Nguyên nhân các trang web WordPress bị hack?

Điều đầu tiên tôi muốn nói là không chỉ WordPress mà tất cả các trang web có hệ thống quản lý nội dung (CMS) trên Internet đều dễ bị hack.

Lý do WordPress là một mục tiêu bị hack phổ biến nhất vì WordPress là mã nguồn phổ biến nhất thế giới. Với hơn 35% các trang web trên toàn thế giới sử dụng WordPress

Các tin tặc, hacker dễ dàng tìm thấy nhiều website kém an toàn, không được cập nhật các bản vá lỗi nên các lỗ hổng bảo mật được công bố trước trước đó để tiến hành tấn công hàng loạt website có cùng đặc điểm bảo mật.

Có một quan niệm sai lầm là tin tặc sẻ lấy dữ liệu cá nhân trên các website nhưng hơn 95% các cuộc tấn công chỉ muốn phát tán thư rác! Họ truy cập vào máy chủ, chiếm quyền điều khiển để chia sẻ một số liên kết (backlinks cho SEO), chèn quảng cáo vào website v.v

Tại sao xảy ra vấn đề này? Chúng ta hãy xem bốn lý do quan trọng làm website của bạn dễ trở thành mục tiêu bị hạ bệ và làm thế nào để ngăn chặn các cuộc tấn công ấy.

1. Plugins và theme

Các plugin và chủ đề (WordPress theme) lỗi thời hoặc không xác định là lý do đầu tiên làm các website kém bảo mật. Khi một lỗ hổng bảo mật tồn tại trong theme hoặc plugin thì các hacker sẻ tiến hành khai thác hàng loạt các website sử dụng plugin hoặc theme nào đó. VD như vài tháng trước đây một lỗi bảo mật được tìm thấy ở plugin Easy WP SMTP đã bị hacker khai thác và ảnh hưởng đến hàng nghìn website.

Để đối phó với vấn đề này bạn nên cập nhật plugin và chủ đề thường xuyên vì các nhà phát triển sẽ cập nhật các bản vá lỗi giúp hệ thống bạn an toàn hơn. Bạn cũng nên chọn các plugin và chủ đề bởi các nhà phát triển uy tín, tránh mua plugin qua các kênh mua bán lại plugin. Nhiều người dùng thích các theme hay plugin lậu hay còn gọi là Nulled, thì điều này cực kỳ nguy hiểm bởi bạn sẻ không thể kiểm soát được toàn bộ mã nguồn đó có bị chèn vào mã độc hay không

Các plugin và chủ đề không rõ nguồn gốc được chia sẻ miễn phí trên các website cũng tồn tại rất nhiều nguy cơ bảo mật vì vậy bạn không nên tải về và sử dụng một cách ngây thơ nhé!

Wordpress Code Image

2. Lỗ hổng trên hosting

Hosting là không gian lưu trữ không thể thiếu cho mọi website. Nhiều người ở Việt Nam vẫn đang tìm kiếm hosting miễn phí hoặc chi phí thấp để lưu trữ trang web, nhưng các host miễn phí hoặc hosting giá rẻ bị tấn công rất nhiều bởi các tin tặc. Tôi đã thấy một số trường hợp các nhà cung cấp dịch vụ lưu trữ giá rẻ bị nhắm mục tiêu tấn công và tất cả các trang web trên đó đã bị hack. Và tất nhiên tất cả các website trên Server đó “đi đời” cả

Trên đời hầu như không có thứ gì vừa ngon, vừa bổ và vửa rẻ cả và hosting cũng vậy, sẻ khá tốn chi phí về tài nguyên lưu trữ và băng thông nên chấp nhận miễn phí thì sẻ đánh đổi lại 1 thứ gì khác, vd: họ cho bạn xài miễn phí thì họ có thể nắm tài khoản của bạn, ăn cắp theme bản quyền, plugin bản quyền mà bạn bỏ tiền ra mua, hoặc chèn backlink ngầm vào website và rất nhiều trò khác mà bạn không tưởng tượng hết đâu.

