You are currently viewing 5 Mẹo bảo vệ hữu ích (2021)

5 Mẹo bảo vệ hữu ích (2021)

Một cuộc tấn công WordPress tiêm SQL có thể rất tàn khốc. Các chương trình độc hại này có thể làm tổn hại đến dữ liệu của bạn hoặc thậm chí có thể gỡ bỏ toàn bộ trang web của bạn. Học cách ngăn chặn mối đe dọa khổng lồ như vậy là điều cần thiết đối với an ninh tổng thể của bạn.

May mắn thay, bạn không phải cảm thấy bất lực trước những vụ hack này. Bằng cách thực hiện một số biện pháp an toàn, bạn có thể bảo vệ chính mình – và người dùng của bạn – chống lại sự phân nhánh của việc tiêm SQL.

Trong bài viết này, chúng tôi sẽ giải thích các cuộc tấn công WordPress tiêm SQL là gì. Sau đó, chúng tôi sẽ chỉ cho bạn năm chiến thuật mà bạn có thể thực hiện để tránh trở thành nạn nhân của một chiến thuật. Hãy đi sâu vào ngay!

Giới thiệu về các cuộc tấn công WordPress chèn SQL

SQL là viết tắt của Structured Query Language (Ngôn ngữ truy vấn có cấu trúc). WordPress sử dụng SQL để truy xuất thông tin quan trọng từ cơ sở dữ liệu trang web của bạn. Nếu không có nó, trang web của bạn sẽ không thể tạo bất kỳ nội dung động nào.

Như vậy, SQL là một phần thiết yếu của trang web của bạn. Thật không may, các tin tặc sử dụng các cuộc tấn công SQL injection WordPress cũng rất nhận thức được điều này.

Một tin tặc có thể nhắm mục tiêu các máy chủ cơ sở dữ liệu của bạn bằng cách viết các câu lệnh độc hại trong SQL. Các lệnh bắt chước này thường chạy ở phần cuối trang web của bạn.

Sau đó, họ tận dụng các lỗ hổng trong các trường đầu vào khác nhau. Chúng bao gồm các biểu mẫu đăng nhập, phần bình luận và biểu mẫu liên hệ. Nếu không có các tiêu chuẩn bảo mật phù hợp, WordPress sẽ xử lý mã xấu như một lệnh hợp pháp, cho phép hacker truy cập vào dữ liệu của bạn.

Với quyền truy cập này, rất ít tin tặc không thể làm cho trang web của bạn. Ví dụ, họ có thể ăn cắp số thẻ tín dụng hoặc thông tin tài chính khác. Họ cũng có thể xóa tất cả dữ liệu của bạn và trả lại cho bạn với giá rất đắt.

Kết quả có thể là tổn thất tiền tệ nghiêm trọng, sự tin tưởng của khách hàng giảm mạnh hoặc thậm chí là toàn bộ trang web của bạn bị biến mất. Vì vậy, điều quan trọng là phải tránh bất kỳ lỗ hổng SQL nào khi bạn có thể.

Cách ngăn chặn việc đưa SQL vào WordPress

May mắn thay, bạn không cần phải loại bỏ các trường đầu vào để bảo vệ trang web của mình. Dưới đây là năm cách cụ thể để ngăn chặn việc tiêm SQL WordPress.

1. Xác thực hoặc làm sạch dữ liệu do người dùng gửi của bạn

Xác nhận và vệ sinh là các quy trình kỹ thuật thường được giao cho các chuyên gia. Các nhà phát triển thường sử dụng các chức năng cốt lõi của WordPress để thực hiện các tác vụ này cho các chương trình bên thứ ba của họ. Tuy nhiên, những người không phải là nhà phát triển vẫn có thể sử dụng các phiên bản đơn giản hơn của các chiến thuật này để ngăn chặn các cuộc tấn công SQL injection.

Hãy bắt đầu với xác thực. Xác thực đảm bảo rằng đầu vào của người dùng khớp với định dạng mong đợi trước khi quá trình xử lý bắt đầu. Ví dụ: WordPress sẽ không xác thực đầu vào email đăng ký nếu nó thiếu @ Biểu tượng.

