Posted on

Một trong những mối nguy hại lớn tới WordPress hiện nay đó chính là tấn công của Local Attack. Hacker này luôn tìm kiếm những lỗ hổng, xâm nhập nhằm mục đích gây hại, đánh cắp thông tin quan trọng của website. Vậy rốt cuộc Local Attack là gì? Làm sao để hạn chế chúng? Bài viết dưới đây chính là câu trả lời dành cho bạn.

Local Attack là gì?

Local Attack là một trong những cách phổ biến áp dụng trong việc tấn công các website có cùng 1 server. Chúng thực hiện bằng cách sử dụng các đoạn mã khai thác được viết bằng các ngôn ngữ lập trình như: PHP, Python, ASP.Net,…

Khi đó, mỗi đoạn mã như vậy sẽ được gọi là Shell. Khi hosting trên server upload đoạn file shell, người tấn công có thể dùng các câu lệnh khai thác để thâm nhập tài khoản cùng server thực hiện mục đích của mình. Đây là điều bạn đặc biệt cần lưu tâm khi thiết kế website kinh doanh, thiết kế web giáo dục hoặc làm web trong các lĩnh vực thanh toán, những ngành cần tính bảo mật cao.

Nguy cơ bắt gặp tình trạng tấn công Local Attack phổ biến nhất là việc khi bạn sử dụng hosting đi thuê. Bởi các hosting này sẽ được sử dụng chung cho nhiều website khác. Nếu 1 trong số website có cùng server với bạn bị tấn công, thì tất cả những website khác cũng bị đánh cắp thông tin. Thậm chí là bị phá hủy mọi dữ liệu, tùy vào mục đích của các hacker.

Vậy phải làm sao để hạn chế tình trạng trên?

10 cách hạn chế tấn công Local Attack cho WordPress

Dưới đây là 10 cách giúp bạn hạn chế được những tấn công gây hại từ Local Attack cho WordPress:

Khóa đường dẫn wp-admin

Các thư mục wp – admin hay file wp – login.php chính là nơi mà những kẻ hacker muốn tấn công để truy cập vào website của bạn. Chính vì vậy, cách tốt nhất là bạn hãy chặn hết các truy cập vào khu vực này đối với người khác.

Khóa đường dẫn WP Admin.
Khóa đường dẫn WP Admin.

Để làm được điều đó, bạn hãy sử dụng tính năng “login protect” trong “Incapsula” hoặc tạo một file “.htaccess” trong thư mục wp – admin và chèn đoạn mã sau:

<FilesMatch “.*”>

 Order Deny,Allow

 Deny from all

 Allow from 123.456.789

</FilesMatch>

Your Public IPv4 is: 183.80.126.125

Your IPv6 is: Not Detected

Your Local IP is: 192.168.1.54

Location: Haiphong, HP VN 

ISP: FPT Telecom

Bạn thực hiện đổi mã IP để bảo mật.

Trường hợp bạn sử dụng NGINX thì có thể chèn đoạn file config sau:

      location ~ ^/(wp-admin|wp-login\.php) 

          {allow 123.456.789;deny all;}

Sử dụng các plugin quét mã độc

Với các plugin quét mã độc, bạn sẽ nhanh chóng xác định được trên host của mình đang chứa những file nào có mã độc. Bạn có thể xóa hoặc tải về ngâm cứu. Một số plugin miễn phí bạn có thể sử dụng như: Anti-Malware (Get Off Malicious Scripts), Wordfence Scan, 6Scan Security.

Bên cạnh đó, nếu bạn muốn sử dụng các plugin chất lượng hơn, bạn có thể mua plugin quét mã độc tự động Sucuri Premium.

Giấu file wp-config.php

Việc cất giấu các file wp – config vẫn có thể bị phát hiện bởi Coleil dò mã nguồn. Nhưng đây vẫn là một cách khá hữu hiệu giúp bạn hạn chế phần nào tấn công Local Attack.

Thông thường, các tập tin của website trên host linux sẽ được đặt ở mục public_html và path là: /home/username/public_html/wp-config.php.

giấu file WP-Config,
Thực hiện giấu file WP-Config,

Cách tốt nhất, là bạn nên đưa chứng từ thư mục public vào thư mục ngang hàng ở host. Thông qua thao tác FTP.

Khi thực hiện xong, bạn tải file wp – config.php từ thư mục public vào upload nó ở thư mục mới tạo. Đồng thời thực hiện sửa file wp-config.php thành một cái tên khác.

Tuy nhiên, bạn nên lưu ý: Cách này chỉ áp dụng được cho các website có file cài đặt trong mục public_html. Bạn có thể áp dụng với các thư mục www nếu có nhé.

