Wordfence Security Premium

Mỗi ngày Lucid Gen có khoảng 200 lần bị tấn công khi xem qua báo cáo của Wordfence. Thế nhưng mình hoàn toàn yên tâm dưới sự bảo vệ của Wordfence vì mình đang sử dụng phiên bản Premium với đầy đủ tính năng bảo mật nâng cao. Nếu bạn đang tìm một plugin bảo mật cho WordPress thì đừng bỏ qua bài viết này. Mình sẽ hướng dẫn sử dụng Wordfence Security Premium thật chi tiết, và cũng chia sẻ cách kích hoạt Premium miễn phí cho bạn luôn.

Wordfence Security là gì

Wordfence là sản phẩm của Defiant – là công ty hàng đầu thế giới về bảo mật WordPress. Plugin này có tính năng tường lửa và quét mã độc cho website WordPress.

Wordfence luôn cập nhật các quy tắc tường lửa mới nhất, chữ ký phần mềm độc hại và địa chỉ IP độc hại cần thiết để giữ an toàn cho website của bạn.

Ngoài ra, plugin này còn tích hợp thêm 2FA (Xác minh 2 bước) và một bộ các tính năng bổ sung khác. Wordfence chính là giải pháp bảo mật WordPress toàn diện nhất hiện nay.https://vi.wordpress.org/plugins/wordfence/embed/#?secret=2Zrxf0DbjD

Các tính năng của Wordfence Premium

Các tính năng bản miễn phí

  1. Firewall – Tường lửa
    • Web Application Firewall – Tường lửa ứng dụng web: tính năng giúp bảo vệ website của bạn trước các cuộc tấn công, tin tặc từ bên ngoài. Viết ngắn gọn nhưng công dụng nó là quan trọng nhất đấy.
    • Brute Force Protection – Bảo vệ tấn công Brute Force: bảo vệ website của bạn trước hình thức tấn công cổ điển, đó là thử hàng triệu tên đăng nhập và mật khẩu khác nhau để dò ra thông tin đăng nhập của bạn.
    • Block – Chặn IP: bạn có thể thêm bất cứ IP nào vào danh sách chặn truy cập website của bạn, bạn cũng có thể thêm các quy tắc để tự động chặn.
    • Rate Limiting – Giới hạn truy cập và đánh cắp nội dung: tính năng này có 2 điểm tốt. Thứ nhất là chặn được các crawler (bot thu thập thông tin) để tránh website của bạn bị quét và đánh cắp nội dung. Thứ 2 là để ngăn chặn tấn công băng thông hay DDOS, ví dụ như kẻ xấu truy cập website của bạn lên tục trong thời gian ngắn làm hao tốn tài nguyên và chậm website của bạn, khiến người dùng có trải nghiệm không tốt website của bạn.
  2. Scan – Quét mã độc: quét tất cả các tệp trên website của bạn để tìm mã độc, backdoors, shells và các loại mã độc đã biết trên dữ liệu của Wordfence.
  3. Tool – Các công cụ hỗ trợ khác
    • Live traffic – Xem truy cập thời gian thực: bạn có thể xem các lượt truy cập gần đây nhất đến từ quốc gia nào, là người dùng hay bot. Tuy nhiên chúng ta chỉ cần tập trung vào những lần truy cập bị Wordfence chặn thôi. Như Lucid Gen mỗi ngày chặn khoảng 50 IP đấy nhé.
    • Whois Lookup – Kiểm tra thông tin IP hoặc tên miền: tính năng này dễ hiểu có sẵn trên mạng nhiều, bỏ qua.
    • Import/Export Options – Nhập xuất cài đặt Wordfence: nếu bạn có nhiều website cần dùng Wordfence, bạn chỉ cần cấu hình thật chuẩn rồi xuất cài đặt đó đem qua website khác, đỡ mất công làm lại từ đầu.
  4. Login Security – Bảo mật đăng nhập
    • Xác minh 2 bước: một tính năng rất cần thiết thời bây giờ, mình có giới thiệu qua trong bài viết cách bật bảo mật 2 lớp WordPress.
    • reCAPTCHA: giúp xác định người đăng nhập có phải là robot không, không cho đăng nhâp thử liên tục, cũng có tác dụng chống Brute Force đã nêu trên.

