Tấn công brute force là một trong những hình thức tấn công phổ biến mà hacker sử dụng để xâm nhập vào website. Thông qua việc thử hàng loạt mật khẩu và tên đăng nhập, tấn công brute force có thể khiến website của bạn trở thành mục tiêu dễ dàng nếu không có biện pháp bảo vệ phù hợp. Tấn công này có thể làm tăng tải cho máy chủ, dẫn đến hiệu suất kém, thậm chí gây ra tình trạng downtime cho website. Trong bài viết này, chúng tôi sẽ hướng dẫn các bạn cách khắc phục tấn công brute force trên website WordPress hiệu quả.
Giải Pháp Khắc Phục Tấn Công Brute Force
Tắt XML-RPC Ngay Lập Tức
XML-RPC là một tính năng trong WordPress cho phép các ứng dụng bên ngoài giao tiếp với website của bạn. Tuy nhiên, đây cũng là một điểm yếu thường xuyên bị tấn công trong các cuộc tấn công brute force. Để ngừng tấn công qua XML-RPC, bạn có thể thêm đoạn mã sau vào file
.htaccesstrong thư mục gốc của website:
# Block XML-RPC
Order Deny,Allow
Deny from all
Việc này sẽ chặn mọi kết nối đến tệp xmlrpc.php và ngăn chặn các cuộc tấn công brute force thông qua XML-RPC.
Cài Đặt Plugin Bảo Mật
Cài đặt một plugin bảo mật mạnh mẽ sẽ giúp bảo vệ website của bạn khỏi các cuộc tấn công brute force. Các plugin bảo mật sau đây sẽ cung cấp các tính năng chống tấn công mạnh mẽ:
Wordfence Security: Đây là một trong những plugin bảo mật phổ biến nhất cho WordPress, cung cấp các tính năng bảo vệ toàn diện như bảo vệ khỏi brute force, firewall và quét mã độc.
Solid Security (iThemes Security): Một plugin bảo mật khác cũng rất hiệu quả trong việc bảo vệ website của bạn khỏi các tấn công brute force và các mối đe dọa khác.
Cấu Hình Wordfence:
Enable Brute Force Protection: Bật tính năng bảo vệ brute force để giới hạn số lần đăng nhập không thành công.
Enable Rate Limiting: Thiết lập giới hạn tốc độ truy cập để giảm thiểu nguy cơ bị tấn công.
Whitelist IP của Đại Ka: Nếu bạn có địa chỉ IP cố định, hãy thêm vào danh sách trắng để không bị ảnh hưởng bởi các quy tắc bảo mật.
Bật Tính Năng Block by Country: Nếu website chỉ phục vụ người dùng từ Việt Nam, bạn có thể bật tính năng này để chặn truy cập từ các quốc gia khác.
Hướng Dẫn Cấu Hình Đúng Cho Cloudflare (Nếu Website Có Dùng)
Cloudflare là một dịch vụ CDN phổ biến giúp bảo vệ website khỏi các tấn công DDoS và brute force. Dưới đây là hướng dẫn cấu hình Cloudflare để ngăn chặn tấn công brute force:
Bước 1: Vào Security > Security Rules
Bước 2: Tạo Custom Rule mới:
Rule name: Chặn tấn công WordPress Login
Field: URI Path
Operator: contains
Value: wp-login.php
Nhấn OR
Field: URI Path
Operator: contains
Value: xmlrpc.php
Action: Block hoặc JS Challenge (để yêu cầu trình duyệt thực hiện kiểm tra JavaScript)
Bước 3: Tạo Rule chặn theo Threat Score:
Rule name: Chặn IP đáng ngờ
Field: Threat Score
Operator: greater than
Value: 10
AND
Field: URI Path
Operator: contains
Value: wp-admin
Action: Challenge (Captcha)
Bước 4: Security Level:
Vào Security > Settings và chuyển Security Level lên High hoặc I’m Under Attack!
Bước 5: Bot Fight Mode:
Vào Security > Settings, kéo xuống tìm Bot Fight Mode và bật tính năng này lên.
Kết Luận
Việc bảo vệ website WordPress khỏi tấn công brute force là vô cùng quan trọng để đảm bảo an toàn và sự ổn định cho website. Bằng cách áp dụng các biện pháp như tắt XML-RPC, cài đặt plugin bảo mật mạnh mẽ, và cấu hình Cloudflare, bạn sẽ giảm thiểu nguy cơ bị tấn công và bảo vệ website khỏi các mối đe dọa tiềm ẩn. Hãy đảm bảo rằng bạn luôn theo dõi và cập nhật các biện pháp bảo mật của mình để giữ cho website của bạn an toàn nhất có thể.
------------Liên hệ kỹ thuật viên để được tư vấn tốt nhất!
Telegram: Telegram kỹ thuật viên
Group Telegram: Group Telegram Hỗ Trợ
Email: Gửi Email
