Mục lục
Mỗi ngày Lucid Gen có khoảng 200 lần bị tấn công khi xem qua báo cáo của Wordfence. Thế nhưng mình hoàn toàn yên tâm dưới sự bảo vệ của Wordfence vì mình đang sử dụng phiên bản Premium với đầy đủ tính năng bảo mật nâng cao. Nếu bạn đang tìm một plugin bảo mật cho WordPress thì đừng bỏ qua bài viết này. Mình sẽ hướng dẫn sử dụng Wordfence Security Premium thật chi tiết, và cũng chia sẻ cách kích hoạt Premium miễn phí cho bạn luôn.
Wordfence Security là gì
Wordfence là sản phẩm của Defiant – là công ty hàng đầu thế giới về bảo mật WordPress. Plugin này có tính năng tường lửa và quét mã độc cho website WordPress.
Wordfence luôn cập nhật các quy tắc tường lửa mới nhất, chữ ký phần mềm độc hại và địa chỉ IP độc hại cần thiết để giữ an toàn cho website của bạn.
Ngoài ra, plugin này còn tích hợp thêm 2FA (Xác minh 2 bước) và một bộ các tính năng bổ sung khác. Wordfence chính là giải pháp bảo mật WordPress toàn diện nhất hiện nay.
Các tính năng của Wordfence Premium
Các tính năng bản miễn phí
- Firewall – Tường lửa
- Web Application Firewall – Tường lửa ứng dụng web: tính năng giúp bảo vệ website của bạn trước các cuộc tấn công, tin tặc từ bên ngoài. Viết ngắn gọn nhưng công dụng nó là quan trọng nhất đấy.
- Brute Force Protection – Bảo vệ tấn công Brute Force: bảo vệ website của bạn trước hình thức tấn công cổ điển, đó là thử hàng triệu tên đăng nhập và mật khẩu khác nhau để dò ra thông tin đăng nhập của bạn.
- Block – Chặn IP: bạn có thể thêm bất cứ IP nào vào danh sách chặn truy cập website của bạn, bạn cũng có thể thêm các quy tắc để tự động chặn.
- Rate Limiting – Giới hạn truy cập và đánh cắp nội dung: tính năng này có 2 điểm tốt. Thứ nhất là chặn được các crawler (bot thu thập thông tin) để tránh website của bạn bị quét và đánh cắp nội dung. Thứ 2 là để ngăn chặn tấn công băng thông hay DDOS, ví dụ như kẻ xấu truy cập website của bạn lên tục trong thời gian ngắn làm hao tốn tài nguyên và chậm website của bạn, khiến người dùng có trải nghiệm không tốt website của bạn.
- Scan – Quét mã độc: quét tất cả các tệp trên website của bạn để tìm mã độc, backdoors, shells và các loại mã độc đã biết trên dữ liệu của Wordfence.
- Tool – Các công cụ hỗ trợ khác
- Live traffic – Xem truy cập thời gian thực: bạn có thể xem các lượt truy cập gần đây nhất đến từ quốc gia nào, là người dùng hay bot. Tuy nhiên chúng ta chỉ cần tập trung vào những lần truy cập bị Wordfence chặn thôi. Như Lucid Gen mỗi ngày chặn khoảng 50 IP đấy nhé.
- Whois Lookup – Kiểm tra thông tin IP hoặc tên miền: tính năng này dễ hiểu có sẵn trên mạng nhiều, bỏ qua.
- Import/Export Options – Nhập xuất cài đặt Wordfence: nếu bạn có nhiều website cần dùng Wordfence, bạn chỉ cần cấu hình thật chuẩn rồi xuất cài đặt đó đem qua website khác, đỡ mất công làm lại từ đầu.
- Login Security – Bảo mật đăng nhập
- Xác minh 2 bước: một tính năng rất cần thiết thời bây giờ, mình có giới thiệu qua trong bài viết cách bật bảo mật 2 lớp WordPress.
- reCAPTCHA: giúp xác định người đăng nhập có phải là robot không, không cho đăng nhâp thử liên tục, cũng có tác dụng chống Brute Force đã nêu trên.
