15 mẹo bảo mật WordPress đơn giản giúp trang web của bạn luôn được an toàn

Bảo mật là một trong những mối quan tâm hàng đầu khi chạy một trang web nền tảng WordPress. Là chủ sở hữu trang web WordPress, bạn có trách nhiệm bảo vệ trang web của mình khỏi tin tặc và các cuộc tấn công bảo mật khác. Không còn nghi ngờ gì nữa, WordPress là một nền tảng CMS đầy sức mạnh và vượt trội đi kèm với rất nhiều themes, plugin đa dạng, nhưng bạn không thể thay đổi thực tế rằng đây là một trong những nền tảng CMS bị hack nhiều nhất.

Cho dù bạn là người mới bắt đầu WordPress hay quản trị trang web có kinh nghiệm, hãy đảm bảo rằng bạn sử dụng các kỹ thuật bảo mật tốt nhất để ngăn chặn và chống lại tin tặc tấn công trang web của bạn. Bạn nên củng cố bảo mật trang đăng nhập, trang quản trị trang web của mình để hạn chế tin tặc truy cập vào trang web của bạn. Bạn cũng có thể cài đặt các công cụ và plugin bảo mật tốt nhất do WordPress cung cấp để tận dụng tối đa và nhanh chóng các tính năng bảo mật mà các plugin đó mang lại.

Ngoài ra, WordPress cung cấp cho bạn một số mẹo / thủ thuật bảo mật tốt nhất sẽ giữ cho trang web của bạn an toàn và bảo mật ở một mức độ cao cấp. Dưới đây là một số kinh nghiệm tốt nhất mà mọi chủ sở hữu trang web WordPress nên xem xét trong khi tối ưu hóa trang web của họ bảo mật cao hơn. Những mẹo này sẽ bảo vệ trang web của bạn khỏi tin tặc vào năm 2019 này.

Để làm bạn dễ dàng theo dõi hơn, chúng tôi đã chia các mẹo thành bốn loại khác nhau:

(1) Tăng cường trang Đăng nhập WordPress và Bảng quản trị

(2) Tăng cường bảo mật cho các chủ đề và plugin của WordPress

(3) Tăng cường bảo mật cơ sở dữ liệu

(4) Bảo vệ môi trường lưu trữ WordPress

Băt đâu nào!

(1) Tăng cường trang Đăng nhập WordPress và Bảng quản trị

Mẹo 1: Đừng sử dụng Username “admin” cho tài khoản quản trị.

Thật không may, trang đăng nhập của WordPress là một trong những mục tiêu chính của tin tặc. Họ cố gắng truy cập lặp đi lặp lại chi tiết đăng nhập trang web của bạn bằng cách phán đoán(tên người dùng và mật khẩu). Vì vậy, hãy đảm bảo bạn KHÔNG sử dụng tên người dùng mặc định của WordPress – Nếu bạn để tên đăng nhập mặc định, điều này giúp tin tặc dễ dàng truy cập trang đăng nhập của bạn ngay lập tức.

Nếu bạn đã cài đặt WordPress bằng tên người dùng mặc định, bạn có thể thay đổi ngay lập tức bằng cách thêm truy vấn SQL trong PHPMyAdmin. Ngoài ra, đảm bảo rằng bạn sử dụng tên người dùng độc nhất và khó bẻ khóa nhất.

Mẹo 2: Tạo mật khẩu mạnh

Cho dù tên người dùng của bạn độc đáo đến mức nào, nếu mật khẩu của bạn yếu, tin tặc có thể dễ dàng truy cập và phá hủy khả năng hiển thị trực tuyến của trang web của bạn.

Để củng cố phần cụ thể này, bạn nên sử dụng tên người dùng duy nhất cùng với mật khẩu mạnh. Ngoài ra, hãy đảm bảo mật khẩu của bạn là sự kết hợp của các ký tự khác nhau (chẳng hạn như kHiU778 @ 3O) và nó phải dài từ 10 đến 15 ký tự. Bạn cũng có thể sử dụng Trình tạo mật khẩu mạnh nếu bạn không thể chọn mật khẩu an toàn nhất cho trang web WordPress của mình.