Các tính năng bản Premium

  1. Premium của tường lửa
    • Real-time Firewall Rules – Tự thêm các quy tắc tường lửa: tường lửa của Wordfence sử dụng các quy tắc tường lửa để xác định và chặn các truy cập độc hại vào trang web của bạn, bảo vệ bạn khỏi các cuộc tấn công WordPress và lỗ hổng bảo mật mới nhất.
    • Real-time IP Blocklist – Tự chặn IP theo blacklist của Wordfence: chặn các IP thường xuyên tấn công các website WordPress, giúp bảo vệ website và tăng hiệu năng website (ý là đỡ tốn tài nguyên cho những kẻ xấu).
    • Country Blocking – Chặn IP theo quốc gia: tính năng là theo Lucid Gen là tuyệt vời nhất trong các tính năng Wordfence Security Premium. Chặn các quốc gia trên thế giới truy cập vào trang đăng nhập hoặc toàn bộ website của bạn. Mình chặn tất cả quốc gia (trừ Việt Nam) không được vào trang đăng nhập thì quá tuyệt.
  2. Premium của quét mã độc
    • Real-time Malware Signatures: tự động nhận diện phần mềm độc hại trên website của bạn theo thời gian thực, giống như các phần mềm quét virus trên máy tính vậy đó, phát hiện độc hại là nó chặn và báo liền.
    • Spamvertising Checks: kiểm tra xem website của bạn có bị “Spamvertis” (là thuật ngữ nói quảng cáo các nội dung nội dung xấu thông qua thư rác) hay không.
    • Spam Check: kiểm tra xem IP website của bạn có đang tạo ra thư rác không.
    • Blocklist Check: kiểm tra xem website của bạn có nằm trong danh sách chặn tên miền không.

Cách kích hoạt Wordfence Security Premium

Sau khi tải Wordfence về bạn đừng kích hoạt plugin mà hãy làm theo hướng dẫn này để kích hoạt key Wordfence Security Premium trước nhé.

Kích hoạt Wordfence Security Premium

Bạn dùng trình Quản lý File trên hosting hoặc dùng tính năng Sửa plugin trên wp-admin để sửa file wordfenceClass.php

wp-content/plugins/wordfence/lib/wordfenceClass.php

Bạn tìm đến dòng 2005-2009 (phiên bản sau này có thể khác một chút) để tìm các dòng sau:

		// Sync the WAF data with the database.
		$updateCountries = false;
		if (!WFWAF_SUBDIRECTORY_INSTALL && $waf = wfWAF::getInstance()) {
			$homeurl = wfUtils::wpHomeURL();
			$siteurl = wfUtils::wpSiteURL();

Sau đó, bạn thêm các dòng này vào ngay hàng phía dưới:

			wfConfig::set('isPaid', 1);
			wfConfig::set('keyType', wfAPI::KEY_TYPE_PAID_CURRENT);
			wfConfig::set('premiumNextRenew', time()+31536000);

Kết quả cuối cùng sẽ như thế này:

		// Sync the WAF data with the database.
		$updateCountries = false;
		if (!WFWAF_SUBDIRECTORY_INSTALL && $waf = wfWAF::getInstance()) {
			$homeurl = wfUtils::wpHomeURL();
			$siteurl = wfUtils::wpSiteURL();
			wfConfig::set('isPaid', 1);
			wfConfig::set('keyType', wfAPI::KEY_TYPE_PAID_CURRENT);
			wfConfig::set('premiumNextRenew', time()+31536000);

Đây là hình ảnh tổng quát quá trình kích hoạt Wordfence Security Premium nhé.

Kích hoạt Wordfence Security Premium

Kích hoạt Wordfence Security Premium

Cập nhật phiên bản mới

Khi bạn muốn cập nhật lên phiên bản mới mà vẫn giữ được Wordfence Security Premium, bạn hãy làm theo các bước sau:

Hướng dẫn sử dụng Wordfence Premium

Bây giờ Lucid Gen sẽ hướng dẫn sử dụng các tính năng nổi bật (thiết yếu) nhất của Wordfence. Một số cài đặt linh tinh khác mình không nêu trong bài này là vì nó không quá quan trọng, khi nào bạn có thời gian có thể nghiên cứu thêm và tùy chọn theo ý muốn của bạn.

