5/5 - (1 vote)

Wordfence là gì? Những công dụng chính của Wordfence và cách sử dụng Wordfence trong vấn đề bảo mật website, bảo vệ website tránh bị hacker, virut tấn công!

Wordfence Security là gì?Có nên sử dụng Wordfence Security không?

Wordfence Security là gì?

Wordfence Security là gì?

Wordfence Security là gì?

Wordfence Security là một trong những plugin bảo mật tốt nhất cho các website WordPress. Sau khi cài đặt plugin này, bạn chỉ cần thực hiện một vài thao tác đơn giản là có thể bảo vệ toàn diện cho website của bạn tránh khỏi các virut, hacker.

Có nên sử dụng Wordfence Security?

Như chúng tôi đã trình bày ở trên, Wordfence Security là một trng những plugin bảo mật tốt nhất cho các website WordPress. Do vậy, nếu bạn đang sử dụng 1 website WordPress thì còn chần trừ gì mà không cài đặt plugin này cho website của bạn.

Wordfence Security có cả phiên bản trả phí và miễn phí. Tùy theo nhu cầu, bạn có thể lựa chọn phiên bản phù hợp.

Cài đặt Plugin Wordfence trên website WordPress như thế nào?

Cách cài plugin Wordfence trên website WordPress cũng giống như cách cài các plugin khác. Bạn có thể xem chi tiết trong bài Hướng dẫn cài plugin trên WordPress

Nên sử dụng Wordfence Security bản Free hay bản mất phí(Premium)?

Chúng tôi đã sử dụng cả bản Wordfence Free và bản Wordfence Premium. Sau khi sử dụng 2 phiên bản này, EZ Marketing có nhận xét:

  1. Nếu bạn chỉ viết blog chia sẻ kiến thức hoặc làm 1 website giới thiệu cá nhân thì bản Free hoàn toàn có thể đáp ứng nhu cầu của bạn. Nó có thể chặn các IP riêng lẻ, quét virut cơ bản và tường lửa ở mức tạm chấp nhận được. Tuy nhiên, nó không thể quét được các virut mới, các virut nguy hiểm và cũng không xử lý được các lỗ hổng bảo mật lớn
  2. Nếu bạn làm website doanh nghiệp, website bán hàng thì việc sử dụng Wordfence Premium là điều hết sức cần thiết. Vì chi phí cho bản Premium cũng loanh quanh khoảng 3 triệu/năm, nhưng nó bảo vệ website của bạn tuyệt đối. Với những người kinh doanh thì thông tin khách hàng, uy tín doanh nghiệp là quan trọng nhất. Ngoài ra, doanh nghiệp còn mất rất nhiều chi phí để xây dựng website, do vậy doanh nghiệp cần nâng cấp ngay nên bản Wordfence Premium.

Những công dụng chính của Wordfence Security

Bất cứ ai đang quản trị website cũng biết Wordfence có công dụng bảo vệ website, chống hacker, virut xâm nhập website. Nhưng thực sự thì Wordfence có những công dụng cụ thể là gì?

Những công dụng chính của Wordfence Security

Những công dụng chính của Wordfence Security

Chặn traffic ảo, traffic spam, traffic xấu theo thời gian thực

Các traffic ảo, traffic spam có thể làm website của bạn tốn nhiều tài nguyên CPU, RAM,…và từ đó làm treo website.

Traffic xấu có thể là các traffic đến từ các hacker, họ truy cập vào website của bạn với mục đích hack

Do vậy, việc chặn traffic ảo, traffic spam, traffic xấu là điều cần làm ngay tức thì. Phần dưới chúng tôi sẽ hướng dẫn bạn chặn traffic ảo – spam – xấu bằng cách chặn IP những nguồn traffic đó.

Quét virut/lỗ hổng bảo mật trên toàn bộ website

Một trong những chức năng tuyệt vời nhất của Wordfence là nó có thể quét virut và tìm lỗ hổng bảo mật trên website của bạn hàng ngày, vào khung giờ bạn lựa chọn.

Bạn có thể thiết lập để Wordfence quét virut/lỗ hổng bảo mật hàng ngày, hàng tuần hoặc theo mốc thời gian bạn mong muốn. Tốt nhất là bạn nên chọn mốc thời gian có ít người dùng truy cập website vì khi Wordfence quét sẽ tốn tài nguyên của hosting như tốn RAM, CPU nên thời gian đó sẽ làm chậm tốc độ website.

