WordPress có an toàn trước tin tặc không?

Thứ nhất, WordPress là hệ thống quản lý nội dung (CMS) phổ biến nhất trên thế giới, cho đến nay. Gần 40 phần trăm tất cả các trang web trên thế giới chạy trên WordPress

BuildWith theo dõi hơn 27 triệu trang web trang web WordPress trực tiếp. Đó là một con số đáng kinh ngạc, một ảnh hưởng tương tự như việc Google nắm giữ các công cụ tìm kiếm

Tuy nhiên, không giống như Google, WordPress là mã nguồn mở và đã giúp hầu hết mọi người tạo trang web một cách dễ dàng. Điều này không có nghĩa là chỉ những thương hiệu nhỏ và blog cá nhân mới sử dụng nền tảng này

Rolling Stones, The Walt Disney Company, TechCrunch và The New Yorker đều chạy trên WordPress, cũng như gần 40 phần trăm trong số một triệu trang web hàng đầu trên thế giới.  

Tất nhiên, nếu bạn là một blog tạo nội dung về các vấn đề gây tranh cãi, bạn luôn có khả năng trở thành mục tiêu. Tin tặc có phương tiện để phá vỡ dịch vụ của bạn

Cuối cùng, nghe có vẻ ngớ ngẩn, nhưng hacker cũng phải rèn luyện kỹ năng của mình. Họ thường tạo các chương trình để kiểm tra lỗ hổng WordPress

Họ có thể không làm bất cứ điều gì với trang web của bạn, nhưng sẽ không bao giờ tốt nếu trang web của bạn nằm dưới sự kiểm soát của người khác

Một trang web dễ bị tấn công có thể ảnh hưởng đến hàng triệu người dùng

Là CMS phổ biến nhất có nghĩa là các lỗ hổng sẽ có tác động rất lớn. Chỉ một vài trang web dễ bị tổn thương có thể ảnh hưởng đến hàng nghìn hoặc hàng triệu người dùng

Theo WordPress, người dùng của nó tạo 70 triệu bài đăng mới mỗi tháng. Điều đó chuyển thành rất nhiều lưu lượng truy cập

WordPress cũng chiếm 43% trong số một triệu trang web phổ biến nhất trên thế giới. Khoảng 409 triệu người truy cập 20 tỷ trang WordPress mỗi tháng

Với những con số như vậy để nhắm mục tiêu, sẽ hiệu quả hơn nếu chọn các trang web WordPress. Tin tặc thường không nhắm mục tiêu vào một trang web cụ thể. Họ thường viết một chương trình xác định các lỗ hổng trong trang web WordPress.  

Khi họ biết có một cách để hack một trang web vì một lỗ hổng phổ biến, họ nhắm mục tiêu vào một số lượng lớn các trang web cùng một lúc. Nó giống như thả một tấm lưới rộng và bất cứ thứ gì bị bắt trong đó đều là giải thưởng

Tại sao có quá nhiều lỗ hổng trong các trang web WordPress?

Chà, bản thân nó không phải cốt lõi của WordPress. Các plugin và chủ đề thường khiến các trang web dễ bị tấn công

Tất nhiên, sử dụng các phiên bản WordPress cũ hơn cũng có thể khiến bạn dễ bị tấn công. Các phiên bản mới thường sửa các lỗ hổng đồng thời thêm các tính năng mới. Theo WordPress, chỉ 37. 5 phần trăm người dùng đã cập nhật lên phiên bản 5. 5, mới nhất của họ.  

Ít nhất 79. 2 phần trăm đã cập nhật lên phiên bản 5 hoặc mới hơn. Điều đó vẫn khiến hàng triệu trang web chạy các phiên bản cũ hơn

Quay trở lại năm 2012, có báo cáo rằng Reuters đang sử dụng phiên bản lỗi thời của WordPress khi trang web bị tấn công. Đó là một sự vi phạm lớn của một công ty lớn

Người dùng thường từ chối cập nhật vì nó có thể làm hỏng trang web của họ. Chà, tất cả những gì bạn cần làm là sao lưu trang web của mình. Bất cứ khi nào có điều gì đó xảy ra, bạn luôn có thể khôi phục bản sao lưu. Đó cũng là một biện pháp phòng ngừa an ninh tốt

Giờ đây, WordPress luôn khuyến khích các nhà phát triển tương tác với hệ thống mã nguồn mở của mình

Điều này đã dẫn đến một số lượng đáng kinh ngạc các plugin (57.870) và chủ đề (7.906), giúp CMS trở nên hữu ích hơn rất nhiều cho những người muốn xây dựng trang web

Các trang web WordPress bị tấn công vì lỗ hổng trong plugin và chủ đề

Tính bảo mật của plugin không phải lúc nào cũng ở cấp độ chuyên gia, nhà phát triển plugin không phải là chuyên gia bảo mật. Họ không cần phải là

Lỗ hổng bảo mật thường không có mục đích xấu, nhưng những lỗ hổng này là lý do khiến hầu hết các vụ hack xảy ra trên các trang web WordPress. Nó phổ biến đến mức các ước tính cho thấy 98% lỗ hổng WordPress có liên quan đến plugin

Một lỗ hổng trong plugin trở thành kiến ​​thức phổ biến khá nhanh vì đó là một hệ sinh thái mã nguồn mở. Nếu tin tặc có thể khai thác lỗ hổng trước khi bản vá được phát hành, thì bất kỳ ai đã cài đặt plugin đều gặp rủi ro. Một plugin phổ biến có thể có hàng nghìn người dùng trở lên.  

