Công ty TNHH Công Nghệ Trần Nguyễn
Chia sẻ và hướng dẫn Wordfence Security

Chia sẻ và hướng dẫn Wordfence Security

17/10/2021

Mỗi ngày Lucid Gen có khoảng 200 lần bị tấn công khi xem qua báo cáo của Wordfence. Thế nhưng mình hoàn toàn yên tâm dưới sự bảo vệ của Wordfence vì mình đang sử dụng phiên bản Premium với đầy đủ tính năng bảo mật nâng cao. Nếu bạn đang tìm một pluginbảo mật cho WordPressthì đừng bỏ qua bài viết này. Mình sẽhướng dẫn sử dụng Wordfence Security Premiumthật chi tiết, và cũng chia sẻ cách kích hoạt Premium miễn phí cho bạn luôn.

Wordfence Security là gì

Wordfence là sản phẩm của Defiant – là công ty hàng đầu thế giới về bảo mật WordPress. Plugin này có tính năng tường lửa và quét mã độc cho website WordPress.

Wordfence luôn cập nhật các quy tắc tường lửa mới nhất, chữ ký phần mềm độc hại và địa chỉ IP độc hại cần thiết để giữ an toàn cho website của bạn.

Ngoài ra, plugin này còn tích hợp thêm 2FA (Xác minh 2 bước) và một bộ các tính năng bổ sung khác. Wordfence chính là giải pháp bảo mật WordPress toàn diện nhất hiện nay.

Các tính năng của Wordfence Premium

Các tính năng bản miễn phí

  1. Firewall – Tường lửa
    • Web Application Firewall – Tường lửa ứng dụng web:tính năng giúp bảo vệ website của bạn trước các cuộc tấn công, tin tặc từ bên ngoài. Viết ngắn gọn nhưng công dụng nó là quan trọng nhất đấy.
    • Brute Force Protection – Bảo vệ tấn công Brute Force:bảo vệ website của bạn trước hình thức tấn công cổ điển, đó là thử hàng triệu tên đăng nhập và mật khẩu khác nhau để dò ra thông tin đăng nhập của bạn.
    • Block – Chặn IP:bạn có thể thêm bất cứ IP nào vào danh sách chặn truy cập website của bạn, bạn cũng có thể thêm các quy tắc để tự động chặn.
    • Rate Limiting – Giới hạn truy cập và đánh cắp nội dung:tính năng này có 2 điểm tốt. Thứ nhất là chặn được các crawler (bot thu thập thông tin) để tránh website của bạn bị quét và đánh cắp nội dung. Thứ 2 là để ngăn chặn tấn công băng thông hay DDOS, ví dụ như kẻ xấu truy cập website của bạn lên tục trong thời gian ngắn làm hao tốn tài nguyên và chậm website của bạn, khiến người dùng có trải nghiệm không tốt website của bạn.
  2. Scan – Quét mã độc:quét tất cả các tệp trên website của bạn để tìm mã độc, backdoors, shells và các loại mã độc đã biết trên dữ liệu của Wordfence.
  3. Tool – Các công cụ hỗ trợ khác
    • Live traffic – Xem truy cập thời gian thực:bạn có thể xem các lượt truy cập gần đây nhất đến từ quốc gia nào, là người dùng hay bot. Tuy nhiên chúng ta chỉ cần tập trung vào những lần truy cập bị Wordfence chặn thôi. NhưLucid Genmỗi ngày chặn khoảng 50 IP đấy nhé.
    • Whois Lookup – Kiểm tra thông tin IP hoặc tên miền:tính năng này dễ hiểu có sẵn trên mạng nhiều, bỏ qua.
    • Import/Export Options – Nhập xuất cài đặt Wordfence:nếu bạn có nhiều website cần dùng Wordfence, bạn chỉ cần cấu hình thật chuẩn rồi xuất cài đặt đó đem qua website khác, đỡ mất công làm lại từ đầu.
  4. Login Security – Bảo mật đăng nhập
    • Xác minh 2 bước:một tính năng rất cần thiết thời bây giờ, mình có giới thiệu qua trong bài viếtcách bảo mật 2 lớp cho WordPress.
    • reCAPTCHA:giúp xác định người đăng nhập có phải là robot không, không cho đăng nhâp thử liên tục, cũng có tác dụng chống Brute Force đã nêu trên.

