Tấn công brute force là một hình thức tấn công bảo mật trong đó kẻ tấn công sử dụng các phần mềm tự động để thử nhiều lần các tổ hợp tên đăng nhập và mật khẩu nhằm truy cập trái phép vào trang web. Loại tấn công này không chỉ đe dọa an ninh của website mà còn gây tải nặng lên máy chủ, làm chậm hoặc thậm chí khiến trang web ngừng hoạt động.
Để bảo vệ WordPress khỏi các cuộc tấn công brute force, có một số phương pháp bạn có thể áp dụng. Bài viết này sẽ hướng dẫn cách sử dụng các plugin bảo mật phổ biến như Jetpack và All In One WP Security & Firewall để ngăn chặn tấn công brute force một cách hiệu quả.
1. Sử dụng Plugin Jetpack Để Ngăn Chặn Brute Force
Jetpack là một trong những plugin phổ biến nhất dành cho WordPress và cung cấp nhiều tính năng bảo mật, bao gồm cả ngăn chặn tấn công brute force.
- Bước 1: Truy cập vào Jetpack > Cài đặt từ bảng điều khiển WordPress.
- Bước 2: Tại tab Bảo mật, kéo xuống và kích hoạt tính năng Bảo vệ để chống lại các cuộc tấn công brute force.
Jetpack sẽ tự động bảo vệ trang web của bạn mà không cần bất kỳ cài đặt phức tạp nào. Tuy nhiên, bạn cũng có thể cấu hình danh sách IP được phép truy cập vào trang đăng nhập của mình, chỉ cho phép các IP cụ thể có quyền đăng nhập vào bảng điều khiển quản trị.
2. Sử dụng Plugin All In One WP Security & Firewall
Nếu bạn muốn có nhiều tùy chọn bảo mật hơn, plugin All In One WP Security & Firewall sẽ là lựa chọn tuyệt vời. Đây là plugin miễn phí với nhiều tính năng bảo mật nâng cao giúp bảo vệ trang web khỏi các cuộc tấn công brute force.
- Bước 1: Cài đặt và kích hoạt plugin từ bảng điều khiển WordPress.
- Bước 2: Truy cập vào WP Security > Brute Force để cấu hình các tùy chọn bảo vệ.
Plugin này cung cấp nhiều tùy chọn như hạn chế số lần đăng nhập, tạo captcha cho biểu mẫu đăng nhập, và thậm chí đổi tên URL trang đăng nhập để khó đoán hơn.
3. Đổi đường dẫn Đăng Nhập
Một trong những cách đơn giản nhưng hiệu quả để ngăn chặn tấn công brute force là đổi tên trang đăng nhập mặc định của WordPress (thường là /wp-admin/ hoặc /wp-login.php). Điều này sẽ khiến kẻ tấn công khó đoán địa chỉ chính xác để tấn công.
- Bước 1: Trong mục WP Security > Brute Force của plugin All In One WP Security, kích hoạt tính năng Enable Rename Login Page.
- Bước 2: Đặt một tên URL đăng nhập mới mà bạn khó đoán, ví dụ như “/login-private”.
4. Sử Dụng Cookie Để Chống Tấn Công Brute Force
Tính năng dựa trên cookie cho phép bạn yêu cầu người dùng nhập một mật khẩu đặc biệt trong URL để truy cập trang đăng nhập.
- Bước 1: Bật tính năng Enable Brute Force Login Prevention trong phần cấu hình của plugin.
- Bước 2: Cung cấp một mật khẩu bí mật để sử dụng trong URL khi truy cập trang đăng nhập.
Ví dụ, nếu bạn cài đặt mật khẩu là “test”, thì để truy cập trang đăng nhập, bạn sẽ phải thêm vào URL chuỗi “/?test=1”.
5. Sử Dụng Captcha Cho Biểu Mẫu Đăng Nhập
Nếu bạn có nhiều người dùng đăng nhập vào trang web của mình, việc thêm captcha vào biểu mẫu đăng nhập sẽ giúp ngăn chặn các cuộc tấn công brute force tự động một cách hiệu quả mà không ảnh hưởng đến trải nghiệm người dùng.
- Bước 1: Trong plugin All In One WP Security, vào mục Login Captcha và bật tùy chọn captcha cho trang đăng nhập.
- Bước 2: Bạn có thể kích hoạt captcha trên các biểu mẫu khác như biểu mẫu đăng ký hoặc yêu cầu khôi phục mật khẩu.
6. Cấu Hình Danh Sách Trắng IP (Whitelist IP)
Tương tự như Jetpack, plugin All In One WP Security cũng cung cấp tính năng cho phép bạn tạo danh sách trắng IP. Điều này giúp bạn chỉ cho phép các IP cụ thể có quyền truy cập vào trang đăng nhập, chặn tất cả các IP khác.
- Bước 1: Truy cập vào WP Security > Brute Force > Login Whitelist và nhập các địa chỉ IP mà bạn muốn cho phép truy cập.
7. Kích Hoạt Bảo Vệ Honeypot
Tính năng honeypot thêm một trường ẩn vào biểu mẫu đăng nhập mà chỉ có các bot tự động mới nhìn thấy và cố gắng điền vào. Nếu trường này được điền, hệ thống sẽ tự động chặn truy cập.
- Bước 1: Bật tính năng Enable Honeypot on Login Page trong plugin All In One WP Security.
8. Giới Hạn Số Lần Đăng Nhập
Một cách đơn giản nhưng hiệu quả khác để ngăn chặn brute force là giới hạn số lần đăng nhập sai. Nếu một địa chỉ IP cố gắng đăng nhập quá nhiều lần không thành công, plugin sẽ tự động khóa IP đó.
- Bước 1: Trong All In One WP Security, vào mục Login Lockdown và cấu hình số lần thử đăng nhập được phép.
Kết Luận
Bằng cách sử dụng các plugin như Jetpack và All In One WP Security & Firewall, bạn có thể bảo vệ trang web WordPress của mình khỏi các cuộc tấn công brute force một cách hiệu quả. Hãy nhớ chỉ kích hoạt các tính năng bảo mật cần thiết cho trang web của bạn và kiểm tra kỹ trước khi thực hiện thay đổi.