Bạn có website và đang muốn cài đặt bảo mật cho website của mình. Khi đề cập đến plugin bảo mật cho website thì có rất nhiều plugin một trong số đó có plugin Ithemes Security Én đã đề cập trước đây. Hôm nay Én sẽ hướng dẫn cài đặt và sử dụng một plugin khác đó là plugin wordfence security.
plugin wordfence security là gì?
plugin wordfence security là một trong những plugin bảo mật WordPress đầy đủ tính năng nhất. Nó cho phép người dùng quản lý bảo mật website toàn diện và thậm chí tự động hóa nó. plugin wordfence security cung cấp cho bạn nhiều tính năng tuyệt vời và đi kèm với tài liệu hướng dẫn đầy đủ, chi tiết.
plugin wordfence security là miễn phí hay trả phí?
Nó là plugin miễn phí, nhưng như bạn có thể đoán ra nó cũng có cả tính năng trả phí.
Nếu bạn cần một số tính năng nâng cao như country blocking (chặn truy cập từ một nước), firewall rule cập nhật theo thời gian thực (bản miễn phí cập nhật chỉ 30 ngày một lần), quét theo shedule, thì bạn có thể bỏ tiền tậu bản premium.
Các tính năng chính của Plugin WordFence Security
1.Tính năng của plugin wordfence security bản miễn phí
Firewall – Tường lửa
-
- Web Application Firewall – Tường lửa ứng dụng web: tính năng giúp bảo vệ website của bạn trước các cuộc tấn công, tin tặc từ bên ngoài. Viết ngắn gọn nhưng công dụng nó là quan trọng nhất đấy.
- Brute Force Protection – Bảo vệ tấn công Brute Force: bảo vệ website của bạn trước hình thức tấn công cổ điển, đó là thử hàng triệu tên đăng nhập và mật khẩu khác nhau để dò ra thông tin đăng nhập của bạn.
- Block – Chặn IP: bạn có thể thêm bất cứ IP nào vào danh sách chặn truy cập website của bạn, bạn cũng có thể thêm các quy tắc để tự động chặn.
- Rate Limiting – Giới hạn truy cập và đánh cắp nội dung: tính năng này có 2 điểm tốt. Thứ nhất là chặn được các crawler (bot thu thập thông tin) để tránh website của bạn bị quét và đánh cắp nội dung. Thứ 2 là để ngăn chặn tấn công băng thông hay DDOS, ví dụ như kẻ xấu truy cập website của bạn lên tục trong thời gian ngắn làm hao tốn tài nguyên và chậm website của bạn, khiến người dùng có trải nghiệm không tốt website của bạn.
Scan – Quét mã độc: quét tất cả các tệp trên website của bạn để tìm mã độc, backdoors, shells và các loại mã độc đã biết trên dữ liệu của Wordfence.
Tool – Các công cụ hỗ trợ khác
-
- Live traffic – Xem truy cập thời gian thực: bạn có thể xem các lượt truy cập gần đây nhất đến từ quốc gia nào, là người dùng hay bot. Tuy nhiên chúng ta chỉ cần tập trung vào những lần truy cập bị Wordfence chặn thôi.
- Whois Lookup – Kiểm tra thông tin IP hoặc tên miền: tính năng này dễ hiểu có sẵn trên mạng nhiều, bỏ qua.
- Import/Export Options – Nhập xuất cài đặt Wordfence: nếu bạn có nhiều website cần dùng Wordfence, bạn chỉ cần cấu hình thật chuẩn rồi xuất cài đặt đó đem qua website khác, đỡ mất công làm lại từ đầu.
Login Security – Bảo mật đăng nhập
-
- Xác minh 2 bước: một tính năng rất cần thiết thời bây giờ
- reCAPTCHA: giúp xác định người đăng nhập có phải là robot không, không cho đăng nhâp thử liên tục, cũng có tác dụng chống Brute Force đã nêu trên.
Xem thêm: Hướng dẫn cài đặt và sử dụng Plugin Media Cleaner Pro
2. Tính năng của plugin wordfence security Premium
Premium của tường lửa
-
- Real-time Firewall Rules – Tự thêm các quy tắc tường lửa: tường lửa của Wordfence sử dụng các quy tắc tường lửa để xác định và chặn các truy cập độc hại vào trang web của bạn, bảo vệ bạn khỏi các cuộc tấn công WordPress và lỗ hổng bảo mật mới nhất.
