Các thiết lập chi tiết wordfence security là bài viết tiếp theo trong chuỗi bài viết bảo mật wordpress. Ở bài trước, chúng tôi đã giới thiệu đến bạn cách cài đặt và kích hoạt plugin wordfence security. Đọc bài viết trước của chúng tôi, bạn cũng đã triển khai các thiết lập sơ bộ và plugin đang chạy. Ở bài viết này, chúng tôi hướng dẫn bạn các thiết lập chi tiết cho các chức năng của wordfence. Một plugin bảo mật đa năng và miễn phí.
Ngay sau khi cài đặt và kích hoạt wordfence, mỗi khi bạn đăng nhập vào khu vực quản trị website bạn sẽ nhìn thấy bảng báo cáo nhanh của wordfence security:
báo cáo nhanh của wordfence security
Các báo cáo bao gồm: Top 5 địa chỉ IP bị khóa, Top 5 khu vực quốc gia có IP bị khóa, Top 5 tài khoản Login sai..
1. Các thiết lập chi tiết wordfence security – Dashboard
Mục này cho chúng ta cái nhìn tổng quan về những tính năng nào của wordfence security được bật. Bao gồm các thiết lập, cũng như các trạng thái hiện hành của các mục.
Các thiết lập chi tiết wordfence security – Khu vực Dashboard
Khu vực Dashboard cho chúng ta biết các thông tin như: trạng thái % tường lửa bảo vệ web khỏi các mối đe dọa. Đánh giá theo phần trăm mức độ quét và bảo mật…
Bạn cũng nhìn thấy bao nhiêu đợt tấn công được ngăn chặn trên website cũng như trên network của Wordfence.
Phía dưới bạn sẽ nhìn thấy top địa chỉ IP bị chặn, số lần đăng nhập và những quốc gia hàng đầu mà từ đó website của bạn bị tấn công.
2. Thiết lập tường lửa Firewall của wordfence
Firewall của wordfence là tường lửa ứng dụng trên nền tảng php.
2.1 Các thiết lập Basic Firewall options
Firewall Status
Thiết lập tường lửa Firewall của wordfence
Mục Web Application Firewall Status có 3 trạng thái:
- Enable and Protecting: Kích hoạt trạng thái bảo vệ.
- Learning mode: Chế độ học tập. Khi bạn lần đầu tiên cài đặt Tường lửa ứng dụng Web Wordfence, nó sẽ ở chế độ học tập. Điều này cho phép Wordfence “tìm hiểu” về trang web của bạn. Qua việc “tìm hiểu”, wordfence có thể hiểu cách bảo vệ trang web và cách cho phép khách truy cập bình thường qua tường lửa. Lời khuyên là bạn nên để Wordfence học trong một tuần trước khi bạn bật tường lửa. Khoảng 1, 2 tuần sau khi để ở learning mode bạn hãy chuyển qua Enable and Proteccting mode.
- Disable: Vô hiệu hóa hoạt động của tường lửa.
Firewall Protection Level
Mục này thiết lập về mức độ bảo vệ của tường lửa. Nếu bạn chỉ định bật tường lửa thì nó mặc định ở trạng thái cơ bản. Nhiệm vụ của chúng ta là thiết lập ở chế độ mở rộng để tối ưu chế độ bảo vệ của Firewall.
Đi tới Wordfence -> Firewall và click vào nút Optimize the wordfence Firewall.
Thiết lập Firewall Protection Level
Lúc này Wordfence firewall sẽ kiểm tra cấu hình server của bạn và đưa ra lựa chọn. Nếu bạn thấy lựa chọn của Wordfence chưa đúng thì có thể chỉ định lại. Nhấn mũi tên xuống bên cạnh hộp giá trị để lựa chọn.
Tiếp theo, WordPress sẽ yêu cầu bạn tải về file .htaccess để sao lưu. Bởi vì nó cần thêm code vào file .htacess để chạy trước WordPress.
Click vào nút ‘Download .htacess’ để tải file, khi đó nút Continue sẽ có tác dụng. Sau khi lưu file vừa tải xong, click vào nút Continue.