Các tính năng bản Premium

  1. Premium của tường lửa
    • Real-time Firewall Rules – Tự thêm các quy tắc tường lửa:tường lửa của Wordfence sử dụng các quy tắc tường lửa để xác định và chặn các truy cập độc hại vào trang web của bạn, bảo vệ bạn khỏi các cuộc tấn công WordPress và lỗ hổng bảo mật mới nhất.
    • Real-time IP Blocklist – Tự chặn IP theo blacklist của Wordfence:chặn các IP thường xuyên tấn công các website WordPress, giúp bảo vệ website và tăng hiệu năng website (ý là đỡ tốn tài nguyên cho những kẻ xấu).
    • Country Blocking – Chặn IP theo quốc gia:tính năng là theo Lucid Gen là tuyệt vời nhất trong các tính năng Wordfence Security Premium. Chặn các quốc gia trên thế giới truy cập vào trang đăng nhập hoặc toàn bộ website của bạn. Mình chặn tất cả quốc gia (trừ Việt Nam) không được vào trang đăng nhập thì quá tuyệt.
  2. Premium của quét mã độc
    • Real-time Malware Signatures:tự động nhận diện phần mềm độc hại trên website của bạn theo thời gian thực, giống như các phần mềm quét virus trên máy tính vậy đó, phát hiện độc hại là nó chặn và báo liền.
    • Spamvertising Checks:kiểm tra xem website của bạn có bị “Spamvertis” (là thuật ngữ nói quảng cáo các nội dung nội dung xấu thông qua thư rác) hay không.
    • Spam Check:kiểm tra xem IP website của bạn có đang tạo ra thư rác không.
    • Blocklist Check:kiểm tra xem website của bạn có nằm trong danh sách chặn tên miền không.

Cách kích hoạt Wordfence Security Premium

Sau khi tải Wordfence về bạn đừng kích hoạt plugin mà hãy làm theo hướng dẫn này để kích hoạt key Wordfence Security Premium trước nhé.

Cập nhật phiên bản mới

Khi bạn muốn cập nhật lên phiên bản mới mà vẫn giữ được Wordfence Security Premium, bạn hãy làm theo các bước sau:

  • Bước 1:Bạn ngừng kích hoạt Wordfence.
  • Bước 2:Bạn cập nhật Wordfence lên phiên bản mới.
  • Bước 3:Bạn thực hiện lại việcKích hoạt Wordfence Security Premiumnhư hướng dẫn trên.
  • Bước 4:Bạn kích hoạt lại plugin Wordfence và sử dụng như bình thường.

Hướng dẫn sử dụng Wordfence Premium

Bây giờ Lucid Gen sẽ hướng dẫn sử dụng các tính năng nổi bật (thiết yếu) nhất của Wordfence. Một số cài đặt linh tinh khác mình không nêu trong bài này là vì nó không quá quan trọng, khi nào bạn có thời gian có thể nghiên cứu thêm và tùy chọn theo ý muốn của bạn.

Sau khi kích hoạt plugin bạn sẽ nhận được thông báo này, hãy điền email quản trị viên của bạn, chọnNOđể không nhận các bản tin của Wordfence, tích vào đồng ý với điều khoản rồi nhấp Continue.

0101

Khi vào trong Dashboard bạn hãy nhấp vàoNo thanksở thông báo hỏi bạn có muốn tự động cập nhật phiên bản mới hay không. Cách cập nhật phải thủ công như hướng dẫn ở trên các bạn nhé.

0202

Bật tường lửa và cấu hình bảo vệ website

Bật tường lửa

Cách 1:Lần đầu sử dụng Wordfence bạn sẽ thấy thông báo“To make your site as secure as possible, take a moment to optimize the Wordfence Web Application Firewall”bạn hãy nhấp vào nútCLICK HERE TO CONFIGURE. Sau đó, bạn nhấp nútDOWNLOADCONTINUEđể hoàn tất.

Cách 2:Bạn nhấp vàoFirewalltrên menu bên trái, ở bên phải bạn vào mụcAll Firewall Optionsrồi nhấp vào nútOPTIMIZE THE WORDFENCE FIREWALL. Sau đó, bạn nhấp nútDOWNLOADCONTINUEđể hoàn tất.

