Hướng dẫn bảo mật website WordPress (Hướng dẫn 2018)

Với những người sở hữu webstie WordPress bảo mật là điều rất quan trọng. Nó giống như việc bảo vệ cho ngôi nhà của bạn, cố gắng ngăn cản một kẻ xấu xâm nhập vào nhà và lấy đi mọi thứ.

Bài viết này tổng hợp những mẹo, hướng dẫn để giữ cho trang web của bạn an toàn. Bài viết được chia làm hai phần gồm các mẹo cơ bản và các hướng dẫn bảo vệ wordpress nâng cao.

Bảo mật trang web của bạn với những cách dễ dàng

1. Giữ an toàn cho máy tính của bạn

Bảo mật trang web của bạn bắt đầu bằng việc giữ an toàn cho máy tính của bạn. Do đó, điều quan trọng là phải tuân thủ các nguyên tắc bảo mật cơ bản.

  • Cài đặt phần mềm diệt virus trên máy tính của bạn và thường xuyên quét.
  • Không đăng nhập vào website của bạn thông qua wifi hoặc máy tính công cộng.

2. Không sử dụng tài khoản mặc định và mật khẩu phổ biến

Khi cài đặt, WordPress gợi ý cho bạn tài khoản mặc định là “admin” nhưng bạn không nên sử dụng nó, hacker nào cũng bắt đầu từ tài khoản admin.

Danh sách 25 mật khẩu phổ biến

Bạn có sử dụng mật khẩu dễ đoán phía trên không? Sử dụng mật khẩu mạnh gồm chữ số và kí tự đặc biệt giúp giảm bớt nguy cơ tài khoản của bạn bị xâm nhập.

3. Cập nhật WordPress, Theme và Plugin thường xuyên

Các hacker thường dựa trên các lỗ hổng của các phiên bản cũ để xâm nhập vào trang web vì vậy bạn nên thường xuyên cập nhật phần mềm lên bản mới nhất nếu có.

Bạn có thể thêm mã dưới đây vào tệp wp-config.php để kích hoạt cập nhật tự động:

add_filter( ‘auto_update_theme’, ‘__return_true’ );
add_filter( ‘auto_update_plugin’, ‘__return_true’ );

4. Không sử dụng Theme, Plugin nulled.

Không bao giờ sử dụng các plugin cao cấp mà không phải trả tiền và đảm bảo bạn mua plugin từ các trang web và các nhà cung cấp uy tín.

Hậu quả của việc cài đặt các plugin cao cấp miễn phí là đa số chúng bị nhiễm phần mềm độc hại, phá hoại trang web hoặc nặng hơn là bạn sẽ mất hết dữ liệu.

Bảo mật trang web WordPress nâng cao

Quan trọng: Bạn nên sao lưu toàn bộ website của bạn trước khi thực hiện các hướng dẫn bên dưới để đảm bảo bạn có thể khôi phục trang web của mình nếu có bất kỳ sự cố nào.

1. Cài đặt plugin bảo mật WordPress

Các Plugin bảo mật cho WordPress được phát triển với nhiều chức năng quan trọng nhằm giảm thiểu nhiều rủi ro và giảm khả năng trang web của bạn bị tấn công.

iTheme Security là plugin bảo mật tốt nhất dành cho WordPress, nó có thể ngăn chặn các cuộc tấn công bằng cách chặn các phiên đăng nhập đáng ngờ, quét các phần mềm độc hại. Ngoài ra, plugin này có thể phát hiện, che giấu các lỗ hổng và quét hệ thống.

2. Tắt chỉnh sửa tệp

WordPress đi kèm với trình chỉnh sửa mã được tích hợp sẵn cho phép bạn chỉnh sửa các tệp Plugin và Theme ngay từ khu vực quản trị WordPress. Tính năng này có thể là một nguy cơ bảo mật, đó là lý do tại sao chúng tôi khuyên bạn nên tắt tính năng này.

Bạn có thể dễ dàng làm điều này bằng cách thêm đoạn mã sau vào tệp wp-config.php của bạn:

define('DISALLOW_FILE_EDIT', true);

3. Ẩn số phiên bản WordPress của bạn

WordPress muốn biết có bao nhiêu trang web hiện đang hoạt động bằng cách kiểm tra số phiên bản. Điều này có thể gây ra vấn đề.

Xóa số phiên bản của WordPress giúp bảo mật trang web của bạn, ngăn chặn tin tặc phát hiện phiên bản WordPress bạn đang sử dụng.

