Hướng dẫn sử dụng iThemes Security bảo mật Wordpress

Hướng dẫn sử dụng iThemes Security – plugin bảo mật website WordPress, giúp tránh khỏi các hiểm họa và các cuộc tấn công từ bên ngoài.

Chú ý: Cấu hình hosting thích hợp – Plugin này được thiết kế để làm việc trên máy chủ Apache, do đó nếu bạn dùng NGINX thì sẽ không sử dụng được các chức năng như đổi đường dẫn admin, block spam bots trừ khi bạn có thể tự cấu hình được.

Cài đặt và cấu hình để sử dụng plugin iThemes Security

Đầu tiên hãy cài đặt Plugin iThemes Security (nếu bạn chưa biết cách cài đặt Plugin cho WordPress bạn có thể tham khảo bài viết hướng dẫn cài đặt Plugin cho WordPress). Sau khi cài đặt xong bạn tiến hành kích hoạt Plugin và tiến hành cấu hình để sử dụng.

1. Tính năng Security Check

Trong phần giao diện quản trị bấm vào menu Security, tích chọn thuộc tính “Enable…..” để đồng ý bật các chức năng cần thiết (tính năng này chỉ là tạm thôi, bạn có thể tùy chỉnh lại).

• Banned Users: Cấm người dùng nghi ngờ
• Database Backups: Backup dữ liệu
• Local Brute Force Protection: Bấm các user cố tình đăng nhập nhiều lần
• Network Brute Force Protection: Tham gia mạng lưới báo cáo các ip xấu
• Strong Passwords: Bắt buộc mật khẩu mạnh
• WordPress Tweaks: Tùy chỉnh nâng cao với WordPress

Tính năng bảo mật

Sau khi bấm vào Security site, plugin sẽ quét trang Web của bạn có thể bạn sẽ thấy một số vấn đề, nếu có bạn bấm đồng ý xử lý để tiếp tục.

Ở đây nếu trang Web của bạn có cài đặt giao thức HTTPS sẽ được yêu cầu bật tính năng chuyển toàn bộ các truy cập từ http sang https.

Chuyển HTTP sang HTTPS

Okey! Khi cấu hình xong bước cơ bản, sẽ hiện ra màn hình Dashboard với từng chức năng để bạn tùy chỉnh tắt/bật theo ý muốn.

Màn hình Dashboard!

2. Tính năng Global Settings

Tính năng Global Settings bao gồm các cài đặt cơ bản nhưng nó được sử dụng ở hầu hết với các tính năng trên iThemes Security.

• Write to Files: nên để mặc định là có tích chọn để cho phép iTheme Security ghi vào wp-config.php và .htaccess.
• Host Lockout Message, User Lockout Message, Community Lockout Message: nội dung thông báo cho máy chủ hoặc người dùng bị khóa, bạn có thể để nguyên hoặc tùy chỉnh lại.
• Blacklist Repeat Offender, Blacklist Threshold, Blacklist Lookback Period, Lockout Period: để kích hoạt danh sách đen, tùy chỉnh số lần bị khóa máy là bao nhiêu sẽ bị vào danh sách đen, thời gian khóa mỗi lần là bao nhiêu, bạn có thể tùy chỉnh lại hoặc để nguyên như mình.
• Lockout White List: thêm địa chỉ IP của mình vào để tránh bị khóa nhầm, bạn có thể tìm địa chỉ IP của mình theo hướng dẫn của họ tại đây hoặc nhanh nhất là bấm vào “Add my current IP to the White List” để thêm ngay lập tức IP họ đã tìm thấy giúp mình rồi.
• Manage iThemes Security: chọn nhóm người dùng nào được phép cài đặt/ cấu hình
• iThemes Security, để mặc định thì tất cả Admin (quản trị viên) sẽ được thao tác.
• Log Type: chọn loại tập tin/ dữ liệu muốn được iThemes Security backup, bạn có thể chọn mình dữ liệu Database hoặc chỉ Tập tin hoặc cả 2.
• Days to Keep File Logs: số thời gian lưu lịch sử thay đổi tập tin (trong trường hợp bạn kích hoạt chức năng theo dõi lịch sử thay đổi của tập tin)

3. Tính năng Notification Center

Tính năng Notification Center bao gồm các cài đặt thông báo về email của Quản trị viên khi iThemes Security phát hiện ra các vấn đề đáng nghi, phần này có thể để nguyên, không cần cài đặt thêm gì.

4. Tính năng User Groups

Tính năng User Groups giúp bạn có thể tùy chọn lại quyền hạn cho các loại user trên website của bạn, có thể giữ nguyên hoặc muốn thêm bớt quyền nếu muốn.

Tùy chọn lại quyền hạn cho các loại user !