Các tính năng bản Premium
- Premium của tường lửa
- Real-time Firewall Rules – Tự thêm các quy tắc tường lửa: tường lửa của Wordfence sử dụng các quy tắc tường lửa để xác định và chặn các truy cập độc hại vào trang web của bạn, bảo vệ bạn khỏi các cuộc tấn công WordPress và lỗ hổng bảo mật mới nhất.
- Real-time IP Blocklist – Tự chặn IP theo blacklist của Wordfence: chặn các IP thường xuyên tấn công các website WordPress, giúp bảo vệ website và tăng hiệu năng website (ý là đỡ tốn tài nguyên cho những kẻ xấu).
- Country Blocking – Chặn IP theo quốc gia: tính năng là theo Lucid Gen là tuyệt vời nhất trong các tính năng Wordfence Security Premium. Chặn các quốc gia trên thế giới truy cập vào trang đăng nhập hoặc toàn bộ website của bạn. Mình chặn tất cả quốc gia (trừ Việt Nam) không được vào trang đăng nhập thì quá tuyệt.
- Premium của quét mã độc
- Real-time Malware Signatures: tự động nhận diện phần mềm độc hại trên website của bạn theo thời gian thực, giống như các phần mềm quét virus trên máy tính vậy đó, phát hiện độc hại là nó chặn và báo liền.
- Spamvertising Checks: kiểm tra xem website của bạn có bị “Spamvertis” (là thuật ngữ nói quảng cáo các nội dung nội dung xấu thông qua thư rác) hay không.
- Spam Check: kiểm tra xem IP website của bạn có đang tạo ra thư rác không.
- Blocklist Check: kiểm tra xem website của bạn có nằm trong danh sách chặn tên miền không.
Cách kích hoạt Wordfence Security Premium
Sau khi tải Wordfence về bạn đừng kích hoạt plugin mà hãy làm theo hướng dẫn này để kích hoạt key Wordfence Security Premium trước nhé.
Kích hoạt Wordfence Security Premium
Lưu ý: Phiên bản mà Lucid Gen hướng dẫn là 7.5.7 trở về trước (tải bản 7.5.7 tại đây). Kể từ phiên bản 7.5.8 chưa có cách.
Bạn dùng trình Quản lý File trên hosting hoặc dùng tính năng Sửa plugin trên wp-admin để sửa file wordfenceClass.php
wp-content/plugins/wordfence/lib/wordfenceClass.phpBạn tìm đến dòng 2005-2009 (phiên bản sau này có thể khác một chút) để tìm các dòng sau:
// Sync the WAF data with the database.
$updateCountries = false;
if (!WFWAF_SUBDIRECTORY_INSTALL && $waf = wfWAF::getInstance()) {
$homeurl = wfUtils::wpHomeURL();
$siteurl = wfUtils::wpSiteURL();Sau đó, bạn thêm các dòng này vào ngay hàng phía dưới:
wfConfig::set('isPaid', 1);
wfConfig::set('keyType', wfAPI::KEY_TYPE_PAID_CURRENT);
wfConfig::set('premiumNextRenew', time()+31536000);Kết quả cuối cùng sẽ như thế này:
// Sync the WAF data with the database.
$updateCountries = false;
if (!WFWAF_SUBDIRECTORY_INSTALL && $waf = wfWAF::getInstance()) {
$homeurl = wfUtils::wpHomeURL();
$siteurl = wfUtils::wpSiteURL();
wfConfig::set('isPaid', 1);
wfConfig::set('keyType', wfAPI::KEY_TYPE_PAID_CURRENT);
wfConfig::set('premiumNextRenew', time()+31536000);Đây là hình ảnh tổng quát quá trình kích hoạt Wordfence Security Premium nhé.
Cập nhật phiên bản mới
Khi bạn muốn cập nhật lên phiên bản mới mà vẫn giữ được Wordfence Security Premium, bạn hãy làm theo các bước sau:
- Bước 1: Bạn ngừng kích hoạt Wordfence.
- Bước 2: Bạn cập nhật Wordfence lên phiên bản mới.
- Bước 3: Bạn thực hiện lại việc Kích hoạt Wordfence Security Premium như hướng dẫn trên.
- Bước 4: Bạn kích hoạt lại plugin Wordfence và sử dụng như bình thường.
