Wordfence Security Premium

100,000 

Phiên bản
7.11.6
Ngày cập nhật
12/09/24
Hướng dẫn
Xem chi tiết

An toàn tuyệt đối

Kiểm định an toàn bởi Virustotal

Liên tục cập nhật

Đảm bảo phiên bản mới nhất

Hoàn tiền 100%

Khi sản phẩm có lỗi

Tải về ngay lập tức

Sử dụng ngay sau khi thanh toán

Mỗi ngày, trang web của Lucid Gen ghi nhận khoảng 200 cuộc tấn công, theo báo cáo của Wordfence. Tuy nhiên, nhờ Wordfence Security Premium, mình hoàn toàn yên tâm trước những mối đe dọa này. Với phiên bản Premium, trang web được bảo vệ toàn diện nhờ các tính năng bảo mật nâng cao như tường lửa, quét phần mềm độc hại, và ngăn chặn IP.

Nếu bạn đang tìm kiếm một plugin bảo mật mạnh mẽ cho WordPress, đừng bỏ qua bài viết này. Mình sẽ hướng dẫn chi tiết cách sử dụng Wordfence Security Premium và chia sẻ cách kích hoạt Premium miễn phí để bạn có thể bảo vệ website hiệu quả hơn.

Wordfence Security là gì?

Wordfence là một sản phẩm của Defiant, công ty hàng đầu thế giới trong lĩnh vực bảo mật WordPress. Plugin này cung cấp các tính năng quan trọng như tường lửa và quét mã độc để bảo vệ website của bạn.

Wordfence thường xuyên cập nhật các quy tắc tường lửa mới nhất, chữ ký phần mềm độc hại và địa chỉ IP đáng ngờ, nhằm đảm bảo an toàn tối ưu cho trang web của bạn.

Bên cạnh đó, plugin còn tích hợp tính năng Xác minh 2 bước (2FA) và nhiều tính năng bổ sung khác. Wordfence là giải pháp bảo mật toàn diện và hiệu quả nhất hiện nay cho WordPress.

Wordfence Security là gì?
Wordfence Security là gì?

Các tính năng của Wordfence Premium

Các tính năng bản miễn phí

Firewall – Tường lửa:

  • Web Application Firewall – Tường lửa ứng dụng web: Tính năng này bảo vệ website của bạn khỏi các cuộc tấn công và tin tặc từ bên ngoài.
  • Brute Force Protection – Bảo vệ chống tấn công Brute Force: Ngăn chặn các cuộc tấn công cổ điển bằng cách thử hàng triệu tên đăng nhập và mật khẩu khác nhau để tìm thông tin đăng nhập của bạn.
  • Block – Chặn IP: Bạn có thể thêm IP vào danh sách chặn để ngăn truy cập vào website của bạn, đồng thời tạo các quy tắc tự động chặn.
  • Rate Limiting – Giới hạn truy cập và bảo vệ nội dung: Chức năng này có hai lợi ích chính. Thứ nhất, ngăn các bot thu thập thông tin, bảo vệ nội dung của bạn. Thứ hai, hạn chế các cuộc tấn công băng thông hay DDOS, ví dụ như việc kẻ xấu truy cập liên tục làm hao tốn tài nguyên và làm chậm website của bạn, gây trải nghiệm kém cho người dùng.

Scan – Quét mã độc: Quét toàn bộ các tệp trên website của bạn để phát hiện mã độc, backdoors, shells, và các loại mã độc khác đã được nhận diện bởi Wordfence.