Ngoài ra, bạn có thể thay đổi mật khẩu theo định kỳ. Điều này sẽ củng cố bảo mật trang đăng nhập WordPress của bạn ở một mức độ cao và giữ cho các tin tặc khó xâm phạm đến trang web của bạn.

Mẹo: 3 Kết hợp xác thực hai yếu tố

Đây là một trong những cách tốt nhất để bảo vệ trang web WordPress của bạn khỏi các cuộc tấn công không xác định. Tấn công brute force là một kiểu tấn công mà tin tặc xâm nhập vào trang web của bạn với việc lặp đi lặp lại không giới hạn của tên người dùng và mật khẩu nhiều lần cho đến khi anh “chúng“vào được trang web.

Với việc tích hợp xác thực hai yếu tố, bạn có thể bảo mật trang đăng nhập của mình lên cấp độ tiếp theo. Trong phương pháp này, mật khẩu được yêu cầu cùng với mã ủy quyền được gửi đến điện thoại di động của bạn để cho phép bạn đăng nhập vào trang web của mình. Nếu không có sự kết hợp của mật khẩu và mã ủy quyền, bạn sẽ không thể truy cập trang đăng nhập của trang web WordPress của mình.

Mẹo nhanh: Cài đặt Google Authenticator  để thêm chức năng này vào trang web của bạn mà không cần phải biết nhiều kỹ thuật.

Mẹo 4: Tùy chỉnh URL đăng nhập

Tốt hơn là thay đổi địa chỉ URL của trang đăng nhập nếu bạn muốn bảo vệ trang web của mình khỏi tin tặc. Theo mặc định, trang đăng nhập WordPress có thể được duyệt qua wp-login.php, mà bất kỳ ai cũng có thể nhìn thấy trong URL chính của trang web.

Điều này giúp tin tặc truy cập trang đăng nhập của bạn cực kỳ dễ dàng và cố gắng taasn công để có quyền truy cập vào trang web. Do đó, việc thay đổi URL trở nên cần thiết để bạn tùy chỉnh URL đăng nhập đảm bảo website của bạn an toàn hơn và không thể phá vỡ. Bạn có thể tạo một URL tùy chỉnh, chẳng hạn như my_custom_login , hoặc cài đặt plugin iTheme Security để tự động thay đổi URL đăng nhập của bạn.

Mẹo 5: Nâng cấp lên HTTPS

Đừng quên chuyển trang web WordPress của bạn sang HTTPS để bảo vệ trang web khỏi tin tặc và các cuộc tấn công bảo mật khác. HTTPS mã hóa kết nối giữa trình duyệt web và máy chủ web, điều này sẽ giúp kẻ tấn công tránh xa khi bạn chuyển dữ liệu từ máy chủ này sang máy chủ khác .

Ngoài ra, nó có thể bảo vệ trang web của bạn khỏi các tập lệnh ẩn không đáng tin cậy có sẵn trên hệ thống máy tính của bạn và tập lệnh được sử dụng để đánh cắp dữ liệu từ các biểu mẫu đăng nhập. Ngoài ra, WordPress đã bắt buộc phải có HTTPS trong các trang web nếu họ muốn có thứ hạng tốt hơn trên kết quả tìm kiếm của Google – đây là một sự thúc đẩy lớn cho nhận diện thương hiệu của bạn.

Mẹo 6: Bảo vệ an toàn thư mục wp-admin

Bảo vệ thư mục wp-admin là một trong những yếu tố quan trọng khi nói đến bảo mật WordPress. Vì bảng điều khiển quản trị là một trong những phần được nhắm mục tiêu nhất của các tin tặc, đừng quên tăng cường bảo mật .

Để đảm bảo tính bảo mật của bảng quản trị, bạn có thể sử dụng mật khẩu để bảo vệ thư mục wp-admin. Theo phương pháp này, chủ sở hữu trang web phải gửi hai mật khẩu khác nhau nếu anh/chị muốn truy cập bảng điều khiển. Một mật khẩu được dành riêng cho trang đăng nhập, trong khi mật khẩu khác dành cho khu vực quản trị WordPress. Đây là một cách tuyệt vời để bảo vệ bảng quản trị trang web WordPress.

