Cài đặt & sử dụng plugin Wordfence để bảo mật WordPress (Phần 2)
Hướng dẫn sử dụng Wordfence
1. Malware Scan
Wordfence Scan cho phép plugin kiểm website để tìm bất kỳ mã độc hại nào còn hiện hữu và cho ta hướng giải quyết xóa hoặc khôi phục lại tệp tin bị lây nhiễm. Nó giống như sử dụng một ứng dụng phòng chống virus để quét máy tính, bạn có thể sử dụng nó để xác định vị trí và vá các lỗ hổng hiện có, nhưng tốt hơn hết là thường xuyên quét trang web của bạn.
Để bắt đầu quá trình scan mới ta chọn Wordfence → Scan → Start New Scan
Wordfence Scan sẽ bắt đầu kiểm tra trang web của bạn. Nếu quá trình kiểm tra tìm thấy bất kỳ lỗ hổng nào trên trang web WordPress thì Wordfence sẽ cung cấp tùy chọn xóa hoặc khôi phục các tệp bị nhiễm về phiên bản gốc. Nếu bạn tìm thấy một lỗ hổng, trong hầu hết trường hợp khôi phục lại bản sao lưu không bị nhiễm trước đó là phương án tốt nhất.
2. Firewall
Wordfence Firewall là một tường lửa ứng dụng tức là nó chạy trên server của bạn. Tường lửa này giúp xác định và chặn các lưu lượng độc hại. Ngoài ra với chức năng Brute Force Protection giúp ngăn chặn các attackers đoán mật khẩu
Để cấu hình Wordfence Firewall ta vào Wordfence → Firewall → All Firewall Options
Brute Force Protection
- Lock out after how many login failures: Khóa tài khoản khi nhập sai quá số lần được quy định
- Lock out after how many forgot password attempts: Khóa tài khoản khi nhập sai mật khẩu theo số lần quy định
- Count failures over what time period: Khung thời gian tính lỗi
- Amount of time a user is locked out: Khoảng thời gian người dùng bị khóa tài khoản
- Immediately lock out invalid usernames: cho phép block IP khi attacker sử dụng các tài khoản giả mạo
VD: Website không có các tài khoản như admin, wordpress, user, kdata
Rate Limiting
- If a human’s page views exceed: Nếu người dùng truy cập đủ số lần trên 1 phút thì sẽ block
- Whitelisted URLs: Cho phép không chặn các yêu cầu an toàn ngay cả khi tường lửa nghĩ rằng đáng ngờ
Blocking:
- Ip Address to Block: địa chỉ IP muốn chặn
- Block Reason: Lý do block IP
3. Login Security
Login Security cho phép ta bảo mật 2 lớp trên WordPress. Để cài đặt ta chọn Wordfence →Login Security → Settings
Tại đây, ta có thể tùy chọn cài đặt các chức năng:
- Enable 2FA for these roles: Kích hoạt sử dụng chức năng xác thực 2 bước
- Require 2FA for all administrators: Bắt buộc xác thực 2 bước cho tất cả các tài khoản quản trị
- Allow remembering device for 30 days: Lưu thiết bị trong 30 ngày.
- Require 2FA for XML-RPC call authentication: Bắt buộc xác thực 2 bước khi truy xuất XML-RPC
- Disable XML-RPC authentication: Tắt xác thực XML-RPC
- Enable reCAPTCHA on the login and user registration pages: Kích hoạt reCAPTCHA trên trang đăng nhập và đăng ký người dùng
Sau khi cài đặt những mục cần thiết cho việc bảo vệ đăng nhập. Bạn Lưu cài đặt để nó được áp dụng cho website.
Two-Factor Authentication
Trên điện thoại ta down app Google Authentication
Trở lại phần Two-Factor Authentication, ta lấy điện thoại vào App Google Authentication vừa down và scan mã QR sau đó ra được số như bên trên ta nhập vào ô bên dưới và chọn Activate
Lúc này khi ta đăng nhập phải thông qua app Google Authentication trên điện thoại để lấy mã 2FA Code
Kích hoạt đăng nhập Captcha
Chọn Wordfence → Login Security → Settings
Kéo xuống bên dưới và chọn Enable reCAPTCHA on the login and user registration pages và nhập site key và secret key vào
Sau khi trở lại phần đăng nhập ta thấy Captcha v3 đã được kích hoạt trên website
Chúc các bạn thành công