Thiết lập tường lửa bảo vệ website theo thời gian thực

Đây có lẽ là chức năng mà EZ Marketing yêu thích nhất khi sử dụng Wordfence. Nó ngăn chặn hacker, virut tấn công vào website của bạn theo “thời gian thực“.

Sau một thời gian sử dụng, chúng tôi thấy chức năng này của Wordfence hoạt động rất chính xác, ngăn chặn được rất nhiều hacker, virut muốn tấn công website.

Bảo mật 2 lớp(2FA) cho các tài khoản Administrator

Trên website WordPress, các tài khoản có quyền Administrator có thể tác động nhiều nhất tới website. Do vậy, các tài khoản có quyền Administrator cần được bảo mật 2 lớp(2FA) đầu tiên.

Bạn hoàn toàn có thể sử dụng Wordfence bản miễn phí để bảo mật 2 lớp cho các tài khoản Administrator. Bạn có thể xem hướng dẫn sử dụng Wordfence để bảo mật 2 lớp trong phần nội dung “Hướng dẫn bảo mật 2 lớp(2FA) cho các tài khoản Administrator” dưới đây.

Sử dụng reCaptcha ngăn chặn đối bot spam và virut dò tìm mật khẩu trang quản trị website

Chức năng reCaptcha của Wordfence sẽ giúp website của bạn ngăn chặn các hành động spam của đối thủ hoặc chặn các bot truy cập website của bạn hoặc các virut dò tìm mật khẩu trang quản trị website.

Hướng dẫn sử dụng Wordfence trong vấn đề bảo mật website

Hướng dẫn sử dụng Wordfence để chặn traffic ảo, traffic spam, traffic xấu

Để chặn traffic ảo, spam, traffic xấu vào website của bạn thì bạn làm theo các bước dưới đây:

Đăng nhập vào trang quản trị Admin của website WordPress => Click vào Wordfence ở menu dọc => Chọn Firewall => Chọn Blocking => Sau đó chọn 1 trong 3 kiểu chặn: chặn traffic theo địa chỉ IP(chọn IP Address), chặn toàn bộ traffic đến từ quốc gia nào đó(chọn Country), chặn traffic theo mẫu tùy chỉnh(chọn Custom Pattern):

Hướng dẫn sử dụng Wordfence để chặn traffic ảo, traffic spam, traffic xấu

Hướng dẫn sử dụng Wordfence để chặn traffic ảo, traffic spam, traffic xấu

Dưới đây, EZ Marketing sẽ hướng dẫn bạn chặn traffic ảo, xấu, spam theo theo địa chỉ IP, chặn toàn bộ traffic đến từ quốc gia nào đó, chặn traffic theo mẫu tùy chỉnh:

Chặn traffic ảo, xấu, spam theo theo địa chỉ IP

Bạn làm theo hướng dẫn dưới đây, sau đó nhấn “BLOCK THIS IP ADDRESS”:

Chặn traffic ảo, xấu, spam theo theo địa chỉ IP

Chặn traffic ảo, xấu, spam theo theo địa chỉ IP

Chặn toàn bộ traffic đến từ quốc gia nào đó

Bạn làm theo hướng dẫn dưới đây, sau đó nhấn “UPDATE BLOCK”:

Chặn toàn bộ traffic đến từ quốc gia nào đó

Chặn toàn bộ traffic đến từ quốc gia nào đó

Chặn traffic theo mẫu tùy chỉnh

Bạn làm theo hướng dẫn dưới đây, sau đó nhấn “BLOCK VISITORS MATCHING THIS PATTERN”:

Chặn traffic theo mẫu tùy chỉnh

Chặn traffic theo mẫu tùy chỉnh

Hướng dẫn sử dụng Wordfence để quét virut/lỗ hổng bảo mật trên toàn bộ website

Bạn có thể lựa chọn quét virut/lỗ hổng bảo mật ngay bây giờ hoặc lên lịch quét virut/lỗ hổng bảo mật:

Quét virut/lỗ hổng bảo mật ngay

Bạn vào trang quản trị Admin => Click Wordfence ở menu dọc => Chọn Scan => Nhấn “START NEW SCAN” để quét virut/lỗ hổng bảo mật ngay:

Quét virut/lỗ hổng bảo mật ngay

Quét virut/lỗ hổng bảo mật ngay

Lên lịch quét virut/lỗ hổng bảo mật

Sau khi vào mục Scan => bạn chọn “Scan Options including scheduling” để lên lịch quét virut/lỗ hổng bảo mật:

Lên lịch quét virut/lỗ hổng bảo mật

Lên lịch quét virut/lỗ hổng bảo mật

Khi vào Scan Scheduling, bạn chọn “ENABLED” để cho phép lên lịch quét virut/lỗ hổng bảo mật

Sau đó, bạn chọn “Manually schedule scans”

Mục “Shortcuts” để lên lịch quét là ONCE DAILY(quét 1 lần/ngày), TWICE DAILY(quét 2 lần/ngày), EVERY OTHER DAY(quét 2 ngày/lần), WEEKDAYS(quét tất cả các ngày trừ ngày lễ, ngày nghỉ), WEEKENDS(quét ngày thứ 7, chủ nhật),…

Mục “Use preferred start time” sẽ là giờ bạn bắt đầu quét virut/lỗ hổng bảo mật trên website. Bạn nên chọn giờ thấp điểm, có ít traffic truy cập website của bạn, để tránh quá tải website vì khi quét virut/lỗ hổng bảo mật thì Wordfence sẽ sử dụng khá nhiều tài nguyên(CPU, RAM) trên hosting/VPS chứa website của bạn. 

Mục “Basic Scan Type Options”, mục này bạn nên chọn “High Sensitivity” để quét sâu toàn bộ website:

Thiết lập lịch quét chi tiết

Thiết lập lịch quét chi tiết

Đọc kết quả sau khi quét virut/lỗ hổng bảo mật

Sau khi quét virut, bạn có thể xem kết quả, nếu bạn thấy các mục nào có check xanh(như mục Spamvertising Checks, Spam Check…) là Ok, còn tam giác vàng(Vulnerability Scan) là cảnh báo nguy hiểm.

Như ở hình dưới, Vulnerability Scan có tam giác vàng tức là đang có lỗ hổng bảo mật. Bạn cần kéo xuống bảng “Results Found” ở ngay dưới để xem lỗ hổng bảo mật là gì và xử lý ngay. Như hình dưới, bạn thấy đang cảnh báo ở mục Vulnerability Scan(lỗ hổng bảo mật) và kéo xuống bảng “Results Found” thấy thông báo là cần Upgrade Plugin Really Simple SSL, mức độ quan trọng Medium(trung bình), do vậy bạn chỉ cần upgrade plugin Really Simple SSL là OK:

Các mục có check xanh là Ok, tam giác vàng là cảnh báo

Các mục có check xanh là Ok, tam giác vàng là cảnh báo

Hướng dẫn thiết lập tường lửa trên Wordfence

Để thiết lập tường lửa trên Wordfence, bạn làm theo hình dưới đây:

Hướng dẫn thiết lập tường lửa trên Wordfence

Hướng dẫn thiết lập tường lửa trên Wordfence

Khi bạn mới cài Wordfence thì mục “Web Application Firewall Status” sẽ ở chế độ “Learning Mode”, chế độ này không bảo vệ website của bạn tối đa nhưng nó cho phép Wordfence tìm hiểu về cách website của bạn hoạt động, từ đó bảo vệ website và chặn  virut, hacker tốt nhất, không chặn nhầm. Như bạn thấy ở hình dưới, có 2 vòng tròn trạng thái(Web Application Firewall và Firewall Rules: Premium) đang bị màu xám do bạn đang để chế độ “Learning Mode”, tức là website của bạn không được bảo vệ tối đa.

Nếu website của bạn đang an toàn, không bị virut, hacker tấn công thì bạn nên để chế độ “Learning Mode” trong 1 tuần, sau đó mới chọn “Enabled and Protecting”. Còn nếu website của bạn đang bị virut, hacker tấn công hoặc đã bị nhiễm virut, hãy bật ngay chế độ “Enabled and Protecting”.

Mục Real-Time IP Blocklist bạn chọn ENABLED để Wordfence ngăn chặn các traffic ảo, traffic xấu, spam từ các IP bị nghi ngờ theo thời gian thực.