Bạn thường có thể áp dụng các quy tắc tương tự cho các trường tùy chỉnh của mình bằng cách sử dụng trình tạo biểu mẫu mà bạn lựa chọn. Ví dụ: Biểu mẫu có thể thay đổi được, cho phép bạn nhập tùy chỉnh của riêng mình Định dạng Dấu hiệu Nhập cho các trường văn bản:

Một ví dụ về xác thực do-it-yourself để ngăn chặn các cuộc tấn công WordPress chèn SQL.

Khi được áp dụng cho càng nhiều trường càng tốt, điều này sẽ hạn chế rủi ro của việc chèn SQL. Ngoài việc xác thực, việc vệ sinh có thể làm giảm nguy cơ bị tấn công. Quá trình vệ sinh đảm bảo rằng dữ liệu đã được xác thực cũng được xử lý an toàn.

Bạn có thể giúp làm sạch dữ liệu của mình bằng cách hạn chế sử dụng các ký tự đặc biệt trong các trường nhất định. Ví dụ, dấu nháy đơn (‘) là một phần phổ biến của mã SQL. Như vậy, bạn có thể muốn cấm nó được sử dụng trong đầu vào.

Bạn cũng có thể sử dụng menu thả xuống cho câu trả lời thay vì các trường kết thúc mở. Ví dụ: hãy xem xét cung cấp một trình đơn thả xuống để người dùng chọn trạng thái cư trú của họ. Điều này sẽ cắt giảm cơ hội của tin tặc để truy cập vào dữ liệu của bạn mà không ảnh hưởng đến trải nghiệm người dùng.

Lưu ý – hầu hết các plugin biểu mẫu WordPress chất lượng sẽ tự động khử trùng dữ liệu để bảo vệ khỏi các cuộc tấn công SQL injection, nhưng việc thêm các biện pháp bảo vệ của riêng bạn vẫn là một phương pháp hay nhất để cải thiện hơn nữa bảo mật và đặc biệt quan trọng nếu bạn tạo biểu mẫu của riêng mình cho dữ liệu do người dùng gửi.

2. Tuân theo lịch trình bảo mật

Bạn có thể đã biết rằng kiểm tra bảo mật thường xuyên là rất quan trọng. Tuy nhiên, khi nói đến các cuộc tấn công SQL, thêm một vài bước bổ sung có thể đủ để củng cố hiệu quả thói quen của bạn.

Một trong những bước quan trọng nhất cũng là bước dễ dàng nhất: chủ động cập nhật phần mềm của bạn. Các ứng dụng không bị tấn công SQL. Vì bạn cấp cho các chương trình này quyền truy cập vào trang web của mình, nên tin tặc có thể sử dụng phần mềm của bên thứ ba để truy cập thông tin của bạn.

Khi các nhà phát triển tìm thấy một lỗ hổng bảo mật của họ, họ sẽ phát hành các bản cập nhật để sửa lỗi đó. Do đó, bạn bắt buộc phải cập nhật phần mềm ngay khi có bản vá. Điều này áp dụng cho các plugin, chủ đề và lõi WordPress.

Nói chung, theo dõi câu lệnh SQL liên tục được coi là một phương pháp hay nhất để chống lại các loại tấn công này. Tuy nhiên, không có gì đảm bảo rằng các công cụ bạn sử dụng sẽ làm được điều này.

Do đó, chúng tôi khuyến khích bạn chọn lọc các plugin mà bạn cho phép truy cập vào trang web của mình. Điều này bao gồm việc đọc kỹ các bài đánh giá, chọn các plugin có số lượng lớn người dùng đang hoạt động và bám sát các nguồn có uy tín. Điều này có thể giúp bạn tránh rủi ro do các chủ đề bị vô hiệu hóa và mã trục trặc.

3. Tạo thông báo lỗi cơ sở dữ liệu tùy chỉnh

Việc thỉnh thoảng gặp phải lỗi cơ sở dữ liệu không phải là hiếm. Tuy nhiên, một số trong số này có thể hiển thị thông tin rất cụ thể về cơ sở hạ tầng trang web của bạn, khiến nó dễ bị chèn SQL. Người dùng One Stack Overflow đã đăng một ví dụ về việc chia sẻ quá mức này có thể trông như thế nào:

Một ví dụ về lỗi cơ sở dữ liệu dài dòng có thể khiến khả năng chèn SQL WordPress cao hơn.