Có thể bạn nhìn thấy thông báo không thể hoàn thành thiết lập như hình dưới đây:
Thông báo không thể hoàn tất Các thiết lập chi tiết wordfence security
Nguyên nhân do thiếu quyền ghi, không thể ghi vào file .htaccess. Bạn tạm thời cấp quyền ghi cho file .htaccess bằng lệnh ssh:
|
1 |
# chmod 644 /var/www/html/hutex/.htaccess |
(bạn thay đường dẫn đến file .htaccess của mình vào lệnh trên cho phù hợp).
Thực hiện lại quá trình Optimize Firewall bạn sẽ nhận được kết quả thiết lập thành công
Thông báo hoàn tất Các thiết lập chi tiết wordfence security
Bây giờ bạn sẽ nhìn thấy mức bảo vệ sẽ là Extended Protection.
Chú ý:
- Bạn nhớ cất giữ file .htaccess đã download ở bước trên phòng bất trắc có cái mà khôi phục lại.
- Nhớ thay đổi lại quyền ghi file .htaccess về 444 để bảo mật. Hãy thực hiện lệnh sau:
|
1 |
# chmod 444 /var/www/html/hutex/.htaccess |
Real-Time IP Blacklist
Chức năng này chỉ có trong phiên bản Premium nên không đề cập ở đây. Đây là một tính năng cao cấp: nó chặn tất cả lưu lượng truy cập từ các IP có khối lượng lớn hoạt động độc hại gần đây bằng danh sách đen thời gian thực của Wordfence.
2.2 Các thiết lập nâng cao – Advanced Firewall Options
Quản lý Danh sách trắng – whitelisted IP và Whitelisted Service
Trì hoãn chặn IP và Quốc gia cho đến khi WordPress và plugin đã được tải (chỉ xử lý sớm quy tắc tường lửa – hỗ trợ không chặn tải file).
Các thiết lập chi tiết wordfence security – Các thiết lập nâng cao
Immediately block IPs that access these URLs: Lập tức chặn ngay các IP truy cập vào các địa chỉ URLs được liệt kê trong khung.
Tách nhiều URL bằng dấu phẩy hoặc đặt chúng trên các dòng riêng biệt. Dấu hoa thị là ký tự đại diện, nhưng bạn phải sử dụng cẩn thận để không gây nhầm lẫn. Nếu bạn thấy kẻ tấn công liên tục thăm dò trang web của bạn về một lỗ hổng đã biết, bạn có thể sử dụng điều này để chặn chúng ngay lập tức. Tất cả các URL phải bắt đầu bằng “/” không có dấu ngoặc kép và phải là địa chỉ tương đối.
Các thiết lập chi tiết wordfence security – Rules
Rule được hiểu là những quy tắc. Tường lửa ứng dụng web Wordfence có một số quy tắc phù hợp với các cuộc tấn công đã biết, tức là các cuộc tấn công thường thấy và được khai thác trong tự nhiên. Các mẫu cho các cuộc tấn công này được cụ thể hóa và yêu cầu xử lý tối thiểu trong việc xác định xem yêu cầu có khớp hay không. Tường lửa cũng sử dụng một số quy tắc chung sử dụng khớp mẫu để xác định xem yêu cầu có độc hại hay không. Chúng được thiết kế để ngăn chặn đối với các loại tấn công đã biết.
Mỗi Rule có tên và phần mô tả của rule ngay bên cạnh. Bạn có thể tắt hoặc bật một Rule bất kỳ bằng nút gạt ngay bên trái rule. Tuy nhiên lời khuyên là bạn tôn trọng các thiết lập mặc định trong mục này.
Các thiết lập chi tiết wordfence security – Thiết lập các rule
2.3 Chống tấn công Brute Force Protection
Brute Force hay Brute Force Attack là gì?
Brute Force Attack là hình thức tấn công bằng cách thử mật khẩu đúng sai. Hacker có một danh sách rất lớn các username và mật khẩu phổ biến hay được sử dụng. Hacker sẽ sử dụng phần mềm tự động thử đăng nhập username và password có trong danh sách. Nếu tài khoản nào sai, nó sẽ bỏ qua và thử tiếp tài khoản khác. Cứ lần lượt như vậy cho đến hết. Sau đó lại “trộn” mật khẩu đến khi nào đăng nhập được thì thôi.
