Ngoài phương thức tấn công phổ biến là làm ngập dữ liệu qua hình thức tấn công từ chối dịch vụ (DDoS) thì còn một hình thức khá phổ biến nữa đó là tấn công từ các lỗ hổng bảo mật có trong các mã độc được đính kèm vào theme, plugin hay chính source WordPress bạn đang dùng. Lý do phổ biến nhất để bị dính mã độc thường được cho là cài các plugin, theme trả phí không rõ nguồn gốc, với tâm lý ham của lạ nhưng ngại bỏ tiền thì việc hàng loạt blog bị tấn công là điều hoàn toàn có thể xảy ra.
Vậy thay vì phải chờ đến khi bị tấn công mới biết mình đã bị nhiễm mã độc thì tại sao bạn không nên lên kế hoạch kiểm tra và phòng chống ngay từ hôm nay? Bây giờ WordPress có rất nhiều công cụ giúp bạn dò tìm các đoạn mã được nghi vấn là mã độc rất tốt mà bạn có thể sử dụng nếu như không có nhiều kiến thức về bảo mật để tự tay tìm ra các đoạn mã đó. Trong bài này mình sẽ cho bạn thấy WordPress có 4 plugin hỗ trợ dò tìm và khắc phục các lỗ hổng bảo mật liên quan tới mã độc mà bạn có thể tin dùng.
Danh Mục
6Scan Security
Đây là một trong những plugin bảo mật ưa thích của mình hay dùng nhất bởi sự tiện lợi cũng như mạnh mẽ của nó. Chức năng của nó là quét toàn bộ các tập tin có trong blog của bạn và hiển thị các lỗi bảo mật theo thứ tự từ khẩn cấp đến bình thường. Không chỉ là cho chúng ta biết blog mình có lỗ hổng bảo mật mà 6scan còn cho ta biết lỗ hổng đó nằm ở file nào và cách fix ra sao.
Còn nếu bạn không có khả năng fix thủ công thì có thể dùng chức năng Auto Fix của 6scan Security nhưng bạn cần trả tiền để nâng cấp tài khoản để sử dụng tính năng này và các tính năng nâng cao khác.
Tóm lại đây là plugin đơn giản, nên sử dụng và nếu bạn có khả năng thì nâng cấp lên tài khoản trả phí là hoàn toàn hợp lý, vừa túi tiền.
Wordfence Security
Không chỉ đảm nhận tốt nhiệm vụ quét và dò tìm các mã độc hay các lỗi liên quan đến code trên blog, mà nó còn là một công cụ thống kê lượt truy cập từ các IP và chặn truy cập theo IP, lãnh thổ rất tốt. Cũng như 6scan Security, các tính năng nâng cao của Wordfence Security cần phải trả tiền để sử dụng.
Tuy nhiên có 1 điều cần lưu ý đó là website của bạn có thể bị treo vì overload khi tiến hành scan bằng plugin này. Nếu bạn sử dụng VPS hay Dedicated Server thì có thể thoát được nhược điểm này.
Theme Authenticity Checker
Mối lo phổ biến của những người hay dùng các theme tải từ trên mạng không rõ nguồn gốc là bị chèn mã độc và được mã hóa các đoạn mã độc đó để người sử dụng không thể đọc được đó là cái gì. Vậy thì bạn nên sử dụng TAC ngay vì nó sẽ quét các tập tin có trong thư mục wp-content/themes và sẽ liệt kê ra các đoạn code bị mã hóa. Ngoài ra nó cũng sẽ liệt kê các đoạn code không cần thiết có trong theme mà bạn có thể xóa đi mà không gây ảnh hưởng gì, đa phần đó là những đoạn code để in các thông tin copyright của tác giả theme.
Nhưng nhược điểm của plugin này là không hỗ trợ bạn fix lỗi, các công việc fix lỗi bạn phải tự làm thủ công.
Timthumb Vulnerability Scanner
Nếu bạn có hay lang thang ở các website bảo mật web thì chắc đã có đôi ba lần nghe qua lỗ hổng bảo mật có trong TimThumb có thể cho phép tin tặc có quyền upload bất cứ tập tin nào lên máy chủ, đương nhiên website của bạn sẽ cực kỳ nguy hiểm nếu như đó là các mã độc có thể chiếm quyền thao tác database, như shell chẳng hạn.
Rất may là các lỗi đó đã được nhà phát triển TimThumb fix kịp thời nhưng nếu bạn đang sử dụng theme có dùng TimThumb để resize ảnh thì bạn nên cẩn thận với nó, ít nhất là hãy cài plugin này vào một lần xem có lỗi nào được tìm ra hay không.
WP Antivirus Site Protection
Là một plugin của dịch vụ quét mã độc SiteGuarding, bạn có thể sử dụng để tìm các loại mã độc thông dụng như backdoors, rootkits, trojan horses, worms, fraudtools, adware, và spyware. Rất tiếc, phiên bản miễn phí chỉ hỗ trợ bạn quét tự động mỗi tuần, nếu bạn cần quét mỗi ngày thì sẽ phải trả thêm $4,95/tháng và $9,95/tháng nếu bạn cần thêm dịch vụ gỡ bỏ mã độc.
Antivirus
Nếu bạn cần tìm plugin miễn phí để scan mã độc trong mã nguồn WordPress thì đây là lựa chọn cho bạn.
NÊN CẨN THẬN VỚI CÁC THEME, PLUGIN KHÔNG RÕ NGUỒN GỐC
Các tin tặc cũng chỉ lợi dụng tính ham của rẻ, của chùa của chúng ta để thực hiện hành vi “đồi bại” đó. Vì vậy trước khi bạn đảm bảo rằng không muốn bị dính mã độc dù chỉ một lần, thì hãy chắc là không sử dụng bất cứ theme hay plugin nào không rõ nguồn gốc, nhất là các thứ được tải về các trang chia sẻ các plugin null đầy rẫy trên mạng.
Hy vọng với các plugin đơn giản này sẽ giúp bạn thêm phần tự tin để phát triển blog ngày một tốt hơn.
Nguồn: Thach Phạm
