Cách cấu hình iThemes Security PRO để bảo mật web / blog

Vâng, bảo mật cho website là một trong những công việc quan trọng bậc nhất khi phát triển bất cứ một web/blog nào.

Trong thời gian đầu phát triển thì có lẽ chẳng ai thèm dòm ngó đến trang web của bạn đâu và hằng ngày chắc cũng chỉ có mỗi bạn truy cập mà thôi.

Tuy nhiên, theo thời gian và năm tháng cùng với sự nỗ lực không ngừng nghỉ của bạn thì website/ blog sẽ ngày càng giá trị hơn. Và cũng từ đó mà nhiều kẻ muốn “chiếm đoạt” hơn. Lúc này, web/blog của bạn giống như một cô gái đẹp vậy, đang tuổi dậy thì, xanh mơn mởn >.< !

Vậy làm thế nào để bảo mật website khi bạn không có nhiều kiến thức về quản trị web?

Câu hỏi này cũng chính là nội dung của bài viết ngày hôm nay.

Bởi trong bài viết này mình sẽ hướng dẫn cho các bạn cách cấu hình iThemes Security PRO – một plugin bảo mật website WordPress chất lượng hàng đầu hiện nay.

Cách cấu hình iThemes Security PRO chuẩn nhất

Đây là cấu hình mà mình đang sử dụng cho trang web của mình, mình thấy nó khá là ổn nên bạn có thể áp dụng tương tự cho trang web của bạn nhé !

Bước 1. Cài đặt Plugin iThemes Security PRO vào trang web của bạn . Xem hướng dẫn cách cách Plugin WordPress  nếu bạn chưa biết !

Bước 2. Ngay sau khi cài đặt sẽ có một tab Menu bên phải có tên là Security, bạn có thể nhấn vào đây để bắt đầu thiết lập cho Plugin này.

Và cũng giống như hầu hết các plugin khác, sẽ có một trình hướng dẫn cấu hình, bạn có thể làm theo từng bước của họ. Nhưng ở đây mình sẽ bấm Skip Setup để đi tự thiết lập.

Bước 3. Chúng ta sẽ đi một lượt, từ trên xuống dưới, từ trái sang phải nhé. Sẽ có 4 nhóm chính là:

1. FEATURES: TÍNH NĂNG, ĐẶC ĐIỂM
2. USER GROUPS: PHÂN QUYỀN CÁC NHÓM NGƯỜI SỬ DỤNG
3. CONFIGURE: CẤU HÌNH/ THIẾT LẬP
4. NOTIFICATIONS: CÀI ĐẶT THÔNG BÁO

Okay, bây giờ chúng ta sẽ đi vào từng phần chi tiết hơn:

+) FEATURES

Phần Login Security, đây là phần thiết lập rất hữu ích, củng cố sức mạnh bảo mật cho trang đăng nhập, tránh bị dò pass chiếm quyền quản trị..

Tại tab Login Security bạn ON phần Two-Factor lên, mục đích là để tạo xác nhận bước 2 khi đăng nhập. Bạn có thể sử dụng xác nhận qua ứng dụng Google Authenticator hoặc Authy. Link tải ứng dụng trong bài viết này (mục 4.2) !

Có thể bạn đang tìm:

• [Thảo luận] Nên sử dụng ứng dụng xác thực 2 yếu tố nào?

Phần này mình sẽ không hướng dẫn chi tiết vì nó quá là dễ rồi, khi bạn ON lên thì nó xuất hiện mã QR CODE, bạn chỉ cần mở ứng dụng Google Authenticator hoặc Authy lên để quét mã QR => rồi nhập mã xác nhận là xong !

Còn các tính năng khác như:

• Passwordless Login: Đăng nhập mà không cần nhập mật khẩu.
• Privilege Escalation: Tính năng này cho phép admin cấp thêm quyền truy cập cho người dùng của trang web trong một khoảng thời gian nhất định.
• Trusted Devices (Beta): Xác thực các thiết bị đang tin cậy, tính năng này giống với tính năng trên điện thoại.

