Cách cài đặt và sử dụng plugin WordFence cho website WordPress

WordPress là mã nguồn mở, nên việc bảo mật cho website chạy WordPress là rất cần thiết, đặc biệt những người sử dụng mã nguồn mở này thường cũng không rành về lập trình nên việc bảo mật website wordpress bằng plugin là biện pháp tối ưu. Hãy cùng thietkewebpro247 chúng tôi nghiên cứu bài viết bên dưới để cùng khám phá tính năng này nhé.

Các bạn có thể bảo mật WordPress bằng plugin iThemes Security như mình đã từng đề cập.

Nhưng hôm nay mình sẽ đề cập một đến plugin khác? Đó là Wordfence

Trong bài viết này, các bạn sẽ biết cách cài đặt và sử dụng plugin Wordfence.

Trước hết chúng ta cùng tìm hiểu qua plugin Wordfence đem lại cho các bạn những gì.

WordFence là gì

Wordfence là một plugin bảo mật WordFence. Và nó là plugin rất phổ biến. Với hơn 2 triệu lượt cài đặt đã nói chứng minh điều đó.

Vậy plugin này có tính năng gì hay ho?

Như là plugin bảo mật, đương nhiên nó sẽ giúp bảo vệ website của các bạn trước các mối đe dọa nguy hiểm, tấn công DDOS hay tấn công kiểu brute force nhằm đánh cắp mật khẩu.

Đây là tính năng đáng giá:

Nó có một tường lửa ứng dụng web (website applicaiton firewall – WAF). Tường lửa này sẽ lọc traffic đầu vào để nhanh chóng phát hiện và chặn đứng các request nguy hiểm.

Bên cạnh đó, còn phải kể đến tính năng malware scanner. các bạn có thể quét toàn bộ source code website để tìm ra mã độc nếu có.

Điều này giúp các bạn yên tâm sẽ có một website WordPress sạch sẽ.

Vậy plugin này là miễn phí hay trả phí?

Nó là plugin miễn phí, nhưng như các bạn có thể đoán ra nó cũng có cả tính năng trả phí.

Nếu các bạn cần một số tính năng nâng cao như country blocking (chặn truy cập từ một nước), firewall rule cập nhật theo thời gian thực (bản miễn phí cập nhật chỉ 30 ngày một lần), quét theo shedule, thì các bạn có thể bỏ tiền tậu bản premium.

Đó là tất cả những gì các bạn cần biết về Wordfence.

Bây giờ là cách cài đặt và sử dụng plugin.

Cách cài đặt và sử dụng plugin Wordfence trong WordPress

Đầu tiên các bạn cần cài đặt và activate plugin Wordfence Security.

Cách cài đặt một plugin WordPress các bạn xem ở đây.

Ngay sau khi kích hoạt plugin, các bạn sẽ được yêu cầu nhập địa chỉ email nhận cảnh báo liên quan đến bảo mật.

các bạn nên nhập vào địa chỉ email của các bạn. Như vậy các bạn sẽ nhanh chóng phát hiện tất cả vấn đề bảo mật của website.

Khu vực đầu tiên các bạn nhìn thấy là Dashboard.

Ở đây các bạn sẽ có cái nhìn tổng quan về những tính năng nào của plugin được bật.

các bạn cũng nhìn thấy bao nhiêu đợt tấn công được ngăn chặn trên website cũng như trên network của Wordfence.

Phía dưới các bạn sẽ nhìn thấy top địa chỉ IP bị chặn, số lần đăng nhập và những quốc gia hàng đầu mà từ đó website của các bạn bị tấn công.

Tiếp theo các bạn cần quét website để tìm ra những vấn đề bảo mật nếu có.

Quét website sử dụng Wordfence

Đi tới Wordfence -> Scan và click vào nút ‘Start a Wordfence Scan’.

Lúc này plugin sẽ quét website của các bạn để tìm ra những vấn đề về bảo mật bao gồm:

Backdoor, malware và những lỗ hổng bảo mật
Những file lỗi bị thay đổi
Những file không rõ nguồn gốc trong thư mục WordPress
Những bản cập nhật quan trọng
Những bình luận có URL không an toàn

Vậy cơ chế nào giúp plugin tìm ra những thay đổi trong website WordPress của các bạn?

Hóa ra Wordfence có một server chuyên chứa mọi phiên bản WordPress cũng như theme và plugin.

Bằng cách này nó chỉ cần so sánh file gốc với file trên server của các bạn để phát hiện bất cứ thứ gì thay đổi so với bản gốc.

Ngay khi các bạn click nút “Start a Wordfence Scan”, các bạn sẽ nhìn thấy tiến độ quét ở hộp màu vàng.

Trong đấy chỉ toàn là thông tin kỹ thuật. các bạn cũng không cần để ý làm gì.