Vậy mất bao lâu để đăng nhập được? Việc thử sai như vậy có thể may mắn hacker thành công ở những lần đăng nhập đầu tiên. Cũng có thể rất nhiều lần thử sai, trộn pass mới thành công. Nhưng với tốc độ máy tính và sự tự động hóa quy trình tấn công thì đã có nhiều tài khoản bị Brute force attack đăng nhập trái phép.
Việc gửi những truy vấn đăng nhập liên tục từ brute force attack sẽ khiến hệ thống của bạn “chết tắc” vì quá “bận”. Thậm chí server của bạn có thể treo cứng nếu cấu hình không cao.
Các thiết lập chi tiết wordfence security về Brute force Protection.
Brute Force Protection ngăn chặn các nỗ lực đoán tên người dùng và mật khẩu. Chống lại việc đạt được quyền truy cập vào tài khoản quản trị viên WordPress của bạn. Wordfence cung cấp tùy chọn để hạn chế các lần thử đăng nhập và một số tính năng khác bảo mật thông tin đăng nhập của bạn. Brute force protection được bật theo mặc định, nhưng chũng ta cũng có thể tối ưu hóa các tùy chọn riêng lẻ. Bạn có thể xem thêm đầy đủ về các tùy chọn brute force prơtections tại đây.
Để tiến hành Các thiết lập chi tiết wordfence security trong phần Brute Force Protection. Chọn Wordfence, chọn tiếp Firewall và Brute Force Protection.
Các thiết lập chi tiết wordfence security – Chống tấn công Brute Force Protection
Các lựa chọn chi tiết trong phần này như sau:
- Lock out after how many login failures: Khóa sau bao nhiêu lần đăng nhập thất bại
- Lock out after how many forgot password attempts: Khóa sau bao nhiêu lần quên mật khẩu.
- Count failures over what time period: Đếm số lần đăng nhập thất bại trong khoảng thời gian chỉ định
- Amount of time a user is locked out: Khoảng thời gian người cố tình đăng nhập bị khóa. Muốn tiếp tục thử đăng nhập, phải đợi qua khoảng thời gian này.
- Immediately lock out invalid usernames: Ngay lập tức khóa IP của những tài khoản có tên người dùng không hợp lệ chỉ định trong ô. Các tên cách nhau bằng phím Enter.
- Prevent the use of passwords leaked in data breaches: Ngăn chặn việc rò rỉ dữ liệu từ các tài khoản chỉ định.
Các lựa chọn bổ sung – Additional Options
Các thiết lập chi tiết wordfence security – Các lựa chọn bổ sung – Additional Options
Giải thích các tùy chọn bổ sung:
- Enforce strong passwords: Bắt buộc sử dụng mật khẩu mạnh. Các dạng mật khẩu đơn giản dạng 12345 sẽ rất dễ đoán, dễ thử. Một mật khẩu mạnh trong nó bao gồm các thành phần: chữ cái viết hoa, chữ cái viết thường, chữ số, các ký tự đặc biệt. Chẳng hạn: B@n#1508 là một mật khẩu mạnh (dịch dễ nhớ là Bẩn hơn một năm không tắm). Đối tượng áp dụng mật khẩu mạnh có thể là tất cả các tài khoản hoặc là chỉ 2 nhóm quan trọng; Admins và Publishers.
- Don’t let WordPress reveal valid users in login errors: Hạn chế tiết lộ thông tin người dùng hợp lệ trong các lỗi đăng nhập.
- Prevent users registering ‘admin’ username if it doesn’t exist: Không cho người dùng đăng ký tên admin (kể cả tên đó chưa có trong hệ thống).
- Prevent discovery of usernames through ‘/?author=N’ scans, the oEmbed API, and the WordPress REST API: Ngăn chặn việc quét tên người dùng, tên tác giả thông qua khóa quét ‘/?author=N’.
