Bạn có lo lắng về các lỗ hổng plugin WordPress làm chìm trang web của bạn không? Một cuộc khảo sát năm 2016 về chủ sở hữu trang web bị tấn công bởi Wordfence cho thấy 55,9% trang web WordPress (chủ sở hữu đã xác định điểm xâm nhập của tin tặc) đã bị xâm phạm do lỗ hổng plugin. Và điều đó có ý nghĩa! Bởi vì trong khi lõi của WordPress có thể an toàn, các plugin thêm một ký tự đại diện mà lõi WordPress không phải lúc nào cũng có thể tính đến.
Một trong những lý do khiến WordPress trở nên phổ biến là sự tự do mà nó mang lại cho người dùng để thêm bất kỳ chức năng nào với sự trợ giúp của các plugin. Người dùng có thể chọn từ gần 50.000 plugin có sẵn miễn phí trong kho plugin WordPress. Và điều đó thậm chí còn chưa tính đến nhiều plugin miễn phí và cao cấp của bên thứ ba.
Nhưng đôi khi quá nhiều sự lựa chọn dẫn đến các vấn đề tiềm ẩn. Plugin giả mạo, plugin lỗi thời… tất cả đều có thể cung cấp một véc tơ cho tin tặc truy cập vào trang web của bạn. Vì vậy, để bịt những lỗ hổng tiềm năng đó, đây là một số mẹo để giữ an toàn cho trang web của bạn bằng cách loại bỏ các lỗ hổng plugin WordPress càng nhiều càng tốt.
Quét các lỗ hổng plugin WordPress
Cơ sở dữ liệu lỗ hổng WPScan là một nơi tốt để kiểm tra xem có plugin nào là mối đe dọa bảo mật hay không. Dịch vụ liệt kê các plugin và các lỗ hổng đã biết của chúng. Bạn có thể tra cứu plugin theo tên hoặc lọc tất cả các lỗ hổng của plugin theo thứ tự bảng chữ cái. Nếu bạn bắt gặp một plugin nhất định trong danh sách, trước tiên hãy kiểm tra trang danh sách của plugin đó để biết bản cập nhật. Nếu không có bản cập nhật nào để vá lỗ hổng, bạn nên xóa plugin trong thời gian này nếu có thể.
Một cách khác để kịp thời nắm bắt những mối đe dọa này là đăng ký các dịch vụ trả phí như Lỗ hổng plugin được đặt tên một cách khéo léo. Bạn sẽ có quyền truy cập vào dữ liệu luôn cập nhật vì các dịch vụ này liên tục theo dõi các mối đe dọa bảo mật và các nỗ lực xâm nhập. Và nếu bạn đang sử dụng plugin có rủi ro, bạn sẽ nhận được thông báo qua email về nó. Vì bạn nhận được thông báo với dịch vụ này nên bạn có nhiều khả năng có thể hành động nhanh hơn.
Bạn cũng có thể phát hiện những mối đe dọa này bằng cách thỉnh thoảng quét trên trang web của mình. Plugin như Plugin Vulnerabilities sẽ không chỉ quét tất cả các plugin đã cài đặt của bạn mà còn thông báo cho bạn về các sự cố bảo mật phổ biến hơn.
Đối với các mối đe dọa xuất hiện sau đó, bạn có thể chọn nhận thông báo. Các mối đe dọa mới xuất hiện gần như hàng ngày khi tin tặc cố gắng nhắm mục tiêu vào các trang web WordPress. Vì lý do đó, điều quan trọng là bạn phải thường xuyên kiểm tra các lỗ hổng bảo mật (hoặc nhờ một dịch vụ làm việc đó cho bạn).
Chọn các plugin phù hợp
Không có plugin nào an toàn 100%. Nhưng bạn có thể giảm đáng kể các lỗ hổng plugin WordPress bằng cách học cách đánh giá và chọn các plugin chất lượng trước khi cài đặt chúng. Chỉ chọn plugin từ các thị trường có uy tín như CodeCanyon, kho lưu trữ Plugin WordPress hoặc cửa hàng bên thứ ba mà bạn tin tưởng. Kho lưu trữ WordPress kiểm tra từng plugin trước khi nó có sẵn cho công chúng và CodeCanyon cũng có sẵn hệ thống đánh giá riêng.
Vì vậy, bạn nên kiểm tra những gì để biết liệu một plugin có tốt để cài đặt hay không? Bắt đầu với:
- Xếp hạng người dùng trung bình.