Tool – Các công cụ hỗ trợ khác:

  • Live Traffic – Xem truy cập thời gian thực: Theo dõi các lượt truy cập gần đây để xác định nguồn gốc, có phải từ quốc gia nào hoặc là người dùng hay bot. Tuy nhiên, bạn nên tập trung vào những lần truy cập bị Wordfence chặn. Ví dụ, Lucid Gen chặn khoảng 50 IP mỗi ngày.
  • Whois Lookup – Kiểm tra thông tin IP hoặc tên miền: Tính năng này cho phép bạn tra cứu thông tin liên quan đến IP hoặc tên miền, nhưng có thể dễ dàng tìm thấy trên mạng, nên có thể bỏ qua.
  • Import/Export Options – Nhập xuất cài đặt Wordfence: Nếu bạn quản lý nhiều website, bạn có thể cấu hình Wordfence một lần và xuất cài đặt để áp dụng cho các website khác, tiết kiệm thời gian và công sức.

Login Security – Bảo mật đăng nhập:

  • Xác minh 2 bước: Một tính năng quan trọng hiện nay, được hướng dẫn chi tiết trong bài viết về cách bật bảo mật 2 lớp cho WordPress.
  • reCAPTCHA: Giúp xác minh xem người đăng nhập có phải là robot hay không, ngăn việc thử đăng nhập liên tục và hỗ trợ chống lại các cuộc tấn công Brute Force đã đề cập.

Các tính năng bản Premium

Premium của tường lửa:

  • Real-time Firewall Rules – Tự thêm các quy tắc tường lửa: Tường lửa của Wordfence sử dụng các quy tắc để xác định và chặn truy cập độc hại, bảo vệ trang web của bạn khỏi các cuộc tấn công WordPress và lỗ hổng bảo mật mới nhất.
  • Real-time IP Blocklist – Tự chặn IP theo blacklist của Wordfence: Chặn các IP thường xuyên tấn công website WordPress, giúp tăng cường bảo vệ và giảm bớt tài nguyên bị tiêu hao cho các hành vi xấu.
  • Country Blocking – Chặn IP theo quốc gia: Tính năng này, theo đánh giá của Lucid Gen, là một trong những ưu điểm nổi bật của Wordfence Security Premium. Bạn có thể chặn truy cập từ các quốc gia cụ thể vào trang đăng nhập hoặc toàn bộ website của bạn. Ví dụ, bạn có thể chặn tất cả các quốc gia (trừ Việt Nam) không được vào trang đăng nhập.

Premium của quét mã độc:

  • Real-time Malware Signatures: Tự động phát hiện phần mềm độc hại trên website của bạn theo thời gian thực, tương tự như phần mềm quét virus trên máy tính. Khi phát hiện mối đe dọa, nó sẽ ngay lập tức chặn và thông báo.
  • Spamvertising Checks: Xác minh xem website của bạn có bị “Spamvertis” (quảng cáo nội dung xấu thông qua thư rác) hay không.
  • Spam Check: Kiểm tra xem IP của website có đang tạo ra thư rác không.
  • Blocklist Check: Xác định xem website của bạn có nằm trong danh sách chặn tên miền không.

Cách kích hoạt Wordfence Security Premium

Sau khi tải Wordfence về, đừng vội kích hoạt plugin ngay. Thay vào đó, hãy làm theo hướng dẫn dưới đây để kích hoạt key Wordfence Security Premium trước.

Kích hoạt Wordfence Security Premium

Lưu ý: Hướng dẫn này áp dụng cho phiên bản Wordfence 7.5.7 và các phiên bản cũ hơn (tải bản 7.5.7 tại đây). Đối với phiên bản 7.5.8 trở lên, phương pháp này có thể không còn hiệu quả.