- Block IPs who send POST requests with blank User-Agent and Referer: Chặn IP gửi yêu cầu POST khi tác nhân người dùng và người giới thiệu trống.
- Check password strength on profile update: Kiểm tra “độ mạnh” của mật khẩu khi cập nhật hồ sơ.
- Participate in the Real-Time Wordfence Security Network : Tham gia vào mạng bảo mật Wordfence thời gian thực. Tất cả các “đối tượng” trong danh sách đen sẽ được cập nhật qua hệ thống mạng bảo mật của wordfence để tự động ngăn chặn.
Thiết lập chi tiết wordfence security – Các giới hạn tỷ lệ – Rate Limiting
Mục này giới hạn các tỷ lệ truy cập và thiết lập chặn nâng cao cho các IP, quốc gia…
LƯU Ý: Hộp kiểm này cho phép TẤT CẢ các chức năng chặn / điều chỉnh bao gồm IP, quốc gia và chặn nâng cao và “Quy tắc giới hạn tỷ lệ” bên dưới
Để thiết lập Rate Limiting, bạn bật công tắc gạt về ON
Thiết lập chi tiết wordfence security – Các giới hạn tỷ lệ – Rate Limiting
Giải thích các tùy chọn thiết lập như sau:
- How should we treat Google’s crawlers? Mức độ đối xử với trình thu thập dữ liệu của Google? Nên chọn: Veryfied google crawlers will not be rate limit. (trình thu thập dữ liệu google rất hữu ích không nên giới hạn tỷ lệ).
- If anyone’s requests exceed? Bất cứ tài khoản nào có yêu cầu vượt quá mức: nếu quá 120 truy vấn / phút thì điều tiết. (Ngưỡng truy vấn bạn tự chỉ đinh từ 1 đến Unlimit – không giới hạn).
- If a crawler’s page views exceed? Điều tiết nếu trình xem trang vượt quá số lượt trên phút. Điều tiết có 2 giá trị: Throttle it: Điều chỉnh theo giá trị thiết lập; Block it: khóa luôn.
- If a crawler’s pages not found (404s) exceed? ngưỡng điều tiết hoặc khóa nếu trình thu thập thông tin không tìm thấy trang.
- If a human’s page views exceed? Điều tiết hoặc khóa nếu lượt xem trang của con người vượt quá ngưỡng.
- If a human’s pages not found (404s) exceed? Ngưỡng điều tiết hoặc khóa nếu người dùng không tìm thấy trang.
- How long is an IP address blocked when it breaks a rule? Chỉ định thời gian chặn bao lâu khi một IP vi phạm quy tắc.
- Whitelisted 404 URLs : Danh sách trắng các URLs tin tưởng. Mỗi địa chỉ đặt trên một dòng trong ô trống. Các mẫu URL này sẽ được loại trừ khỏi các quy tắc điều chỉnh được sử dụng để giới hạn trình thu thập thông tin Các mẫu URL này sẽ được loại trừ khỏi các quy tắc điều chỉnh.
Danh sách trắng các liên kết – Whitelisted URLs
Danh sách trắng các liên kết có nghĩa là chúng là các liên kết “tin tưởng”. Các liên kết trong bảng này sẽ không được kiểm tra bởi tường lửa. Các liên kết này thường được thêm vào trong khi tường lửa ở Chế độ học tập (Learning Mode) hoặc bởi hành động xác định của quản trị viên.
Danh sách trắng các liên kết – Whitelisted URLs
Bạn có thể thêm một liên kết tin tưởng vào ô URL, chỉ định kiểu và nhấn nút ADD. Với một URL bất kỳ, bạn có thể thêm, xóa cho phép hoặc không nằm trong whitelisted.
Lời kết:
Như vậy qua bài viết này chúng tôi đã hướng dẫn bạn Các thiết lập chi tiết wordfence security về phần tường lửa Firewall của nó. Kiểm soát tốt các thiết lập firewall bạn đã vô hiệu hóa được phần lớn các xâm nhập trái phép vào website của bạn. Ở bài tiếp theo chúng tôi sẽ hướng dẫn các bạn sử dụng các công cụ của wordfence secirity để bảo mật website. Mời các bạn theo dõi.
