Hướng dẫn cách cài đặt và sử dụng iThemes Security

Thời gian gần đây, plugin hỗ trợ bảo mật nổi tiếng Better WP Security đã tiến hành sát nhập vào iThemes và đổi tên thành iThemes Security. Chính vì vậy plugin này đã được thay đổi lại một số tính năng cũng như cách sử dụng. Bài viết này mình sẽ hướng dẫn các bạn cách cài đặt và sử dụng iThemes Security để bảo mật wordpress hiệu quả.

Xem thêm: Hướng dẫn bảo mật Wordpress

Hướng dẫn sử dụng iThemes Security

Ở bài hướng dẫn trước, mình cũng đã hướng dẫn các bạn cài plugin là như thế nào rồi. Nên ở bài này mình sẽ hướng dẫn những ý chính.

Hình 1. Tìm kiếm và cài đặt iThemes Security.

Bước 1: Sau khi kích hoạt cài đặt iThemes Security bạn ấn nút Secure Your Site Now để thiết lập

Hình 2. Kích hoạt iThemes Security với Secure Your Site Now.

Bước 2: Bạn click vào Allow File Updates và One – Click Secure  và ấn nút Dismiss để kết thúc

Hình 3. Click vào Allow File Updates và One – Click Secure

Bước 3:

• Bạn chuyển qua tab Setting và tìm hiểu các tùy chọn của nó.
• Phía dưới hình ảnh là thanh điều hướng Go to.
• Bạn bấm vào từng phần thì sẽ dẫn bạn đến khu vực tương ứng để thiết lập.

Hình 4. Khu vực Setting

Tùy chọn thiết lập cơ bản của iThemes Security

Global Setting

Hình 5. Phần Global Setting

Giải thích:

• Write to File: Tùy chọn này cho phép các plugin khác tự động thêm nội dung vào file wp-config.php và .htaccess, bạn nên tick vào tùy chọn này để có thể cài được các tính năng khác của iThemes Security hoặc các plugin tạo cache một cách tự động
• Notification Email: Địa chỉ email nhận các thông báo
• Backup Delivery Email: Địa chỉ email nhận file backup
• Host Lockout Message: Tin nhắn thông báo lỗi cho những người đăng nhập thất bại do bị khóa IP
• User Lockout Message: Tin nhắn thông báo lỗi nếu thành viên bị khóa
• Blacklist Repeat Offender: Kích hoạt sử dụng danh sách địa chỉ spam công cộng. Bạn nên chọn vì nó sẽ giúp bạn thoát khỏi các spammer có trong danh sách này
• Blacklist Threshold: Số lần IP bị khóa sẽ chuyển thành dạng khóa vĩnh viễn
• Blacklist Lookback Period: Thời hạn khóa các spammer có trong danh sách ở phần Blacklist Repeat Offender
• Lockout Period: Thời gian mỗi lần khóa nếu có ai đó cố gắng đăng nhập nhưng bị thất bại
• Lockout White List: Danh sách IP không bị khóa
• Email Lockout Notifications: Email nhận thông báo khi ai đó bị khóa
• Log Type: Kiểu ghi các log hoạt động của plugin, nên chọn > Database Only.

• Days to Keep Database Logs: Thời hạn ghi của các log trong database, sau thời hạn các log sẽ bị xóa đi
• Path to Log Files: Đường dẫn của file log
• Allow Data Tracking: Cho phép iThemes thu thập các dữ liệu sử dụng của bạn để họ phân tích.

404 Detection

 404 Detection: Là tùy chọn sẽ gửi thông báo mỗi khi thành viên truy cập một trang nào đó và phát hiện lỗi 404.

Hình 6: 404 Detection

Giải thích:

• Minutes to Remember 404 Error (Check Period): là thời gian hệ thống tự ghi nhớ lỗi 404 và không báo vào lần sau.
• Error Threshold: Là số lỗi tối đa mà mỗi thành viên có thể gặp, nếu thành viên vào tối đa số trang 404 trong phần này thì sẽ bị khóa. Thường là hay xảy ra với bot spam.
• 404 File/Folder White List: Các file/folder nó sẽ bỏ qua và không kiểm tra lỗi 404.

