Mỗi ngày Lucid Gen có khoảng 200 lần bị tấn công khi xem qua báo cáo của Wordfence. Thế nhưng mình hoàn toàn yên tâm dưới sự bảo vệ của Wordfence vì mình đang sử dụng phiên bản Premium với đầy đủ tính năng bảo mật nâng cao. Nếu bạn đang tìm một plugin bảo mật cho WordPress thì đừng bỏ qua bài viết này. Mình sẽ hướng dẫn sử dụng Wordfence Security Premium thật chi tiết, và cũng chia sẻ cách kích hoạt Premium miễn phí cho bạn luôn.
Wordfence là sản phẩm của Defiant – là công ty hàng đầu thế giới về bảo mật WordPress. Plugin này có tính năng tường lửa và quét mã độc cho website WordPress.
Wordfence luôn cập nhật các quy tắc tường lửa mới nhất, chữ ký phần mềm độc hại và địa chỉ IP độc hại cần thiết để giữ an toàn cho website của bạn.
Ngoài ra, plugin này còn tích hợp thêm 2FA (Xác minh 2 bước) và một bộ các tính năng bổ sung khác. Wordfence chính là giải pháp bảo mật WordPress toàn diện nhất hiện nay.https://vi.wordpress.org/plugins/wordfence/embed/#?secret=2Zrxf0DbjD
Sau khi tải Wordfence về bạn đừng kích hoạt plugin mà hãy làm theo hướng dẫn này để kích hoạt key Wordfence Security Premium trước nhé.
Bạn dùng trình Quản lý File trên hosting hoặc dùng tính năng Sửa plugin trên wp-admin để sửa file wordfenceClass.php
wp-content/plugins/wordfence/lib/wordfenceClass.php
Bạn tìm đến dòng 2005-2009 (phiên bản sau này có thể khác một chút) để tìm các dòng sau:
// Sync the WAF data with the database.
$updateCountries = false;
if (!WFWAF_SUBDIRECTORY_INSTALL && $waf = wfWAF::getInstance()) {
$homeurl = wfUtils::wpHomeURL();
$siteurl = wfUtils::wpSiteURL();
Sau đó, bạn thêm các dòng này vào ngay hàng phía dưới:
wfConfig::set('isPaid', 1);
wfConfig::set('keyType', wfAPI::KEY_TYPE_PAID_CURRENT);
wfConfig::set('premiumNextRenew', time()+31536000);
Kết quả cuối cùng sẽ như thế này:
// Sync the WAF data with the database.
$updateCountries = false;
if (!WFWAF_SUBDIRECTORY_INSTALL && $waf = wfWAF::getInstance()) {
$homeurl = wfUtils::wpHomeURL();
$siteurl = wfUtils::wpSiteURL();
wfConfig::set('isPaid', 1);
wfConfig::set('keyType', wfAPI::KEY_TYPE_PAID_CURRENT);
wfConfig::set('premiumNextRenew', time()+31536000);
Đây là hình ảnh tổng quát quá trình kích hoạt Wordfence Security Premium nhé.
Kích hoạt Wordfence Security Premium
Khi bạn muốn cập nhật lên phiên bản mới mà vẫn giữ được Wordfence Security Premium, bạn hãy làm theo các bước sau:
Bây giờ Lucid Gen sẽ hướng dẫn sử dụng các tính năng nổi bật (thiết yếu) nhất của Wordfence. Một số cài đặt linh tinh khác mình không nêu trong bài này là vì nó không quá quan trọng, khi nào bạn có thời gian có thể nghiên cứu thêm và tùy chọn theo ý muốn của bạn.
Sau khi kích hoạt plugin bạn sẽ nhận được thông báo này, hãy điền email quản trị viên của bạn, chọn NO để không nhận các bản tin của Wordfence, tích vào đồng ý với điều khoản rồi nhấp Continue.
Hướng dẫn Wordfence Security Premium
Khi vào trong Dashboard bạn hãy nhấp vào No thanks ở thông báo hỏi bạn có muốn tự động cập nhật phiên bản mới hay không. Cách cập nhật phải thủ công như hướng dẫn ở trên các bạn nhé.
Bạn nhấp vào No thanks để không tự động cập nhật
Cách 1: Lần đầu sử dụng Wordfence bạn sẽ thấy thông báo “To make your site as secure as possible, take a moment to optimize the Wordfence Web Application Firewall” bạn hãy nhấp vào nút CLICK HERE TO CONFIGURE. Sau đó, bạn nhấp nút DOWNLOAD và CONTINUE để hoàn tất.