Hướng dẫn sử dụng Wordfence Premium
Bây giờ Lucid Gen sẽ hướng dẫn sử dụng các tính năng nổi bật (thiết yếu) nhất của Wordfence. Một số cài đặt linh tinh khác mình không nêu trong bài này là vì nó không quá quan trọng, khi nào bạn có thời gian có thể nghiên cứu thêm và tùy chọn theo ý muốn của bạn.
Sau khi kích hoạt plugin bạn sẽ nhận được thông báo này, hãy điền email quản trị viên của bạn, chọn NO để không nhận các bản tin của Wordfence, tích vào đồng ý với điều khoản rồi nhấp Continue.
Khi vào trong Dashboard bạn hãy nhấp vào No thanks ở thông báo hỏi bạn có muốn tự động cập nhật phiên bản mới hay không. Cách cập nhật phải thủ công như hướng dẫn ở trên các bạn nhé.
Bật tường lửa và cấu hình bảo vệ website
Bật tường lửa
Cách 1: Lần đầu sử dụng Wordfence bạn sẽ thấy thông báo “To make your site as secure as possible, take a moment to optimize the Wordfence Web Application Firewall” bạn hãy nhấp vào nút CLICK HERE TO CONFIGURE. Sau đó, bạn nhấp nút DOWNLOAD và CONTINUE để hoàn tất.
Cách 2: Bạn nhấp vào Firewall trên menu bên trái, ở bên phải bạn vào mục All Firewall Options rồi nhấp vào nút OPTIMIZE THE WORDFENCE FIREWALL. Sau đó, bạn nhấp nút DOWNLOAD và CONTINUE để hoàn tất.
Bạn đã bật tường lửa xong rồi. Nhưng mới sử dụng thì Wordfence sẽ để Web Application Firewall Status ở chế độ Learning mode, bạn cứ để đó cho nó học xong thì nó tự nhảy qua Enable and Protecting thôi.
Cấu hình Brute Force Protection
- Lock out after how many login failures: Chặn IP sau bao nhiêu lần đăng nhập thất bại, mục này mình sẽ để 1-2 lần bời vì chúng ta là admin thực sự thì không lý do gì lại đăng nhập sai nhiều lần.
- Lock out after how many forgot password attempts: Chặn IP sau bao nhiêu lần gửi yêu cầu cấp lại mật khẩu, mục này mình cũng để 1-2 lần luôn.
- Count failures over what time period: Tổng số lần đếm được tính trong khoảng thời gian nào, mình để 1 ngày để nghiêm ngặc hơn (chọn mức lớn nhất).
- Amount of time a user is locked out: Người dùng sẽ bị chặn IP bao lâu, mình chọn 2 tháng (chọn mức lớn nhất).
- Immediately lock out invalid usernames: Chặn IP lặp tức nếu ai đăng nhập bằng các tên người dùng này, bạn điền mấy cái tên mà ai cũng nghĩ ra ấy, nhớ đừng có điền cái username của bạn vào nhé.
- Các tùy chọn còn lại: mấy mục này không quan trọng, bạn bật hết lên nha.
Cấu hình Rate Limiting
- How should we treat Google’s crawlers: Cách bạn xử lý các trình thu thập nội dung (các con bot đi quét nội dung của Google) dung như thế nào, bạn chọn Verified Google crawlers will not be rate-limited nhé, chúng ta cứ cho Google quét thoải mái để được index nhanh mà. Những con bot khác thì chúng ta sẽ xử lý bằng các tùy chọn bên dưới.
- If anyone’s requests exceed: nếu người dùng hoặc bot vượt quá số lần truy cập, mình chọn 120 per minute then block it (120 trang mỗi phút thì chặn IP).
- If a crawler’s page views exceed: nếu bot vượt quá số lần truy cập trang tồn tại, mình chọn 120 per minute then block it.
- If a crawler’s pages not found (404s) exceed: nếu bot vượt quá số lần truy cập trang không tồn tại, mình chọn 60 per minute then block it.
- If a human’s page views exceed: nếu người dùng vượt quá số lần truy cập trang tồn tại, mình chọn 120 per minute then block it.
- If a human’s pages not found (404s) exceed: nếu người dùng vượt quá số lần truy cập trang không tồn tại, mình chọn 60 per minute then block it.
- How long is an IP address blocked when it breaks a rule: IP sẽ bị chặn bao lâu, mình chọn 1 tháng (mức lớn nhất).
