Gần đây có một số bác phản ánh với em site woocommerce bị tấn công mạng, thậm chí web bị sập (mã trả về 503)
Theo em thấy thì WordPress là một hệ mã nguồn mở nên nguyên nhân tấn công khả năng cao xuất phát từ các plugin, theme và giao thức mở của wordpress (XMLRPC, Rest API, Feed). Theo kinh nghiệm cá nhân của e thì các bác có thể triển khai vài biện pháp sau để hạn chế bị tấn công:
- Với XMLRPC: Sẽ dễ dàng lấy được IP thật của site wordpress (kể cả qua cloudflare) thông qua chức năng pingback (bác nào cần tìm hiều thì goolge sẽ có nha). Sau khi có IP thật thì đánh sập site wordpress sẽ cực kỳ dễ dàng. Do đó, nên tắt chức năng XMLRPC của wordpress nếu không cần sử dụng.
- Rest API: Qua chức năng này sẽ dễ dàng bị lộ tài khoản đăng nhập của site thông qua endpoint:
domain_com/wp-json/wp/v2/users.Để hạn chế tấn công qua api các bác có thể tắt api (nếu không cần dùng) - Feed: Truy cập qua endpoint:
domain_com/feed. Với tính năng này sẽ làm lộ tài khoản người dùng một cách dễ dàng. Để khắc phục cần đặt tên hiển thị cho tài khoản của wordpress - Plugin, theme: Không nên cài các plugin, theme crack, hoặc cần kiểm tra kỹ trước khi cài các plugin, theme không rõ nguồn gốc. Chúng ta cần biết rằng, một khi cài plugin, theme của hacker thì họ hoàn toàn có thể chiếm được quyền điều khiển site wordpress
- Cấu hình cloudflare cho website: Đây là giải pháp miễn phí em thấy khá tốt để ẩn danh và phòng ngừa bị tấn công DDoS, dù chưa trải nghiệm nhiều nhưng e đánh giá khá cao vì nó dễ cấu hình và miễn phí.