(2) Tăng cường bảo mật cho các chủ đề và plugin của WordPress

Mẹo 7: Xóa các chủ đề và plugin không sử dụng

Xóa tất cả các chủ đề và plugin KHÔNG sử dụng khỏi khu vực quản trị WordPress. Các chủ đề và plugin như vậy không chỉ làm cho trang web của bạn chậm mà còn khiến nó dễ bị tấn công.

Một điều khá rõ ràng là nếu bạn không sử dụng bất kỳ plugin / chủ đề nào, bạn sẽ ngừng cập nhật nó. Điều này cho phép tin tặc tìm ra lỗ hổng trong yếu tố lỗi thời và giành quyền truy cập vào trang web của bạn. Để chống lại tình huống này, bạn nên tắt và xóa nó khỏi bảng điều khiển quản trị viên WordPress.

Mẹo 8: Luôn cập nhật

Cập nhật các chủ đề và plugin đã cài đặt cùng với phiên bản WordPress một cách thường xuyên để tránh tin tặc khỏi trang web của bạn. Vì mỗi chủ đề và plugin được cài đặt giống như một cánh cửa mở cho khu vực quản trị của bạn, hãy đảm bảo bạn cập nhật nó với các phiên bản mới nhất tương ứng.

Nhưng, đôi khi việc duy trì trang web thường xuyên trở nên khó khăn và đây là lúc các bản cập nhật tự động phát huy tác dụng. Bạn có thể cấu hình cập nhật tự động cho các chủ đề và plugin bằng cách chèn một vài dòng code vào file wp-config.php.

  • Sử dụng dòng mã sau đây cho plugin:

add_filter (‘auto_update_plugin’, ‘__return_true’)

  • Thêm dòng lệnh này cho các chủ đề WP đã cài đặt:

add_filter (‘auto_update_theme’, ‘__return_true’);

Điều này sẽ tự động cập nhật các themes và plugin WordPress của bạn bất cứ khi nào có phiên bản mới được phát hành.

Mẹo 9: Đừng bao giờ tải xuống các plugin cao cấp miễn phí

Thay vì tải xuống các plugin cao cấp miễn phí, hãy đảm bảo bạn mua bản quyền từ một trang web chính thức. Hầu hết những người mới bắt đầu tải xuống các plugin cao cấp từ các nguồn không đáng tin cậy vì chúng miễn phí. Nhưng đây là một cách trực tiếp giúp tin tặc dễ dàng tấn công vào website của bạn.

Với cách làm này, người dùng được dẫn đến các trang web bất hợp pháp có thể làm hỏng trang web WordPress của bạn bằng phần mềm độc hại. Điều này có nghĩa là tin tặc đang nhắm mục tiêu vào plugin cao cấp mà bạn vừa tải lên trang web của mình. Tất cả chỉ vì muốn tiết kiệm tiền mà bạn trực tiếp phá hủy website của mình.

(3) Tăng cường bảo mật cơ sở dữ liệu

Mẹo 10: Thêm tiền tố Prefix_ vào bảng cơ sở dữ liệu WordPress

Mặc dù thủ thuật này khá phức tạp, nhưng nó chắc chắn sẽ tăng cường bảo mật cho cơ sở dữ liệu WordPress của bạn. Theo mặc định, WordPress sử dụng tiền tố bảng wp_ cho tất cả các bảng cơ sở dữ liệu của một trang web, điều này giúp tin tặc đánh cắp cơ sở dữ liệu của bạn thông qua các cuộc tấn công SQL.

