Search by category:
Hướng dẫn cài đặt và thiết lập Sucuri Security để bảo vệ website của bạn
WORDPRESS

Hướng dẫn cài đặt và thiết lập Sucuri Security để bảo vệ website của bạn

Như chúng ta đã biết, WordPress đang ngày càng phổ biến trên thế giới. Được blogger và doanh nghiệp ngày càng nhiều. Tuy nhiên, bảo mật cho WordPress luôn là một vấn đề nan giải mà chúng ta phải đương đầu. Sau đây mình sẽ hướng dẫn cài đặt và thiết lập Sucuri Security để bảo vệ website của bạn ngay từ đầu.

Không chỉ riêng WordPress mà trong thời đại công nghệ thông tin như hiện nay chẳng có gì là an toàn cả. Ngay cả vật bất ly thân là chiếc điện thoại của bạn cũng có thể bị cài phần mềm gián điệp. Và tiền trong thẻ cũng có thể không cánh mà bay.

Nói như vậy là để chứng minh rằng cái gì cũng cần bảo mật và WordPress cũng không phải là một ngoại lệ.

Vấn đề bảo vệ website thì không chỉ cài một plugin là đủ mà chúng ta phải kết hợp nhiều thứ. Tuy nhiên, sẽ có nhiều plugin trả phí làm hết cho bạn nhưng không phải lúc nào chúng ta cũng có tiền để mua đúng không nào?

Một số plugin bảo mật cho WordPress có thể kể đến là iThems Security, WordFence…nhưng có lẽ mỗi plugin đều có ưu và nhược điểm riêng.

Và lí do mình thích Sucury Security nhất là miễn phí, dễ cài đặt và sử dụng.

Sucuri đã được ưu hóa và hoàn toàn tự động nên bạn không cần thiết lập gì nhiều. Và đặc biệt là nhẹ như tựa lông hồng giúp website của bạn chạy nhanh như gió.

Sucuri không chỉ bảo mật cho WordPress mà còn rất nhiều mã nguồn khác như Joomla, Drupal, Magento…nhưng có vẻ như họ vẫn “kết” WordPress hơn cả. Và nghe đâu, Godaddy, nhà cung cấp tên miền lớn nhất thế giới đang thỏa thuận mua lại Sucuri.

CÀI ĐẶT VÀ THIẾT LẬP SUCURI SECURITY

Đầu tiên các bạn cài đặt và kích hoạt plugin này trong doashboard như bình thường, nếu bạn là người mới có thể tham khảo cách cài plugin trong WordPress.

Cài đặt và thiết lập Sucuri Security
Cài đặt Sucuri

Sau khi cài đặt và kích hoạt thành công, các bạn sẽ thấy có bảng thông báo như sau:

Cài đặt và thiết lập Sucuri Security
Generate API Key

Việc của chúng ta bây giờ là nhấp chuột vào ô Generate API Key

Tiếp theo, nếu bạn không có ý định sử dụng DNS của Sucuri thì nên bỏ check vào ô Enable DNS lookups on startup để khỏi ảnh hưởng tới tốc độ tải trang.

Cài đặt và thiết lập Sucuri Security
Bỏ check DNS

Xong nhấp Proceed để lấy key. Ở màn hình tiếp theo bạn chọn Settings để vào thiết lập cho Sucuri.

Cài đặt và thiết lập Sucuri Security
Chọn Settings

Trong tab Settings, đầu tiên chúng ta sẽ thấy một dòng là Plugin API Key màu xanh ở dưới.

Cài đặt và thiết lập Sucuri Security
API Sucuri Key

Cái API Key này bạn tạo xong cứ để đó. Trong tab này bạn bật (Enabled) các tính năng sau:

Cài đặt và thiết lập Sucuri Security
Sucuri Setiings
Cài đặt và thiết lập Sucuri Security
Sucuri Settings

Failed Login Password Collector: thu thập những lần đăng nhập thất bại

User Comment Monitor: theo dõi bình luận

Audit Log Statistics: thống kê lịch sử chỉnh sửa file.