Lúc này, khi đăng nhập bạn sẽ có thêm một bước xác thực lớp 2 như thế này:

Chuyển qua tab Lockouts, tại đây chúng ta có các lựa chọn như sau:

• Ban Users: Bật chức năng khóa thành viên, chặn địa chỉ IP. Bạn có thể nhấn vào icon Settings ở bên trên nút ON để thêm danh sách các IP cần chặn vào.
• Local Brute Force:  Ngăn chặn những kẻ đang cố gắng truy cập vào trang quản trị web thông qua các cuộc tấn công brute force.
• Network Brute Force: Tham gia vào mạng lưới các trang báo cáo và bảo vệ chống lại những kẻ xấu trên Internet.
• Magic Links: Bạn có thể đăng nhập vào trang quản trị trong trường hợp username hoặc địa chỉ IP của bạn bị khóa do đăng nhập sai quá nhiều lần, tức là sẽ có một đường link được gửi về địa chỉ Email của bạn, bạn sẽ đăng nhập thông qua đường link này.
• reCAPTCHA: Quen thuộc quá đúng không 🙂 phương pháp này sẽ bảo vệ trang web của bạn khỏi những con bot, tức là khi comment hoặc đăng nhập thì người dùng sẽ phải vượt qua mã captcha để xác thức đó là người dùng thật. Mình không thích dùng tính năng này lắm, vì đôi khi làm người dùng khó chịu.

Tab Site Check có gì nhỉ?

• File Change: Giám sát sự thay đổi của các tập tin, điều này rất hữu ích vì nếu chẳng may web bị hack thì bạn sẽ khoanh vùng xử lý dễ hơn, xem lại tập tin nào đã bị chỉnh sửa và khác với tập tin gốc.
• Site Scan Scheduling: Khi bạn bật tính năng này, trang web sẽ được quét tự động hai lần một ngày. Nếu phát hiện ra vấn đề gì thì một email sẽ được gửi đến Email quản trị.
• User Logging: Tính năng này sẽ ghi lại nhật ký hoạt động của người dùng, ví dụ như đăng nhập, lưu nội dung và thực hiện các thay đổi đối với plugin của trang web.
• Version Management: Tính năng này sẽ hỗ trợ bảo vệ trang web của bạn khi plugin lỗi thời, không được cập nhật đủ nhanh.

Tiếp tục chuyển đến tab Utilities. Chúng ta có các tính năng như:

• Enforce SSL: Bắt buộc tất cả các kết nối đến trang web của bạn phải được thực hiện qua giao thức SSL/ TLS.
• Database Backups: Tạo bản sao lưu cơ sở dữ liệu theo cách thủ công hoặc lên lịch sao lưu cơ sở dữ liệu tự động.

Lúc web mới phát triển, ít dữ liệu thì bạn có thể bật tính năng này lên, nhưng sau này thì dữ liệu đã nhiều rồi thì nên tắt tính năng này đi, vì chúng ta có nhiều giải pháp backup dữ liệu hiệu quả hơn.

• Geolocation: Cải thiện tính năng Trusted Devices bằng cách kết nối với vị trí bên ngoài hoặc API ánh xạ.

+) USER GROUPS

Nếu như web bạn là cá nhân thì cũng không cần quá quan tâm đến phần này, chủ yế là để phân quyền cho các nhóm User thôi. Nhóm USER là gì thì bạn có thể đọc lại phần #8 trong bài viết này !

+) CONFIGURE

Phần cấu hình này chủ yếu là phần cấu hình chi tiết cho phần FEATURES bên trên.

Trong tab Global Settings bạn thiết lập như sau:

<Bạn có thể nhấn chuột phải vào trình duyệt web để Google dịch nếu không hiểu nội dung  nhé>. Còn không thì cứ thiết lập như trong hình thôi 😀

Chuyển sang tab Login Security, bạn cũng thiết lập như hình bên dưới. Tích bật 2 tính năng bên dưới lên.

• Vulnerable User Protection
• Vulnerable Site Protection

Đừng quên nhấn Save sau mỗi lần chuyển sang phần thiết lập khác nhé.

Chuyển qua tab Lockouts.

Tại tab Ban User bạn hãy tích họn Default Ban List để sử dụng danh sách cấm HackRepair.com do Jim Walker phát triển, tức là các user trong danh sách này sẽ mặc định bị cấm.

Qua bab Local Brute Force bạn cũng tích chọn Automatically ban “admin” user để tự động chặn những người đăng nhập bằng user admin, vì chỉ những ai đang có ý định truy cập vào trang quản trị mới sử dụng username này.

Tab Network Brute Force mình không bình luận gì thêm 😀

Bây giờ chuyển qua tab Site Check nha các bạn.