Bảo mật trang đăng nhập
Nếu bạn làm theo hướng dẫn này của Lucid Gen thì đảm bảo kẻ xấu không thể tấn công Brute Force luôn. Vì bọn chúng chưa kịp mò vào trang đăng nhập thì đã bị chặn IP rồi. Nếu vào được trang đăng nhập thì có reCAPTCHA nên không thể dò mật khẩu, lại còn thêm xác minh 2 bước. Chắc tới lúc bọn chúng xuống lỗ cũng không vào được bằng đường này.
Chặn các quốc gia
Bạn sống ở quốc gia nào thì chỉ cho quốc gia đó được truy cập trang đăng nhập, các quốc gia còn lại bị chặn hết. Ví dụ bạn ở Việt Nam thì bạn sẽ làm như thế này.
Bạn nhấp vào Blocking trên menu bên trái, ở bên phải bạn chọn Country (Quốc gia), tích chọn Login Form (Trang đăng nhập), nhấp vào Pick from list (chọn từ danh sách). Sau đó, bạn nhấp vào nút Block all ở trên, cuộn xuống dưới tìm Việt Nam để bỏ ra rồi nhấp nút Update block.
Chặn theo URL
Kẻ xấu ở nước ngoài đã không còn lại vấn đề nữa, nhưng kẻ xấu ở cùng quốc gia của bạn thì sao. Chỉ cần làm theo cách này thì bạn sẽ không phải lo nữa nha.
Logic của phần này: kẻ xấu thường cố gắng truy cập trang đăng nhập của bạn bằng các URL mặc định dễ nghĩ ra như wp-login.php, login, admin, dang-nhap, dangnhap,… Vậy thì bạn sẽ đổi URL trang đăng nhập thành một URL mà không ai nghĩ ra, chỉ bạn biết thôi. Sau đó, bạn thiết lập cho Wordfence tự động chặn những kẻ xấu cố tình thử truy cập vào các URL dễ đoán ra như trên kia. Khi chúng bị chặn rồi thì làm sao mà mò thử được nữa, mỗi lần cố chấp bọn chúng phải đổi IP, khó khăn kiểu này thì bọn chúng sẽ bỏ cuộc thôi ^_^.
Bước 1: Bạn cài đặt plugin WPS Hide Login để đổi URL đăng đăng nhập.
Hãy đổi thành một URL thật ngộ nghĩnh mà không ai nghĩ ra được. Ví dụ: url-khong-ai-nghi-ra thì đúng là URL không ai nghĩ ra thật mà ^_^.
Bước 2: Bạn vào All Options ở menu bên trái đến tìm đến phần Advanced Firewall Options. Bạn hãy dán các URL mà kẻ xấu dễ đoán ra vào mục Immediately block IPs that access these URLs (Lặp tức chặn IP những ai truy cập các URL này).
Danh sách này là ví dụ cho bạn nhé
/wp-login.php
/wp-login
/dang-nhap
/dangnhap
/login
/admin
Bật xác minh 2 bước đăng nhập
Mình khuyên bạn nên bật bảo mật 2 lớp cho bất cứ tài khoản nào quan trọng với bạn trên Internet. Ngày xưa tính năng này là năm trong Wordfence Security Premium đó nha, sau này tác giả thêm vào bản thường luôn rồi.
Bạn nhấp vào Login Security ở menu bên trái, sau đó bạn dùng Google Authenticator để thêm mã xác minh 2 bước vào thiết bị của bạn nhé.
Bật reCAPTCHA đăng nhập
Có reCAPTCHA sẽ khiến kẻ xấu khó khăn trong việc dò mật khẩu của bạn, nếu bạn đã cấu hình phần Brute Force Protection thật khắc khe giống mình rồi thì cũng có thể bỏ qua, vì hiện tại tính năng reCAPTCHA chưa tương thích với các trang sử dụng Woocommerce.
Bước 1: Để sử dụng tính năng reCAPTCHA ạn truy cập trang Google reCAPTCHA để tạo một tài khoản. Bạn chọn reCAPTCHA v3 nhé.
Bạn sẻ dùng Site key và Secret key này để điền vào Wordfence.