- Real-time IP Blocklist – Tự chặn IP theo blacklist của Wordfence: chặn các IP thường xuyên tấn công các website WordPress, giúp bảo vệ website và tăng hiệu năng website (ý là đỡ tốn tài nguyên cho những kẻ xấu).
- Country Blocking – Chặn IP theo quốc gia: tính năng là theo Lucid Gen là tuyệt vời nhất trong các tính năng Wordfence Security Premium. Chặn các quốc gia trên thế giới truy cập vào trang đăng nhập hoặc toàn bộ website của bạn. Mình chặn tất cả quốc gia (trừ Việt Nam) không được vào trang đăng nhập thì quá tuyệt.
Premium của quét mã độc
-
- Real-time Malware Signatures: tự động nhận diện phần mềm độc hại trên website của bạn theo thời gian thực, giống như các phần mềm quét virus trên máy tính vậy đó, phát hiện độc hại là nó chặn và báo liền.
- Spamvertising Checks: kiểm tra xem website của bạn có bị “Spamvertis” (là thuật ngữ nói quảng cáo các nội dung nội dung xấu thông qua thư rác) hay không.
- Spam Check: kiểm tra xem IP website của bạn có đang tạo ra thư rác không.
- Blocklist Check: kiểm tra xem website của bạn có nằm trong danh sách chặn tên miền không.
Cách thiết lập plugin wordfence security
Trước khi bắt đầu định cấu hình plugin wordfence security, chúng tôi cần cài đặt nó. Khi bạn đã cài đặt và kích hoạt plugin wordfence security, thông báo sau sẽ xuất hiện trên bảng điều khiển của bạn:
Nhập email của bạn vào trường tương ứng, tùy chọn nhận hoặc không nhận thông báo, và đồng ý với những quy định, chính sách sử dụng của plugin wordfence security.
Bạn có thể nhập mã kích hoạt bản quyền nếu có. Ở đây chúng tôi đang sử dụng phiên bản miễn phí để hướng dẫn cho bài viết này nên bỏ qua bước trên (bằng cách bấm vào No Thanks).
Bước 1: Thiết lập các biện pháp bảo mật đăng nhập
Hãy bắt đầu bằng cách nhấp vào Wordfence > Login Security: Bạn sẽ được đưa đến tab Xác thực 2 bước
Chuyển qua tab Settings:
Xem ngay: Phương pháp bảo mật website WordPress
Tại đây, bạn có thể tùy chọn cài đặt các chức năng:
- Enable 2FA for these roles: Kích hoạt vai trò sử dụng chức năng Xác thực 2 bước
- Require 2FA for all administrators: Bắt buộc Xác thực 2 bước cho tất cả các tài khoản quản trị
- Allow remembering device for 30 days: Nhớ thiết bị trong 30 ngày.
- Require 2FA for XML-RPC call authentication: Bắt buộc Xác thực 2 bước khi truy xuất XML-RPC
- Disable XML-RPC authentication: Tắt xác thực XML-RPC
- Enable reCAPTCHA on the login and user registration pages: Kích hoạt reCAPTCHA trên trang đăng nhập và đăng ký người dùng
Sau khi cài đặt những mục cần thiết cho việc bảo vệ đăng nhập. Bạn Lưu cài đặt để nó được áp dụng cho website.
Bước 2: Cách thực hiện quét toàn trang web
Chức năng Wordfence Scan cho phép plugin xem qua trang web của bạn để tìm bất kỳ mã độc hại hoặc mô hình lây nhiễm nào. Về cơ bản, nó giống như sử dụng một ứng dụng chống virus để quét máy tính, bạn có thể sử dụng nó để xác định vị trí và vá các lỗ hổng hiện có, nhưng tốt hơn hết là thường xuyên quét trang web của bạn.
