Yếu tố cần thiết để phòng tránh các cuộc tấn công DDoS trên Wordpress

Thủ Thuật Công Nghệ - Wordpress là một mã nguồn mở đang được sử dụng phổ biến trong việc thiết kế web như hiện nay, tuy nhiên khi sử dụng công cụ này người quản trị luôn phải đối mặt với vấn đề về bảo mật và cần đưa ra các giải pháp nhằm ngăn chặn sự tấn công mã độc từ nhiều phía khác nhau. Một trong những nguy hiểm mà Wordpress phải đối mặt đó chính là các cuộc tấn công từ chối dịch vụ DDoS. Có thể ngăn chặn cũng như tìm ra biện pháp khắc phục những cuộc tấn công DDoS nguy hiểm này? Có thể bởi chỉ cần chúng ta lưu ý tới những yếu tố dưới đây thì vấn đề bảo mật Wordpress sẽ trở nên dễ dàng hơn.

Bắt đầu với các máy chủ

Trước khi bạn nghĩ về việc đảm bảo trang web của bạn, bạn nên bắt đầu từ cơ sở nền tảng đó là đảm bảo sự an toàn cho máy chủ của mình. Bắt đầu với những điều cơ bản, bạn nên chọn một máy chủ với độ bảo mật cao, thực sự chất lượng. 

Hầu hết các WordPress quản lý dịch vụ lưu trữ có một lời cam kết đảm bảo an toàn cho hosting. Họ không cho phép tất cả các số plugin hoạt động liên quan mặc dù, vì vậy bạn nên kiểm tra đầu tiên nhìn thấy chính xác những gì tiếp cận và mức độ kiểm soát mà bạn có.

Hầu hết các nhà cung cấp đều đảm bảo:

- WordPress quản lý hosting
- Cập nhật bảo mật tự động
- Sao lưu hàng ngày
- One-click điểm khôi phục
- Tự động bộ nhớ đệm
- An ninh hàng đầu

Bạn là người trực tiếp quản trị máy chủ của mình do vậy bạn cần kiểm tra:

- Chạy các phiên bản ổn định của phần mềm máy chủ và bản vá khi cần thiết
- Kích hoạt tính năng tường lửa máy chủ cấp
- Cho phép bạn sao lưu và khôi phục thường xuyên và dễ dàng (trang web và cơ sở dữ liệu)
- Phát hiện xâm nhập

Host được quản lý (như WPEngine ví dụ) sử dụng bộ nhớ đệm đó được truyền qua một CDN, do đó, nếu bạn thực sự không muốn sử dụng một máy chủ WordPress quản lý, sau đó xem xét thực hiện một CDN cùng với một bộ nhớ đệm các plugin như W3 Total Cache. Đây là một cách đơn giản để thiết lập trang web của bạn để tất cả lượng truy cập thông qua thông qua các Cache CDN được sau đó cũng đi qua một lớp ổ cắm an toàn (SSL / TLS). 



1/ Đăng nhập, Mật khẩu và Plugins

Chỉ với 3 yếu tố trên cũng đủ để web nền tảng Wordpress của bạn bị tấn công thực tế cho thấy rằng hơn 70% wordpress bị tấn công theo hướng này. Luôn luôn đảm bảo rằng khi bạn đã cài đặt WordPress mà bạn cập nhật lên phiên bản mới nhất ngay khi nó trở nên có sẵn. Cũng vậy với chủ đề của bạn và cho tất cả các plugin mà bạn sử dụng. Điều tương tự cũng áp dụng cho phần mềm máy chủ của bạn. Nó có thể âm thanh rõ ràng với nhiều bạn, nhưng các số liệu thống kê nói cho mình, có rất nhiều, rất nhiều các phiên bản cũ hơn của các nền tảng được cài đặt.

Lời khuyên cho những nhà quản trị web đó là tạo mật khẩu càng phức tạp càng tốt và lưu trữ trong một trình quản lý mật khẩu hãy lưu lại mật khẩu -  đó chính là lời khuyên tốt nhất cho bạn.

2/ Áp dụng Automatic Updates

Để đảm bảo rằng trẻ vị thành niên và cập nhật quan trọng diễn ra trong WordPress tự động, bạn có thể làm cho một sự thay đổi nhỏ cho mã mà sẽ áp dụng chúng. Điều này loại bỏ sự cần thiết cho bạn để làm điều đó bằng tay (chỉ cập nhật nhỏ được áp dụng tự động để WordPress v.3.7 và sau này) nhưng bạn nên đảm bảo rằng bạn cho phép tự động, sao lưu thường xuyên trong trường hợp gặp khó khăn và phải mất trang web của bạn ra.

Để kích hoạt tính năng cập nhật, áp dụng mã sau vào wp-config.php file:

#Enable Tất cả các bản cập nhật cốt lõi, bao gồm cả trẻ vị thành niên và lớn:
define ('WP_AUTO_UPDATE_CORE', true);

Nó phổ biến hơn mà bạn sẽ trải nghiệm một vấn đề với bản cập nhật tự động nếu bạn sử dụng các plugin không được cập nhật thường xuyên hợp lý, do đó, cố gắng để đảm bảo rằng các plugin bạn cài đặt được duy trì và hỗ trợ có sẵn, nơi có thể.

