Những nguyên nhân có thể khiến website bị hack

Một ngày đẹp trời, bạn ghé thăm blog/ website của mình và bàng hoàng phát hiện ra nó đã bị hack. Có nhiều hậu quả khác nhau của vấn đề này: website bị thay đổi giao diện, bị chuyển hướng sang website khác, bị chiếm quyền quản trị, bị chèn backlink ẩn, quảng cáo và các đoạn script độc hại… Nguyên nhân đầu tiên mà bạn thường nghĩ đến trong những tình huống như vậy là gì? Do theme/ plugin “không sạch”, hay là do hosting bảo mật kém? Tất cả đều có thể.

Click Để Xem Nhanh

1. Những nguyên nhân nào có thể khiến website bị hack?
- 1.1. Nguyên nhân chủ quan
- 1.2. Nguyên nhân khách quan
  - 1.2.1. 7. Do host bảo mật kém
  - 1.2.2. 8. Do WordPress, theme, plugin còn tồn tại nhiều lỗ hổng bảo mật
2. 36 Lời khuyên giúp bạn bảo mật WordPress

Những nguyên nhân có thể khiến website bị hack và cách phòng tránh.

nguyen-nhan-co-the-khien-website-bi-hack

Tham khảo thêm:

Những nguyên nhân nào có thể khiến website bị hack?

Có rất nhiều nguyên nhân khác nhau có thể dẫn đến việc website của bạn bị hack. Chúng được chia làm 2 nhóm: nguyên nhân chủ quan và nguyên nhân khách quan.

Nguyên nhân chủ quan

Nhóm nguyên nhân chủ quan thường là do thói quen xấu của chính bạn. Và trong trường hợp này – ” tiên trách kỷ, hậu trách nhân”.

1. Sử dụng theme, plugin “lậu” (nulled), không rõ nguồn gốc

Tôi dám chắc rằng rất nhiều bạn ở đây đang hoặc đã từng sử dụng theme, plugin WordPress “lậu”. Chúng là những sản phẩm trả phí nhưng lại được chia sẻ miễn phí một cách tràn lan trên internet. Và không phải tự nhiên mà có nhiều người lại rảnh rỗi để đi làm điều đó. Khi chia sẻ theme, plugin, họ thường “tặng kèm” luôn cả malware, backdoor, backlink ẩn… và các loại iframe, script độc hại khác. Nếu bạn không may sử dụng phải những sản phẩm dạng này thì nguy cơ website bị hack là rất cao.

Tham khảo thêm: Những trang share theme lậu kiếm tiền như thế nào?

2. Sử dụng tên đăng nhập mặc định và mật khẩu quá đơn giản

Nhiều bạn có thói quen sử dụng tên đăng nhập mặc định, phổ biến (kiểu như admin, Administrator…) và mật khẩu quá đơn giản (quá ít ký tự, chỉ bao gồm một dãy số hoặc các dòng chữ có nghĩa) để cho dễ nhớ, mà không hề biết rằng điều đó sẽ vô tình biến blog/ website của mình trở thành miếng mồi ngon cho tin tặc. Chỉ với phương thức tấn công brute force phổ thông, mật khẩu của bạn sẽ nhanh chóng bị dò ra và hậu quả thì chắc bạn đã rõ.

Việc sử dụng cùng một username và password trên nhiều website khác nhau cũng có thể gây ra hiệu ứng “chết chùm” một khi tin tặc đã dò ra thông tin đăng nhập của một website nào đó.

3. Không update WordPress, theme và plugin

Ngoài mục đích bổ sung tính năng mới, cải thiện hiệu suất làm việc, update phiên bản mới cho WordPress, theme, plugin còn giúp khắc phục các lỗi bảo mật nguy hiểm còn tồn tại trên các phiên bản cũ. Tuy nhiên, điều đáng buồn là phải đến hơn 60% người dùng rất ngại thực hiện điều này. Có thể họ sợ website sẽ bị lỗi. Cũng có thể là do lười. Nhưng dù với nguyên nhân gì thì họ cũng đang tự mở cửa để mời tin tặc.

4. Không cài plugin bảo mật

Bạn có nghĩ rằng việc cài plugin bảo mật cho blog/ website WordPress là điều cần thiết không? Riêng tôi, đó là điều hoàn toàn cần thiết. Các plugin bảo mật hiện nay đều được trang bị khá đầy đủ các tính năng giúp bạn chống brute force attack, XSS, spam bình luận, quét và tìm ra các file mã độc được chèn vào mã nguồn WordPress… Chúng là một lớp bảo vệ bổ sung hữu hiệu giúp blog/ website của bạn an toàn hơn. Nếu bạn không cài bất cứ plugin hỗ trợ bảo mật nào trên blog/ website thì xin chúc mừng, bạn đang đối mặt với rủi ro cao về bảo mật.

5. Không cài phần mềm antivirus trên máy tính

Máy tính thì liên quan gì đến việc blog/ website của bạn bị hack? Có chứ, liên quan nhiều là đằng khác. Nếu máy tính bị nhiễm virus, trojan, malware… chúng hoàn toàn có thể xâm nhập vào blog/ website của bạn thông qua việc upload file, theo dõi lịch sử duyệt web, phân tích cookie trình duyệt và cả việc ăn thông tin đăng nhập khi bạn gõ trên bàn phím… Do đó, nếu máy tính của bạn không được bảo vệ tốt bởi một phần mềm diệt virus chất lượng và được cập nhật thường xuyên, blog/ website của bạn nhiều khả năng sẽ là nạn nhân tiếp theo.