Để sử dụng tính năng này, bạn cần truy cập Wordfence / Scan và nhấp vào nút Bắt đầu quét (Start New Scan):
wordfence scan sẽ khởi đầu điều tra website của bạn . nếu tiến trình quét dò thấy bất cứ phạm trù lỗ hở nào trên website wordpress của bạn , nó sẽ mang đến cho bạn phiên bản xóa hoặc phục hồi mọi tệp bị nhiễm về bản gốc của chúng . việc cần thực hiện trong tình huống này là tùy vào bạn , tuy nhiên được khuyến cáo rằng việc xóa bất cứ tệp mấu chốt nào có điều kiện phá vỡ vụn website của bạn . nếu bạn dò thấy một vết hổng, trong gần như tất cả các tình huống tìm lại một phiên bản lưu sạch có khả năng là giải pháp tối ưu nhất.
Bước 3 : Cách xây dựng nhắc nhở bảo mật
Ở đầu phần này, Én đã hướng dẫn bạn trong tiến trình nhập email của bạn để nhận công bố bảo mật từ plugin wordfence security . Lúc được định cấu hình để làm vậy là, plugin wordfence security có khả năng gởi cho bạn lời tuyên bố về một vài vấn đề bảo mật, từ khối ip tự đụng đến khóa đăng nhập. đi đến wordfence / all options và cuộn xuống cho đến khi bạn xác định được phần email alert preferences :
Phần lớn các phiên bản mặc định được thấy bên trên là lý tưởng từ khía cạnh bảo mật, tuy nhiên những phiên bản khác có khả năng hơi khó chịu nếu bạn nhận được thư điện tử mỗi lần chúng diễn ra. thí dụ : bọn tôi kiến nghị quý khách nên tắt phiên bản để nhận bố cáo mỗi lần ai đó dùng tác dụng ‘mất mật khẩu’. đây chính là một event khá chuẩn và trong đa số trong các tình huống, nó sẽ chỉ dẫn tới spam thùng thư đến của bạn .
Chuyện tương đồng cũng dùng cho cho việc nhận công bố lúc quản trị viên đăng nhập. phụ thuộc vào lượng quản trị viên mà website wordpress của bạn có , điều đó có khả năng trở nên khá khó dùng, cho nên hãy bỏ phiên bản đó. thay vào đó , hãy bật phiên bản ngay dưới, bố cáo cho bạn lúc quản trị viên đăng nhập từ trang thiết bị mới :
Trong tình huống này, bạn có khả năng nhanh chóng phẩm bình xem đăng nhập của quản trị viên có lạ thường hay không tùy vào vị trí của họ và trang thiết bị họ đang dùng. nó thực tiễn hơn nhiều đối chiếu với đặt mặc định và toàn bộ những gì bạn phải làm là ghi dấu vào một phiên bản để khởi động nó.
Xem thêm: Thiết kế website Đà Nẵng chuyên nghiệp
Lưu ý khi sử dụng plugin wordfence security
Plugin nào khi sử dụng cũng sẽ có lúc gặp vấn đề này kia. Én thấy 2 vấn đề phổ biến nhất khi dùng plugin wordfence security là lỗi khi di chuyển hosting và vô tình bạn bị chặn khỏi website của bạn luôn.
Xử lý lỗi khi di chuyển hosting
Bạn mở trình Quản lý File trên hosting để cập nhật đường dẫn /home/username/public_html/ mới cho các file sau:
- .htaccess
- .user.ini
- wordfence-waf.php
Làm gì khi bạn bị plugin wordfence security chặn
- Cách 1: Bạn nhập email quản trị viên vào thông báo bị chặn và gửi yêu cầu mở chặn địa chỉ IP. Sau đó, bạn kiểm tra email và làm theo hướng dẫn để mở chặn địa chỉ IP của bạn.
- Cách 2: Bạn có thể bật 4G lên để thay đổi địa chỉ IP và đăng nhập lại.
- Cách 3: Bạn dùng Quản lý File trên hosting để thay đổi tên thư mục Wordfence (public_html/wp-content/plugins/wordfence), plugin sẽ tự động ngừng kích hoạt, sau khi bạn đăng nhập vào được rồi có thể đổi tên thư mục Wordfence lại và kích hoạt lại.
Với hướng dẫn cài đặt và sử dụng plugin wordfence security. Én Web tin rằng website của bạn sẽ được bảo mật tuyệt đối nhờ plugin wordfence security. Hãy liên hệ Én để giải đáp những thắc mắc của bạn nhé!
Xem thêm: Hướng dẫn cài đặt và sử dụng plugin IThemes Security Pro