Vào năm 2024, tội phạm mạng đã thực hiện hơn 14,5 triệu cuộc tấn công DDoS. Với tỷ lệ lớn các website sử dụng WordPress, việc bảo vệ website của bạn khỏi các mối đe dọa DDoS tiềm ẩn nên được coi là ưu tiên hàng đầu.
WordPress là nền tảng CMS phổ biến nhất trên thế giới, chiếm hơn 46% các website trực tuyến. Vì CMS này miễn phí và dễ sử dụng, nhiều cá nhân sử dụng WordPress có thể không có hệ thống bảo mật toàn diện.
Giống như việc bạn cần tối ưu hóa bài viết WordPress trước khi xuất bản, website WordPress của bạn cũng cần được bảo vệ trước khi mở cửa cho công chúng.
Cuộc tấn công DDoS là gì?
Một cuộc tấn công từ chối dịch vụ phân tán (Distributed Denial-of-Service – DDoS) là một phương pháp mà các kẻ tấn công sử dụng để nhắm mục tiêu vào các trang WordPress. Mục tiêu của các cuộc tấn công này rất đơn giản: Kẻ tấn công sẽ “ngập lụt” website mục tiêu bằng một lượng lớn yêu cầu (request) khiến nó hoặc là sập hoàn toàn, hoặc trở nên chậm đến mức không thể sử dụng được.
Bằng cách này, kẻ tấn công ngăn chặn khách truy cập hợp pháp không thể truy cập vào website. Điều này cũng có thể buộc chủ sở hữu website phải tăng chi phí an ninh mạng trong một khoảng thời gian.
Cách thức hoạt động của một cuộc tấn công DDoS
Mục tiêu của một cuộc tấn công DDoS là làm quá tải một website mục tiêu. Tuy nhiên, các cuộc tấn công xuất phát từ một máy chủ duy nhất thường dễ dàng bị chặn. Vì vậy, tội phạm mạng thường sử dụng các mạng botnet. Đây là các mạng lưới máy tính bị nhiễm phần mềm độc hại mà kẻ tấn công có thể kiểm soát.
Việc sử dụng botnet cũng làm cho các đội điều tra tấn công DDOS khó xác định nguồn gốc của cuộc tấn công hơn khi bắt đầu điều tra.
Hậu quả tiềm tàng mà một cuộc tấn công DDoS có thể gây ra
Khi một cuộc tấn công DDoS đánh vào website WordPress của bạn, nó có thể gây ra nhiều thiệt hại. Tác động tài chính đối với các website WordPress không thuộc lĩnh vực kinh doanh có thể ít hơn nhưng không kém phần nghiêm trọng. Nếu bị tấn công, bạn có thể mất quyền truy cập vào website trong một khoảng thời gian ngắn.
Các website kinh doanh có nguy cơ lớn hơn nhiều và có thể chịu tổn thất đáng kể. Dưới đây là một số hậu quả tiềm tàng:
- Thiệt hại tài chính ngay lập tức do mất doanh thu bán hàng.
- Chi phí cao cho việc điều tra sau cuộc tấn công DDOS.
- Nguy cơ tiềm tàng từ các vi phạm dữ liệu.
- Thiệt hại thương hiệu do ý kiến tiêu cực từ khách hàng.
Và còn nhiều hậu quả khác.
Vấn đề với các cuộc tấn công DDoS là chúng có thể rất khó để giảm thiểu. Tuy nhiên, vẫn có nhiều cách để cải thiện khả năng chống chịu của website WordPress trước các cuộc tấn công này.
Bảo vệ website WordPress trước các cuộc tấn công DDoS
1. Chọn nhà cung cấp dịch vụ lưu trữ web đáng tin cậy
Hàng phòng thủ đầu tiên cho bất kỳ website WordPress nào luôn là nhà cung cấp dịch vụ lưu trữ web. Nhiều người dùng mới thường tập trung vào các yếu tố cơ bản của dịch vụ lưu trữ, chẳng hạn như giá cả, tài nguyên, loại gói và các ưu đãi miễn phí kèm theo.
Bảo mật là một yếu tố quan trọng nhưng thường bị bỏ qua. Một số nhà cung cấp lưu trữ web hợp tác với các thương hiệu bảo mật nổi tiếng như Sucuri để bảo vệ mạng lưới của họ tốt hơn. Những nhà cung cấp khác, như DigitalOcean, có các gói VPS chuyên dụng với tính năng chống DDoS.
Đừng lo nếu bạn cảm thấy bối rối. Vì WordPress rất phổ biến, nhiều nhà cung cấp dịch vụ lưu trữ cũng cung cấp các gói hosting Managed WordPress. Các gói này cho phép bạn tập trung vào việc xây dựng và quản lý website WordPress của mình, trong khi nhà cung cấp dịch vụ xử lý các chi tiết kỹ thuật như bảo mật.
2. Sử dụng mạng phân phối nội dung (CDN)
Mạng phân phối nội dung (Content Delivery Network – CDN) là một tập hợp các máy chủ phân bố trên toàn cầu, hoạt động cùng nhau để cung cấp các tài sản tĩnh của website nhanh chóng và đáng tin cậy. Mục tiêu là đảm bảo website của bạn tải nhanh.
Tuy nhiên, CDN cũng mang lại các lợi ích bảo mật bổ sung mà bạn có thể chưa biết. Nhờ mạng lưới máy chủ toàn cầu, các website có thể giảm diện tích bề mặt tấn công tiềm năng bằng cách phân phối tải. Về cơ bản, bạn đang “mượn” các máy chủ CDN để tăng cường khả năng xử lý lưu lượng truy cập website.