Với sự hiểu biết tốt hơn về các bảng dữ liệu của bạn, những tác nhân độc hại này sẽ có thời gian dễ dàng hơn khi tấn công trang web của bạn bằng cách tiêm SQL. Một cách dễ dàng để chống lại điều này là thay vào đó, cung cấp một thông báo lỗi chung.

Trước tiên, hãy đảm bảo rằng bạn có ứng dụng Giao thức truyền tệp (FTP) được kết nối với trang web của mình. Chúng tôi thích FileZilla, nhưng bất kỳ chương trình có uy tín nào cũng sẽ làm được.

Tiếp theo, tạo một tệp mới. Bạn có thể làm như vậy trong một trình soạn thảo văn bản đơn giản hoặc trình soạn thảo mã mà bạn chọn. Đặt tên cho tệp db-error.php. Sau đó, dán mã sau (nguồn):

<title>Database Error</title>

body { padding: 20px; background: red; color: white; font-size: 60px; }

There has been a database error.

Tuy nhiên, đây chỉ đơn thuần là một bản mẫu. Bạn có thể tùy chỉnh thông báo theo cách bạn muốn. Ví dụ: nếu trang web của bạn có cá tính thương hiệu mạnh, đây có thể là cơ hội để kết hợp yếu tố đó.

Khi bạn đã lưu công việc của mình, hãy mở ứng dụng FTP và điều hướng đến thư mục gốc của trang web của bạn. Sau đó, mở wp-content thư mục. Lưu cái mới db-error.php gửi ở đây và cập nhật trang web của bạn.

Với việc bổ sung tài liệu này, trang web của bạn bây giờ sẽ hiển thị thông báo tùy chỉnh của bạn. Tin tặc có suy nghĩ về việc đưa vào SQL sẽ không thể nhận được gợi ý về cơ sở hạ tầng của bạn và người dùng gặp phải thông báo sẽ không bị choáng ngợp bởi một bức tường văn bản.

4. Hạn chế quyền truy cập và các tính năng không cần thiết

Như bạn có thể đã biết, WordPress cung cấp nhiều cấp độ truy cập khác nhau vào trang web của bạn – được gọi là “vai trò”. Những người này bao gồm từ người đăng ký cấp thấp đến các vai trò quản trị viên có toàn quyền truy cập. Các vai trò khác nhau được cấp quyền truy cập vào các khu vực “khả năng” và bảng điều khiển khác nhau. Ví dụ: một khả năng có thể là khả năng cài đặt các plugin mới.

Vì các vai trò cao hơn thường có quyền truy cập vào nhiều khả năng và cách nhập dữ liệu hơn, nên việc giới hạn số lượng người có quyền truy cập này sẽ tự động giảm tỷ lệ bạn bị tấn công SQL WordPress. Bạn có thể đặt vai trò người dùng mới mặc định thành vai trò truy cập thấp nhất có thể trong Cài đặt → Vai trò mặc định của người dùng mới:

Ví dụ về nơi để tìm vai trò mặc định của người dùng mới trong WordPress.

Nguyên tắc tương tự cũng áp dụng cho các trường nhập không cần thiết. Chúng tôi không nói rằng bạn phải thoát khỏi phần nhận xét hoặc thanh tìm kiếm của mình. Tuy nhiên, sử dụng phương pháp thả xuống từ mẹo đầu tiên của chúng tôi có thể giúp bạn đảm bảo an toàn cho trang web một cách lâu dài.

Ngoài ra, chúng tôi khuyên bạn không nên cho phép các tài khoản được chia sẻ trên trang web của mình. Ví dụ: nếu bạn có ba quản trị viên, tất cả họ phải có tên người dùng và mật khẩu riêng.

Trong trường hợp có hoạt động SQL đáng ngờ, điều này sẽ giúp bạn dễ dàng theo dõi và chặn nguồn. Hơn nữa, nếu người dùng của bạn gặp khó khăn trong việc ghi nhớ các mật khẩu ngẫu nhiên an toàn, chúng tôi khuyên bạn nên xem xét sử dụng trình quản lý mật khẩu.

