Ngày xửa ngày xưa, tính bảo mật của trang web WordPress có thể được cải thiện bằng cách di chuyển trang đăng nhập.
Đó là những ngày đơn giản hơn. API REST không phải là một phần của lõi WordPress và bản thân WordPress là một phần nhỏ hơn nhiều của internet và do đó, mục tiêu của những kẻ tấn công nhỏ hơn nhiều so với hiện tại.
Tôi thậm chí đã viết một trong những triển khai tốt hơn để ẩn trang đăng nhập WordPress như một phần của Bảo mật WP tốt hơn và sau đó là Bảo mật iTheme. Vào thời điểm đó, tôi có thể thấy các nỗ lực đăng nhập thô bạo giảm đáng kể trên các trang web của mình khi tôi sử dụng tính năng này.
Ngày nay mọi thứ không đơn giản như vậy. Ngày nay, một tính năng như vậy có nhiều khả năng khiến trang web của bạn ngừng hoạt động hơn là duy trì nó. Tại sao?
Đầu tiên, có nhiều cách khác để đăng nhập vào WordPress. Vẫn có Bảng điều khiển WordPress mà chúng tôi đã ẩn và XMLRPC, thứ mà nhiều trang web đã sử dụng để vô hiệu hóa, nhưng cũng có API REST, GraphQL và rất nhiều giao diện khác cho WordPress cho phép xác thực. Di chuyển một trong số chúng không ảnh hưởng gì đến những cái khác và di chuyển tất cả chúng gần như chắc chắn sẽ phá vỡ bất kỳ trang web nào dựa vào chức năng đó.
Thứ hai, bảo mật đăng nhập tốt hơn so với trước đây. Chúng tôi có thể triển khai xác thực 2 yếu tố và chặn những kẻ tấn công ngay khi chúng cố gắng xâm nhập. Chúng tôi thậm chí còn quản lý các máy chủ như WP Engine, những người có thể thực hiện tất cả những điều này cho chúng tôi và chặn kẻ tấn công trước khi chúng truy cập vào trang web của chúng tôi. Ẩn trang đăng nhập của bạn không thể giữ được ngọn nến đối với các kỹ thuật mới hơn này.
Tiếp theo, việc di chuyển wp-admin có thể phá vỡ trang web của bạn. Một trong những điểm mạnh của WordPress ngày nay là khả năng tích hợp với các phần mềm và dịch vụ khác. Phần lớn sự tích hợp này có thể bị phá vỡ bằng cách sửa đổi các tính năng cốt lõi của WordPress, chẳng hạn như vị trí đăng nhập WordPress. Ngay cả khi tôi đang làm việc trên Better WP Security, đây là một trong những nguyên nhân lớn nhất dẫn đến các cuộc gọi hỗ trợ vì tôi liên tục hướng dẫn mọi người tắt tính năng này để kích hoạt tích hợp mà họ cần.
Cuối cùng, hầu hết các cuộc tấn công WordPress không thành công vì ai đó đoán mật khẩu người dùng của bạn. Hầu hết các cuộc tấn công thành công vì bạn đã giữ một plugin hoặc chủ đề dễ bị tấn công trên trang web của mình. Không có ích gì trong việc lãng phí năng lượng máy tính khi cố gắng tấn công một trang web khi có rất nhiều biện pháp đối phó với một cuộc tấn công như vậy. Thay vào đó, các bot chỉ cần tìm trực tiếp các plugin không an toàn đã biết và cố gắng khai thác trang web của bạn thông qua chúng khi chúng được tìm thấy. Đó là một chiến lược hiệu quả hơn nhiều đối với tin tặc so với việc thử đăng nhập cho đến khi chúng nhận được quyền.
Có một khái niệm trong bảo mật máy tính được gọi là “bảo mật bằng cách che khuất”. Về bản chất, điều này chỉ đơn giản là ẩn một điểm truy cập hoặc thông tin khác với hy vọng rằng kẻ tấn công sẽ không chú ý. Đây không còn là biện pháp bảo mật thực sự nữa ngoài việc di chuyển cửa từ phía trước nhà bạn sang bên hông nhà để ngăn chặn kẻ trộm.
Vì vậy, hãy ngừng ẩn wp-admin và bắt đầu cập nhật trang web của bạn trong khi sử dụng máy chủ vững chắc. Bảo mật của bạn không chỉ được cải thiện nhiều mà còn gặp ít vấn đề hơn nhiều so với khi các loại tính năng mánh lới quảng cáo này trở nên tồi tệ.
