Ngăn brute force bằng cách chặn author scans WordPress

5 tháng ago, Hướng dẫn WordPress, Views
Ngăn brute force bằng cách chặn author scans WordPress

Giới thiệu về Tấn công Brute Force và Author Scans trong WordPress

WordPress, một nền tảng CMS phổ biến, thu hút sự chú ý của nhiều người dùng, đồng thời cũng là mục tiêu hấp dẫn của các cuộc tấn công mạng. Trong số đó, tấn công brute force và author scans là hai mối đe dọa thường gặp. Tấn công brute force là việc kẻ tấn công cố gắng đoán mật khẩu bằng cách thử hàng loạt tổ hợp khác nhau. Author scans, mặt khác, là kỹ thuật mà kẻ tấn công sử dụng để thu thập thông tin về người dùng WordPress, đặc biệt là tên người dùng. Thông tin này sau đó có thể được sử dụng để hỗ trợ tấn công brute force. Bài viết này sẽ đi sâu vào cách chặn author scans để tăng cường bảo mật cho trang web WordPress của bạn và giảm thiểu nguy cơ bị tấn công brute force.

Tại sao Chặn Author Scans lại Quan trọng?

Author scans là hành động quét trang web WordPress để tìm kiếm thông tin về tác giả. Kẻ tấn công thường sử dụng các URL như /?author=1, /?author=2, v.v., để dò tìm tên người dùng. Khi tìm thấy tên người dùng hợp lệ, chúng sẽ sử dụng thông tin này để thực hiện tấn công brute force vào trang đăng nhập.

Việc chặn author scans là quan trọng vì những lý do sau:

  • Giảm thiểu thông tin mà kẻ tấn công có thể thu thập.
  • Làm cho việc tấn công brute force trở nên khó khăn hơn.
  • Nâng cao bảo mật tổng thể của trang web WordPress.

Các Phương pháp Chặn Author Scans

Có nhiều phương pháp khác nhau để chặn author scans trong WordPress. Chúng bao gồm sử dụng plugin bảo mật, chỉnh sửa file .htaccess, và sử dụng code tùy chỉnh trong file functions.php.

Sử dụng Plugin Bảo mật WordPress

Đây là phương pháp đơn giản và hiệu quả nhất, đặc biệt đối với người dùng không quen thuộc với code. Có nhiều plugin bảo mật WordPress cung cấp tính năng chặn author scans. Một số plugin phổ biến bao gồm:

  • Wordfence Security
  • Sucuri Security
  • iThemes Security

Các plugin này thường có các tùy chọn cấu hình đơn giản cho phép bạn chặn truy cập vào các URL author, ngăn chặn kẻ tấn công thu thập thông tin về người dùng.

Chỉnh sửa File .htaccess

File .htaccess là một file cấu hình mạnh mẽ trên máy chủ Apache. Bạn có thể sử dụng nó để chặn truy cập vào các URL author bằng cách thêm các quy tắc rewrite.

Để thực hiện việc này, bạn cần truy cập vào file .htaccess trên máy chủ của bạn. Bạn có thể sử dụng trình quản lý file của hosting hoặc kết nối qua FTP. Sau đó, thêm các dòng sau vào file:


<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{QUERY_STRING} ^author=(.*)$ [NC]
RewriteRule .* - [F,L]
</IfModule>

Đoạn code này sẽ chặn bất kỳ yêu cầu nào chứa chuỗi author= trong query string, trả về lỗi 403 (Forbidden).

Lưu ý: Chỉnh sửa file .htaccess sai cách có thể gây ra lỗi cho trang web của bạn. Hãy sao lưu file trước khi thực hiện bất kỳ thay đổi nào.

Sử dụng Code Tùy chỉnh trong File functions.php

Bạn cũng có thể sử dụng code tùy chỉnh trong file functions.php của theme để chuyển hướng hoặc chặn truy cập vào các URL author. Phương pháp này đòi hỏi kiến thức về PHP và WordPress.

Ví dụ, bạn có thể thêm đoạn code sau vào file functions.php của theme:


function block_author_scan() {
if ( is_author() ) {
wp_redirect( home_url() );
exit;
}
}
add_action( 'template_redirect', 'block_author_scan' );

Đoạn code này sẽ kiểm tra xem người dùng có đang truy cập trang author hay không. Nếu có, nó sẽ chuyển hướng người dùng về trang chủ.

Lưu ý: Thay đổi file functions.php của theme có thể gây ra lỗi nếu thực hiện sai cách. Hãy sao lưu file trước khi thực hiện bất kỳ thay đổi nào. Nếu bạn không quen thuộc với code, hãy sử dụng một plugin thay vì chỉnh sửa trực tiếp file này.

Kiểm tra và Xác minh

Sau khi áp dụng bất kỳ phương pháp nào trên, bạn cần kiểm tra để đảm bảo rằng author scans đã bị chặn thành công. Bạn có thể thực hiện việc này bằng cách thử truy cập vào một URL author, ví dụ: /?author=1. Nếu bạn đã chặn thành công, bạn sẽ thấy một trong những điều sau:

  • Trang web hiển thị lỗi 403 (Forbidden).
  • Bạn được chuyển hướng về trang chủ.
  • Trang web hiển thị một trang lỗi khác.

Hãy kiểm tra kỹ lưỡng để đảm bảo rằng không có lỗi xảy ra và trang web của bạn vẫn hoạt động bình thường.

Các biện pháp bảo mật WordPress khác

Chặn author scans chỉ là một phần trong việc bảo mật trang web WordPress của bạn. Để bảo vệ trang web của bạn một cách toàn diện, bạn nên thực hiện thêm các biện pháp bảo mật khác, bao gồm:

  • Sử dụng mật khẩu mạnh cho tất cả các tài khoản người dùng.
  • Cập nhật WordPress, theme và plugin thường xuyên.
  • Sử dụng xác thực hai yếu tố (2FA).
  • Giới hạn số lần đăng nhập thất bại.
  • Sử dụng chứng chỉ SSL để mã hóa dữ liệu.
  • Sao lưu trang web thường xuyên.

Lời kết

Bảo mật trang web WordPress là một quá trình liên tục. Bằng cách chặn author scans và thực hiện các biện pháp bảo mật khác, bạn có thể giảm thiểu nguy cơ bị tấn công và bảo vệ dữ liệu của bạn. Hãy nhớ kiểm tra và cập nhật các biện pháp bảo mật của bạn thường xuyên để đảm bảo rằng chúng vẫn hiệu quả trước các mối đe dọa mới. Hy vọng bài viết này cung cấp những thông tin hữu ích và giúp bạn tăng cường bảo mật cho trang web WordPress của mình.

Related Topics by Tag
, , , ,

..