Trong phần File Change, mặc định tất cả các file sẽ nằm trong danh sách theo dõi sự thay đổi, nếu bạn muốn loại trừ file nào thì bấm chọn file => chọn Select để chuyển sang bên Excluded Files and Folders (Tệp và Thư mục bị loại trừ) thôi.

Tích chọn tính năng Compare Files Online để so sánh trực tuyến với các file/ thư mục gốc của mã nguồn WordPress, các plugin của WordPress.ord và các plugin/ theme của iThemes.

+) NOTIFICATIONS

Phần này là cài đặt thông báo, cũng không quan trọng lắm nên bạn cứ vào từng tab => Google dịch sang tiếng việt để hiểu nghĩa rồi thiết lập theo nhu cầu của bạn, hoặc giữ nguyên mặc định cũng được.

+) System Tweaks

Chuyển qua phần Advanced, tab này cũng có rất nhiều cài đặt nâng cao.

Tab System Tweaks, bạn tích chọn hết => rồi bấm Save.

• Protect System Files: Ngăn chặn người dùng truy cập vào các file như readme.html, readme.txt, wp-config.php, install.php, wp-include và .htaccess. Đây là những file chứa nhiều thông tin quan trọng của web.
• Disable Directory Browsing: Ngăn chặn người dùng xem danh sách tệp trong thư mục khi không có tệp chỉ mục nào.
• Disable PHP in Uploads: Tắt thực thi PHP trong thư mục Uploads.
• Disable PHP in Plugins: Tắt thực thi PHP trong thư mục Plugins.
• Disable PHP in Themes: Tắt thực thi PHP trong thư mục Themes.

Chuyển qua tab WordPress Tweaks

Bạn hãy tắt XML-RPC đi để bảo mật hơn cho web. Có thể bạn chưa biết, WordPress XML-RPC API là tính năng cho phép các dịch vụ bên ngoài truy cập và sửa đổi nội dung trên trang web. Nếu bạn không dùng đến thì nên tắt.

Còn phần Login with Email Address or Username thì bạn có thể thiết lập cho phép đăng nhập bằng Email, bằng Username hoặc cả hai.

Chuyển tiếp sang phần Hide Backend. Đây là phần rất quan trọng để bảo mật web site.

Thông thường, đường dẫn đăng nhập của các website WordPress sẽ là: https://domain.com/wp-login.php, hoặc https://domain.com/wp-admin.php…..

Vậy nên, bạn hãy thay đổi đường dẫn trong phần Login Slug (đường dẫn đăng nhập) và Register Slug (đường dẫn đăng ký tài khoản)..

NOTE:
Bạn phải nhớ đường dẫn Login Slug nhé, ví dụ mình đăng Login Slug là modicung thì đường dẫn đăng nhập sẽ là https://cachtao.blog/modicung

Đừng quên nhấn Save để lưu lại cài đặt.

+) TOOLS

Trong tab này có một công cụ hỗ trợ bảo mật rất hữu ích đó là thay đổi tiền tố bảng trong WordPress. Mặc định tiền tố sẽ là wp_, hacker sẽ lợi dụng điều này để khai thác lỗ hổng trên web.

Vậy nên, bạn nhấn Run để chạy lệnh thay đổi tiền tố bảng. Nhưng trước khi chạy, bạn nên backup lại dữ liệu nhé, mặc dù xác suất xảy ra lỗi là rất ít nhưng không phải không có, liên quan đến database thì cẩn thận vẫn hơn.

+) EXPORT

Để lưu lại cấu hình cài đặt, thì bạn có thể tạo file cấu hình hiện tại bằng cách nhấn vào nút Create New Export => sau đó lưu lại, khi muốn dùng lại cấu hình này thì bạn chỉ cần chọn Import => và chọn file cấu hình là xong.

Lời Kết: Vâng, đó là cách cấu hình iThemes Security PRO để bảo mật cho web / blog của bạn, có thể nói đây là một plugin bảo mật rất tốt dành cho những website WordPress, rất đáng để sử dụng.

Nhưng nếu như bạn cần một giải pháp tuyệt vời hơn, với nhiều tính năng nâng cao hơn và không ảnh hưởng gì đến tốc độ website thì có thể tham khảo dịch vụ bảo mật của Sucuri mà mình đang dùng cho blogchiasekienthuc.com ! Chúc các bạn thành công nhé ^^

Kiên Nguyễn: https://cachtao.blog/