Chuyển quan Hardening, các bạn thiết lập như sau:

Cài đặt và thiết lập Sucuri Security

 

Cài đặt và thiết lập Sucuri Security

 

Cài đặt và thiết lập Sucuri Security

  • Verify WordPress version: xác minh phiên bản WordPress đã là mới nhất chưa
  • Verify PHP version: xác minh phiên bản PHP đã là mới nhất chưa.
  • Remove WordPress version: xóa thông tin phiên bản WordPress
  • Protect uploads directory: bảo vệ thư mục uploads.
  • Restrict wp-content access: ngăn cấm truy cập thư mục wp-content.
  • Restrict wp-includes access: ngăn cấm truy cập thư mục wp-include.
  • Information leakage (readme.html): ngăn cản rò rỉ thông tin bằng cách xóa file readme.html của WordPress.
  • Default admin account: đổi tên tài khoản đăng nhập mặc định là admin, bạn nào đổi rồi thì thôi
  • Plugin & Theme editor: tắt tính năng chỉnh sửa file theme và plugin trong Dashboard
  • Database table prefix: đổi tiền tố prefix của cơ sở dữ liệu mặc định là _wp

Như mình đã nói từ đầu, vì plugin này đã được tối ưu rồi nên chúng ta không cần làm gì nhiều.

Nhiêu đó cũng đủ giúp bạn chống lại 80% các cuộc tấn công từ bên ngoài.

TÍNH NĂNG KHÁC CỦA SUCURI SECURITY

Và bây giờ bạn vẫn còn chút thời gian chứ. Okay vậy chúng ta sẽ đi khảo sát từng tab một chút xem có gì hay không nhé!

DASHBOARD

Đây là bảng thông báo cho phép chúng ta nắm được tình trạng bảo mật trên website. Kể từ sau khi kích hoạt trong mục Settings như phần đầu, nó sẽ liệt kê cho chúng ta toàn bộ file log ghi lại toàn bộ hoạt động của website một cách chi tiết.

Cài đặt và thiết lập Sucuri Security
Dashboard

Sucuri sẽ quét toàn bộ website và báo cáo cho chúng ta file nào có thay đổi, file nào lạ và các vấn đề cần khắc phục. Nếu không có gì quan trọng, bạn có thể tick vào ô trước các thông báo đó và nhấn Mark as fixed trong cửa sổ đổ xuống của Choose option và nhấn Proceed. Lần quét sau, nó sẽ bỏ qua những file đó.

Cài đặt và thiết lập Sucuri Security
Thống kê đăng nhập…

MALWARE SCAN

Khi kích hoạt, Sucuri sẽ quét malware, lỗi và các thành phần lỗi thời trên website của bạn. Bạn có thể cài đặt cho nó quét mỗi 3 tiếng, 12 tiếng hay 24 tiếng một lần. Mặc định là ngày 2 lần.

Cài đặt và thiết lập Sucuri Security
Malware Scan

FIREWALL (PHIÊN BẢN TRẢ PHÍ)

Khi được kích hoạt, các truy cập sẽ đi qua server của Sucuri trước khi vào website của bạn. Điều này giúp ngăn chặn hacker, tấn công từ chối dịch vụ DDOS…

Cài đặt và thiết lập Sucuri Security
Firewall

Chỉ có điều, tính năng này chỉ có trên phiên bản trả phí mà thôi.

HARDENING

Như chúng ta vừa thiết lập ở trên.

POST-HACK

Trong tab to này có 4 tab nhỏ như sau:

  • Reset security keys — reset SALTs trong wp-config.php.
  • User password reset — thay đổi mật khẩu người dùng
  • Reset plugins — cho phép bạn cài lại toàn bộ plugin chỉ trong 1 nốt nhạc
  • Available updates — liệt kê tất cả các thành phần có thể cập nhật
Cài đặt và thiết lập Sucuri Security
Post-Hack

LAST LOGIN

Trong này Sucuri liệt kê tất cả các lần đăng nhập thành công, thất bại và cả những user bị block.

Cài đặt và thiết lập Sucuri Security
Last Login

SETTINGS

Như chúng ta thiết lập ở trên.

SITE INFO

Cuối cùng, đây là tất cả những gì mà Sucuri thu thập được về website của bạn. Bao gồm thông tin plugin, server, cơ sở dữ liệu, sự tương thích của file .htaccess…

Cài đặt và thiết lập Sucuri Security
Site info

KẾT LUẬN

Với ưu điểm là nhẹ nhàng, đơn giản và bảo mật tốt, bạn nên cài đặt và thiết lập Sucuri ngay từ khi đưa website lên môi trường Internet. Mình cũng đang sử dụng Ithems Security cho một website khác nhưng thấy khá là nặng nề. Theo ý kiến cá nhân mình, Sucuri là plugin nên cài đầu tiên cho website của bạn.

Chúc các bạn thành công!

Post Comment