5. Tính năng 404 Detection

Tính năng 404 Detection giúp phát hiện các lỗi 404 và ngăn chặn các người dùng truy cập trang 404 nhiều lần trong 1 khoảng thời gian để khóa lại, tránh các trường hợp dò lỗ hổng. Bạn có thể bấm vào kích hoạt hoặc không.

Ngăn chặn các người dùng truy cập trang 404 nhiều lần

Nếu chọn Enable lên bạn có thể bấm vào để cấu hình số lượng lỗi 404 trong khoảng thời gian bao nhiêu, đồng thời điền các file/ page không cần quét..

6. Tính năng Away Mode

Tính năng Away Mode giúp bạn khóa bảng điều khiển của WordPress theo lịch trình,khi kích hoạt bạn có thể khóa màn hình Dashoard của WordPress trong khoảng thời gian mà bạn không làm việc để giảm thiểu rủi ro. Ví dụ trong khoảng từ 1h đến 5h sáng bạn không làm gì thì khóa lại.

7. Tính năng Banned Users

Tính năng Banned Users đây là nơi giúp bạn khóa các máy chủ hoặc ip người dùng không muốn cho họ truy cập vào trang web của bạn.

Khóa các máy chủ hoặc ip với Banned Users

• Default Blacklist: Tích chọn vào Enable HackRepair.com’s blacklist feature để Kích hoạt tính năng danh sách đen của HackRepair.com – được cho là chuyên gia sửa chữa hack hàng đầu thế giới.
• Ban Hosts: List các IP máy chủ cần chặn.
• Ban User Agents: IP người dùng cần chặn.

8. Tính năng Database Backups

Tính năng Database Backups giúp cấu hình backup dữ liệu bằng iThemes Security, nếu bạn chưa có sử dụng phương pháp backup nào thì nên bật lên để backup dữ liệu định kỳ nhé, hoặc bật lên làm phương án dự phòng.

Sao lưu dữ liệu với Database Backups !

• Backup Full Database: Để sao lưu toàn bộ dữ liệu
• Backup Method: Phương pháp sao lưu, chỉ gửi email hoặc vừa lưu máy chủ vừa gửi email, hoặc chỉ lưu máy chủ
• Backups to Retain: Số bản backup được lưu lại trên máy chủ, cũ hơn sẽ bị xóa, nếu để là 0 thì sẽ lưu toàn bộ.
• Compress Backup Files: Có nén zip hay không.
• Exclude Tables: Chọn bảng cần sao lưu và bảng nào không cần sao lưu
• Schedule Database Backups: Kích hoạt lịch trình sao lưu theo ngày

9. Tính năng File Change Detection

Tính năng File Change Detection giúp bạn phát hiện sự thay đổi của các tập tin, ngay cả khi bảo mật tốt nhất thì tình huống xấu vẫn có thể xảy ra, biện pháp lúc này là cần biết được tập tin nào đã bị thay đổi để khoanh vùng xử lý, đây là chức năng đáp ứng điều đó cho bạn.

• Files and Folders List: Danh sách tập tin và thư mục cần theo dõi, tích vào để bỏ cái nào bạn không cần theo dõi.
• Ignore File Types: Các tập tin sẽ bỏ qua không theo dõi, bạn có thể điền thêm vào mỗi cái 1 dòng.

10. Tính năng Local Brute Force Protection

Tính năng Local Brute Force Protection giúp khóa các user cố tình dò đoán mật khẩu để đăng nhập nhiều lần, tại đây bạn có thể khóa user theo cấu hình như số lần đăng nhập cho máy chủ, số lần đăng nhập tối đa cho người dùng, chặn người nào cố tình đăng nhập bằng tên “admin”.

11. Tính năng Network Brute Force Protection

Tính năng Network Brute Force Protection khi kích hoạt sẽ tham gia mạng lưới các website báo cáo và bảo vệ chống lại các thành phần xấu. Khi kích hoạt iThemes Security sẽ khóa ngay lập tức các user/ip xấu mà mạng lưới các website khác đã gặp phải. Và tương tự nếu bạn gặp ip/user xấu thì sẽ khai báo để các website khác ngăn chặn kịp thời.

12. Tính năng Password Requirements

Tích chọn kích hoạt để yêu cầu bắt buộc nhập mật khẩu mạnh đối với tất cả tài khoản trên website bạn.

13. Tính năng SSL

Nên kích hoạt nếu website bạn đang dùng HTTPS để mặc định redirect toàn bộ truy cập từ http sang https đảm bảo an toàn, bảo mật dữ liệu.

14. Tính năng System Tweaks

Tùy chọn nâng cao để tùy chỉnh bảo mật máy chủ hệ thống, mục này ai hiểu thì bật và chỉ nên bật từng cái rồi thử xem web chạy ok thì mới bật tiếp.