0303

Bạn đã bật tường lửa xong rồi. Nhưng mới sử dụng thì Wordfence sẽ đểWeb Application Firewall Statusở chế độLearning mode, bạn cứ để đó cho nó học xong thì nó tự nhảy quaEnable and Protectingthôi.

0404

Cấu hình Brute Force Protection

  • Lock out after how many login failures:Chặn IP sau bao nhiêu lần đăng nhập thất bại, mục này mình sẽ để1-2 lầnbời vì chúng ta là admin thực sự thì không lý do gì lại đăng nhập sai nhiều lần.
  • Lock out after how many forgot password attempts:Chặn IP sau bao nhiêu lần gửi yêu cầu cấp lại mật khẩu, mục này mình cũng để1-2 lầnluôn.
  • Count failures over what time period:Tổng số lần đếm được tính trong khoảng thời gian nào, mình để1 ngàyđể nghiêm ngặc hơn (chọn mức lớn nhất).
  • Amount of time a user is locked out:Người dùng sẽ bị chặn IP bao lâu, mình chọn2 tháng(chọn mức lớn nhất).
  • Immediately lock out invalid usernames:Chặn IP lặp tức nếu ai đăng nhập bằng các tên người dùng này, bạn điền mấy cái tên mà ai cũng nghĩ ra ấy, nhớ đừng có điền cái username của bạn vào nhé.
  • Các tùy chọn còn lại:mấy mục này không quan trọng, bạn bật hết lên nha.

0505

Cấu hình Rate Limiting

  • How should we treat Google’s crawlers:Cách bạn xử lý các trình thu thập nội dung (các con bot đi quét nội dung của Google) dung như thế nào, bạn chọnVerified Google crawlers will not be rate-limitednhé, chúng ta cứ cho Google quét thoải mái để được index nhanh mà. Những con bot khác thì chúng ta sẽ xử lý bằng các tùy chọn bên dưới.
  • If anyone’s requests exceed:nếu người dùng hoặc bot vượt quá số lần truy cập, mình chọn120 per minute then block it(120 trang mỗi phút thì chặn IP).
  • If a crawler’s page views exceed:nếu bot vượt quá số lần truy cập trang tồn tại, mình chọn120 per minute then block it.
  • If a crawler’s pages not found (404s) exceed:nếu bot vượt quá số lần truy cập trang không tồn tại, mình chọn60 per minute then block it.
  • If a human’s page views exceed:nếu người dùng vượt quá số lần truy cập trang tồn tại, mình chọn120 per minute then block it.
  • If a human’s pages not found (404s) exceed:nếu người dùng vượt quá số lần truy cập trang không tồn tại, mình chọn60 per minute then block it.
  • How long is an IP address blocked when it breaks a rule:IP sẽ bị chặn bao lâu, mình chọn1 tháng(mức lớn nhất).

0606

Bảo mật trang đăng nhập

Nếu bạn làm theo hướng dẫn này của Lucid Gen thì đảm bảo kẻ xấu không thể tấn công Brute Force luôn. Vì bọn chúng chưa kịp mò vào trang đăng nhập thì đã bị chặn IP rồi. Nếu vào được trang đăng nhập thì có reCAPTCHA nên không thể dò mật khẩu, lại còn thêm xác minh 2 bước. Chắc tới lúc bọn chúng xuống lỗ cũng không vào được bằng đường này.

0707

Chặn các quốc gia

Bạn sống ở quốc gia nào thì chỉ cho quốc gia đó được truy cập trang đăng nhập, các quốc gia còn lại bị chặn hết. Ví dụ bạn ở Việt Nam thì bạn sẽ làm như thế này.

Bạn nhấp vàoBlockingtrên menu bên trái, ở bên phải bạn chọn Country (Quốc gia), tích chọnLogin Form(Trang đăng nhập), nhấp vàoPick from list(chọn từ danh sách). Sau đó, bạn nhấp vào nútBlock allở trên, cuộn xuống dưới tìmViệt Namđể bỏ ra rồi nhấp nútUpdate block.

0808

Chặn theo URL

Kẻ xấu ở nước ngoài đã không còn lại vấn đề nữa, nhưng kẻ xấu ở cùng quốc gia của bạn thì sao. Chỉ cần làm theo cách này thì bạn sẽ không phải lo nữa nha.