Nhờ tính năng này, kẻ tấn công sẽ cần sử dụng nhiều tài nguyên hơn nếu muốn cuộc tấn công DDoS của chúng thành công. Nếu kẻ tấn công quyết tâm, chúng vẫn có thể vượt qua một website sử dụng CDN.
Trong khi hầu hết các CDN yêu cầu đăng ký trả phí, Cloudflare cung cấp một gói miễn phí rất phù hợp cho cá nhân và doanh nghiệp nhỏ. Ngoài ra, một số CDN khác cũng có giá rất phải chăng, như BunnyCDN.
3. Sử dụng Tường lửa Ứng dụng Web (Web Application Firewall – WAF)
Một tính năng bảo mật khác mà bạn có thể sử dụng là WAF. WAF là một phần mềm nằm giữa website của bạn và internet, bảo vệ website khỏi người dùng độc hại. Nó thực hiện điều này bằng cách lọc các yêu cầu, kiểm tra hành vi đáng ngờ và chặn lưu lượng truy cập nguy hiểm tiềm tàng trước khi đến máy chủ của bạn.
Bạn có thể sử dụng WAF để làm nhiều việc. Ngoài việc bảo vệ khỏi các cuộc tấn công DDoS, nó còn có thể chặn các cuộc tấn công SQL injection, XSS injection, ngăn chặn các cuộc tấn công đăng nhập bằng phương pháp brute-force trên các trang WordPress, và hơn thế nữa. Nhiều mạng phân phối nội dung (CDN) cung cấp tính năng WAF – đôi khi miễn phí hoặc với một khoản phí nhỏ.
4. Vô hiệu hóa Pingbacks XML-RPC
Việc vô hiệu hóa Pingbacks XML-RPC rất cần thiết để giảm số lượng yêu cầu mà website của bạn nhận được. Tính năng này cho phép người dùng để lại nhận xét trên blog hoặc website của bạn thông qua pingback. Tuy nhiên, nó thường bị kẻ tấn công lạm dụng trong các cuộc tấn công DDoS.
Để làm điều này, bạn thực hiện các bước sau:
- Vào Cài đặt > Thảo luận (Settings > Discussion), sau đó nhấp vào “Tắt pings và trackbacks” (Disable pings and trackbacks).
- Cuộn xuống cho đến khi bạn thấy Pingbacks XML-RPC. Nhấp vào “Tắt” (Disable) bên cạnh nó và lưu thay đổi.
Nếu không có tùy chọn tắt Pingbacks XML-RPC trong trang cài đặt hoặc bảng điều khiển, bạn có thể cân nhắc sử dụng một plugin bảo mật. Các plugin tốt nên xem xét bao gồm WordFence hoặc Sucuri Security.
5. Cập nhật WordPress thường xuyên để giảm các lỗ hổng bảo mật
Để bảo vệ website của bạn khỏi các cuộc tấn công DDoS, bạn nên cập nhật WordPress và các plugin, theme, và plugin bảo mật thường xuyên. Các nhà phát triển thường xuyên kiểm tra và cải thiện các ứng dụng này để khắc phục các điểm yếu về bảo mật, bên cạnh việc giới thiệu các tính năng mới.
Bạn có thể cập nhật WordPress theo cách thủ công hoặc tự động theo các bước sau:
- Đăng nhập vào tài khoản website WordPress của bạn.
- Nhấp vào Bảng điều khiển (Dashboard) trong menu điều hướng bên trái.
- Chọn Cập nhật (Updates).
- Cập nhật các plugin hiển thị trên màn hình.
Nhiều nhà cung cấp dịch vụ lưu trữ web cũng cung cấp tùy chọn tự động cập nhật WordPress thông qua bảng điều khiển dịch vụ lưu trữ. Để biết thêm thông tin, hãy liên hệ với nhà cung cấp dịch vụ lưu trữ của bạn.
Ngoài ra, hãy luôn cẩn thận với các plugin mà bạn cài đặt vào website WordPress của mình. Không phải tất cả plugin đều có chất lượng tốt. Một số có thể chứa lỗ hổng bảo mật hoặc lỗi nghiêm trọng, như việc khóa bạn ra khỏi bảng điều khiển quản trị WordPress.
6. Vô hiệu hóa REST API
WordPress được bật REST API theo mặc định. Tính năng này có thể trở thành điểm yếu tiềm tàng cho các cuộc tấn công DDoS, vì nó cho phép người dùng bên ngoài gửi yêu cầu đến máy chủ của bạn. Kẻ tấn công có thể sử dụng tính năng này để làm quá tải hoặc khiến website bị sập.
Tuy nhiên, REST API không cần thiết để WordPress hoạt động an toàn hoặc hiệu quả. Nếu tắt, bạn sẽ không mất bất kỳ chức năng nào mà website hiện đang có – nó sẽ hoạt động như trước khi bạn tắt REST API.
Cách tốt nhất để tắt REST API của WordPress là sử dụng một plugin như Perfmatters. Các plugin như thế này cho phép bạn dễ dàng điều chỉnh một số cài đặt bằng các nút bật/tắt – không cần biết lập trình.
Kết luận
WordPress là một nền tảng tuyệt vời để tạo và quản lý nội dung. Tuy nhiên, nó không hoàn hảo và không thể bảo vệ bạn khỏi tất cả các mối đe dọa bảo mật. Bạn cần chủ động bảo vệ website của mình, đó là lý do chúng tôi khuyên bạn nên sử dụng tường lửa ứng dụng web (WAF) hoặc các dịch vụ tương tự có thể quét lưu lượng truy cập từ các nguồn bên ngoài.
Ngay cả khi bạn bỏ qua tất cả các tùy chọn khác, một dịch vụ lưu trữ web tốt và CDN đáng tin cậy là mức tối thiểu cần thiết để bảo vệ website WordPress của bạn khỏi các cuộc tấn công DDoS.