Mục Protection Level bạn click vào “OPTIMIZE THE WORDFENCE FIREWALL” => Sau đó click “DOWNLOAD .HTACCESS” và “DOWLOAD .USER.INI”. Vì khi bạn chọn mục “OPTIMIZE THE WORDFENCE FIREWALL”, nó sẽ thay đổi 2 file .htaccess và .user.ini, do vậy bạn cần download 2 file này xuống đề phòng trường hợp bị lỗi thì có 2 file này backup lại => Sau đó, chọn “CONTINUE”:

Sau 1 tuần, bạn chọn chế độ “Enabled and Protecting” trong mục “Web Application Firewall Status” để website của bạn được bảo vệ tối đa và tốt nhất => Sau đó chọn “SAVE CHANGES”. Nếu bạn thấy các vòng tròn trạng thái tường lửa đều đạt 100% như hình dưới thì website của bạn đã được tường lửa Wordfence bảo vệ tối đa và tốt nhất:

Website được tường lửa Wordfence bảo vệ tối đa và tốt nhất

Website được tường lửa Wordfence bảo vệ tối đa và tốt nhất

Hướng dẫn bảo mật 2 lớp(2FA) cho các tài khoản Administrator

Đầu tiên, bạn cần cài ứng dụng “Authenticator” trên điện thoại của bạn, ứng dụng này sử dụng để tạo ra các mã bảo mật để đăng nhập bảo mật 2 lớp.

Tiếp theo, bạn vào trang quản trị(trang Admin) => Chọn Users ở menu dọc => Xem tài khoản nào có quyền “Administrator”. Sau đó, click vào 2FA để thiết lập bảo mật 2 lớp cho tài khoản đó:

Tiếp theo, bạn mở app Authenticator trên điện thoại của bạn và quét code như hình dưới. Sau đó bạn sẽ nhận 1 dãy số, bạn hãy nhập dãy số này vào ô như hình dưới. Sau đó nhấn “ACTIVATE” để kích hoạt bảo mật 2 lớp:

Sau khi kích hoạt bảo mật 2 lớp, từ lần sau đăng nhập vào website, bạn sẽ phải mở app Authenticator trên điện thoại để lấy mã số để nhập vào website thì mới đăng nhập được vào website.

Hướng dẫn bảo mật 2 lớp(2FA) cho các tài khoản quyền thấp hơn Administrator

Khi mới cài Wordfence thì bạn chỉ có thể cài 2FA cho các tài khoản có quyền Administrator, để cài 2FA cho các tài khoản quyền thấp hơn như Editor, Author,…thì bạn cần vào Wordfence => Login Security => Settings => Kéo xuống phần 2FA Roles, chọn các quyền bạn muốn cho 2FA là Optional. Ví dụ như hình dưới, EZ Marketing chọn Editor và Author là Optional. Như vậy các tài khoản có quyền Editor và Author sẽ có thể cài 2FA. Sau đó bạn nhấn “SAVE”:

Hướng dẫn bảo mật 2 lớp(2FA) cho các tài khoản quyền thấp hơn Administrator

Hướng dẫn bảo mật 2 lớp(2FA) cho các tài khoản quyền thấp hơn Administrator

Sau đó, bạn có thể bật 2FA cho các tài khoản có quyền Editor và Author giống hệt các bước bật 2FA cho tài khoản quyền Administrator.

Hướng dẫn bật reCaptcha trong Wordfence

Để bật reCaptcha trong Wordfence, thì trước tiên bạn phải đăng ký reCaptcha. Sau đó, nhớ lưu lại mã reCAPTCHA v3 Site Key và reCAPTCHA v3 Secret để bước sau bạn sẽ nhập vào Wordfence.

Sau đó, bạn đăng nhập vào trang quản trị website của bạn, rồi vào phần Wordfence => Chọn Login Security => Chọn Settings:

Sau đó kéo xuống phần reCaptcha => Tick vào ô Enable reCAPTCHA… => sau đó nhập 2 ô reCAPTCHA v3 Site Key và reCAPTCHA v3 Secret(đây là 2 mã mà bạn đã lưu lại sau khi cài reCaptcha):

Nếu bạn còn bất kỳ câu hỏi nào về Wordfence, hãy chat trực tiếp với EZ Marketing, đội ngũ chuyên gia về bảo mật của chúng tôi sẵn sàng giúp đỡ bạn!

Nếu thấy bài viết về chủ đề “Wordfence” này hữu ích đối với bạn, hãy chia sẻ nó cho cộng đồng SEO và các nhóm SEO bạn đang tham gia nhé.