Trong thời buổi 4.0 hiện nay, bảo mật là một vấn đề rất quan trọng mà bạn không thể bỏ qua. Trung bình có tới 18.5 triệu website bị nhiễm virus và các phần mềm độc hại ( có site bị tấn công 44 lần mỗi ngày). Chỉ tính riêng 90.000 website bị hack đã có tới 83% đang sử dụng WordPress. Đừng bao giờ có ý nghĩ “chắc không đến lượt mình đâu“. Và cũng đừng nghĩ rằng “Tôi dùng theme và plugin bản quyền. Tôi bất tử” Ngay cả gã khổng lồ như Target cũng đã bị hack dữ liệu của 41 triệu khách hàng. Việc này đã khiến công ty phải trả hơn 18 triệu đô để giải quyết êm xuôi. Hay đến Facebook ( sử dụng WP) cũng bị đánh cắp 50 triệu, dữ liệu người dùng Tưởng tượng xem, một ngày đẹp trời website bạn bị hack, chuyển hướng đến website nào đó, bị mất dữ liệu, đặt backdoor… Riêng những câu chuyện về hack web thì kể cả ngày cũng không hết được. Nói tóm lại, nếu bạn không muốn bị mất tiền, dữ liệu, thông tin nhạy cảm….. hãy cài một plugin bảo mật.

Vậy chúng ta cần làm gì để tránh bị hacker tấn công

Thực tế thì việc bị hack hay tấn công ! Chủ yếu là do người dùng không “PHÒNG TRÁNH” Hay nói cách khác là đề phòng, và kỹ năng quản lý khá kém. Đơn giản như việc đặt user là admin rồi pass admin1234. Đến giờ vấn có người áp dụng…

Một số lời khuyên

Nếu bạn chưa biết nhiều về bảo mật WordPress, mình có viết một seri khá chi tiết nhớ tìm hiểu nhé. Đôi khi chỉ một vài thủ thuật đơn giản cũng khiến website của bạn an toàn hơn. Vẫn là lời khuyên đơn giản và hữu ích nhất.

• Hãy update thường xuyên – đây có thể sẽ là những bản vá lỗi.
• Dùng theme và plugin ở những nơi uy tín.
• Backup thường xuyên (hàng ngày).
• Sử dụng mật khẩu và user name không giống bất kì ở website nào.
• Hãy trang bị thêm plugin bảo mật.
• Đổi đường dẫn mặc định (wp-admin).

Nếu các bạn cũng đã đọc hết các cách bảo mật rồi, và vẫn chưa an tâm lắm. Mình sẽ giới thiệu thêm cho các bạn những plugin bảo mật WordPress tốt nhất hiện nay. Nó không chỉ ngăn ngừa bị tấn công, phát hiện file thay đổi, quét malware còn rất rất nhiều tính năng khác.

1. Wordfence Security — Firewall & Malware Scan

Với hơn 3 triệu lượt cài đặt, Wordfence Security — Firewall & Malware Scan là một trong những plugin bảo mật WordPress đáng tin dùng nhấ hiện nay. Wordfence có chức năng chống lại thư rác, phần mềm độc hại và các mối đe dọa theo thời gian thực. Không giống các plugin cùng phân khúc. Wordfence Security có giao diện sử dụng rất thân thiện. Bạn không cần phải là một chuyên gia hay người quá am hiểu về công nghệ để sử dụng plugin này. Một trong những tính năng mình đánh giá cao plugin là: Khả năng kiểm tra lưu lượng truy cập trên website và đưa ra báo cáo. Từ đó bạn sẽ nhận ra được ai đang cố gắng tấn công web của mình. Những dữ liệu bạn thấy được sẽ đến từ: người truy cập, Google crawler hay các bot độc hại. Một tính năng cũng rất hay của Wordfence Security là tùy chọn chặn theo quốc gia (country blocking). Chúng ta dễ dàng chặn các cuộc tấn công đến từ các khu vực địa lý có tỷ lệ cao về tội phạm công nghệ. Phiên bản miễn phí của Wordfence Security cung cấp khá nhiều tính năng đủ để giữ web của bạn an toàn. Không chỉ vậy, bạn sẽ nhận được tính năng firewall block và brute force attack protection. Không nhiều plugin miễn phí cung cấp đầy đủ như vậy.