5. Xem xét các công cụ bảo mật nâng cao để ngăn chặn các cuộc tấn công WordPress tiêm SQL

Như bạn có thể nhận thấy, nhiều cách mà bạn có thể tự bảo vệ mình trước các cuộc tấn công SQL là khá kỹ thuật. Nói cách khác, chúng chủ yếu là trách nhiệm của nhà phát triển web của bạn (nếu bạn có).

Nếu bạn đang chạy một trang web, bạn có thể không có thời gian để trở thành một chuyên gia về WordPress để tự viết mã các chương trình. Tuy nhiên, điều này không có nghĩa là bạn bất lực. Bạn có thể cân nhắc đầu tư vào công nghệ bảo mật tiên tiến để giữ cho mình an toàn hơn.

Tường lửa nói riêng có thể cực kỳ hiệu quả để chống lại việc tiêm SQL. Chúng thường được phát triển với kiến ​​thức tiên tiến về cách thức hoạt động của các cuộc tấn công này, giúp ngăn chặn các lần lặp lại mới hơn dễ dàng hơn.

May mắn thay, có nhiều plugin bảo mật chất lượng cao cung cấp tường lửa. Mặc dù một số có thể là tùy chọn trả phí, nhưng ngay cả một plugin miễn phí cũng có thể giúp bảo vệ trang web của bạn. Tuy nhiên, chúng tôi thực sự khuyến khích bạn nên dành chỗ trong ngân sách của mình cho các chi phí bảo mật – khoản đầu tư này cuối cùng có thể tiết kiệm được trang web của bạn.

Cuối cùng, hầu hết các trang web phải có chứng chỉ SSL và sử dụng HTTPS. Bạn có thể tải miễn phí một cái từ Let’s Encrypt:

Let's Encrypt là một tổ chức phi lợi nhuận cung cấp chứng chỉ SSL miễn phí

Ngoài việc tăng cường bảo mật tổng thể của bạn trước các cuộc tấn công, điều này sẽ giúp ngăn người dùng nhận được cảnh báo bảo mật khi họ cố gắng giành quyền truy cập. Do đó, chúng tôi coi đó là một bước cần thiết cho bất kỳ loại trang web nào.

Ngăn chặn các cuộc tấn công WordPress tiêm SQL theo dõi của chúng

Nếu bạn điều hành một trang web, SQL WordPress injection có thể là cơn ác mộng tồi tệ nhất của bạn. May mắn thay, bạn không hoàn toàn bất lực trước những cuộc tấn công này. Bằng cách thực hiện một số biện pháp phòng ngừa đơn giản, bạn có thể bảo vệ dữ liệu của mình trước các tác nhân độc hại.

Trong bài viết này, chúng tôi đề cập đến năm mẹo để giúp bạn giữ an toàn cho trang web của mình:

  1. Xác thực và làm sạch dữ liệu do người dùng gửi.
  2. Thực hiện theo lịch trình bảo mật giúp chương trình của bạn luôn được cập nhật.
  3. Tạo thông báo lỗi cơ sở dữ liệu tùy chỉnh để ngụy trang thông tin nhạy cảm.
  4. Giới hạn quyền truy cập của người dùng vào trang web của bạn.
  5. Cân nhắc sử dụng các công cụ bảo mật nâng cao.

Ngoài các mẹo này, bạn cũng sẽ muốn đảm bảo rằng mình đang tuân theo các phương pháp hay nhất về bảo mật WordPress chung – đây là một số bài viết để trợ giúp:

Bạn có bất kỳ câu hỏi nào về việc ngăn chặn các cuộc tấn công SQL injection trên WordPress? Cho chúng tôi biết trong phần ý kiến ​​dưới đây!

Hướng dẫn miễn phí

5 mẹo cần thiết để tăng tốc
Trang web WordPress của bạn

Giảm thời gian tải của bạn thậm chí 50-80%
chỉ bằng cách làm theo các mẹo đơn giản.

Leave a Reply