Hãy sửa đổi tệp functions.php của bạn bằng cách thêm mã sau đây:

add_filter( 'the_generator', '__return_null' );

4. Hạn chế số lần đăng nhập

Các cuộc tấn công như Brute Force nhắm mục tiêu ở trang đăng nhập WordPress của bạn. Nếu bạn sử dụng tài khoản hoặc mật khẩu dễ đoán, họ có thể thử đoán mật khẩu.

Do đó, bạn nên tăng mức độ bảo mật bằng cách giới hạn số lần thử đăng nhập. Các plugin như WP Limit Login Attempt cho phép bạn đặt tần suất một địa chỉ IP cụ thể được phép đăng nhập thất bại sau đó cấm truy cập tạm thời hoặc vĩnh viễn đối tượng đó.

5. Ẩn toàn bộ trang đăng nhập

Người sử dụng WordPress đều biết trang đăng nhập mặc định thường là yourdomain.com/wp-admin hoặc yourdomain.com/wp-login.php.

Thay đổi URL đăng nhập sang một địa chỉ khác, ví dụ sang dạng yourdomain.com/page_login làm tăng khả năng bảo mật.

Chỉ người nào đó có URL chính xác mới có thể đăng nhập được, một lần nữa Plugin iThemes Security có thể giúp bạn thay đổi URL đăng nhập của bạn dễ dàng.

6. Thiết lập SSL và HTTPS

Sử dụng mã hóa SSL sẽ giữ cho thông tin nhạy cảm không bị đánh cắp. Nếu bạn có một cửa hàng thương mại điện tử hoặc các nội dung quan trọng cần được bảo vệ, SSL là điều bắt buộc.

Bạn có thể xem hướng dẫn cài đặt SSL ở bài viết hướng dẫn cài SSL miễn phí trên cPanel cho WordPress.

7. Thay đổi tiền tố cơ sở dữ liệu WordPress

Nếu bạn cài WordPress theo các cài đặt mặc định, bạn sẽ thấy rằng tất cả các bảng trong cơ sở dữ liệu bắt đầu bằng tiền tố wp_

Sử dụng tiền tố mặc định sẽ làm cho trang web của bạn dễ bị tấn công hơn với SQL injection. Đó là vì với loại tấn công này, tin tặc cần biết tên của bảng, để mặc định là điều không tốt chút nào.

Một cách đơn giản để tăng tính bảo mật của WordPress là thay đổi nó thành một cái gì đó khác.

Lưu ý: Điều này có thể phá vỡ trang web của bạn nếu trang web không được thực hiện đúng cách. Chỉ tiến hành, nếu bạn cảm thấy có thể khắc phục được nếu xảy ra lỗi

Mở tệp wp-config.php nằm trong thư mục gốc WordPress của bạn. Thay đổi tiền tố bảng từ wp_ thành một cái gì đó khác như wp_123456789_

$ table_prefix = ‘wp_’ ;

thành
$ table_prefix = ‘wp_123456789_’ ;
Sau đó, bạn vẫn phải cập nhật tiền tố bên trong cơ sở dữ liệu của bạn. Một trong những cách dễ nhất để làm điều đó là thông qua một plugin bảo mật như iThemes Security.

8. Triển khai xác thực hai yếu tố

Xác thực hai yếu tố có nghĩa là không có gì khác ngoài việc tạo thêm một bước để mọi người đăng nhập vào trang web của bạn. Điều này có thể là một cái gì đó như cần phải nhập mã được gửi đến điện thoại di động của bạn.

Dưới đây là một số plugin cho phép bạn triển khai xác thực hai yếu tố:

9. Hạn chế thực thi tệp PHP

Trong trường hợp trang web của bạn bị tấn công, bạn vẫn có thể ngăn các tin tặc có thể thực thi phần mềm độc hại mà họ tải lên trang web của bạn bằng cách thêm quy tắc bên dưới vào tệp .htaccess của bạn:


Nó hạn chế các tệp PHP được thực thi từ thư mục Upload vì đó là một nơi cực kỳ phổ biến để các tin tặc tải lên phần mềm độc hại.

Kết luận

Quản lý một trang web sẽ dễ dàng hơn nhiều nếu chúng ta không phải lo lắng về các cuộc tấn công nguy hiểm, hành động ngay bây giờ để bảo vệ trang web của bạn.

Nhiều người dùng WordPress không nhận ra tầm quan trọng của việc sao lưu và bảo mật trang web cho đến khi trang web của họ bị tấn công và mất hết dữ liệu, vì vậy tôi khuyên bạn nên có một bản sao lưu đầy đủ ngay bây giờ và kiểm tra lại các cài đặt bảo mật.

5/5 (2 Reviews)

2 thoughts on “Hướng dẫn bảo mật website WordPress (Hướng dẫn 2018)”

Để lại bình luận

Your email address will not be published. Required fields are marked *