3/ Vô hiệu hoá PHP Error Reporting

Nếu một plugin hay theme mà bạn đang sử dụng ném lên một lỗi, sau đó nó có thể là các thông báo lỗi kết quả sẽ hiển thị đường dẫn máy chủ của bạn từ đó có thể bị chặn bởi các tin tặc. Với điều này trong tâm trí, bạn nên vô hiệu hóa thông báo lỗi bằng cách thêm mã sau vào wp-config.php file:

error_reporting (0);
@ ini_set ('display_errors', 0);

Ngoài ra, nếu bạn không tự tin khi nói đến việc chỉnh sửa các tập tin cấu hình của bạn, sau đó bạn có thể yêu cầu máy chủ web của bạn để vô hiệu hóa nó cho bạn.\


4/ Dừng Brute Force Attack

Bạn sẽ thực sự bị sốc nếu một ngày nào đó web wordpress của bạn bị tấn công một cách bất ngờ. Đây là những cuộc tấn công phổ biến mà có thể ngăn ngừa một số mức độ bằng cách sử dụng mật khẩu phức tạp. Tấn công bằng sức mạnh vũ phu thường đến từ một botnet mà cố gắng đoán mật khẩu admin của bạn. Bạn có thể giảm thiểu những rủi ro và ngăn chặn hầu hết các cuộc tấn công bạo lực bằng cách bổ sung thêm một lớp bảo vệ ở cấp màn hình đăng nhập với HTTP AUTH.

Để làm được điều này trước tiên bạn sẽ cần phải bảo vệ mật khẩu thư mục của bạn bằng cách thiết lập.htaccess bảo vệ mật khẩu. Một khi bạn đã làm điều này, bạn cần phải thêm mã sau vào .htaccess file:

#Protect Wp-login
<File wp-login.php = "">
AuthUserFile ~ / htpasswd
AuthName "truy cập cá nhân"
AuthType Basic
yêu cầu người sử dụng mysecretuser
</ Files>

Điều này sẽ mang đến những bảng xác thực đó sẽ nhắc bạn đưa vào tên người dùng và mật khẩu của bạn và sau đó bạn sẽ được yêu cầu đăng nhập vào màn hình đăng nhập WordPress bình thường - bạn của khóa học nên sử dụng mật khẩu khác nhau cho cả hai.

Bạn cũng có thể ngăn chặn các cuộc tấn công bằng cách giám sát địa chỉ IP mà cố gắng để đăng nhập và sau đó khóa chúng. Hoặc, bạn chỉ có thể thay đổi username admin từ 'admin' tên hay cái gì khác của riêng bạn và sau đó xóa hồ sơ người dùng quản trị mặc định. Bạn và quản trị trang web của bạn / nhà phát triển thực sự phải là những người duy nhất có quyền trên trang web.

>>> Xem thêm:


'

5/ URL Dựa Exploits

Đây là thực sự là một cú đâm trong bóng tối cho tin tặc đã cố gắng để tìm thấy những điểm yếu trong các trang web bằng cách làm cho các yêu cầu URL mà sẽ trả về một lỗi nhưng đôi khi được hoàn thành.

Các URL có thể giống như thế này: http://yourwebsite.com/your/files/%3G/config

Thông thường, một hacker sẽ sử dụng một dấu ngoặc mở trong URL vậy, trước tiên, để khắc phục điều này, nó là cần thiết để tạo ra một trang Forbidden 403 để ngăn chặn bất kỳ yêu cầu có chứa các khung. Để làm điều này, chỉ cần dán dòng sau vào file .htaccess của bạn:

RedirectMatch 403 [

Để tạo ra một số các nguyên tắc phức tạp hơn, bạn không cần phải viết tất cả các mã chính mình. Nếu bạn quen với làm việc với .htaccess và trang web của bạn là trên một máy chủ Apache, sau đó bạn có thể sử dụng các 5G Firewall đó là một danh sách đen để khai thác chung. Bạn không cần phải sử dụng tất cả các dòng, hoặc, như nó là mô đun, và trong trường hợp nó không tạo ra những lỗi, bạn có thể xóa line-by-line cho đến khi bạn phát hiện ra vấn đề.

Bạn có thể bảo vệ .htaccess tập tin bản thân bằng cách thêm các dòng sau vào file:

<File .htaccess>
Để cho phép, từ chối
chối từ tất cả
</ Files>

6/ WordPress Plugins 

Tất nhiên bạn có thể sử dụng một trong những plugin bảo mật mà có sẵn cho WordPress quá. Trước khi cài đặt, bạn nên kiểm tra bất kỳ plugin nào bạn sử dụng được hỗ trợ và cập nhật thường xuyên. Nếu vậy, sau đó bạn cũng nên kiểm tra các xếp hạng và đánh giá để xác định được xem là tốt nhất bởi cộng đồng WordPress.

Đối với hầu hết các phần, WordPress an ninh là về việc sử dụng phổ biến ý thức và sự hiểu biết rằng rất nhiều thời gian, hack và phần mềm độc hại có thể được đưa xuống các lỗi do người sử dụng cuối. Đối với hầu hết các phần, các tin tặc đột nhập qua lỗ hổng trong phần mềm, do đó, nếu bạn đảm bảo rằng bạn luôn luôn có các phiên bản mới nhất bạn sẽ làm tốt công việc bảo vệ bản thân. Tin tặc tìm kiếm con đường dễ nhất, trừ khi họ đang nhắm mục tiêu bạn cụ thể, do đó thắt chặt lên trang web của bạn và không làm cho nó dễ dàng cho họ.

Hi vọng những chia sẻ của chúng tôi sẽ thực sự hữu ích đối với bạn. Chúc các bạn luôn thành công!

>>> Gợi ý Google:

cách thức tấn công ddos
tấn công ddos là gì
kỹ thuật tấn công ddos
tấn công từ chối dịch vụ ddos
anonymous trong vụ tấn công ddos
đồ án tấn công ddos
tấn công từ chối dịch vụ
supper scan

Nguồn sitepoint.com

Comments