  1. Sử dụng trình Quản lý File trên hosting hoặc tính năng Sửa plugin trên wp-admin để chỉnh sửa file wordfenceClass.php tại đường dẫn:
    wp-content/plugins/wordfence/lib/wordfenceClass.php
  2. Tìm đến các dòng từ 2005 đến 2009 (có thể thay đổi ở các phiên bản mới hơn) và tìm đoạn mã sau:
    // Sync the WAF data with the database. $updateCountries = falseif (!WFWAF_SUBDIRECTORY_INSTALL && $waf = wfWAF::getInstance()) { $homeurl = wfUtils::wpHomeURL(); $siteurl = wfUtils::wpSiteURL();
  3. Thêm các dòng mã sau ngay phía dưới đoạn mã trên:
    wfConfig::set('isPaid'1); wfConfig::set('keyType', wfAPI::KEY_TYPE_PAID_CURRENT); wfConfig::set('premiumNextRenew'time() + 31536000);
  4. Đoạn mã hoàn chỉnh sẽ trông như sau:
    // Sync the WAF data with the database. $updateCountries = falseif (!WFWAF_SUBDIRECTORY_INSTALL && $waf = wfWAF::getInstance()) { $homeurl = wfUtils::wpHomeURL(); $siteurl = wfUtils::wpSiteURL(); wfConfig::set('isPaid'1); wfConfig::set('keyType', wfAPI::KEY_TYPE_PAID_CURRENT); wfConfig::set('premiumNextRenew'time() + 31536000);

Đây là tổng quan về quá trình kích hoạt Wordfence Security Premium.

Cập nhật phiên bản mới

Để cập nhật lên phiên bản mới của Wordfence và giữ lại Wordfence Security Premium, hãy làm theo các bước sau:

  • Ngừng kích hoạt Wordfence.
  • Cập nhật Wordfence lên phiên bản mới.
  • Thực hiện lại việc kích hoạt Wordfence Security Premium theo hướng dẫn trước đó.
  • Kích hoạt lại plugin Wordfence và tiếp tục sử dụng như bình thường.

Hướng dẫn sử dụng Wordfence Premium

Dưới đây là hướng dẫn sử dụng các tính năng nổi bật (thiết yếu) của Wordfence. Một số cài đặt khác không được đề cập trong bài viết này vì không quá quan trọng. Bạn có thể tìm hiểu thêm và tùy chỉnh theo ý muốn khi có thời gian.

  • Sau khi kích hoạt plugin, bạn sẽ nhận được thông báo yêu cầu nhập email quản trị viên. Chọn “NO” để không nhận bản tin từ Wordfence, tích vào ô đồng ý với điều khoản, rồi nhấp “Continue.”
  • Khi vào Dashboard, nhấp vào “No thanks” ở thông báo hỏi bạn có muốn tự động cập nhật phiên bản mới hay không. Cập nhật phiên bản mới sẽ thực hiện theo cách thủ công như hướng dẫn ở trên.

Bật tường lửa và cấu hình bảo vệ website

Bật tường lửa

Cách 1: Khi lần đầu sử dụng Wordfence, bạn sẽ thấy thông báo “To make your site as secure as possible, take a moment to optimize the Wordfence Web Application Firewall.” Nhấp vào nút “CLICK HERE TO CONFIGURE,” sau đó chọn “DOWNLOAD” và “CONTINUE” để hoàn tất quá trình cấu hình.

Cách  2:Nhấp vào mục Firewall trên menu bên trái, sau đó vào All Firewall Options và nhấp vào nút OPTIMIZE THE WORDFENCE FIREWALL. Tiếp theo, chọn DOWNLOAD và CONTINUE để hoàn tất quá trình cấu hình.

Bạn đã bật tường lửa xong. Lúc mới sử dụng, Wordfence sẽ đặt Web Application Firewall Status ở chế độ Learning mode. Bạn chỉ cần để chế độ này cho nó học và sau khi hoàn tất, nó sẽ tự động chuyển sang Enable and Protecting.