Logic của phần này:kẻ xấu thường cố gắng truy cập trang đăng nhập của bạn bằng các URL mặc định dễ nghĩ ra nhưwp-login.php, login, admin, dang-nhap, dangnhap,…Vậy thì bạn sẽ đổi URL trang đăng nhập thành một URL mà không ai nghĩ ra, chỉ bạn biết thôi. Sau đó, bạn thiết lập cho Wordfence tự động chặn những kẻ xấu cố tình thử truy cập vào các URL dễ đoán ra như trên kia. Khi chúng bị chặn rồi thì làm sao mà mò thử được nữa, mỗi lần cố chấp bọn chúng phải đổi IP, khó khăn kiểu này thì bọn chúng sẽ bỏ cuộc thôi ^_^.

Bước 1:Bạn cài đặt pluginWPS Hide Loginđể đổi URL đăng đăng nhập.

Hãy đổi thành một URL thật ngộ nghĩnh mà không ai nghĩ ra được. Ví dụ: url-khong-ai-nghi-ra thì đúng là URL không ai nghĩ ra thật mà ^_^.

0909

Bước 2:Bạn vàoAll Optionsở menu bên trái đến tìm đến phầnAdvanced Firewall Options. Bạn hãy dán các URL mà kẻ xấu dễ đoán ra vào mụcImmediately block IPs that access these URLs(Lặp tức chặn IP những ai truy cập các URL này).

Danh sách này là ví d cho bn nhé
/wp-login.php
/wp-login
/dang-nhap
/dangnhap
/login
/admin

1010

Bật xác minh 2 bước đăng nhập

Mình khuyên bạn nên bật bảo mật 2 lớp cho bất cứ tài khoản nào quan trọng với bạn trên Internet. Ngày xưa tính năng này là năm trong Wordfence Security Premium đó nha, sau này tác giả thêm vào bản thường luôn rồi.

Bạn nhấp vàoLogin Securityở menu bên trái, sau đó bạndùng Google Authenticatorđể thêm mã xác minh 2 bước vào thiết bị của bạn nhé.

1111

Bật reCAPTCHA đăng nhập

Có reCAPTCHA sẽ khiến kẻ xấu khó khăn trong việc dò mật khẩu của bạn, nếu bạn đã cấu hình phầnBrute Force Protectionthật khắc khe giống mình rồi thì cũng có thể bỏ qua, vì hiện tại tính năng reCAPTCHA chưa tương thích với các trang sử dụng Woocommerce.

Bước 1:Để sử dụng tính năng reCAPTCHA ạn truy cập trangGoogle reCAPTCHAđể tạo một tài khoản. Bạn chọnreCAPTCHA v3nhé.

1212

Bạn sẻ dùngSite keySecret keynày để điền vào Wordfence

1313

Bước 2:Bạn vàoLogin Optionstrên menu của Wordfence, ở bên phải bạn chọn tab Settings, cuộn xuống dưới phầnEnable reCAPTCHA on the login and user registration pages(Bật reCAPTCHA cho trang đăng nhập và đăng ký) thì bạntích vào ô và dán key vàoSave.

1414

Quét mã độc hệ thống

Phần này khi sử dụng thì bạn sẽ yêu cầu Wordfence quét hoặc lên lịch để tự động quét. Khi có vấn đề gì Wordfence sẽ liệt kê bên dưới, bạn cứ theo đó mà fix lỗi thôi. Tuy nhiên bạn không cần phải fix hết mọi vấn đề, bạn có thể bỏ qua vì lý do của bạn.

Phần này bạn chỉ cần cấu hình một chút thôi, bạn hãy nhấp vàoScan Options and Schedulingnhé.

1515

Vào trang cài đặt chi tiết bạn cấu hình như hướng dẫn này nhé:

  • Scan Scheduling:vì chúng ta đang dùng Wordfence Security Premium nên bạn có quyền để lên lịch quét theo ý của bạn. Mình sẽ cho Wordfence quét vào giờ khuya để không ảnh hưởng hiệu năng trong giờ có nhiều truy cập.
  • Basic Scan Type Options:bạn chọn mức cao nhất làHigh Sensitivitynhé.
  • Performance Options:bạn tích vàoUse low resource scanningđể quét từ từ không dồn dập để giữ hiệu năng tốt cho website.

