Giới thiệu iThemes Security – plugin bảo mật WordPress tốt nhất

So với plugin nổi tiếng không kém là WordFence, thì iThemes Security dễ dùng hơn và ít gây xung đột với các plugin khác.

Trong bài viết này WPVUI sẽ giới thiệu về các tính năng bảo mật của iThemes Security, cả phiên bản miễn phí lẫn Pro. Hiểu được các tính năng cụ thể sẽ giúp bạn sử dụng chúng dễ dàng hơn.

A. Các tính năng bảo mật của iThemes Security

Không tính đến các phương pháp bảo mật ở tầng máy chủ (VPS/ Hosting), nơi độc lập với WordPress, thì hầu hết các phương pháp bảo mật phổ biến trên mã nguồn WordPress đều được iThemes Security hỗ trợ, ứng với mỗi phương pháp lại kết hợp một hay nhiều kỹ thuật bảo mật với nhau để tăng tính hiệu quả.

Chúng ta sẽ nói cụ thể từng phương pháp:

1. Chặn các cuộc tấn công tự động

Bot xấu (phần mềm tấn công tự động của hacker) hiện diện khắp internet và tự động thực hiện các tác vụ thâm nhập nhằm chiếm quyền quản trị của Website WordPress. Ngay khi bạn tạo một website, thì bot có thể tự động dò tới trước cả con người.

Dạng tấn công phổ biến nhất đối với WordPress và Website nói chung là phương thức tấn công tự động Brute Force Attack – hay phương pháp thử sai được sử dụng để tìm tên người dùng và mật khẩu nhằm xâm nhập vào một trang web:

Mã nguồn WordPress không theo dõi bất kỳ hoạt động đăng nhập nào của người dùng, vì vậy không có tính năng tích hợp sẵn trong WordPress để bảo vệ bạn khỏi một cuộc tấn công dò mật khẩu.

iThemes Security cung cấp các giải pháp ngăn chặn hình thức tấn công này một cách hiệu quả với nhiều tầng bảo mật:

• Chặn truy cập từ địa chỉ IP ứng với các máy chủ chuyên dùng để tấn công của hacker – với cơ sở dữ liệu update liên tục từ các tổ chức bảo mật hàng đầu thế giới.
• Đổi đường dẫn đăng nhập mặc định của WordPress (là /wp-admin hay /wp-login.php) bằng đường dẫn tùy chỉnh
• Tính năng xác thực 2 lớp khi đăng nhập (Two-factor authentication)
• Bắt buộc phải dùng mật khẩu mạnh (strong password)
• Chặn username thông dụng: admin
• Chặn login với username/password đã bị lộ trên mạng, lấy từ dữ liệu uy tín Have I Been Pwned
• Tắt tính năng đăng nhập bằng mật khẩu (thay bằng link đăng nhập trực tiếp gởi vào email quản trị – magic links)
• Tắt tính năng XML RPC – tính năng mặc định trên WordPress, không hữu ích trong đa số trường hợp nhưng lại thường bị lợi dụng để tấn công dò mật khẩu và tấn công DDos
• Chặn thực thi các tệp PHP từ thư mục upload, themes và plugins không dùng (thường là hành vi của malware nhằm tấn công chiếm quyền truy cập Website)

2. Theo dõi và phát hiện hoạt động đáng ngờ

iThemes Security theo dõi (track) các sự kiện bảo mật quan trọng và hành vi của người dùng (đã login) xảy ra trên trang web của bạn, cụ thể là theo dõi sự thay đổi của các file trên mã nguồn và các hoạt động của người dùng khi họ login vào khu vực Dashboard.

Những sự kiện này rất quan trọng cần theo dõi để xác định được thời điểm website bị tấn công và xác định các thay đổi trên mã nguồn để có thể xử lý nhanh chóng và hiệu quả.

3. Quét lỗ hổng bảo mật plugins và themes

Tính năng Site Scanner giúp bảo mật và bảo vệ trang web WordPress khỏi nguy cơ bị hack do lỗi bảo mật đã biết trên themes và plugins và kèm theo đó là tùy chọ tự động fix bằng cách cập nhật các phiên bản vá lỗi mới nhất.

4. So sánh mã nguồn WordPress với code gốc

iThemes Security cũng hỗ trợ quét và so sánh mã nguồn WordPress trên Website với phiên bản gốc trên WordPress.org nhằm phát hiện các thay đổi đáng ngờ và xử lý hiệu quả nếu site bị chèn mã độc.

5. Chặn bot xấu và giảm thư rác

Tính năng reCAPTCHA trong iThemes Security bảo vệ trang web khỏi các bot xấu (phần mềm quét & xâm nhập Website tự động).

Những con bot này liên tục cố gắng xâm nhập vào Website bằng cách sử dụng mật khẩu bị lộ, dễ đoán để đăng spam hoặc thậm chí là cắt xén, chèn link xấu vào nội dung.

reCAPTCHA sử dụng các kỹ thuật phân tích rủi ro nâng cao để phân biệt con người và bot, khi một truy cập được xác định là bot thì tính năng đăng nhập hoặc đăng bình luận sẽ bị vô hiệu hóa.