Cấu hình Brute Force Protection

  • Lock out after how many login failures: Chặn IP sau bao nhiêu lần đăng nhập thất bại. Tôi khuyên nên để 1-2 lần vì nếu bạn là admin thực sự, không có lý do gì để đăng nhập sai nhiều lần.
  • Lock out after how many forgot password attempts: Chặn IP sau bao nhiêu lần gửi yêu cầu cấp lại mật khẩu. Tôi cũng khuyên nên để 1-2 lần.
  • Count failures over what time period: Tổng số lần đếm được trong khoảng thời gian nào. Tôi để 1 ngày để tăng cường bảo mật (chọn mức lớn nhất).
  • Amount of time a user is locked out: Thời gian người dùng bị chặn IP. Tôi chọn 2 tháng (chọn mức lớn nhất).
  • Immediately lock out invalid usernames: Chặn IP ngay lập tức nếu ai đó đăng nhập bằng các tên người dùng không hợp lệ. Điền vào những tên người dùng phổ biến mà kẻ tấn công có thể nghĩ ra, tránh điền tên người dùng của bạn.
  • Các tùy chọn còn lại: Các mục này không quá quan trọng, bạn có thể bật hết lên.

Cấu hình Rate Limiting

  • How should we treat Google’s crawlers: Cách xử lý các trình thu thập nội dung của Google. Chọn “Verified Google crawlers will not be rate-limited” để cho phép Google quét nội dung mà không bị giới hạn, giúp trang của bạn được index nhanh hơn. Các bot khác sẽ được quản lý bằng các tùy chọn bên dưới.
  • If anyone’s requests exceed: Nếu người dùng hoặc bot vượt quá số lần truy cập, chọn “120 per minute then block it” (120 trang mỗi phút thì chặn IP).
  • If a crawler’s page views exceed: Nếu bot vượt quá số lần truy cập trang, chọn “120 per minute then block it.”
  • If a crawler’s pages not found (404s) exceed: Nếu bot vượt quá số lần truy cập trang không tồn tại, chọn “60 per minute then block it.”
  • If a human’s page views exceed: Nếu người dùng vượt quá số lần truy cập trang, chọn “120 per minute then block it.”
  • If a human’s pages not found (404s) exceed: Nếu người dùng vượt quá số lần truy cập trang không tồn tại, chọn “60 per minute then block it.”
  • How long is an IP address blocked when it breaks a rule: Thời gian IP bị chặn khi vi phạm quy tắc. Chọn “1 month” (mức lớn nhất).

Bảo mật trang đăng nhập

Nếu bạn làm theo hướng dẫn của Lucid Gen, bạn sẽ bảo vệ trang đăng nhập khỏi các cuộc tấn công Brute Force. Kẻ tấn công sẽ bị chặn IP ngay cả trước khi chúng kịp vào trang đăng nhập. Nếu chúng có vào được trang đăng nhập, hệ thống sẽ yêu cầu reCAPTCHA và xác minh 2 bước, làm cho việc dò mật khẩu trở nên gần như không thể. Với các biện pháp này, khả năng kẻ tấn công xâm nhập qua đường này là rất thấp.

Chặn các quốc gia

Để chỉ cho phép quốc gia của bạn truy cập trang đăng nhập và chặn tất cả các quốc gia khác, làm theo các bước sau:

  • Nhấp vào Blocking trên menu bên trái.
  • Ở bên phải, chọn Country (Quốc gia), rồi đánh dấu chọn Login Form (Trang đăng nhập).
  • Nhấp vào Pick from list (Chọn từ danh sách).
  • Nhấp vào nút Block all ở trên, cuộn xuống dưới và tìm quốc gia của bạn (ví dụ: Việt Nam).
  • Bỏ chọn quốc gia của bạn khỏi danh sách bị chặn, sau đó nhấp vào Update block để lưu thay đổi.

Chặn theo URL

Mặc dù đã chặn các kẻ xấu từ quốc gia khác, bạn vẫn cần bảo vệ trang đăng nhập khỏi những kẻ xấu ở cùng quốc gia. Thực hiện theo các bước sau để bảo mật trang đăng nhập của bạn:

Cách thực hiện: Kẻ xấu thường cố gắng truy cập trang đăng nhập của bạn qua các URL mặc định dễ đoán như wp-login.phploginadmindang-nhapdangnhap, v.v. Để ngăn chặn điều này, bạn nên thay đổi URL trang đăng nhập thành một URL mà chỉ bạn biết. Sau đó, cấu hình Wordfence để tự động chặn những kẻ cố gắng truy cập vào các URL mặc định dễ đoán. Khi kẻ xấu bị chặn, chúng sẽ không thể tiếp tục thử nghiệm mà không phải thay đổi IP liên tục.