Còn phầnAdvanced Scan Optionsbạn dán 2 dòng sau vàoExclude files from scan that match these wildcard patterns (one per line)để Wordfence bỏ qua file mà bạn đã sửa để kích hoạt Premium nhé.

wp-content/plugins/wordfence/lib/*
wp-content/plugins/wordfence/lib/wordfenceClass.php

1616

Sử dụng các công cụ khác

Các tính năng ở phầnTools(Công cụ) thì không quan trọng, nhưng nó cũng giúp ít cho bạn trong một số trường hợp.

Xem và cài đặt Live traffic

Cách sử dụng:buồn buồn vào xem chơi, thấy ông nào cố tình tấn công web nhiều lần thì tiện tay bấm vào nút block luôn.

Cài đặt:

  • Traffic logging mode:chế độ nhật ký truy cập, bạn nên chọnSECURITY ONLYđể Wordfence chỉ ghi nhật ký cho các truy cập nguy hiểm bị chặn thôi. Nếu bạn để chế độ all traffic sẽ khiến hiệu năng website giảm lắm đó và chúng ta không cần thiết phải ghi lại những truy cập bình thường làm gì.
  • Amount of Live Traffic data to store (number of rows):số dòng nhật ký được lưu lại, càng thấp thì càng đỡ tốn tài nguyên sever của bạn nhé.
  • Maximum days to keep Live Traffic data (minimum: 1):số ngày lưu giữ nhật ký, mình để 7 ngày, bạn có thể để hơn tùy vào mục đích của bạn.
  • Các tùy chọn khác:không quan trọng, để nguyên.

1717

Sử dụng Whois Lookup

Bạn dán IP hoặc domain website vào để kiểm tra thông tin nhé. Giống mấy trang Whois khác thôi.

1818

Xuất và nhập cài đặt Wordfence cho website khác

Tính năng này khá tiện khi quản trị nhiều website WordPress. Bạn chỉ cần cấu hình chuẩn nhất cho một website rồi xuất mã cài đặt của nó để nhập vào website khác.

1919

Cấu hình thông báo email

Hãy đảm bảo là website của bạn đã có SMTP nha để gửi email được nha. Bạn cấu hình như mình để chỉ nhận các cảnh báo quan trọng, hàng tháng sẽ có báo cáo tổng hợp. Như vậy sẽ đỡ làm phiền email của bạn đấy.

2020

Lưu ý khi sử dụng Wordfence Premium

Plugin nào khi sử dụng cũng sẽ có lúc gặp vấn đề này kia. Mình thấy 2 vấn đề phổ biến nhất khi dùng Wordfence là lỗi khi di chuyển hosting và vô tình bạn bị chặn khỏi website của bạn luôn.

Xử lý lỗi khi di chuyển hosting

Bạn mở trình Quản lý File trên hosting để cập nhật đường dẫn/home/username/public_html/mới cho các file sau:

  • .htaccess
  • .user.ini
  • wordfence-waf.php

2121

Ví dụ như mình sửa filewordfence-waf.phpthì cách xem đường dẫn mới và thay vào đường dẫn cũ sẽ như thế này, sao chép ở trên dán xuống dưới thôi.

2222

Làm gì khi bạn bị Wordfence chặn

  • Cách 1:Bạn nhập email quản trị viên vào thông báo bị chặn và gửi yêu cầu mở chặn địa chỉ IP. Sau đó, bạn kiểm tra email và làm theo hướng dẫn để mở chặn địa chỉ IP của bạn.
  • Cách 2:Bạn có thể bật 4G lên để thay đổi địa chỉ IP và đăng nhập lại.
  • Cách 3:Bạn dùng Quản lý File trên hosting để thay đổi tên thư mục Wordfence(public_html/wp-content/plugins/wordfence), plugin sẽ tự động ngừng kích hoạt, sau khi bạn đăng nhập vào được rồi có thể đổi tên thư mục Wordfence lại và kích hoạt lại.

Lời kết

Với bài hướng dẫn sử dụng Wordfence Security Premium này mình tin rằng website của bạn sẽ bảo mật tuyệt đối, nếu như bạn không dùng các plugin không rõ nguồn gốc thì không có gì phải lo vềbảo mật website WordPresscủa bạn nữa nha.

Bạn đã sử dụng Wordfence được chưa? Hãy để lại bình luận bên dưới để mình biết và hỗ trợ bạn nhé!

Thiết lập IP tĩnh win 10
Cách chống spam Contact Form 7 không sử dụng reCAPTCHA

Bình luận bài viết

Bạn cần tạo website, chat ngay?