Sau khi kích hoạt plugin bạn sẽ nhận được thông báo này, hãy điền email quản trị viên của bạn, chọn NO để không nhận các bản tin của Wordfence, tích vào đồng ý với điều khoản rồi nhấp Continue.

Hướng dẫn Wordfence Security Premium

Hướng dẫn Wordfence Security Premium

Khi vào trong Dashboard bạn hãy nhấp vào No thanks ở thông báo hỏi bạn có muốn tự động cập nhật phiên bản mới hay không. Cách cập nhật phải thủ công như hướng dẫn ở trên các bạn nhé.

Bạn nhấp vào No thanks để không tự động cập nhật

Bạn nhấp vào No thanks để không tự động cập nhật

Bật tường lửa và cấu hình bảo vệ website

Bật tường lửa

Cách 1: Lần đầu sử dụng Wordfence bạn sẽ thấy thông báo “To make your site as secure as possible, take a moment to optimize the Wordfence Web Application Firewall” bạn hãy nhấp vào nút CLICK HERE TO CONFIGURE. Sau đó, bạn nhấp nút DOWNLOAD và CONTINUE để hoàn tất.

Cách 2: Bạn nhấp vào Firewall trên menu bên trái, ở bên phải bạn vào mục All Firewall Options rồi nhấp vào nút OPTIMIZE THE WORDFENCE FIREWALL. Sau đó, bạn nhấp nút DOWNLOAD và CONTINUE để hoàn tất.

Hướng dẫn bật tường lửa Wordfence Security Premium

Hướng dẫn bật tường lửa Wordfence Security Premium

Bạn đã bật tường lửa xong rồi. Nhưng mới sử dụng thì Wordfence sẽ để Web Application Firewall Status ở chế độ Learning mode, bạn cứ để đó cho nó học xong thì nó tự nhảy qua Enable and Protecting thôi.

Đã bật tường lửa cho Wordfence Security Premium

Đã bật tường lửa cho Wordfence Security Premium

Cấu hình Brute Force Protection

Hướng dẫn cấu hình Brute Force Protection Wordfence Security Premium

Hướng dẫn cấu hình Brute Force Protection Wordfence Security Premium

Cấu hình Rate Limiting

Hướng dẫn cấu hình Rate Limiting Wordfence Security Premium

Hướng dẫn cấu hình Rate Limiting Wordfence Security Premium

Bảo mật trang đăng nhập

Nếu bạn làm theo hướng dẫn này của Lucid Gen thì đảm bảo kẻ xấu không thể tấn công Brute Force luôn. Vì bọn chúng chưa kịp mò vào trang đăng nhập thì đã bị chặn IP rồi. Nếu vào được trang đăng nhập thì có reCAPTCHA nên không thể dò mật khẩu, lại còn thêm xác minh 2 bước. Chắc tới lúc bọn chúng xuống lỗ cũng không vào được bằng đường này.

Hướng dẫn bảo mật trang đăng nhập với Wordfence Security Premium

Hướng dẫn bảo mật trang đăng nhập với Wordfence Security Premium

Chặn các quốc gia

Bạn sống ở quốc gia nào thì chỉ cho quốc gia đó được truy cập trang đăng nhập, các quốc gia còn lại bị chặn hết. Ví dụ bạn ở Việt Nam thì bạn sẽ làm như thế này.

Bạn nhấp vào Blocking trên menu bên trái, ở bên phải bạn chọn Country (Quốc gia), tích chọn Login Form (Trang đăng nhập), nhấp vào Pick from list (chọn từ danh sách). Sau đó, bạn nhấp vào nút Block all ở trên, cuộn xuống dưới tìm Việt Nam để bỏ ra rồi nhấp nút Update block.

Hướng dẫn chặn quốc gia (country blocking) Wordfence Security Premium

Hướng dẫn chặn quốc gia (country blocking) Wordfence Security Premium

Chặn theo URL

Kẻ xấu ở nước ngoài đã không còn lại vấn đề nữa, nhưng kẻ xấu ở cùng quốc gia của bạn thì sao. Chỉ cần làm theo cách này thì bạn sẽ không phải lo nữa nha.