Away Mode

Away Mode là tính năng giúp bạn khóa trang quản trị trong thời gian nhất định. Các tùy chọn bên dưới sẽ cho phép bạn vô hiệu hóa truy cập vào WordPress Dashboard cho thời gian quy định.

Ngoài việc hạn chế tiếp xúc với những kẻ tấn công này cũng có thể hữu ích để vô hiệu hóa truy cập trang web dựa trên một lịch trình cho các lớp học hoặc các lý do khác.

Nếu thời gian không chính xác bạn có thể thiết lập lại cài đặt tại: WordPress general settings page.

Banned User

Banned User là tùy chọn cho phép bật chức năng ban một thành viên nào đó, kể cả bot spam. Tính năng này cho phép bạn cấm các máy chủ và các đại lý sử dụng từ trang web của bạn mà không cần phải quản lý bất kỳ cấu hình của máy chủ của bạn. Bất kỳ địa chỉ IP hoặc các đại lý người sử dụng tìm thấy trong danh sách dưới đây sẽ không được cho phép truy cập vào website của bạn.

Hình 8. Banner User

Giải thích:

• Enable HackRepair.com’s blacklist feature: Bật chức năng khóa các bot spam có trong danh sách của HackRepair.com.
• Enable ban users: Bật chức năng khóa thành viên.

Brute Force Protection

Brute Force Protection là tùy chọn này giúp bạn chống Brute Force Attack bằng hình thức hạn chế số lần đăng nhập sai.

Hình 9. Brute Force Protection

Giải thích:

• Receive email updates about WP Security from iThemes: Nhận email cập nhật về WP Security từ iThemes
• Enable brute force protection: Bật chức năng chống Brute Force.
• Max Login Attempts Per Host: Số lần đăng nhập sai tối đa của một IP.
• Max Login Attempts Per User: Số lần đăng nhập sai tối đa của một thành viên.
• Minutes to Remember Bad Login (check period): Số thời gian ghi nhớ đăng nhập sai, nếu trong khoảng thời gian này mà vượt quá số lần đăng nhập sai cho phép thì sẽ bị khóa.

Database Backup

Database Backup là tùy chọn hỗ trợ tự động sao lưu cơ sở dữ liệu.
Lưu ý: Bạn chỉ nên bật nếu bạn có database nhỏ vì sử dụng BackWPUp hoặc Backup Buddy sẽ tốt hơn nhiều.

Hình 10:  Database Backup

Giải thích:

• Backup Full Database – Backup toàn bộ cơ sở dữ liệu.
• Backup Method – Phương thức sao lưu, nó sẽ gửi bản backup qua email hoặc chỉ lưu vào host hoặc cả 2.
• Backup Location – Đường dẫn thư mục chứa file backup.
• Backups to Retain – Số file backup sẽ giữ lại trên host. Ví dụ nếu bạn đặt là 5 thì nếu nó nhiều hơn 5 thì sẽ tự xóa bớt file backup cũ nhất.
• Compress Backup Files – Hỗ trợ nén file backup.
• Exclude Tables – Các table trong database bạn không muốn backup.
• Schedule Database Backups – Bật tùy chọn tự động backup.

File Change Detection

File Change Detection là tính năng gửi thông báo nếu có file nào đó trong host bị thay đổi, thường là để phát hiện các file bị chèn Shell. File Change Detection giúp thay đổi nhận diện tập tin sẽ cảnh báo cho bạn biết những tập tin đã thay đổi trong cài đặt WordPress.

Hide Login Area

Hide Login Area là bật tính năng đổi đường dẫn đăng nhập thay vì /wp-admin như cũ.

Giấu trang đăng nhập (wp-admin, wp-login.php, admin và login) làm cho nó khó khăn hơn để tìm thấy bởi các cuộc tấn công tự động và làm cho nó dễ dàng hơn cho người sử dụng không quen thuộc với các nền tảng WordPress.

Secure Socket Layer

Secure Socket Layer là tính năng áp dụng SSL cho website bạn có chứng chỉ SSL.
Lưu ý: Nếu bạn không có SSL, bạn nên để nguyên nếu không muốn lỗi cả website.