Bước 2: Bạn vào Login Options trên menu của Wordfence, ở bên phải bạn chọn tab Settings, cuộn xuống dưới phần Enable reCAPTCHA on the login and user registration pages (Bật reCAPTCHA cho trang đăng nhập và đăng ký) thì bạn tích vào ô và dán key vào và Save.
Quét mã độc hệ thống
Phần này khi sử dụng thì bạn sẽ yêu cầu Wordfence quét hoặc lên lịch để tự động quét. Khi có vấn đề gì Wordfence sẽ liệt kê bên dưới, bạn cứ theo đó mà fix lỗi thôi. Tuy nhiên bạn không cần phải fix hết mọi vấn đề, bạn có thể bỏ qua vì lý do của bạn.
Phần này bạn chỉ cần cấu hình một chút thôi, bạn hãy nhấp vào Scan Options and Scheduling nhé.
Vào trang cài đặt chi tiết bạn cấu hình như hướng dẫn này nhé:
- Scan Scheduling: vì chúng ta đang dùng Wordfence Security Premium nên bạn có quyền để lên lịch quét theo ý của bạn. Mình sẽ cho Wordfence quét vào giờ khuya để không ảnh hưởng hiệu năng trong giờ có nhiều truy cập.
- Basic Scan Type Options: bạn chọn mức cao nhất là High Sensitivity nhé.
- Performance Options: bạn tích vào Use low resource scanning để quét từ từ không dồn dập để giữ hiệu năng tốt cho website.
Còn phần Advanced Scan Options bạn dán 2 dòng sau vào Exclude files from scan that match these wildcard patterns (one per line) để Wordfence bỏ qua file mà bạn đã sửa để kích hoạt Premium nhé.
wp-content/plugins/wordfence/lib/*
wp-content/plugins/wordfence/lib/wordfenceClass.php
Sử dụng các công cụ khác
Các tính năng ở phần Tools (Công cụ) thì không quan trọng, nhưng nó cũng giúp ít cho bạn trong một số trường hợp.
Xem và cài đặt Live traffic
Cách sử dụng: buồn buồn vào xem chơi, thấy ông nào cố tình tấn công web nhiều lần thì tiện tay bấm vào nút block luôn.
Cài đặt:
- Traffic logging mode: chế độ nhật ký truy cập, bạn nên chọn SECURITY ONLY để Wordfence chỉ ghi nhật ký cho các truy cập nguy hiểm bị chặn thôi. Nếu bạn để chế độ all traffic sẽ khiến hiệu năng website giảm lắm đó và chúng ta không cần thiết phải ghi lại những truy cập bình thường làm gì.
- Amount of Live Traffic data to store (number of rows): số dòng nhật ký được lưu lại, càng thấp thì càng đỡ tốn tài nguyên sever của bạn nhé.
- Maximum days to keep Live Traffic data (minimum: 1): số ngày lưu giữ nhật ký, mình để 7 ngày, bạn có thể để hơn tùy vào mục đích của bạn.
- Các tùy chọn khác: không quan trọng, để nguyên.
Sử dụng Whois Lookup
Bạn dán IP hoặc domain website vào để kiểm tra thông tin nhé. Giống mấy trang Whois khác thôi.
Xuất và nhập cài đặt Wordfence cho website khác
Tính năng này khá tiện khi quản trị nhiều website WordPress. Bạn chỉ cần cấu hình chuẩn nhất cho một website rồi xuất mã cài đặt của nó để nhập vào website khác.
Cấu hình thông báo email
Hãy đảm bảo là website của bạn đã có SMTP nha để gửi email được nha. Bạn cấu hình như mình để chỉ nhận các cảnh báo quan trọng, hàng tháng sẽ có báo cáo tổng hợp. Như vậy sẽ đỡ làm phiền email của bạn đấy.
Lưu ý khi sử dụng Wordfence Premium
Plugin nào khi sử dụng cũng sẽ có lúc gặp vấn đề này kia. Mình thấy 2 vấn đề phổ biến nhất khi dùng Wordfence là lỗi khi di chuyển hosting và vô tình bạn bị chặn khỏi website của bạn luôn.