Logic của phần này: kẻ xấu thường cố gắng truy cập trang đăng nhập của bạn bằng các URL mặc định dễ nghĩ ra như wp-login.php, login, admin, dang-nhap, dangnhap,… Vậy thì bạn sẽ đổi URL trang đăng nhập thành một URL mà không ai nghĩ ra, chỉ bạn biết thôi. Sau đó, bạn thiết lập cho Wordfence tự động chặn những kẻ xấu cố tình thử truy cập vào các URL dễ đoán ra như trên kia. Khi chúng bị chặn rồi thì làm sao mà mò thử được nữa, mỗi lần cố chấp bọn chúng phải đổi IP, khó khăn kiểu này thì bọn chúng sẽ bỏ cuộc thôi ^_^.

Bước 1: Bạn cài đặt plugin WPS Hide Login để đổi URL đăng đăng nhập.https://vi.wordpress.org/plugins/wps-hide-login/embed/#?secret=WNhGnJQ3Fj

Hãy đổi thành một URL thật ngộ nghĩnh mà không ai nghĩ ra được. Ví dụ: url-khong-ai-nghi-ra thì đúng là URL không ai nghĩ ra thật mà ^_^.

Thay đổi URL trang đăng nhập WordPress bằng WPS Hide Login

Thay đổi URL trang đăng nhập WordPress bằng WPS Hide Login

Bước 2: Bạn vào All Options ở menu bên trái đến tìm đến phần Advanced Firewall Options. Bạn hãy dán các URL mà kẻ xấu dễ đoán ra vào mục Immediately block IPs that access these URLs (Lặp tức chặn IP những ai truy cập các URL này).

Danh sách này là ví dụ cho bạn nhé
/wp-login.php
/wp-login
/dang-nhap
/dangnhap
/login
/admin

Hướng dẫn chặn theo URL trên Wordfence Security Premium

Hướng dẫn chặn theo URL trên Wordfence Security Premium

Bật xác minh 2 bước đăng nhập

Mình khuyên bạn nên bật bảo mật 2 lớp cho bất cứ tài khoản nào quan trọng với bạn trên Internet. Ngày xưa tính năng này là năm trong Wordfence Security Premium đó nha, sau này tác giả thêm vào bản thường luôn rồi.

Bạn nhấp vào Login Security ở menu bên trái, sau đó bạn dùng Google Authenticator để thêm mã xác minh 2 bước vào thiết bị của bạn nhé.

Hướng dẫn bật xác minh 2 bước trên Wordfence Security Premium

Hướng dẫn bật xác minh 2 bước trên Wordfence Security Premium

Bật reCAPTCHA đăng nhập

Có reCAPTCHA sẽ khiến kẻ xấu khó khăn trong việc dò mật khẩu của bạn, nếu bạn đã cấu hình phần Brute Force Protection thật khắc khe giống mình rồi thì cũng có thể bỏ qua, vì hiện tại tính năng reCAPTCHA chưa tương thích với các trang sử dụng Woocommerce.

Bước 1: Để sử dụng tính năng reCAPTCHA ạn truy cập trang Google reCAPTCHA để tạo một tài khoản. Bạn chọn reCAPTCHA v3 nhé.

Đăng ký reCAPTCHA v3

Đăng ký reCAPTCHA v3

Bạn sẻ dùng Site key và Secret key này để điền vào Wordfence.

Mã reCAPTCHA v3

Mã reCAPTCHA v3

Bước 2: Bạn vào Login Options trên menu của Wordfence, ở bên phải bạn chọn tab Settings, cuộn xuống dưới phần Enable reCAPTCHA on the login and user registration pages (Bật reCAPTCHA cho trang đăng nhập và đăng ký) thì bạn tích vào ô và dán key vào và Save.

Hướng dẫn sử dụng reCAPTCHA của Wordfence Security Premium

Hướng dẫn sử dụng reCAPTCHA của Wordfence Security Premium

Quét mã độc hệ thống

Phần này khi sử dụng thì bạn sẽ yêu cầu Wordfence quét hoặc lên lịch để tự động quét. Khi có vấn đề gì Wordfence sẽ liệt kê bên dưới, bạn cứ theo đó mà fix lỗi thôi. Tuy nhiên bạn không cần phải fix hết mọi vấn đề, bạn có thể bỏ qua vì lý do của bạn.