Bảo mật wp-config.php với .htaccess

Để bảo mật wp-config.php với .htaccess, bạn có thể chèn đoạn code sau vào cuối file .htaccess: 

“# protect wp config.php

&lt;files wp-config.php &gt;

order allow,deny

deny from all

&lt;/files&gt;”

Thay đổi database prefix

Database prefix là một tiền tố cơ sở dữ liệu mặc định có trong WordPress. Nó có dạng wp_. Điều này vô tình giúp các hacker biết rõ được tên của từng bảng có trong website nếu bạn vẫn để nguyên tiền tố như vậy.

Do đó, cách tốt nhất để hạn chế sự tấn công của Local Attack là bạn cần thay đổi database prefix. Bạn có thể thay đổi chúng bằng nhiều cách khác nhau, nhưng để an toàn nhất, hãy  sử dụng plugin “iThemes Security”.

Cấm cài đặt plugins, theme trong wp-admin

Nhiều trường hợp những hacker tinh vi có thể vào bộ phận quản trị của bạn và thay đổi, thêm thắt các plugin hay theme nào đó có chứa mã độc.

.Cấm cài đặt plugin, theme
Cấm người dùng cài đặt plugin, theme trong admin

Do đó, trong trường hợp bạn không có nhu cầu cài đặt, thêm plugins, theme, hãy chèn đoạn mã sau: “define(‘DISALLOW_FILE_MODS’,true);”

Đổi security key

Khi vào file wp – config.php, bạn sẽ thấy có một đoạn nội dung như sau:

define(‘AUTH_KEY’, ‘jpwfcb9izge9gnz9unoakwpovdtn754sekxebbs5zvdzgl187lftu51o6qucv6py’);

define(‘SECURE_AUTH_KEY’, ‘lqodqrrfksxmn8qsy6i3kwshu7su1czmnt6xj6wtpx54er9c5dmweqptupwzzfpa’);

define(‘LOGGED_IN_KEY’, ‘pxo6nd6mnfw04m3u0m38layynhrh7atesuqgonitzf0xxnqxyydqpfurqr3znsoi’);

define(‘NONCE_KEY’, ‘bhlrnqwfoxfzhpcyhyqlo8jh7vhdh3ov4swgsmygwvfzx8q65hmilhwt4iylgkd8’);

define(‘AUTH_SALT’, ‘prfbyplbizqiqu1i42hm622ovsznaoayr9abxcbz15xks54nnkhguzqhwkndzy6v’);

define(‘SECURE_AUTH_SALT’, ‘erjzw2objjfmachy7vt9mq2ktufh2331ypnuaeanjl1oegorjrngvzvcrftnywkd’);

define(‘LOGGED_IN_SALT’, ‘kpvryyyj1zwznarx4l8lloigurf9mqetnlojnxtygjhuqtj9acq4lpr5jsm2kyjg’);

define(‘NONCE_SALT’, ‘arimerdvr8fbw7pkigotdb7psvc2ysa7bqrnunrzwbcqlkqhs6xzokhzwnrmsg3a’);

Đây là những chuỗi ký tự ngẫu nhiên, được lưu lại của từng user khi đăng nhập vào bảng điều khiển admin. Chúng có thể được lập ngẫu nhiên. Nhưng để đảm bảo an toàn, bạn nên đổi security key vài lần một tuần.

Cấm sửa file (plugins, theme) trong wp-admin

Đôi khi bạn để chế độ Editor trong bảng quản trị khiến hacker có điều kiện chỉnh sửa phần theme và plugin website. Để ngăn chặn tình trạng trên, bạn nên tắt chế độ editor đi bằng cách, chèn đoạn mã sau: “define(‘DISALLOW_FILE_EDIT’,true);”

Chmod file wp-config.php

Chmod file wp-config.php.
Chmod file wp-config.php.

Thông thường, WordPress luôn mặc định CHMOD là 644 và fold là 755. Nhưng với các file như wp-config.php, bạn có thể thay đổi thành 440, 400 hoặc 444.

Bảo vệ thư mục wp-content

Để bảo vệ thư mục wp-content, bạn có thể tạo file .htaccess và add một đoạn sau:

“Order deny,allow

 Deny from all

 &lt;Files ~ “.(xml|css|jpe?g|png|gif|js)$”&gt;

 Allow from all

 &lt;/Files&gt;”

Trong trường hợp thư mục wp-content có chứa các file khác liên quan tới  mã nguồn thì bạn cần thêm một phần mở rộng vào danh sách. Bạn có thể lấy đuôi là woff.

Trên đây là một số gợi ý giúp bạn hạn chế sự tấn công nguy hại của Local Attack cho WordPress. Hi vọng với những thông tin chúng tôi cung cấp trên đây sẽ giúp ích nhiều cho công việc quản trị và bảo mật website của bạn.