Cách 2: Bạn nhấp vào Firewall trên menu bên trái, ở bên phải bạn vào mục All Firewall Options rồi nhấp vào nút OPTIMIZE THE WORDFENCE FIREWALL. Sau đó, bạn nhấp nút DOWNLOAD và CONTINUE để hoàn tất.
Hướng dẫn bật tường lửa Wordfence Security Premium
Bạn đã bật tường lửa xong rồi. Nhưng mới sử dụng thì Wordfence sẽ để Web Application Firewall Status ở chế độ Learning mode, bạn cứ để đó cho nó học xong thì nó tự nhảy qua Enable and Protecting thôi.
Đã bật tường lửa cho Wordfence Security Premium
Hướng dẫn cấu hình Brute Force Protection Wordfence Security Premium
Hướng dẫn cấu hình Rate Limiting Wordfence Security Premium
Nếu bạn làm theo hướng dẫn này của Lucid Gen thì đảm bảo kẻ xấu không thể tấn công Brute Force luôn. Vì bọn chúng chưa kịp mò vào trang đăng nhập thì đã bị chặn IP rồi. Nếu vào được trang đăng nhập thì có reCAPTCHA nên không thể dò mật khẩu, lại còn thêm xác minh 2 bước. Chắc tới lúc bọn chúng xuống lỗ cũng không vào được bằng đường này.
Hướng dẫn bảo mật trang đăng nhập với Wordfence Security Premium
Bạn sống ở quốc gia nào thì chỉ cho quốc gia đó được truy cập trang đăng nhập, các quốc gia còn lại bị chặn hết. Ví dụ bạn ở Việt Nam thì bạn sẽ làm như thế này.
Bạn nhấp vào Blocking trên menu bên trái, ở bên phải bạn chọn Country (Quốc gia), tích chọn Login Form (Trang đăng nhập), nhấp vào Pick from list (chọn từ danh sách). Sau đó, bạn nhấp vào nút Block all ở trên, cuộn xuống dưới tìm Việt Nam để bỏ ra rồi nhấp nút Update block.
Hướng dẫn chặn quốc gia (country blocking) Wordfence Security Premium
Kẻ xấu ở nước ngoài đã không còn lại vấn đề nữa, nhưng kẻ xấu ở cùng quốc gia của bạn thì sao. Chỉ cần làm theo cách này thì bạn sẽ không phải lo nữa nha.
Logic của phần này: kẻ xấu thường cố gắng truy cập trang đăng nhập của bạn bằng các URL mặc định dễ nghĩ ra như wp-login.php, login, admin, dang-nhap, dangnhap,… Vậy thì bạn sẽ đổi URL trang đăng nhập thành một URL mà không ai nghĩ ra, chỉ bạn biết thôi. Sau đó, bạn thiết lập cho Wordfence tự động chặn những kẻ xấu cố tình thử truy cập vào các URL dễ đoán ra như trên kia. Khi chúng bị chặn rồi thì làm sao mà mò thử được nữa, mỗi lần cố chấp bọn chúng phải đổi IP, khó khăn kiểu này thì bọn chúng sẽ bỏ cuộc thôi ^_^.
Bước 1: Bạn cài đặt plugin WPS Hide Login để đổi URL đăng đăng nhập.https://vi.wordpress.org/plugins/wps-hide-login/embed/#?secret=WNhGnJQ3Fj
Hãy đổi thành một URL thật ngộ nghĩnh mà không ai nghĩ ra được. Ví dụ: url-khong-ai-nghi-ra thì đúng là URL không ai nghĩ ra thật mà ^_^.
Thay đổi URL trang đăng nhập WordPress bằng WPS Hide Login
Bước 2: Bạn vào All Options ở menu bên trái đến tìm đến phần Advanced Firewall Options. Bạn hãy dán các URL mà kẻ xấu dễ đoán ra vào mục Immediately block IPs that access these URLs (Lặp tức chặn IP những ai truy cập các URL này).
Danh sách này là ví dụ cho bạn nhé
/wp-login.php
/wp-login
/dang-nhap
/dangnhap
/login
/admin
Hướng dẫn chặn theo URL trên Wordfence Security Premium
Mình khuyên bạn nên bật bảo mật 2 lớp cho bất cứ tài khoản nào quan trọng với bạn trên Internet. Ngày xưa tính năng này là năm trong Wordfence Security Premium đó nha, sau này tác giả thêm vào bản thường luôn rồi.
Bạn nhấp vào Login Security ở menu bên trái, sau đó bạn dùng Google Authenticator để thêm mã xác minh 2 bước vào thiết bị của bạn nhé.