Phần này bạn chỉ cần cấu hình một chút thôi, bạn hãy nhấp vào Scan Options and Scheduling nhé.

Hướng dẫn sử dụng quét mã độc của Wordfence Security Premium

Hướng dẫn sử dụng quét mã độc của Wordfence Security Premium

Vào trang cài đặt chi tiết bạn cấu hình như hướng dẫn này nhé:

Còn phần Advanced Scan Options bạn dán 2 dòng sau vào Exclude files from scan that match these wildcard patterns (one per line) để Wordfence bỏ qua file mà bạn đã sửa để kích hoạt Premium nhé.

wp-content/plugins/wordfence/lib/*
wp-content/plugins/wordfence/lib/wordfenceClass.php

Hướng dẫn sử dụng Scan của Wordfence Security Premium

Hướng dẫn sử dụng Scan của Wordfence Security Premium

Sử dụng các công cụ khác

Các tính năng ở phần Tools (Công cụ) thì không quan trọng, nhưng nó cũng giúp ít cho bạn trong một số trường hợp.

Xem và cài đặt Live traffic

Cách sử dụng: buồn buồn vào xem chơi, thấy ông nào cố tình tấn công web nhiều lần thì tiện tay bấm vào nút block luôn.

Cài đặt:

Hướng dẫn sử dụng Live traffic của Wordfence Security Premium

Hướng dẫn sử dụng Live traffic của Wordfence Security Premium

Sử dụng Whois Lookup

Bạn dán IP hoặc domain website vào để kiểm tra thông tin nhé. Giống mấy trang Whois khác thôi.

Hướng dẫn sủ dụng Whois của Wordfence Security Premium

Hướng dẫn sủ dụng Whois của Wordfence Security Premium

Xuất và nhập cài đặt Wordfence cho website khác

Tính năng này khá tiện khi quản trị nhiều website WordPress. Bạn chỉ cần cấu hình chuẩn nhất cho một website rồi xuất mã cài đặt của nó để nhập vào website khác.

Hướng dẫn xuất nhập cài đặt Wordfence

Hướng dẫn xuất nhập cài đặt Wordfence

Cấu hình thông báo email

Hãy đảm bảo là website của bạn đã có SMTP nha để gửi email được nha. Bạn cấu hình như mình để chỉ nhận các cảnh báo quan trọng, hàng tháng sẽ có báo cáo tổng hợp. Như vậy sẽ đỡ làm phiền email của bạn đấy.

Hướng dẫn cài đặt email cho Wordfence Security Premium

Hướng dẫn cài đặt email cho Wordfence Security Premium

Lưu ý khi sử dụng Wordfence Premium

Plugin nào khi sử dụng cũng sẽ có lúc gặp vấn đề này kia. Mình thấy 2 vấn đề phổ biến nhất khi dùng Wordfence là lỗi khi di chuyển hosting và vô tình bạn bị chặn khỏi website của bạn luôn.

Xử lý lỗi khi di chuyển hosting

Bạn mở trình Quản lý File trên hosting để cập nhật đường dẫn /home/username/public_html/ mới cho các file sau:

Hướng dẫn xử lý lỗi khi di chuyển hosting của Wordfence Security Premium

Hướng dẫn xử lý lỗi khi di chuyển hosting của Wordfence Security Premium

Ví dụ như mình sửa file wordfence-waf.php thì cách xem đường dẫn mới và thay vào đường dẫn cũ sẽ như thế này, sao chép ở trên dán xuống dưới thôi.

Thay thế đường dẫn mới vào rồi lưu file

Thay thế đường dẫn mới vào rồi lưu file

Làm gì khi bạn bị Wordfence chặn

Lời kết

Với bài hướng dẫn sử dụng Wordfence Security Premium này mình tin rằng website của bạn sẽ bảo mật tuyệt đối, nếu như bạn không dùng các plugin không rõ nguồn gốc thì không có gì phải lo về bảo mật website WordPress của bạn nữa nha.

