Hướng dẫn chi tiết cách cài đặt và sử dụng WordFence Security – plugin bảo mật WordPress phổ biến hiện nay, giúp bảo vệ website của bạn trước malware, tấn công DDOS và brute forces.
Contents
Giới thiệu về Wordfence Security
Wordfence Security là một trong những plugin bảo mật WordPress đầy đủ tính năng nhất. Nó cho phép người dùng quản lý bảo mật website toàn diện và thậm chí tự động hóa nó. Wordfence Security cung cấp cho bạn nhiều tính năng tuyệt vời và đi kèm với tài liệu hướng dẫn đầy đủ, chi tiết.
Các tính năng chính:
- Cho phép bạn quét trang web WordPress của bạn để tìm lỗ hổng.
- Cảnh báo bạn qua email nếu có bất kỳ mối đe dọa nào xuất hiện.
- Hỗ trợ các biện pháp bảo mật đăng nhập nâng cao.
- Có thể tự động chặn IP tùy thuộc vào hoạt động đáng ngờ.
Ưu điểm:
- Phiên bản miễn phí của plugin chứa tất cả các tính năng bạn cần để bảo mật trang web của bạn.
- Hỗ trợ cảnh báo tự động cho các mối đe dọa bảo mật.
- Nó hoàn toàn là mã nguồn mở.
Nhược điểm:
- Chỉ phiên bản trả phí mới cho phép người dùng lên lịch và tự động quét bảo mật.
Hướng dẫn cài đặt Wordfence.
Bạn có thể cài đặt Wordfence trực tiếp trong WordPress hoặc file zip được tải từ trang chủ về. Bạn hãy xem hướng dẫn sau để thực hiện cài đặt Plugin trên WordPress.
Hướng dẫn cài Plugin lên website WordPress
Nhập vào email của bạn và chọn YES/NO để nhận hoặc không nhận các thông báo từ Plugin Wordfence. Click chọn đồng ý chính sách và click CONTINUE.
Nếu bạn có mã kích hoạt bản Premium hãy nhập vào và click INSTALL. Nếu bạn chỉ dùng bản miễn phí hãy chọn No Thanks.
Vào giao diện Dashboard của Wordfence, nếu nhận được thông báo trên bạn hãy chọn Yes, enbale auto-update để tự động cập nhật phiên bản mới của nhà phát triển. Và click chọn CLICK HERE TO CONFIGURE để tối ưu hóa tường lửa cho website, Plugin sẽ viết lại các quy tắc trong .htaccess cho bạn.
Plugin sẽ scan và recommend Webserver mà bạn sử dụng. Bạn hãy Click Download file .htaccess dự phòng về và chọn CONTINUE.
Thiết lập bảo mật đăng nhập
Bạn hãy truy cập vào Wordfence => Login Security => Two-Factor Authentication. Tại đây bạn có thể sử dụng mã QR để thiết lập cho xác minh 2 bước hoặc Code dự phòng.
Tiếp đến bạn chuyển qua tab Settings để điều chỉnh các tùy chọn nâng cao. Tại đây bạn có thể tùy chọn các chức năng sau.
- Enable 2FA for these roles: Kích hoạt 2FA đối với các user thuộc quyền, admin, editor, Author…
- Require 2FA for all administrators: Bắt buộc xác minh 2FA cho tất cả các tài khoản có quyền admin.
- Allow remembering device for 30 days: Khi nhờ các thiết bị trong 30 ngày.
- Require 2FA for XML-RPC call authentication: Nếu được bật, các lệnh gọi XML-RPC yêu cầu xác thực cũng sẽ yêu cầu mã 2FA hợp lệ được thêm vào mật khẩu. Bạn phải chọn tùy chọn “Đã bỏ qua” nếu bạn sử dụng ứng dụng WordPress, plugin Jetpack hoặc các dịch vụ khác yêu cầu XML-RPC.
- Disable XML-RPC authentication: Nếu bị tắt, các yêu cầu XML-RPC cố gắng xác thực sẽ bị từ chối.
- Enable reCAPTCHA on the login and user registration pages: Kích hoạt reCAPTCHA trên trang đăng nhập và đăng ký người dùng
Sau khi đã thiết lập các tùy chọn bạn hãy lưu lại để áp dụng các tùy chọn.
Scan website loại bỏ mã độc với Wordfence
Với chức năng Wordfence Scan, plugin sẽ scan toàn bộ website của bạn để dò tìm các mã độc gây hại trong Core WordPress, Themes và Plugin. Chức năng này sẽ mất khá thời gian để quét toàn bộ website và sẽ phụ thuộc vào website của bạn có nhiều dữ liệu hay không. Khi scan bạn sẽ thấy một điều rằng máy chủ của bạn sẽ sử dụng rất nhiều tài nguyên RAM,CPU để làm việc.
Sau khi scan hoàn tất Plugin sẽ hiển thị một bảng báo cáo quá trính scan, dò tìm mã độc và liệt kê chi tiết cho bạn file nào bị nhiễm, file thuộc đường dẫn thư mục vào, và file bị nhiễm chứa đoạn mã nào nguy hiểm.
Mã độc được phát hiện bạn sẽ thấy như ảnh minh họa bên dưới, plugin chỉ rõ các file bị nhiễm với đường dẫn. Để xem chi tiết bạn hãy click vào DETAILS để xem chi tiết trong file nhiễm.
Phần DETAILS hiển thị chuổi mã độc mà các bị virus chèn vào. Hãy chọn DELETE FILE nếu bạn muốn xóa bỏ file này ra khỏi website.
Thiết lập chức năng cảnh báo bảo mật.
Ở thiết lập đầu tiên sau khi cài đặt Plugin bạn nhập mail và chọn YES để nhận các thông báo bảo mật từ Wordfence. Thì ở tùy chọn này khi bạn thiết lập sẽ nhận được các cảnh báo từ Plugin với chức năng tùy chọn như sau.
Chọn Wordfence => All option => Email Alert Preferences
Tùy theo nhu cầu sử dụng mà thiết lập tương ứng với từng người quản trị. Mình sử dụng mặc định và chỉ tắt chức năng thông báo đăng nhập trên thiết bị mới.
Chúc bạn cài đặt thành công và sử dụng WordFence Security hiệu quả!