Hướng dẫn bật xác minh 2 bước trên Wordfence Security Premium
Có reCAPTCHA sẽ khiến kẻ xấu khó khăn trong việc dò mật khẩu của bạn, nếu bạn đã cấu hình phần Brute Force Protection thật khắc khe giống mình rồi thì cũng có thể bỏ qua, vì hiện tại tính năng reCAPTCHA chưa tương thích với các trang sử dụng Woocommerce.
Bước 1: Để sử dụng tính năng reCAPTCHA ạn truy cập trang Google reCAPTCHA để tạo một tài khoản. Bạn chọn reCAPTCHA v3 nhé.
Đăng ký reCAPTCHA v3
Bạn sẻ dùng Site key và Secret key này để điền vào Wordfence.
Mã reCAPTCHA v3
Bước 2: Bạn vào Login Options trên menu của Wordfence, ở bên phải bạn chọn tab Settings, cuộn xuống dưới phần Enable reCAPTCHA on the login and user registration pages (Bật reCAPTCHA cho trang đăng nhập và đăng ký) thì bạn tích vào ô và dán key vào và Save.
Hướng dẫn sử dụng reCAPTCHA của Wordfence Security Premium
Phần này khi sử dụng thì bạn sẽ yêu cầu Wordfence quét hoặc lên lịch để tự động quét. Khi có vấn đề gì Wordfence sẽ liệt kê bên dưới, bạn cứ theo đó mà fix lỗi thôi. Tuy nhiên bạn không cần phải fix hết mọi vấn đề, bạn có thể bỏ qua vì lý do của bạn.
Phần này bạn chỉ cần cấu hình một chút thôi, bạn hãy nhấp vào Scan Options and Scheduling nhé.
Hướng dẫn sử dụng quét mã độc của Wordfence Security Premium
Vào trang cài đặt chi tiết bạn cấu hình như hướng dẫn này nhé:
Còn phần Advanced Scan Options bạn dán 2 dòng sau vào Exclude files from scan that match these wildcard patterns (one per line) để Wordfence bỏ qua file mà bạn đã sửa để kích hoạt Premium nhé.
wp-content/plugins/wordfence/lib/*
wp-content/plugins/wordfence/lib/wordfenceClass.php
Hướng dẫn sử dụng Scan của Wordfence Security Premium
Các tính năng ở phần Tools (Công cụ) thì không quan trọng, nhưng nó cũng giúp ít cho bạn trong một số trường hợp.
Cách sử dụng: buồn buồn vào xem chơi, thấy ông nào cố tình tấn công web nhiều lần thì tiện tay bấm vào nút block luôn.
Cài đặt:
Hướng dẫn sử dụng Live traffic của Wordfence Security Premium
Bạn dán IP hoặc domain website vào để kiểm tra thông tin nhé. Giống mấy trang Whois khác thôi.
Hướng dẫn sủ dụng Whois của Wordfence Security Premium
Tính năng này khá tiện khi quản trị nhiều website WordPress. Bạn chỉ cần cấu hình chuẩn nhất cho một website rồi xuất mã cài đặt của nó để nhập vào website khác.
Hướng dẫn xuất nhập cài đặt Wordfence
Hãy đảm bảo là website của bạn đã có SMTP nha để gửi email được nha. Bạn cấu hình như mình để chỉ nhận các cảnh báo quan trọng, hàng tháng sẽ có báo cáo tổng hợp. Như vậy sẽ đỡ làm phiền email của bạn đấy.
Hướng dẫn cài đặt email cho Wordfence Security Premium
Plugin nào khi sử dụng cũng sẽ có lúc gặp vấn đề này kia. Mình thấy 2 vấn đề phổ biến nhất khi dùng Wordfence là lỗi khi di chuyển hosting và vô tình bạn bị chặn khỏi website của bạn luôn.
Bạn mở trình Quản lý File trên hosting để cập nhật đường dẫn /home/username/public_html/ mới cho các file sau:
Hướng dẫn xử lý lỗi khi di chuyển hosting của Wordfence Security Premium
Ví dụ như mình sửa file wordfence-waf.php thì cách xem đường dẫn mới và thay vào đường dẫn cũ sẽ như thế này, sao chép ở trên dán xuống dưới thôi.
Thay thế đường dẫn mới vào rồi lưu file
Với bài hướng dẫn sử dụng Wordfence Security Premium này mình tin rằng website của bạn sẽ bảo mật tuyệt đối, nếu như bạn không dùng các plugin không rõ nguồn gốc thì không có gì phải lo về bảo mật website WordPress của bạn nữa nha.
Bạn đã sử dụng Wordfence được chưa? Hãy để lại bình luận bên dưới để mình biết và hỗ trợ bạn nhé!