Bạn đã sử dụng Wordfence được chưa? Hãy để lại bình luận bên dưới để mình biết và hỗ trợ bạn nhé!

Because advertising and marketing is an art, the each new problem or challenge should begin canvas and an open mind with the nervous.

Borrowings of other people’s mediocrities. Tha what ‘trends’ are – a search for something.

0
Rất thích suy nghĩ của bạn, hãy bình luận.x
()
x

Wordfence Security Premium

Home plugin Wordfence Security Premium

Wordfence Security là gì

Wordfence là sản phẩm của Defiant – là công ty hàng đầu thế giới về bảo mật WordPress. Plugin này

Các tính năng của Wordfence Premium

Các tính năng bản miễn phí

Các tính năng bản miễn phí

Firewall – Tường lửa Web Application Firewall – Tường lửa ứng dụng web: tính năng giúp bảo vệ website của bạn

Các tính năng bản Premium

Premium của tường lửa Real-time Firewall Rules – Tự thêm các quy tắc tường lửa: tường lửa của Wordfence sử dụng

Cách kích hoạt Wordfence Security Premium

Sau khi tải Wordfence về bạn đừng kích hoạt plugin mà hãy làm theo hướng dẫn này để kích hoạt

Kích hoạt Wordfence Security Premium

Bạn dùng trình Quản lý File trên hosting hoặc dùng tính năng Sửa plugin trên wp-admin để sửa file wordfenceClass.php

Cập nhật phiên bản mới

Khi bạn muốn cập nhật lên phiên bản mới mà vẫn giữ được Wordfence Security Premium, bạn hãy làm theo

Hướng dẫn sử dụng Wordfence Premium

Bây giờ Lucid Gen sẽ hướng dẫn sử dụng các tính năng nổi bật (thiết yếu) nhất của Wordfence. Một

Bật tường lửa và cấu hình bảo vệ website

Bật tường lửa

Bảo mật trang đăng nhập

Nếu bạn làm theo hướng dẫn này của Lucid Gen thì đảm bảo kẻ xấu không thể tấn công Brute

Quét mã độc hệ thống

Phần này khi sử dụng thì bạn sẽ yêu cầu Wordfence quét hoặc lên lịch để tự động quét. Khi

Sử dụng các công cụ khác

Các tính năng ở phần Tools (Công cụ) thì không quan trọng, nhưng nó cũng giúp ít cho bạn trong một số

Cấu hình thông báo email

Hãy đảm bảo là website của bạn đã có SMTP nha để gửi email được nha. Bạn cấu hình như

Lưu ý khi sử dụng Wordfence Premium

Plugin nào khi sử dụng cũng sẽ có lúc gặp vấn đề này kia. Mình thấy 2 vấn đề phổ

Xử lý lỗi khi di chuyển hosting

Bạn mở trình Quản lý File trên hosting để cập nhật đường dẫn /home/username/public_html/ mới cho các file sau:

Làm gì khi bạn bị Wordfence chặn

Cách 1: Bạn nhập email quản trị viên vào thông báo bị chặn và gửi yêu cầu mở chặn địa chỉ

Lời kết

Với bài hướng dẫn sử dụng Wordfence Security Premium này mình tin rằng website của bạn sẽ bảo mật tuyệt

Basic links

contact details

newsletter

Subscribe For Newsletter

SubscribeSubscribe now

  • Wordfence Security Premium
  • Wordfence Security là gì
  • Các tính năng của Wordfence Premium
  • Các tính năng bản miễn phí
  • Các tính năng bản Premium
  • Cách kích hoạt Wordfence Security Premium
  • Kích hoạt Wordfence Security Premium
  • Cập nhật phiên bản mới
  • Hướng dẫn sử dụng Wordfence Premium
  • Bật tường lửa và cấu hình bảo vệ website
  • Bảo mật trang đăng nhập
  • Quét mã độc hệ thống
  • Sử dụng các công cụ khác
  • Cấu hình thông báo email
  • Lưu ý khi sử dụng Wordfence Premium
  • Xử lý lỗi khi di chuyển hosting
  • Làm gì khi bạn bị Wordfence chặn
  • Lời kết
  • Basic links
  • contact details
  • newsletter
  • Subscribe For Newsletter