Ninjafirewall là một trong những Web Application Firewall (WAF) mạnh nhất cho WordPress — đặc biệt là khả năng chạy ở chế độ Full WAF trên máy chủ OpenLiteSpeed. Tại CODE TOT, chúng tôi sử dụng Ninjafirewall để bảo vệ website khách hàng khỏi các cuộc tấn công. Dưới đây là hướng dẫn kích hoạt chế độ Full WAF.
Full WAF khác gì WordPress WAF?
WordPress WAF (chế độ mặc định) chỉ bảo vệ khi request đã vào đến WordPress. Điều này có nghĩa là hacker vẫn có thể tấn công vào các file PHP ngoài WordPress, file upload, hoặc exploit ở mức server.
Full WAF chạy ở mức web server (trước khi request đến WordPress), chặn tấn công ngay từ bước đầu tiên. Điều này:
- Giảm tải cho WordPress và database
- Chặn được attack vector mà WordPress WAF bỏ sót
- Bảo vệ toàn bộ website, không chỉ WordPress
- Tốc độ nhanh hơn đáng kể (xử lý ở mức server, không phải PHP)
Yêu cầu
- Máy chủ OpenLiteSpeed (hoặc LiteSpeed Enterprise)
- Ninjafirewall WP Edition (bản trả phí) hoặc Ninjafirewall WP+ (có Full WAF)
- Quyền truy cập SSH vào server
Các bước kích hoạt
Bước 1: Cài đặt Ninjafirewall WP+
Tải và cài đặt plugin Ninjafirewall từ WordPress.org, sau đó nâng cấp lên WP+ để có tính năng Full WAF.
Bước 2: Kích hoạt Full WAF mode
Vào Ninjafirewall → Firewall Policies → Advanced → chọn “Full WAF” thay vì “WordPress WAF”. Plugin sẽ cung cấp hướng dẫn cụ thể cho máy chủ OLS.
Bước 3: Cấu hình .htaccess hoặc Virtual Host
Đối với OpenLiteSpeed, thêm cấu hình LoadModule vào Virtual Host:
# Ninjafirewall Full WAF for OpenLiteSpeed
LoadModule /path/to/ninjafirewall/firewall.phpBước 4: Kiểm tra
Sau khi kích hoạt, vào Ninjafirewall → Dashboard → kiểm tra dòng trạng thái phải hiển thị “Full WAF mode is enabled”.
Cảnh báo
Full WAF mode có thể xung đột với một số plugin cache hoặc security khác. Luôn thử nghiệm trên staging environment trước khi triển khai lên production.
Cần hỗ trợ cấu hình Ninjafirewall Full WAF? Dịch vụ bảo trì của CODE TOT có thể giúp bạn thiết lập bảo mật toàn diện cho website.
