NinjaFirewall: chặn tấn công XSS trong WordPress

XSS là viết tắt của Cross – Site Scripting là một kỹ thuật tấn công phổ biến. Hacker sẽ chèn các mã độc rồi gửi tới người dùng hoặc vô tình ghé thăm các trang web do hacker tạo ra. Cookie của người dùng sẽ bị đánh cắp từ đó hacker sẽ dùng để đăng nhập vào website với mục đích phá hoại.

WordPress là mã nguồn có số lượng website sử dụng tương đối lớn. Vì vậy nguy cơ bị khai thác lỗ hổng cũng khá cao. Một trong những biện pháp hữu hiệu đó là sử dụng NinjaFirewall. Một plugin phòng thủ khá mạnh mẽ tăng cường bảo mật cho trang web sử dụng WordPress.

Một số thông tin được ghi lại khi dùng NinjaFirewall:

ninjafirewall

Ngăn chặn tấn công XSS trong WordPress bằng NinjaFirewall

Trước tiên bạn sẽ vào Plugin => Thêm mới (Add new) => Gõ từ khóa NinjaFirewall => Tiến hành cài đặt

Tiếp theo bạn sẽ thực hiện cấu hình cho plugin bằng cách vào NinjaFirewall => Firewall Policies

ninjafirewall-1

Bạn sẽ cài đặt như trong hình

NinjaFirewall-4

  • Tại WordPress XML-RPC API có thể bỏ tích nếu dùng các plugin liên hệ như Contact Form 7, Jetpack… Bởi nó sẽ ngăn chặn kết nối thông qua API.
  • Block POST requests in the themes folder /wp-content/themes: Chặn yêu cầu ĐĂNG trong thư mục chủ đề / wp-content / themes.
  • Force HTTPS for admin and logins FORCE_SSL_ADMIN: Bắt buộc HTTPS cho quản trị viên và thông tin đăng nhập FORCE_SSL_ADMIN.
  • Disable the plugin and theme editor DISALLOW_FILE_EDIT: Tắt plugin và trình chỉnh sửa chủ đề DISALLOW_FILE_EDIT.
  • Disable plugin and theme update/installation DISALLOW_FILE_MODS: Tắt cập nhật / cài đặt plugin và chủ đề DISALLOW_FILE_MODS
  • Disable the fatal error handler WP_DISABLE_FATAL_ERROR_HANDLER: Vô hiệu hóa trình xử lý lỗi nghiêm trọng WP_DISABLE_FATAL_ERROR_HANDLER

Ấn qua tab Advanced Policies cài đặt như hình rồi lưu lại

NinjaFirewall-5

Chỉ cần cấu hình đơn giản như vậy thôi sau vài giờ hay một ngày gì đó bạn sẽ thấy trong Logs sẽ thống kê lại các hoạt động trên website. Bao gồm cả việc đăng nhập, sửa, xóa, tắt plugin. Các hành vi của bot quét website vv…

Vào Logs => Live Log => Nhấp Enable để xem trực tiếp nhật ký được ghi lại sau mỗi 10 giây

NinjaFirewall-6

Kết luận: NinjaFirewall sau một thời gian sử dụng mình cảm thấy thật yên tâm. Bạn cũng có thể kết hợp với plugin khác như iThemes để hệ thống phòng thủ trở nên mạnh hơn.

Related Posts

Hướng dẫn cách tắt comment trong wordpress

Trong quá trình xây dựng và quản lý một trang web WordPress, việc tắt chức năng comment có thể là một yêu cầu phổ biến. Điều này…

7 Cách chọn sản phẩm kinh doanh online thành công

7 Cách chọn sản phẩm kinh doanh online thành công

Kinh doanh online bên cạnh những ưu thế thì rủi ro cũng không hề nhỏ, việc bạn tính toán thật kỹ lưỡng trước khi quyết định bán…

Chỉnh sửa Header trong WordPress

Header là khu vực hiển thị phần đầu tiên của trang web. Tại đây nó sẽ hiển Logo, banner, Menu hoặc các mạng xã hội được tích…

doi-mat-khau-admin-wordpress-1

Đổi password admin trong WordPress

Khu vực quản trị của WordPress chỉ admin mới có thể đăng nhập được. Vì thế mật khẩu đóng vai trò quan trọng. Một password sử dụng…

Upload Theme trong Wordpress

Hướng dẫn cách up Theme lên WordPress

Với những người mới bắt đầu học WordPress thường gặp khó khăn khi thay đổi giao diện. Bài viết này sẽ giúp bạn biết cách upload theme,…

Hướng dẫn chỉnh sửa theme WordPress

Trước đây mới làm quen với nền tảng WordPress mình cảm thấy khá khó khăn không biết làm thế nào để chỉnh sửa theme Wordpres, mãi một…