2. Sucuri Security — Auditing, Malware Scanner and Security Hardening

Chỉ cần nhìn cái tên thôi đã giúp bạn biết đây là một plugin bảo mật và giúp tìm kiếm malware. Plugin Sucuri Security có rất nhiều tính năng nổi bật như:

• Firewall integrity monitoring
• Quét phần mềm độc hại (Malware saning)
• Giám sát danh sách đen (Blacklist)
• Kiểm tra, tăng cường bảo mật
• Thông báo đẩy
• Post-hack security procedures
• Tường lửa cho website

Tất cả những tính năng trên (trừ tường lửa cho website) đều có trong phiên bản miễn phí. Nếu bạn muốn tiết kiệm chi phí thì Sucuri Security là một lựa chọn rất tối ưu. Với hầu hết các trang hiện nay, tính năng tường lửa cho web cũng không cần thiết lắm. Trong trường hợp xấu nhất bạn bị hack hoặc tấn công, Sucuri Security cung cấp tính năng giúp bạn phục hồi lại website. Không phần mềm nào chống lại được các cuộc tấn công một cách hoàn toàn.

3. iThemes Security

Trước đây nó có tên là Better WP Security,  iThemes Security cũng là sự lựa chọn rất tốt cho người dùng WordPress. iTheme Security có 2 phiên bản miễn phí và trả phí, nhưng bản miễn phí khá ít tính năng và hạn chế. Nên khi sử dụng mình khuyên các bạn nên mua luôn bản iThemes Security Pro. Phiên bản thông thường sẽ đi kèm với bảo mật cơ bản như:

• Malware scan
• Google reCAPTCHA
• Nhật ký hoạt động của người dùng
• Khóa bảo mật WordPress
• Khả năng Import và Export
• Widget trong dashboard
• Kiểm tra sự thay đổi của file
• Password security and expiration

Phiên bản iTheme Security Pro sẽ có giá $52/năm, cung cấp thêm nhiều tính mà mình nghĩ nó tốt hơn nhiều so với bản Free:

• Malware scan scheduling – Lên lịch quét
• Passwordless Login – Login mà không cần mật khẩu
• Privilege Esacalation – Cung cấp quyền truy cập tạm thời
• reCAPTCHA
• Security Dashboard – Hiện bảng thông số tóm tắt trạng thái site theo thời gian thực
• Two-Factor Authentication – Bảo mật 2 bước
• User Logging
• User Security Check

Với iTheme Security, người dùng sẽ tự động bị khóa, sau khi có quá nhiều lần đăng nhập không hợp lệ. Việc này sẽ giúp ngăn chặn brute force attack vào website. Ngoài ra, công cụ sẽ quét toàn bộ web và đưa ra những lỗ hổng có nguy cơ bị hack. Khi các lỗ hổng này được xác định, plugin sẽ giúp bạn fix chúng chỉ với vài giây. iTheme Security thậm chí còn có thể tăng cường bảo mật cho server. Plugin yêu cầu có SSL cho các trang admin, bài đăng và các trang khác trên các server hỗ trợ. iTheme Security cũng cung cấp các video hướng dẫn, rất hữu dụng cho người dùng.