Thật không may, thường thì một bản vá để bảo vệ lỗ hổng không giúp được gì. Người dùng WordPress hoặc nhà phát triển WordPress đôi khi không phải là nhà phát triển, mà là các chuyên gia hơn, những người đã ghép các trang web WordPress lại với nhau

Kiến thức về cách quản lý bảo mật đi kèm với kinh nghiệm và do đó, các nhiệm vụ như cập nhật có thể không được ưu tiên ngay từ đầu

Hãy nhớ rằng các bản cập nhật là rất quan trọng. Các plugin và chủ đề lỗi thời là lý do số một khiến các trang web bị tấn công

Một ví dụ phổ biến từ những ngày đầu là TimThumb, một plugin để thay đổi kích thước hình ảnh. Một lỗ hổng trong plugin cho phép tin tặc tải các tệp PHP độc hại lên các trang web

Vấn đề trở nên nghiêm trọng hơn vì TimThumb được đóng gói với nhiều chủ đề. Một số người dùng thậm chí không biết trang web của họ dễ bị tấn công vì họ không biết tất cả các công cụ đi kèm với chủ đề của họ

Duy trì bất kỳ trang web nào cũng cần có nhận thức về hệ sinh thái WordPress. Theo dõi những gì đang xảy ra, đặc biệt là tin tức về hack và cập nhật

Cũng giống như cập nhật WordPress, đôi khi người dùng quyết định không cập nhật chủ đề hoặc plugin vì nó có thể phá vỡ thiết lập hiện tại của họ. Điều đó không có nghĩa là bạn có thể tiếp tục sử dụng các phiên bản không được hỗ trợ

Tốt nhất là tìm hiểu cách kiểm tra các bản cập nhật mà không làm hỏng trang web của bạn. Nếu plugin hoặc chủ đề bạn sử dụng đã ngừng nhận hỗ trợ từ nhà phát triển, hãy tìm một giải pháp thay thế

Các plugin và chủ đề “mồ côi” đã không còn được nhà phát triển quan tâm và có thể sẽ không bao giờ được cập nhật. Nếu bạn không nhận được bản cập nhật trong sáu tháng hoặc lâu hơn, hãy cẩn thận

Làm cách nào để giữ an toàn cho một trang web WordPress?

Các trang web WordPress bị tấn công, đó là sự thật, nhưng bạn nên làm gì với nó?

Sử dụng mật khẩu yếu là một vấn đề lớn. Mật khẩu, giống như mọi dịch vụ kỹ thuật số, là tuyến phòng thủ đầu tiên cho trang web WordPress của bạn

Mật khẩu yếu có thể cấp cho ai đó đặc quyền quản trị viên. Nghe có vẻ ngớ ngẩn, nhưng có quá nhiều người sử dụng mật khẩu yếu. Đọc thêm về cách quản lý mật khẩu tại đây

Nhận tường lửa ứng dụng web (WAF). Đây là một bước tiến lớn trong việc đảm bảo tăng cường an ninh. WAF được quản lý luôn cập nhật các bản phát hành phần mềm mới nhất và các bản sửa lỗi

Các lỗ hổng trong các plugin và chủ đề WordPress là lý do số một khiến các trang web bị tấn công. Ví dụ: tường lửa ứng dụng web Patchstack được cập nhật tự động để ngăn chặn lỗ hổng plugin và chủ đề

Xác thực hai yếu tố. Cố gắng thiết lập xác thực hai yếu tố WordPress. Nó thêm một lớp bảo mật thứ hai

Giữ nhật ký hoạt động WordPress. Đó là một thực hành đơn giản nhưng hữu ích. Nhật ký hoạt động sẽ có tất cả các thay đổi lớn trên trang web của bạn. Hãy xem nhanh nó mỗi khi bạn đăng nhập. Đọc thêm về nhật ký tại đây

Sao lưu trang web của bạn trực tuyến. Sao lưu cho phép bạn khôi phục trang web của mình trong trường hợp có điều gì đó xảy ra. Một lần nữa, có các plugin để làm điều này

Đây là những biện pháp cơ bản. Nếu bạn muốn bảo mật hơn, tốt nhất nên tiếp cận các chuyên gia. Bản chất mã nguồn mở của WordPress cũng có nghĩa là chuyên môn về an ninh mạng có sẵn cho trang web WordPress của bạn. Patchstack chuyên bảo vệ lỗ hổng plugin để giữ an toàn cho trang web của bạn

Các câu hỏi thường gặp về cách các trang web WordPress bị tấn công