  • Bước 1: Cài đặt plugin WPS Hide Login để thay đổi URL đăng nhập của bạn.
  • Chọn một URL thật độc đáo và khó đoán, chẳng hạn như url-khong-ai-nghi-ra. Đây là một URL mà kẻ xấu khó lòng đoán ra.
  • Bước 2: Vào menu bên trái, chọn All Options và tìm đến phần Advanced Firewall Options. Dán các URL mặc định dễ đoán vào mục Immediately block IPs that access these URLs (Lặp tức chặn IP những ai truy cập các URL này).

Dưới đây là danh sách ví dụ để bạn tham khảo:

  • /wp-login.php
  • /wp-login
  • /dang-nhap
  • /dangnhap
  • /login
  • /admin

Bật xác minh 2 bước đăng nhập

Để bảo mật tốt hơn cho các tài khoản quan trọng, bạn nên bật xác minh 2 bước. Tính năng này từng có trong phiên bản Wordfence Security Premium nhưng hiện nay đã có mặt trong bản miễn phí.

  1. Vào menu bên trái, chọn Login Security.
  2. Sử dụng Google Authenticator để thêm mã xác minh 2 bước vào thiết bị của bạn.

Bật reCAPTCHA đăng nhập

reCAPTCHA giúp làm khó kẻ xấu khi cố gắng dò mật khẩu của bạn. Nếu bạn đã cấu hình bảo mật Brute Force Protection chặt chẽ như mình, bạn có thể bỏ qua bước này, vì tính năng reCAPTCHA hiện tại không hoàn toàn tương thích với các trang sử dụng WooCommerce.

  1. Truy cập trang Google reCAPTCHA để tạo một tài khoản. Chọn reCAPTCHA v3.
  2. Bạn sẽ nhận được Site key và Secret key. Sử dụng chúng để cấu hình trong Wordfence.
  3. Vào Login Options trong menu của Wordfence. Chọn tab Settings, cuộn xuống phần Enable reCAPTCHA on the login and user registration pages (Bật reCAPTCHA cho trang đăng nhập và đăng ký), tích vào ô tương ứng, dán key vào các trường và nhấp Save.

Quét mã độc hệ thống

Bạn có thể yêu cầu Wordfence quét hệ thống ngay lập tức hoặc lên lịch tự động quét. Khi phát hiện vấn đề, Wordfence sẽ liệt kê chúng để bạn dễ dàng khắc phục. Tuy nhiên, không nhất thiết phải sửa tất cả các vấn đề; bạn có thể bỏ qua những vấn đề không quan trọng đối với bạn.

Để cấu hình quét mã độc, hãy thực hiện theo các bước sau:

  1. Vào Scan Options and Scheduling.

Hướng dẫn cấu hình quét mã độc của Wordfence Security Premium

  1. Scan Scheduling: Tận dụng tính năng lên lịch quét của Wordfence Security Premium bằng cách thiết lập thời gian quét phù hợp. Mình khuyên bạn nên lên lịch quét vào ban đêm để không làm ảnh hưởng đến hiệu năng của website trong giờ cao điểm.
  2. Basic Scan Type Options: Chọn mức độ quét cao nhất là High Sensitivity để đảm bảo phát hiện mọi vấn đề.
  3. Performance Options: Tích vào Use low resource scanning để quét từ từ, tránh làm giảm hiệu năng của website.
  4. Advanced Scan Options: Trong mục Exclude files from scan that match these wildcard patterns (one per line), dán các dòng sau để Wordfence bỏ qua các file mà bạn đã chỉnh sửa để kích hoạt Premium:
    wp-content/plugins/wordfence/lib/* wp-content/plugins/wordfence/lib/wordfenceClass.php

Sử dụng các công cụ khác

Mặc dù các tính năng trong phần Tools (Công cụ) không phải là điểm chính yếu, nhưng chúng có thể hữu ích trong một số trường hợp cụ thể.

