Nguyên nhân các trang web WordPress bị hack?

Điều đầu tiên tôi muốn nói là không chỉ WordPress mà tất cả các trang web có hệ thống quản lý nội dung (CMS) trên Internet đều dễ bị hack.

Lý do WordPress là một mục tiêu bị hack phổ biến nhất vì WordPress là mã nguồn phổ biến nhất thế giới. Với hơn 35% các trang web trên toàn thế giới sử dụng WordPress

Các tin tặc, hacker dễ dàng tìm thấy nhiều website kém an toàn, không được cập nhật các bản vá lỗi nên các lỗ hổng bảo mật được công bố trước trước đó để tiến hành tấn công hàng loạt website có cùng đặc điểm bảo mật.

Có một quan niệm sai lầm là tin tặc đang lạm và lấy dữ liệu cá nhân trên các website nhưng theo kinh nghiệm của chúng tôi, hơn 95% các cuộc tấn công chỉ muốn phát tán thư rác! Họ truy cập vào máy chủ và chiếm quyền điều khiển để chia sẻ một số liên kết bất hợp pháp, v.v

Vậy tại sao xảy ra vấn đề này? Chúng ta hãy xem bốn lý do quan trọng làm website của bạn dễ trở thành mục tiêu bị hạ bệ và làm thế nào để ngăn chặn các cuộc tấn công ấy.

1. Plugins và theme

Các plugin và chủ đề lỗi thời hoặc không xác định là lý do đầu tiên làm các website kém bảo mật. Các plugin và chủ đề bên ngoài có thể gặp rủi ro vì chúng có thể chứa mã độc. Khi một lỗ hổng bảo mật tồn tại trong theme hoặc plugin thì các hacker sẻ tiến hành khai thác hàng loạt các website sử dụng chung plugin hoặc theme nào đó.

Để đối phó với vấn đề này bạn nên cập nhật plugin và chủ đề thường xuyên vì các nhà phát triển sẽ cập nhật các bản vá lỗi giúp hệ thống bạn an toàn hơn. Bạn cũng nên chọn các plugin và chủ đề bởi các nhà phát triển uy tín, tránh mua plugin qua các kênh mua bán lại plugin. Nhiều người dùng thích các theme hay plugin lậu hay còn gọi là Nulled, thì điều này cực kỳ nguy hiểm bởi bạn sẻ không thể kiểm soát được toàn bộ mã nguồn đó có bị chèn vào mã độc hay không

Wordpress Code Image

Lỗ hổng trên hosting

Hosting là không gian lưu trữ không thể thiếu cho mọi website. Nhiều người ở Việt Nam vẫn đang tìm kiếm hosting miễn phí hoặc chi phí thấp để lưu trữ trang web, nhưng các host miễn phí hoặc hosting giá rẻ bị tấn công rất nhiều bởi các tin tặc. Tôi đã thấy một số trường hợp các nhà cung cấp dịch vụ lưu trữ giá rẻ bị nhắm mục tiêu tấn công và tất cả các trang web trên đó đã bị hack. Điều này thường có nghĩa là bạn đã mất hoàn toàn trang web của bạn.

Trên đời hầu như không có thứ gì vừa ngon, vừa bổ và vửa rẻ cả và hosting cũng vậy, sẻ khá tốn chi phí về tài nguyên lưu trữ và băng thông nên chấp nhận miễn phí thì sẻ đánh đổi lại 1 thứ gì khác, vd: họ cho bạn xài miễn phí thì họ có thể nắm tài khoản của bạn, ăn cắp theme bản quyền, plugin bản quyền mà bạn bỏ tiền ra mua, hoặc chèn backlink ngầm vào website…

Vậy, chúng ta nên chọn mua hosting ở đâu? Thực tế thì hiện tại bạn có thể mua hosting ở 1 số nhà cung cấp như HostingViet, Azdigi, SiteGround, StableHost, hoặc mua của Vũ Trụ Số…

Hosting Bảo Mật

Mật khẩu

Trong nhiều năm qua, Chúng tôi đã xử lý nhiều vấn đề khác nhau đối với các trang WordPress. Đôi khi, người dùng nhờ chúng tôi fix lỗi trên website và họ cung cấp thông tin tài khoản quản trị viên vô cùng hài hước. Đối với hầu hết mật khẩu quả trị viên kiểu rất thô sơ như: admin123, 654321, v.v

Mật khẩu cần được đặt mạnh cho tất cả các loại

– Tài khoản quản trị WordPress
– Cơ sở dữ liệu MySQL
– Tài khoản FTP
– Tài khoản email

Tất cả các mật khẩu nên sử dụng mật khẩu mạnh (bao gồm chữ hoa và chữ thường, số, ký hiệu đặc biệt, v.v.) và không sử dụng cùng một mật khẩu cho tất cả các tài khoản .

Nếu có nhiều mật khẩu, bạn có thể cân nhắc sử dụng các công cụ quản lý mật khẩu của bên thứ ba, chẳng hạn như Last Pass, v.v. . Nếu bạn sử dụng mật khẩu yếu, tin tặc có thể dễ dàng lấy được mật khẩu bằng một số công cụ hack.

Cập nhật WordPress

Theo báo cáo danh sách các trang web bị tấn công của Sucuri, khoảng 55-61% website sử dụng WordPress phiên bản cũ, điều này hoàn toàn không phải là ngẫu nhiên

Theo kinh nghiệm của chúng tôi, những người không cập nhật trang web được chia thành 2 dạng

– Họ không quan tâm, hoặc không biết cách cập nhật, nói chung họ không ý thức được việc cập nhật WordPress
– Họ lo ngại rằng bản cập nhật sẽ làm website của họ bị lỗi (trong trường hợp này theme hoặc plugin không tương thích với phiên bản WP mới)

Nếu bạn ở nhóm 1 bạn còn chờ gì nữa!
Còn nếu bạn ở nhóm 2, bạn nên sao lưu và cập nhật bình thường, nếu gặp sự cố thì nhờ chuyên gia hỗ trợ.

WordPress phát hành các bản cập nhật vì một lý do nào đó có thể là tăng trải nghiệm, hoặc fix lỗi bảo mật vì vậy cập nhật WordPress lên bản mới nhất là điều vô cùng cần thiết để website của bạn an toàn hơn.

Update WordPress

Kết luận

Hầu hết mọi người thường bỏ qua việc bảo mật website, khi xây dựng trang web họ quan tâm nhất đến vẻ bề ngoài của website và chức năng của trang web. Họ tập trung vào xuất bản nội dung và SEO, nhưng bỏ qua vấn đề bảo mật nên khi gặp sự cố họ đều hoảng loạn.

Rõ ràng, đây là một sai lầm rất lớn! Vì vậy, từ bây giờ, hãy chú ý hơn đến bảo mật trang web của bạn! Bởi vì cho dù bạn có nỗ lực bao nhiêu để SEO hoặc phát triển web mà không chú ý đến bảo mật thì có thể bạn sẻ mất tất cả.

Ngoài các lưu ý nêu trên bạn có thể tham khảo một số plugin bảo mật tại đây

Viết nhận xét