Cách bảo mật website wordpress bằng WPScan là vấn đề được nhiều lập trình viên quan tâm, bởi những kiến thức trên trường lớp là không đủ, vì vậy bài Cách bảo mật website wordpress bằng WPScan sẽ chia sẻ tới bạn nhiều thông tin hữu ích
Mọi người vẫn hỏi tôi về việc học lập trình nói chung và Wordpress nói riêng có cần năng khiếu hay quá khó để tiếp cận hay không. Thì tôi có thể trả lời rằng, học lập trình cũng như việc bạn học tiếng Anh hay bất kỳ một ngôn ngữ khác, bởi lập trình...là ngôn ngữ của máy tính, để máy tính đọc và máy tính thực hiện theo yêu cầu của mình, bạn thích là học được.
Nói đến bảo mật nói chung và bảo mật trong WordPress nói riêng, ngoài các cách bảo mật WordPress thông dụng để hạn chế thấp nhất tỷ lệ bị tấn công thì chúng ta còn phải xét đến một khía cạnh khác cũng là nguyên nhân khiến bạn website bạn bị hack đó là website có lỗ hổng. Đúng vậy, dù bạn có cấu hình bảo mật thế nào nhưng không vá lỗi các lỗ hổng trên bảo mật thì bạn cũng sẽ bị tấn công.
Nếu bạn đang sử dụng WordPress trên các máy chủ riêng sử dụng Linux (hoặc có quyền truy cập vào máy chủ với SSH) thì có thể sử dụng một công cụ hỗ trợ bạn dò lỗ hổng trên website WordPress rất bá đạo tên là WPScan.
WPScan có rất nhiều chức năng mà bạn sẽ rất quan tâm như:
Ngắn gọn là như vậy nhưng khi sử dụng bạn sẽ thấy rất hay vì cơ sở dữ liệu các lỗ hổng trong WordPress tại WPVULDB rất lớn. Bạn sẽ biết được plugin nào có lỗ hổng (kể cả bạn đã vá lỗi) để xem bạn có chắc chắn đã sử dụng phiên bản vá lỗi hay chưa, từ đó bạn sẽ biết mình cần làm gì.
Lưu ý rằng công cụ này chỉ hỗ trợ bạn kiểm tra, chứ không hỗ trợ bạn vá lỗi. Nên nếu phát hiện ra lỗi thì cố gắng đọc kỹ thông tin trả về xem bạn có thật sự đã vá chưa, nếu chưa thì nên tìm xem plugin/theme của bạn đang sử dụng có bản vá chưa.
Để cài đặt WPScan, bạn hãy chắc chắn rằng máy của bạn là Linux và đã cài đặt Ruby và Git.
Nếu bạn dùng Shared Host thì không cần làm các bước dưới, chỉ cần cài plugin Plugin Security Scanner.
Sau đó bạn cài đặt bằng cách gõ lần lượt các lệnh sau.
sudo apt-get install libcurl4-openssl-dev libopenssl-ruby libxml2 libxml2-dev libxslt1-dev ruby-dev git clone https://github.com/wpscanteam/wpscan.git cd wpscan sudo gem install bundler && bundle install --without test
udo apt-get install libcurl4-openssl-dev libxml2 libxml2-dev libxslt1-dev ruby-dev build-essential git clone https://github.com/wpscanteam/wpscan.git cd wpscan sudo gem install bundler && bundle install --without test
sudo yum install gcc ruby-devel libxml2 libxml2-devel libxslt libxslt-devel libcurl-devel patch git clone https://github.com/wpscanteam/wpscan.git cd wpscan sudo gem install bundler && bundle install --without test
Đối với Mac thì bạn dùng các lệnh như trên, không cần dùng lệnh đầu tiên để cài các ứng dụng cần thiết.
Và bây giờ, khi cần sử dụng thì bạn hãy truy cập vào thư mục wpscan/
rồi mới sử dung được vì chúng ta phải chạy file wpscan.rb
có trong đó.
ruby wpscan.rb --update
ruby wpscan.rb --url hoidapcode.com
ruby wpscan.rb --url hoidapcode.com --enumerate p
Nếu website của bạn đã đổi tên thư mục wp-content thì bạn có thể sử dụng lệnh sau để scan vào tên thư mục đó thay vì scan thư mục wp-content
ruby wpscan.rb -u hoidapcode.com --wp-content-dir du-lieu
Ngoài ra còn có khá nhiều lệnh khác mà bạn có thể xem thêm tại https://github.com/wpscanteam/wpscan.
Nếu có phát hiện ra plugin đã từng có lỗi, bạn sẽ nhận được thông tin thế này (nếu phiên bản bạn đang dùng không có lỗi):
[+] Name: wordpress-seo | Location: https://hoidapcode.com/wp-content/plugins/wordpress-seo/ | Changelog: https://hoidapcode.com/wp-content/plugins/wordpress-seo/changelog.txt [!] We could not determine a version so all vulnerabilities are printed out [!] Title: WordPress SEO - Security issue which allowed any user to reset settings Reference: https://wpvulndb.com/vulnerabilities/6837 Reference: http://wordpress.org/plugins/wordpress-seo/changelog/ [i] Fixed in: 1.4.5 [!] Title: WordPress SEO < 1.4.7 - Reset Settings Feature Access Restriction Bypass Reference: https://wpvulndb.com/vulnerabilities/6839 Reference: https://secunia.com/advisories/52949/ [i] Fixed in: 1.4.7 [!] Title: WordPress SEO by Yoast <= 1.7.3.3 - Blind SQL Injection Reference: https://wpvulndb.com/vulnerabilities/7841 Reference: https://www.exploit-db.com/exploits/36413/ [i] Fixed in: 1.7.4
Còn nếu phiên bản bạn đang dùng có lỗi thì nó sẽ cho bạn biết chính xác tập tin nào và đoạn nào bị lỗi để bạn biết mà nghiên cứu.
Nhìn chung plugin khá hữu dụng mặc dù chức năng chỉ có như vậy nhưng bạn nên cài vào và scan thử xem website của chúng ta có thật sự sạch hay không nhé.
Hy vọng với bài viết về Cách bảo mật website wordpress bằng WPScan đã giải đáp giúp bạn phần nào về kiến thức lập trình Wordpress. Như tôi đã nói, ngôn ngữ lập trình không quan trọng bằng tư duy giải thuật, tư duy logic để giải quyết vấn đề.
Với những năm trước đây, lập trình viên là một cái nghề khó và kén chọn người học, đồng nghĩa với việc thu nhập hàng tháng của các lập trình viên luôn cao. Còn những năm gần đây, thì lập trình là môn học phổ thông, và ai cũng nên học một ngôn ngữ lập trình nào đó.
Nếu bạn còn bất kỳ câu hỏi nào trong việc học lập trình online, hãy gửi yêu cầu cho tôi qua email hoidapcode.com@gmail.com hoặc để lại comment bên dưới, tôi sẽ giải đáp trong vòng 24 giờ!
Blog hoidapcode.com là blog được tổng hợp tự động các bài học, thông tin về lập trình trên mạng internet. Nếu bạn có ý kiến hoặc đóng góp về bài viết này, hãy liên hệ với tôi!