Xử lý lỗi khi di chuyển hosting
Bạn mở trình Quản lý File trên hosting để cập nhật đường dẫn /home/username/public_html/ mới cho các file sau:
- .htaccess
- .user.ini
- wordfence-waf.php
Ví dụ như mình sửa file wordfence-waf.php thì cách xem đường dẫn mới và thay vào đường dẫn cũ sẽ như thế này, sao chép ở trên dán xuống dưới thôi.
Làm gì khi bạn bị Wordfence chặn
- Cách 1: Bạn nhập email quản trị viên vào thông báo bị chặn và gửi yêu cầu mở chặn địa chỉ IP. Sau đó, bạn kiểm tra email và làm theo hướng dẫn để mở chặn địa chỉ IP của bạn.
- Cách 2: Bạn có thể bật 4G lên để thay đổi địa chỉ IP và đăng nhập lại.
- Cách 3: Bạn dùng Quản lý File trên hosting để thay đổi tên thư mục Wordfence (public_html/wp-content/plugins/wordfence), plugin sẽ tự động ngừng kích hoạt, sau khi bạn đăng nhập vào được rồi có thể đổi tên thư mục Wordfence lại và kích hoạt lại.
Lời kết
Với bài hướng dẫn sử dụng Wordfence Security Premium này mình tin rằng website của bạn sẽ bảo mật tuyệt đối, nếu như bạn không dùng các plugin không rõ nguồn gốc thì không có gì phải lo về bảo mật website WordPress của bạn nữa nha.
Bạn đã sử dụng Wordfence được chưa? Hãy để lại bình luận bên dưới để mình biết và hỗ trợ bạn nhé!
Bạn ơi của mình cài cái này bị lỗi tìm nạp sitemap thì làm thế nào
Bạn có dùng CDN không Hải? Và lỗi tìm nạp Sitemap là ở plugin nào?
Ip đã bị chặn thì có thể tùy biến gỡ ip đó ko b
Gỡ được và thêm vào whitelist được nga Vi
Wordfence Security Premium 7.5.8 Không kích hoạt bằng cách cũ được nữa. mong admin tìm ra cách
Rollback là cách đầu tiên :))
Vâng.Mình cũng phải back lại bản thấp hơn rồi. Mong bạn tìm ra cách cho bản mới này
Basic Scan Type Options: bạn chọn mức cao nhất là High Sensitivity nhé.
Performance Options: bạn tích vào Use low resource scanning để quét từ từ không dồn dập để giữ hiệu năng tốt cho website.
-> chọn 1 trong 2 cái này thì cái còn lại sẽ bị bỏ tích ạ, vậy e nên chọn cái nào?
Chào Đức, em chọn High Sensitivity trước để các cơ chế quét nâng lên cao nhất, xong em chọn Use low resource scanning để nó quét từ từ. Có nghĩa là nó sẽ chuyển thành dạng Custom Scan như hình anh minh họa đó Đức.
tức là e chọn High Sensitivity xong ấn save
sau đó e vào lại và chọn Use low resource scanning ?
Ừm Đức, vậy cũng được.
Xin chào bạn, hiện tại thì web của mình đang bị clone y hệt bài viết, cứ 30′ là bị bên khác clone. Như vậy chỉ cần làm theo hướng dẫn cài đặt Cấu hình Rate Limiting là có thể chặn hoàn toàn rồi nhỉ.
Ấy chà, bạn thử như thế này nha:
1. Limit mạnh với bot không phải của Google.
2. Bạn check IP của các web đó rồi block IP của họ. Xem thêm ở Live trafic để coi thử họ còn bot nào nữa không thì bạn block luôn.
3. Chèn watermark lên hình như mình thì họ copy cũng như quảng bá web cho mình.
Bạn thử hết xem hiệu quả thế nào rồi nhớ quay lại cho mình biết nhé ^_^
Dùng bản Premium như vậy liệu có bị phía Wordfence phát hiện và truy tố không bạn?
Chào Tuấn, không bạn nhé. Mình dùng cho tất cả trang mình quản lý. Yên tâm đi bạn
bài viết của bác chất quá
Cảm ơn Hòa!
Cảm ơn bác chia sẻ
Không có gì Toàn nhé
Cảm ơn anh rất nhiều, rất ngon mà đỡ tốn tiền, hehe
Ừm, mình cũng dùng Wordfence cho các dự án của mình. Thấy rất yên tâm