• System Files: Ngăn chặn truy cập vào các tệp tin quan trọng readme.html, readme.txt, wp-config.php, install.php, wp-includes và .htaccess.
• Directory Browsing: Ngăn người dùng nhìn thấy danh sách các tệp trong thư mục khi không có tệp chỉ mục.
• Request Methods: Lọc ra các lượt truy cập với các phương pháp theo dõi hoặc theo dõi yêu cầu.
• Suspicious Query Strings: Chặn truy cập với cái chuỗi đáng ngờ trong URL
• Non-English Characters: Lọc các ký tự không phải tiếng Anh từ chuỗi truy vấn. Điều này không nên được sử dụng trên các trang web không phải tiếng Anh.
• Long URL Strings: Giới hạn số lượng ký tự có thể được gửi trong URL. Tin tặc thường lợi dụng các URL dài để cố gắng đưa thông tin vào cơ sở dữ liệu của bạn.
• File Writing Permissions: Ngăn chặn các tập lệnh và người dùng có thể ghi vào tệp wp-config.php và tệp .htaccess. Lưu ý rằng trong trường hợp này và nhiều plugin có thể khắc phục được tuy nhiên nó vẫn giúp các tệp an toàn hơn. Bật tính năng này sẽ đặt quyền truy cập tệp UNIX thành 0444 trên các tệp này và tắt nó sẽ đặt quyền thành 0664.
• PHP in Uploads: Vô hiệu hóa thực thi PHP trong thư mục tải lên. Điều này chặn các yêu cầu tải lên các tệp PHP độc hại trong thư mục tải lên.
• PHP in Plugins: Vô hiệu hóa thực thi PHP trong thư mục plugin. Điều này chặn các yêu cầu đến các tệp PHP bên trong các thư mục plugin có thể được khai thác trực tiếp.
• PHP in Themes: Vô hiệu hóa thực thi PHP trong thư mục chủ đề. Điều này chặn các yêu cầu đến các tệp PHP bên trong các thư mục chủ đề có thể được khai thác trực tiếp.

15. Tính năng WordPress Salts

Tạo các khóa bí mật để giúp tăng cường cho mật khẩu đăng nhập, lưu ý khi kích hoạt chức năng này bạn sẽ bị thoát khỏi trang và phải đăng nhập lại.

16. Tính năng WordPress Tweaks

Cài đặt nâng cao giúp xóa bỏ một số thành phần mặc định của hệ thống. Bạn nên quan tâm một số tính năng sau:

• Comment Spam: Tích chọn để lọc comment spam
• File Editor: Ngăn chặn sửa các file trên WordPress, nếu bạn không hay dùng chính trang quản trị để chỉnh sửa code/ html/css thì hãy khóa nó đi, hoặc khóa tạm lại khi nào cần thì mở ra để đảm bảo an toàn.
• XML-RPC: Nên chọn là Disable XML-RPC – XML-RPC nếu bạn sử dụng Jetpack, hoặc WordPress mobile app
• Multiple Authentication Attempts per XML-RPC Request: Chọn Block để ngăn chặn hacker dò đoán mật khẩu hàng loạt.
• REST API: bạn để mặc định là Restricted Access (recommended). Các WordPress REST API là một phần của WordPress và cung cấp các nhà phát triển với những cách thức mới để quản lý WordPress. Theo mặc định, nó có thể cung cấp quyền truy cập công khai vào thông tin mà bạn cho là riêng tư trên trang web của mình. Để biết thêm chi tiết, hãy xem bài đăng về API WordPress REST tại đây.
• Login Error Messages: Ngăn chặn thông báo lỗi hiển thị cho người dùng khi thử đăng nhập thất bại. Mục đích để người dùng không biết nguyên nhân đang nhập sai thông tin gì.
• Force Unique Nickname: Điều này buộc người dùng phải chọn một biệt danh duy nhất khi cập nhật hồ sơ của họ hoặc tạo một tài khoản mới để ngăn bot và kẻ tấn công dễ dàng thu thập tên người dùng đăng nhập của người dùng từ mã trên trang tác giả.
• Disable Extra User Archives: Vô hiệu hóa trang tác giả của người dùng nếu số bài đăng của họ bằng 0.

Hãy chờ chút: Bạn có thường xuyên thay đổi hình ảnh trong WordPress hay không? Hãy tìm hiểu cách thay thế hình ảnh trong WordPress giữ nguyên tên sẽ giúp bạn đổi tên hình ảnh dễ dàng nhất.

Chúc bạn sớm sử dụng iThemes Security thành thạo!

Nguồn: huuthuan