6. Không biết cách bảo mật server, VPS

Nếu bạn không thực sự có nhiều kinh nghiệm về việc cấu hình và bảo mật VPS/ server, tôi thật lòng khuyên bạn không nên nghĩ đến việc tự build VPS/ server để chạy blog/ website WordPess. Các web server hiện nay vẫn còn tồn tại rất nhiều lỗ hổng bảo mật mà nếu không biết cách “vá”, không biết cách cấu hình, blog/ website của bạn rất dễ trở thành đích ngắm của các cuộc tấn công.

Nguyên nhân khách quan

Nếu bạn tự tin cho rằng mình đã thực hiện tốt những vấn đề kể trên thì nguyên nhân còn lại là do yếu tố khách quan.

7. Do host bảo mật kém

Trùng với nguyên nhân số 6 sao? Không. Ý của tôi trong trường hợp này là shared host. Với shared host, hầu như các bạn không phải làm gì, chính xác hơn là không thể làm gì để cải thiện khả năng bảo mật cho server. Và tất nhiên, nếu nhà cung cấp không biết cách bảo mật server, host của bạn sẽ dễ dàng bị hack. Đó là lý do các bạn cần phải chọn nhà cung cấp dịch vụ hosting uy tín, có nhiều kinh nghiệm trong bảo mật để “gửi vàng”.

8. Do WordPress, theme, plugin còn tồn tại nhiều lỗ hổng bảo mật

Tất nhiên, không có gì là hoàn hảo cả. Ngay cả khi bạn thường xuyên cập nhật WordPress, theme và plugin, download sản phẩm chính hãng, bản quyền, nguồn gốc rõ ràng… thì chúng vẫn có thể còn tồn tại rất nhiều lỗ hổng bảo mật. Hacker hoàn toàn có thể khai thác chúng để tấn công blog/ website của bạn. Và lần này, trách nhiệm thuộc về các nhà phát triển.

36 Lời khuyên giúp bạn bảo mật WordPress

Do thời lượng của bài viết không cho phép nên sau đây, tôi sẽ nêu tóm tắt một số lời khuyên hữu ích dành cho bảo mật WordPress:

Luôn luôn giữ phiên bản WordPress của bạn ở trạng thái cập nhật
Không tự ý thay đổi mã nguồn WordPress
Chắc chắn rằng tất cả plugin của bạn đã được cập nhật
Xóa tất cả các plugin và theme không kích hoạt hoặc không sử dụng
Đảm bảo tất cả các theme của bạn đã được cập nhật
Chỉ cài đặt theme, plugin và script từ các nguồn chính thống
Chọn một dịch vụ WordPress Hosting bảo mật tốt
Đảm bảo blog/ website của bạn đang chạy phiên bản PHP mới nhất
Thay đổi tên đăng nhập mặc định của quản trị viên
Luôn sử dụng mật khẩu đủ mạnh
Không tái sử dụng mật khẩu
Bảo vệ mật khẩu của bạn bằng cách tránh truyền tải mật khẩu bằng văn bản thuần túy
Chỉ cập nhật blog/ website của bạn từ các mạng internet đáng tin cậy
Sử dụng một phần mềm diệt virus trên máy tính
Kích hoạt Google Search Console
Bảo vệ WordPress bằng một plugin bảo mật
Thường xuyên sao lưu dữ liệu của blog/ website
Thường xuyên kiểm tra danh sách người dùng
Cài đặt SSL cho blog/ website
Hạn chế số lần đăng nhập thất bại
Kích hoạt xác thực hai nhân tố (bảo mật 2 bước)
Bảo đảm chính xác quyền của tập tin và thư mục
Thay đổi tiền tố bảng mặc định của database
Đảm bảo bạn đã đặt khóa xác thực WordPress bí mật
Vô hiệu hóa thực thi tập tin PHP
Vô hiệu hóa “directory indexing và browsing”
Phân tách cơ sở dữ liệu WordPress của bạn
Hạn chế quyền của người dùng cơ sở dữ liệu
Vô hiệu hoá chỉnh sửa tập tin từ bảng quản trị WordPress
Bảo vệ tập tin wp-config.php của bạn
Bảo vệ tập tin .htaccesss của bạn
Vô hiệu hoá XML-RPC (nếu bạn không sử dụng nó)
Vô hiệu hoá thông báo lỗi PHP
Cài đặt một tường lửa cho blog/ website
Sử dụng tường lửa của CDN
Theo dõi lịch sử đăng nhập và các thay đổi của tập tin

Nếu bạn muốn biết cách thức chi tiết để thực hiện những lời khuyên này, vui lòng tham khảo ebook “Bảo mật WordPress toàn tập” do chính WP Căn bản biên soạn và phát hành cách đây không lâu.

Theo bạn, còn những nguyên nhân nào khác khiến website bị hack? Hãy chia sẻ với chúng tôi quan điểm và ý kiến của bạn trong khung bình luận bên dưới.

Nếu bạn thích bài viết này, hãy subscribe blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất qua email nhé. Cảm ơn rất nhiều. :)

Bài liên quan