Hình 13. Secure Socket Layer

Giải thích: 

• Front End SSL Mode: Bật SSL cho website.
• SSL for Login: Bật SSL cho hệ thống đăng nhập trên website qua kết nối an toàn.
• SSL for Dashboard: Bật SSL cho Dashboard qua kết nối an toàn.

Strong Password

Strong Password là thuộc tính áp dụng bắt buộc sử dụng mật khẩu phức tạp để bảo mật.

System Tweaks

System Tweaks là những thiết lập bảo mật nâng cao để tăng cường an toàn website WordPress.

Giải thích:

• Protect System Files: Bảo mật các file quan trọng của WordPress như wp-config.php, .htaccess, wp-include, instal,….
• Disable Directory Browsing: Không cho phép browse file tập tin bằng trình duyệt.
• Filter Request Methods: Lọc các truy vấn gửi đi thông qua URL, nó sẽ chặn các truy vấn mang tính chất nguy hiểm hoặc nghi ngờ.
• Filter Suspicious Query Strings in the URL: Lọc và chặn các truy vấn mang tính chất nguy hiểm trên URL, ai đó cố tình truy cập vào các file trong thư mục themes, plugins.
• Filter Non-English Characters: Một cách để hạn chế SQL Injection bằng cách chặn các query chứa ký tự lạ.
• Filter Long URL Strings: Lọc các truy vấn quá dài, thường là các attacker bằng hình thức SQL Injection thường viết truy vấn khá dài trên URL để thay đổi database.
• Remove File Writing Permissions: Tự động CHMOD bảo mật cho các file nhạy cảm, nếu bật thì các file đó sẽ được CHMOD thành 0444 thay vì 0644 như mặc định.
• Disable PHP in Uploads: Không cho phép thực thi các mã PHP trong tính năng upload trong WordPress để tránh màng up shell lên host.

WordPress Tweaks

WordPress Tweaks: Các tùy chọn này sẽ can thiệp vào mã nguồn của WordPress để bảo mật.

• Remove WordPress Generator Meta Tag – Xóa các thẻ meta mặc định của WordPress tự sinh ra.
• Remove the Windows Live Writer header – Xóa thẻ header để hồi đáp lại truy vấn từ Windows Live Writer nhằm tránh lại các hình thức tấn công thông qua việc đăng bài trái phép.
• Remove the RSD (Really Simple Discovery) header – Xóa thẻ header chứa file xml-rpc trên header để tránh lại các hình thức tấn công bằng việc đăng bài trái phép.
• Reduce Comment Spam – Chống spam ở comment.
• Display Random Version – Tự động hiển thị ngẫu nhiên số phiên bản WordPress để hacker khó xác định phiên bản thật sự mà bạn đang dùng.
• Disable File Editor – Không cho phép chỉnh sửa theme, plugin trong Dashboard.
• Disable login error messages – Tắt hiển thị lỗi đăng nhập để hacker khó xác định là họ đăng nhập sai hay lỗi.
• Force users to choose a unique nickname – Không cho thành viên sử dụng nickname trùng nhau.
• Disables a user’s author page if their post count is 0 – Không tạo đường dẫn author riêng nếu họ chưa có bài.

Đến đây là xong rồi, các bạn nhớ nhấn Save all Changes để lưu lại những thay đổi.

Lời kết

WordPress là một trong những mã nguồn tuyệt vời giúp dịch vụ thiết kế web lên ngôi, việc bảo mật website wordpress là vô cùng cần thiết. Trong bài viết này mình đã giới thiệu và hướng dẫn cụ thể đi sâu chi tiết vào các tính năng quan trọng của plugin bảo mật WordPress iThemes Security. Như đã nói đây là sự kết hợp giữa iThemes và Better WP Security, mặc dù mới ra mắt nhưng được đánh giá khá tốt tại thời điểm này. Ngoài iThemes Security còn có các plugin khác giúp bảo mật wordpress, chúng ta sẽ khám phá ở các bài viết lần sau. Chúc các bạn thành công !

Nếu bạn thấy bài viết này hữu ích, hãy chia sẻ với bạn bè bằng cách nhấn nút chia sẻ ở bên dưới. Theo dõi chúng tôi trên Twitter và Facebook