy trước đoạn text để kích hoạt tính năng mở rộng, lưu tập tin php.ini lại và khởi động máy chủ Apache.

Tiến hành kiểm tra mở Ports tại Firewall

Giải pháp trong trường hợp này là bạn có thể sử dụng các quy tắc 6G Blacklist Firewall 2018 cơ bản, qua đó sao chép nó vào tệp tin htaccess trong thư mục gốc cài đặt WordPress.

Như vậy, Tungphat.com đã cung cấp đến bạn đọc những thông tin chi tiết về lỗi bảo mật WordPress kèm theo những cách khắc phục vấn đề này nhanh chóng nhất. Hy vọng bạn đã nắm được những bí kíp hữu ích và chúc bạn thành công.

5/5 - (5 bình chọn)
Avatar of Tùng Bùi
Tùng Bùi

Tùng Bùi tôi là CEO & Founder Tùng Phát. Tôi là chuyên gia Marketing thực chiến( Seo Website, Thiết Kế Website, xây dựng hệ thống marketing giúp bạn bán hàng đa kênh). Tôi chuyên chia sẻ kiến thức hữu ích cho ACE. Kết bạn giao lưu với tất cả ACE. Cần tư vấn dịch vụ ib zalo: 0902.313.677

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest

0 Góp ý
Phản hồi nội tuyến
Xem tất cả bình luận