Vậy, chúng ta nên chọn mua hosting ở đâu? Thực tế thì hiện tại bạn có thể mua hosting ở 1 số nhà cung cấp như HostingViet, Azdigi, SiteGround

Hoặc bạn cũng có thể thuê chúng tôi mua và cấu hình máy chủ ảo (VPS) cho bạn để tiết kiệm chi phí và đảm bảo hiệu suất web đạt cao nhất với các công nghệ tiên tiến nhất được sử dụng giúp website hoạt động một cách trơn tru và ổn định nhất.

Hosting Bảo Mật

3. Mật khẩu

Trong nhiều năm qua, Chúng tôi đã xử lý nhiều vấn đề khác nhau đối với các trang WordPress. Đôi khi, người dùng nhờ chúng tôi fix lỗi trên website và họ cung cấp thông tin tài khoản quản trị viên vô cùng hài hước. Đối với hầu hết mật khẩu quản trị viên kiểu rất thô sơ như: admin123, 654321, v.v

Mật khẩu cần được đặt mạnh cho tất cả các loại

– Tài khoản quản trị WordPress
– Cơ sở dữ liệu MySQL
– Tài khoản FTP
– Tài khoản email

Tất cả các mật khẩu nên sử dụng mật khẩu mạnh (bao gồm chữ hoa và chữ thường, số, ký hiệu đặc biệt, v.v.) và không sử dụng cùng một mật khẩu cho tất cả các tài khoản .

Nếu có nhiều mật khẩu, bạn có thể cân nhắc sử dụng các công cụ quản lý mật khẩu của bên thứ ba, chẳng hạn như Last Pass, v.v. . Nếu bạn sử dụng mật khẩu yếu, tin tặc có thể dễ dàng lấy được mật khẩu bằng một số công cụ hack.

4. Cập nhật WordPress

Theo báo cáo danh sách các trang web bị tấn công của Sucuri, khoảng 55-61% website sử dụng WordPress phiên bản cũ

Theo kinh nghiệm của chúng tôi, những người không cập nhật trang web được chia thành 2 dạng

– Họ không quan tâm, hoặc không biết cách cập nhật, nói chung họ không ý thức được việc cập nhật WordPress
– Họ lo ngại rằng bản cập nhật sẽ làm website của họ bị lỗi (trong trường hợp này theme hoặc plugin không tương thích với phiên bản WP mới)

Nếu bạn ở nhóm 1 bạn còn chờ gì nữa! Hãy tìm hiểu một tí để có thể cập nhật WordPress trong 2 cú click mà thôi
Còn nếu bạn ở nhóm 2, bạn nên sao lưu và cập nhật bình thường, nếu gặp sự cố thì nhờ chuyên gia hỗ trợ.

WordPress phát hành các bản cập nhật vì một lý do nào đó có thể là tăng trải nghiệm, tối ưu hiệu suất hoặc fix lỗi bảo mật vì vậy cập nhật WordPress lên bản mới nhất là điều vô cùng cần thiết để website của bạn an toàn hơn.

Update WordPress

Kết luận

Hầu hết mọi người thường bỏ qua việc bảo mật website, khi xây dựng trang web họ quan tâm nhất đến vẻ bề ngoài của website và chức năng của trang web. Họ tập trung vào xuất bản nội dung và SEO, nhưng bỏ qua vấn đề bảo mật nên khi gặp sự cố họ đều hoảng loạn.

Rõ ràng, đây là một sai lầm rất lớn! Vì vậy, từ bây giờ, hãy chú ý hơn đến bảo mật trang web của bạn! Bởi vì cho dù bạn có nỗ lực bao nhiêu để SEO hoặc phát triển web mà không chú ý đến bảo mật thì có thể bạn sẻ mất tất cả.

Ngoài các lưu ý nêu trên bạn có thể tham khảo một số plugin bảo mật tại đây

Viết nhận xét