Để ngăn chặn các cuộc tấn công như vậy, bạn nên thay đổi tiền tố bảng cơ sở dữ liệu mặc định thành một cái tên nào đó đó đáng tin cậy hơn. Tùy chỉnh tiền tố bảng cở sở dữ liệu làm cho tin tặc khó đoán hơn, do đó bảo vệ được trang web của bạn khỏi bị hack. Để tùy chỉnh nó, bạn sẽ cần truy cập tệp wp-config.php để xem tiền tố bảng mặc định của bạn:

$table-prefix = ‘wp_’;

Bây giờ, thay đổi nó thành một tên độc đáo hơn:

$ table-prefix = ‘wp_Gluck‘;

Mẹo 11: Sao lưu và cập nhật thường xuyên

Không quan trọng trang web của bạn an toàn đến mức nào, bạn nên luôn tạo bản sao lưu của trang web WordPress của mình. Điều này sẽ giữ cho trang web của bạn ở chế độ an toàn vì mọi thứ đều có thể xảy ra với trang web của bạn. Vì vậy, hãy đảm bảo rằng bạn tạo một bản sao lưu thường thường xuyênbằng VaultPress ,  BackUpWordPress hoặc BackWPUp .

Ngoài ra, luôn luôn cập nhật phiên bản WordPress một cách thường xuyên. May mắn thay, WordPress phát hành phiên bản mới nhất thường xuyên để giải quyết các lỗ hổng bảo mật và sửa đổi các tính năng hiện có cho phép trang web của bạn luôn tăng cường bảo mật một cách dễ dàng.

(4) Bảo vệ môi trường lưu trữ WordPress

Mẹo 12: Chọn nhà cung cấp dịch vụ lưu trữ Hosting đáng tin cậy nhất

Không quan trọng bạn thực hiện các thủ thuật mới nhất như thế nào để bảo mật trang web của mình nếu bạn không chọn được nhà cung cấp dịch vụ lưu trữ đáng tin cậy, bạn sẽ không thể tăng cường bảo mật trang web của mình.

Theo một khảo sát , 41% các trang web WordPress đã bị hack do lỗ hổng bảo mật có sẵn từ máy chủ lưu trữ. Điều này có nghĩa là việc lựa chọn một nhà cung cấp dịch vụ lưu trữ phù hợp rất quan trọng khi nói đến bảo mật WordPress.

Nếu bạn muốn sử dụng share hosting, hãy đảm bảo bạn chọn Bluehost hoặc Hawhost. Cả hai nhà cung cấp đều có một số tính năng bảo mật tốt nhất. Nhưng nếu bạn muốn một giải pháp đáng tin cậy hơn, bạn có thể chọn một nhà cung cấp dịch vụ lưu trữ chuyên dụng
(dedicated hosting). Họ cung cấp cho bạn tính năng bảo mật, băng thông và dung lượng ổ đĩa không giới hạn và các tính năng khác để cho phép bạn bảo vệ trang web của mình một cách dễ dàng.

Mẹo 13: Bảo mật tệp wp-config.php

Tệp wp-config.php chứa tất cả các thông tin bí mật liên quan đến cài đặt WordPress. Vì nó là một trong những tệp quan trọng nhất của trang web, hãy đảm bảo bạn bảo vệ nó khỏi tin tặc và các cuộc tấn công bảo mật khác từ bên ngoài.

Để bảo vệ tệp wp-config.php, hãy thêm đoạn mã sau vào tệp .htaccess của bạn:

<Files wp-config.php>

order allow,deny

deny from all

</Files>

Mẹo 14: Vô hiệu hóa danh sách thư mục

Không bao giờ đặt tệp index.html trong thư mục mới của trang web WordPress. Vì khách truy cập có thể dễ dàng truy cập danh sách thư mục đầy đủ có sẵn trong thư mục cụ thể đó, tốt hơn là vô hiệu hóa danh sách thư mục của bạn với tệp .htaccess.

Vì vậy, bạn sẽ cần phải nhúng đoạn mã sau vào tệp .htaccess của mình:

Options All -Indexes

Mẹo 15: Thay đổi quyền các thư mục

Là chủ sở hữu trang web, bạn không thể đặt quyền truy cập thư mục sai, đặc biệt là bảo vệ môi trường shared hosting của bạn.

