NinjaFirewall: chặn tấn công XSS trong WordPress

XSS là viết tắt của Cross – Site Scripting là một kỹ thuật tấn công phổ biến. Hacker sẽ chèn các mã độc rồi gửi tới người dùng hoặc vô tình ghé thăm các trang web do hacker tạo ra. Cookie của người dùng sẽ bị đánh cắp từ đó hacker sẽ dùng để đăng nhập vào website với mục đích phá hoại.

WordPress là mã nguồn có số lượng website sử dụng tương đối lớn. Vì vậy nguy cơ bị khai thác lỗ hổng cũng khá cao. Một trong những biện pháp hữu hiệu đó là sử dụng NinjaFirewall. Một plugin phòng thủ khá mạnh mẽ tăng cường bảo mật cho trang web sử dụng WordPress.

Một số thông tin được ghi lại khi dùng NinjaFirewall:

ninjafirewall

Ngăn chặn tấn công XSS trong WordPress bằng NinjaFirewall

Trước tiên bạn sẽ vào Plugin => Thêm mới (Add new) => Gõ từ khóa NinjaFirewall => Tiến hành cài đặt

Tiếp theo bạn sẽ thực hiện cấu hình cho plugin bằng cách vào NinjaFirewall => Firewall Policies

ninjafirewall-1

Bạn sẽ cài đặt như trong hình

NinjaFirewall-4

  • Tại WordPress XML-RPC API có thể bỏ tích nếu dùng các plugin liên hệ như Contact Form 7, Jetpack… Bởi nó sẽ ngăn chặn kết nối thông qua API.
  • Block POST requests in the themes folder /wp-content/themes: Chặn yêu cầu ĐĂNG trong thư mục chủ đề / wp-content / themes.
  • Force HTTPS for admin and logins FORCE_SSL_ADMIN: Bắt buộc HTTPS cho quản trị viên và thông tin đăng nhập FORCE_SSL_ADMIN.
  • Disable the plugin and theme editor DISALLOW_FILE_EDIT: Tắt plugin và trình chỉnh sửa chủ đề DISALLOW_FILE_EDIT.
  • Disable plugin and theme update/installation DISALLOW_FILE_MODS: Tắt cập nhật / cài đặt plugin và chủ đề DISALLOW_FILE_MODS
  • Disable the fatal error handler WP_DISABLE_FATAL_ERROR_HANDLER: Vô hiệu hóa trình xử lý lỗi nghiêm trọng WP_DISABLE_FATAL_ERROR_HANDLER

Ấn qua tab Advanced Policies cài đặt như hình rồi lưu lại

NinjaFirewall-5

Chỉ cần cấu hình đơn giản như vậy thôi sau vài giờ hay một ngày gì đó bạn sẽ thấy trong Logs sẽ thống kê lại các hoạt động trên website. Bao gồm cả việc đăng nhập, sửa, xóa, tắt plugin. Các hành vi của bot quét website vv…

Vào Logs => Live Log => Nhấp Enable để xem trực tiếp nhật ký được ghi lại sau mỗi 10 giây

NinjaFirewall-6

Kết luận: NinjaFirewall sau một thời gian sử dụng mình cảm thấy thật yên tâm. Bạn cũng có thể kết hợp với plugin khác như iThemes để hệ thống phòng thủ trở nên mạnh hơn.

Bình luận!

Xin lưu ý rằng tất cả các bình luận đều được kiểm duyệt theo chính sách bảo mật và tất cả các liên kết đều là nofollow. KHÔNG sử dụng từ khóa trong trường tên. Hãy để lại một cuộc trò chuyện cá nhân và ý nghĩa. *