4. All In One WP Security & Firewall

All In One WP Security & Firewall là một plugin miễn phí nhưng là khá nhiều tính năng. Giao diện dễ sử dụng và thao tác là một điểm cộng lớn cho công cụ này. Một trong những lý do mình đưa plugin này vào danh sách là vì bảng điều khiển khá trực quan. Bạn sẽ nhận được một báo cáo cùng biểu đồ kèm theo các số liệu web. Hơn nữa, plugin cũng cho bạn biết mình cần làm gì để tăng cường bảo mật trên trang. Mỗi tính năng bảo mật được chia thành ba cấp độ:

• Cơ bản
• Trung bình
• Nâng cao

Người dùng có khả năng áp dụng tùy chọn tường lửa nhưng không ảnh hưởng đến tốc độ tải của website. Công cụ sẽ quét web WordPress của chúng ta để tìm ra lỗ hổng. Sau khi các lỗ hổng này được check, plugin sẽ hỗ trợ bạn thực hiện thao tác để tăng cường bảo mật. Tất cả mọi thứ đều được đo bằng hệ thống phân loại. Các cấp độ bảo mật sẽ dựa theo từng thành phần trên web. Một tính năng mìn đánh giá cao của All In One WP Security & Firewall là chống spam comment. Nhận được nhiều bình luận (comment) trên blog là một điều mà ai cũng muốn nhưng nếu là spam thì sẽ rất rắc rối. Thay vì phải kiểm tra từng bình luận bằng tay, plugin sẽ tự động phát hiện các địa chỉ IP được cho là spam và chặn bình luận. Nếu một số IP nhất định đã vượt quá giới hạn spam, chúng sẽ bị chặn truy cập website hoàn toàn. Điều cuối cùng, plugin này miễn phí 100%. Không giống các phiên bản miễn phí của công cụ khác. All In One WP Security & Firewall không để dành tính năng hữu ích trên bản trả phí. Tất cả tính năng hoàn toàn miễn phí với toàn bộ người dùng WordPress.

5. BulletProof Security

BulletProof Security không thực sự phổ biến lắm với những người dùng WordPress, nhưng không vì thế mà công cụ mất đi vị trí của mình. Nhà phát triển tuyên bố trong bảy năm qua, không một web nào trong số 70.000 web đã cài đặt BulletProof Security Pro bị hack. Khá ấn tượng đấy chứ. Đây là một plugin cực kỳ dễ cài đặt và vận hành chỉ với vài cú click. Phiên bản miễn phí của BulletProof Security cho phép bạn truy cập vào các tính năng như:

• Security log
• Security monitoring
• Malware scan
• Database backup
• Database restore
• Anti spam
• Anti hack

Mình rất thích maintenance mode của BulletProof Security. Chế độ này sẽ giữ cho website an toàn trong khi cập nhật và bảo trì front-end và back-end – đây là lúc web dễ bị tấn công hoặc bị hack. Mặc dù trình hướng dẫn cài đặt và thiết lập dễ dàng cho mọi người thực hiện. Nhưng nói chung, mình thấy công cụ hướng đến người dùng nâng cao hơn. BulletProof Security cho phép các bạn tùy chỉnh rất nhiều cài đặt bảo mật khác nhau. Vì vậy, trước khi nâng cấp các bạn nên sử dụng phiên bản bình thường để làm quen, giúp bạn thuần thục các thao tác. Nếu dùng bản trả phí, BulletProof Security sẽ được refund trong 30 ngày, người dùng không cần lo lắng gì.

Phần kết

Vậy cuối cùng, đâu là plugin bảo mật tốt nhất cho WordPress? Thật khó để trả lời câu hỏi này, tốt nhất hay không phụ thuộc rất nhiều vào nhu cầu của người dùng. Một số plugin có nhiều tính năng nâng cao hơn các plugin khác, điều này luôn cần thiết với tất cả các website. Một số plugin lại dễ sử dụng hơn, đặc biệt cho người dùng mới, hay có plugin lại tập trung vào người dùng nâng cao. Nhưng mình vẫn khuyên các bạn sử dụng plugin như Wordfence hay iThemes Security. Bạn muốn sử dụng một plugin miễn phí với tính năng cơ bản ? Hay bản trả phí với tính năng cao cấp ? Tất cả những yếu tố này đều do bạn quyết định, và mình tin 5 plugin mình đưa ra đủ để đáp ứng tất cả nhu cầu trên. Nếu có bất kỳ câu hỏi, thắc mắc thì đừng quên để lại bình luận phía dưới nhé!