Tốt hơn hết là thay đổi quyền thư mục bằng cách đặt chúng thành 755. Bạn cũng nên đặt các tệp của mình thành 644 – điều này sẽ bảo vệ hệ thống tệp của bạn, bao gồm các thư mục, thư mục con và các tệp khác.

Để thay đổi, bạn có thể thực hiện thủ công thông qua Fie Manager trong bảng điều khiển Hosting hoặc qua thiết bị đầu cuối (được kết nối với SSH).

(Mẹo 15+): Sử dụng Plugin bảo mật WordPress

Cuối cùng nhưng không kém phần quan trọng; cài đặt các plugin bảo mật WordPress để bảo vệ trang web của bạn khỏi các mối đe dọa bảo mật. Sử dụng các plugin bảo mật WordPress là một mẹo tương đối dễ dàng hơn nhưng rất hiệu quả mà bất cứ ai cũng làm được.

Vâng, có một số plugin WordPress bảo mật với chức năng và hoạt động theo một cách khác nhau. Một số plugin bảo vệ an toàn đăng nhập và các cuộc tấn công không xác định, trong khi một số trong số ngăn chặn spam và các bot không an toàn. Và, bạn có thể sử dụng chúng cả bản miễn phí và trả phí trên web.

Tôi sẽ đề cập đến một số plugin bảo mật hữu ích nhất cho WordPress bên dưới.

1. Wordfence Security

WordPress Security là plugin bảo mật WordPress miễn phí được tải xuống nhiều nhất. Các tính năng chính của plugin này là:

  • Tường lửa WordPress: Xác định lưu lượng độc hại, chặn những kẻ tấn công và ngăn chặn trang web bị hack.
  • Chặn: Chặn những kẻ tấn công xác định.
  • Bảo mật đăng nhập WordPress: Xác thực hai yếu tố, giúp cải thiện mật khẩu.
  • Quét bảo mật: Quét các tệp, chủ đề và plugin cốt lõi của WordPress.

Plugin có sẵn trong cả Phiên bản miễn phí và trả phí .

2. iThemes Security

iTheme Security là một plugin bảo mật WordPress phổ biến khác dành cho WordPress. Nó cung cấp một số cách để bảo mật trang web WordPress của bạn. Các tính năng chính của plugin này là:

  • Bảo vệ tấn công Brute force : Ngăn chặn các cuộc tấn công bằng cách cấm các máy chủ và người dùng cố gắng đăng nhập không hợp lệ.
  • Phát hiện: Phát hiện các bot để tìm kiếm các lỗ hổng, giám sát hệ thống tệp, quét phần mềm độc hại.
  • Obscure: Ẩn các lỗ hổng bảo mật WordPress phổ biến bao gồm thay đổi URL cho bảng điều khiển WP, đường dẫn nội dung wp, v.v.)
  • Sao lưu thường xuyên

Bạn có thể nhận được plugin này ở cả phiên bản Miễn phí và Trả phí .

3. All In One WP Security & Firewall

Plugin All In One WP Security & Firewall là một plugin WordPress miễn phí hữu ích để bảo vệ bảo mật WordPress. Nó là một thay thế tốt cho hai plugin bảo mật được đề cập ở trên. Các tính năng chính của plugin này là:

  • Bảo mật đăng nhập người dùng: Bảo vệ chống lại cuộc tấn công đăng nhập không hợp lệ.
  • Bảo mật cơ sở dữ liệu: Duy trì sao lưu tự động.
  • Chức năng danh sách đen: Cấm người dùng bằng cách chỉ định địa chỉ IP, tác nhân người dùng.

Plugin này có thể được tải xuống hoàn toàn miễn phí từ WordPress.org .

Kiểm tra thêm các plugin WordPress bảo mật MIỄN PHÍ tại kho lưu trữ chính thức của WordPress .

Kết luận

Đây là một số mẹo và thủ thuật tốt nhất sẽ giúp bạn bảo vệ trang web WordPress của mình khỏi bị hack. Bạn có thể làm theo các mẹo này một cách cẩn thận và làm cho trang web của bạn an toàn hơn, mà không phải bỏ ra một số tiền lớn.

Post Comment