- Người dùng đánh giá.
- Cập nhật và tương thích.
- Cài đặt đang hoạt động.
- Hỗ trợ và tài liệu.
Chúng tôi đã đề cập đến việc phân tích những điểm này trong bài đăng trước đây của mình, vì vậy tôi sẽ bỏ qua việc thảo luận chi tiết về chúng ở đây. Nhưng bạn có thể ghi nhớ những yếu tố này trước khi thêm plugin vào trang web của mình:
- Nếu bạn có tài nguyên máy chủ để hỗ trợ nó, bạn có thể cài đặt bao nhiêu plugin tùy thích. Điều quan trọng là các plugin được mã hóa tốt. Điều đó đang được nói, một plugin được mã hóa không tốt có thể khiến trang web ngừng hoạt động.
- Phần nhật ký thay đổi đang hoạt động cho biết rằng tác giả đang hỗ trợ plugin và đáp ứng nhu cầu của người dùng. Mặt khác, chỉ một vài mục trong phần này có thể đơn giản có nghĩa là plugin không cần thay đổi hoặc cập nhật.
- Có hàng trăm plugin WordPress miễn phí tuyệt vời. Nhưng hãy nhớ rằng các plugin cao cấp thường có hỗ trợ phản hồi nhanh hơn và được cập nhật với các phiên bản WordPress mới nhất.
- Đó là một cách thực hành tốt để cài đặt các phần bổ trợ trên cơ sở chỉ cần thiết.
Cập nhật plugin (và mọi thứ khác) thường xuyên
Một trong những vectơ tấn công phổ biến nhất đối với tin tặc là một plugin WordPress lỗi thời. Một phân tích của Sucuri cho thấy ba plugin lỗi thời phổ biến là nguyên nhân của 18% trang web WordPress bị tấn công mà họ đã xem xét trong quý 3 năm 2016.
(Biểu đồ của Visualizer Lite.)
Trong trường hợp bạn đang thắc mắc, đó là RevSlider, Gravity Forms và Timthumb. Điều quan trọng cần lưu ý là các nhà phát triển plugin đã vá các lỗ hổng một cách nhanh chóng…nhưng vẫn có đủ người không cập nhật plugin của họ nên sự cố vẫn dẫn đến một số trang web bị tấn công.
Đây là điều quan trọng:
Ngay cả khi bạn chọn các plugin “đúng” để bắt đầu, nếu bạn không cập nhật các plugin đó… thì bạn vẫn gặp rủi ro.
Vậy làm cách nào bạn có thể đảm bảo các plugin của mình luôn được cập nhật? Một cách là tìm biểu tượng cập nhật trong bảng điều khiển WordPress của bạn (hình trên). Một cách khác là bật cập nhật tự động.
Để bật cập nhật tự động cho tất cả hoặc một số plugin của bạn, bạn có thể sử dụng plugin miễn phí có tên là Trình quản lý cập nhật dễ dàng:
Ngoài ra, đối với các plugin mà bạn mua từ CodeCanyon, hãy dùng thử plugin miễn phí trên Envato Market để giúp bạn tự động cập nhật các plugin.
Xóa các plugin không mong muốn
Một cách tốt khác để giữ an toàn là xóa các plugin không hoạt động mà bạn không còn định sử dụng nữa. Mặc dù các plugin không hoạt động không tiêu tốn RAM, băng thông hoặc PHP, nhưng chúng lại chiếm dung lượng máy chủ. Và nếu xuất hiện với số lượng lớn, chúng có thể làm chậm trang web của bạn. Nhưng lý do chính tại sao bạn không nên giữ các plugin không hoạt động là vì chúng có thể được sử dụng để chạy mã độc trên trang web của bạn.
Tổng hợp mọi thứ
Plugin là tuyệt vời. Họ giúp bạn làm những điều tuyệt vời với WordPress của bạn. Nhưng đôi khi các plugin được mã hóa kém hoặc lỗi thời có thể mở trang web WordPress của bạn cho tin tặc. Bằng cách chọn các plugin của bạn một cách cẩn thận và cập nhật chúng thường xuyên, bạn có thể đi một chặng đường dài hướng tới việc giảm khả năng trở thành nạn nhân của các lỗ hổng plugin WordPress.
Bạn có cần chúng tôi làm rõ thêm bất kỳ lỗ hổng nào của plugin WordPress này không? Đừng ngần ngại lên tiếng trong các ý kiến.