Thời gian quét thì phụ thuộc vào dung lượng dữ liệu website của các bạn.

Ngay sau khi quét xong, các bạn sẽ nhận thông báo kết quả của WordFence:

các bạn cứ theo thông báo mà sửa tất cả các lỗi nó liệt kê.

các bạn cần biết rằng:

Bản miễn phí sẽ chạy quét tự động 24 tiếng một lần. Bản trả phí cho phép các bạn thiết lập chạy schedule.

Tối ưu tường lửa

Ngoài tính năng quét như trên, Wordfence còn có tường lửa như mình đã đề cập.

Đây là tường lửa ứng dụng dựa trên PHP.

Tường lửa này có 2 mức độ bảo vệ.

Mức cơ bản được bật lên mặc định cho phép tường lửa chạy như plugin WordPress.

Nói dễ hiểu: tường lửa sẽ chạy khi WordPress tải các plugin.

Nếu có một cuộc tấn công nhắm vào thời điểm trước khi theme và WordPress được tải thì sao?

Đương nhiên tường lửa sẽ không có tác dụng.

Lúc này tính năng bảo vệ thứ hai gọi là bảo vệ mở rộng sẽ phát huy tác dụng.

Mức bảo vệ này sẽ chạy trước cả phần lõi WordPress cũng như theme và plugin.

Điều này cho phép chống lại các mối đe dọa tấn công nâng cao.

các bạn cũng có thể nghe nói về tường lửa của Sucuri. Vậy nó khác gì với tường lửa của Wordfence?

Tường lửa Wordfence là tường lửa ứng dụng. Nghĩa là nó chạy trên server của các bạn.

Trong khi tường lửa của Sucuri là tường lửa mức độ DNS.

Nói đơn giản tất cả traffic của các bạn sẽ đi một proxy trung gian trước khi tiếp cận website.

Như vậy tường lửa của Sucuri sẽ chống tấn công DDOS hiệu quả hơn.

các bạn cũng giảm tải cho website của mình.

Hơi dài dòng về vụ tường lửa của WordPress.

Như đã nói tường lửa của WordFence đã bật mặc định ở chế độ cơ bản.

Nhiệm vụ của các bạn lúc này:  các bạn cần tối ưu nó hay nói cách khác bật chế độ bảo vệ mở rộng.

Đi tới Wordfence -> Firewall và click vào nút Optimize Firewall.

Lúc này Wordfence sẽ kiểm tra cấu hình server của các bạn và đưa ra lựa chọn. Nếu các bạn thấy lựa chọn của Wordfence chưa chuẩn thì có thể thay đổi lại.

Cllick nút Continue để tiếp tục:

Tiếp theo, WordPress sẽ yêu cầu các bạn tải về file .htaccess để sao lưu. Bởi vì nó cần thêm code vào file .htacess để chạy trước WordPress.

Click vào nút ‘Download .htacess’. Sau khi xong, click vào nút Continue.

Bây giờ các bạn sẽ nhìn thấy mức bảo vệ sẽ là Extended Protection.

các bạn có đăng thắc chế độ Learning của Firewall Status?

Khi các bạn bắt đầu cài đặt Wordfence, nó sẽ cố gắng hiểu được cách các bạn và người dùng tương tác với website. Như vậy nó sẽ không chặn những người dùng hợp lệ.

Do vậy các bạn nên chế độ này như vậy. Sau một tuần nó sẽ tự động chuyển về chế độ “Enabled and Protecting”.

Giám sát traffic website và chặn IP khả nghi

WordFence sẽ giám sát traffic tới website của các bạn.

các bạn có thể nhìn thấy những thông tin này bằng cách đi tới Wordfence -> Live Traffic.

Ở đây các bạn có thể thấy danh sách IP đang truy cập website của các bạn.

các bạn có thể block lại địa chỉ P riêng lẻ hoặc thậm chỉ cả dải mạng.

Nếu các bạn muốn chặn IP thủ công có thể đi tới Wordfence -> Blocking.

Ngoài ra plugin còn có phần Tool và Options.

Một số tính năng chỉ có mặt ở phiên bản trả phí. Phần options tương đối dài các bạn tự khám phá thêm.

Với những gì mình chia sẻ  cũng quá đủ để đảm bảo cho website của các bạn an toàn trước các mối đe dọa ngoài kia.

Lời tổng kết

Bảo mật cho website WordPress là yêu cầu rất quan trọng, do đó việc cài đặt và sử dụng plugin này là đặc biệt quan trọng, bài viết trên cũng đã phần nào giúp các bạn làm quen với phần mềm này và nó nên nằm trong danh sách những plugin mà bạn nên cài đặt ngay lập tức.

Nguồn – thuthuatwp.com