Xem và cài đặt Live Traffic

  • Cách sử dụng: Bạn có thể kiểm tra Live Traffic khi có thời gian rảnh. Nếu phát hiện có ai đó đang cố tình tấn công website của bạn nhiều lần, bạn có thể dễ dàng chặn IP đó bằng cách nhấp vào nút block.
  • Cài đặt:
    • Traffic logging mode: Chọn SECURITY ONLY để Wordfence chỉ ghi nhật ký cho các truy cập nguy hiểm và bị chặn. Chế độ all traffic sẽ làm giảm hiệu năng website và không cần thiết phải ghi lại các truy cập bình thường.
    • Amount of Live Traffic data to store (number of rows): Đặt số dòng nhật ký lưu lại ở mức thấp để tiết kiệm tài nguyên server.
    • Maximum days to keep Live Traffic data (minimum: 1): Chọn số ngày lưu giữ nhật ký. Mình khuyên nên để là 7 ngày, nhưng bạn có thể điều chỉnh tùy theo nhu cầu.
    • Các tùy chọn khác: Để nguyên các thiết lập mặc định.

Sử dụng Whois Lookup

Bạn có thể dán IP hoặc domain website vào công cụ Whois Lookup để kiểm tra thông tin. Chức năng này tương tự như các trang Whois khác.

Xuất và nhập cài đặt Wordfence cho website khác

Tính năng này rất tiện lợi nếu bạn quản trị nhiều website WordPress. Bạn chỉ cần cấu hình Wordfence cho một website, sau đó xuất cài đặt và nhập vào các website khác.

Cấu hình thông báo email

Đảm bảo rằng website của bạn đã được cấu hình SMTP để gửi email. Bạn nên thiết lập để chỉ nhận các cảnh báo quan trọng và báo cáo tổng hợp hàng tháng. Điều này sẽ giúp giảm thiểu số lượng email thông báo gửi đến bạn.

Lưu ý khi sử dụng Wordfence Premium

Khi sử dụng bất kỳ plugin nào, bạn có thể gặp phải một số vấn đề. Hai sự cố phổ biến nhất với Wordfence là lỗi khi di chuyển hosting và việc bạn vô tình bị chặn khỏi website của mình.

Xử lý lỗi khi di chuyển hosting

Khi di chuyển hosting, bạn cần cập nhật đường dẫn mới cho các tệp sau trong trình Quản lý File trên hosting của bạn:

  • .htaccess
  • .user.ini
  • wordfence-waf.php

Ví dụ, nếu bạn cần sửa đổi tệp wordfence-waf.php, hãy mở tệp và thay thế đường dẫn cũ bằng đường dẫn mới. Sau đó, lưu tệp.

Làm gì khi bạn bị Wordfence chặn

  • Cách 1: Nhập email quản trị viên vào thông báo chặn và gửi yêu cầu mở chặn địa chỉ IP. Kiểm tra email của bạn và làm theo hướng dẫn để mở chặn IP.
  • Cách 2: Bật chế độ 4G trên thiết bị của bạn để thay đổi địa chỉ IP và thử đăng nhập lại.
  • Cách 3: Sử dụng trình Quản lý File trên hosting để thay đổi tên thư mục Wordfence (tại public_html/wp-content/plugins/wordfence). Plugin sẽ tự động ngừng kích hoạt. Sau khi bạn đăng nhập vào được website, bạn có thể đổi lại tên thư mục và kích hoạt plugin trở lại.

Với hướng dẫn sử dụng Wordfence Security Premium này, mình tin rằng website của bạn sẽ được bảo mật tuyệt đối. Chỉ cần bạn tránh sử dụng các plugin không rõ nguồn gốc, bạn hoàn toàn có thể yên tâm về sự an toàn của website WordPress của mình.