6. Tự động thực thi các tác vụ bảo mật cần thiết

Một trong những phần tốt nhất của plugin iThemes Security là các hành động mà nó sẽ tự động thực hiện để bảo mật Website WordPress.

iThemes Security có các tùy chọn để tự động khóa người dùng, chặn bots và chặn truy cập theo địa chỉ IP, tự động cập nhật phiên bản mã nguồn WP, theme, plugins và nhiều thứ khác.

B. So sánh iThemes Security Free vs Pro

Với phiên bản iThemes Security Free, chúng ta đã có hầu hết các tính năng bảo mật phổ biến, còn bản Pro sẽ trang bị nhiều công cụ hơn – có thể sử dụng liên tục hoặc khởi chạy khi cần thiết.

Tính năng của iThemes Security Free

Bản miễn phí của iThemes Security cung cấp đầy đủ các tính năng bảo mật WordPress phổ biến và hiệu quả nhất, cụ thể:

• Cấm bot và người dùng đáng ngờ
• Chặn các địa chỉ IP & User Agent xấu
• Tự động sao lưu database theo lịch – tùy chọn gởi về email quản trị
• Phát hiện thay đổi của các file trên mã nguồn, themes, plugins
• Chặn các chương trình PHP thực thi từ mục Upload hay thư mục themes, plugins (thường là hành vi của mã độc để thâm nhập vào WordPress).
• Giảm spam comments
• Bảo vệ tấn công dò mật khẩu Brute Force Attack trên local (từ các site cùng hosting) và network (toàn mạng internet)
• Ghi nhật ký bảo mật: lưu các dữ liệu quan trọng về bảo mật để theo dõi trên Dashboard
• Thông báo thư điện tử: gởi email thông báo các sự kiện bảo mật hàng ngày
• Gởi thông báo mỗi khi khóa người dùng/ bot xấu (Lockout)
• Bắt buộc dùng mật khẩu mạnh
• Tính năng xác thực mật khẩu 2 lớp (Two-factor Authentication)
• Kiểm tra các quyền (Read – Write – Execute) đối với các thư mục & tập tin trên Websites
• Site scanning: quét lỗ hổng bảo mật trên Website
• Hỗ trợ Import/ Export các cấu hình bảo mật trên Website

Tính năng của iThemes Security Pro

Bản thương mại iThemes Security Pro trang bị thêm các kỹ thuật bảo mật sâu hơn, đặc biệt cho các nhu cầu dò và fixed lỗi bảo mật nếu chẳng may có sự cố, ví dụ mã độc hoặc cuộc tấn công đến từ tầng máy chủ (VPS/ Hosting):

• Quét và so sánh mã nguồn WordPress (Core) trên Website với bản gốc để phát hiện các thay đổi đáng ngờ và fix nếu bị chèn mã độc
• Ghi nhật ký hoạt động của người dùng (User log) – giúp phát hiện hành vi đáng ngờ và xử lý kịp thời
• Tùy chọn quyền User tạm thời – có thể cấp quyền tạm cho 1 user và ấn định thời gian hết hạn (ví dụ cấp quyền Administrator cho user nguyen-van-a trong 12 giờ để login xử lý các vấn đề kỹ thuật trên Website, sau 12 giờ thì quyền Administrator sẽ hết hạn, nguyen-van-a trở lại thành user bình thường)
• Tích hợp WP-CLI
• Tùy chọn mật khẩu tạm thời – tức tạo mật khẩu login cho một user và ấn định thời gian mật khẩu hết hạn
• Kiểm tra bảo mật người dùng: như theo dõi hoạt động của người dùng, ép dùng mật khẩu mạnh – bảo mật 2 lớp, xóa/ hạ quyền người dùng từ lâu không hoạt động..
• Hiển thị thông tin – dữ liệu bảo mật theo thời gian thực
• Hỗ trợ đăng nhập không dùng mật khẩu qua tính năng Magic Links (link đăng nhập trực tiếp gởi vào email người dùng)
• Tự động từ chối mật khẩu bị lộ, yêu cầu set lại mật khẩu mạnh – với dữ liệu lấy từ trang bảo mật uy tín Have I Been Pwned.
• Version Management: quản lý phiên bản themes, plugins và tự động cập nhật phiên bản mới để tránh các lỗi bảo mật (hiện tại WordPress đã hỗ trợ tính năng này)
• Báo cáo trực quan cấp độ bảo mật của WordPress và gợi ý cụ thể để nâng cấp bảo mật
• Tích hợp reCAPTCHA để chặn hack bot & spam bot
• User Groups: cấu hình bảo mật riêng cho từng nhóm User
• Trusted Devices (tính năng này vẫn còn ở phiên bản Beta): cấu hình chỉ định các thiết bị đáng tin được phép login vào Website.

So với các năm trước, hiện nay plugin iThemes Security có thay đổi lớn về giao diện – giúp chúng ta cấu hình và quản lý bảo mật hiệu quả hơn, đặc biệt tính năng setup nhanh rất hữu ích cho người dùng mới.

Hi vọng bài viết giúp bạn sử dụng iThemes Security để cấu hình bảo mật WordPress hiệu quả.

Chúc thành công!