13 bước để bảo mật website wordpress của bạn

Bài viết này vừa được chỉnh sửa lúc: 26/06/2018

Hàng ngày có hàng nghìn Website sử dụng mã nguồn WordPress ra đời. Sự phát triển nhanh chóng của nó đồng thời cũng dẫn tới  sự phát triển của hacker muốn xâm chiếm nhằm chuộc lợi từ mã nguồn này….

Kết quả là, bảo mật là mối quan tâm ngày càng tăng đối với tất cả người dùng WordPress.

Tuy nhiên, tại thời điểm này, nó là một chủ đề vẫn đang bị bỏ ngỏ. Nhiều người chưa thực sự hiểu được tầm quan trọng của vấn đề này.

Hãy để iz4web.com hướng dẫn bạn một số phương pháp bảo mật website wordpress của bạn. Để nó luôn được an toàn trước các hacker.

Các biện pháp bảo mật website WordPress

1. Sử dụng hosting của một nhà cung cấp có uy tín

Một điều đầu tiên mà chúng ta cần phải nhớ rõ là muôn tìm một đơn vị cung cấp dịch vụ hosting thật uy tín để sử dụng dịch vụ và nhà cung cáp này cũng phải cam kết hỗ trợ bạn liên tục 24/7 khi có bất kỳ tình huống nào xảy ra. Đừng có tham rẻ mà sử dụng của những đơn vị không có uy tín.

2. Cải thiện thông tin đăng nhập của bạn

Theo thống kê 8% các vụ hack xảy ra thông qua mật khẩu yếu và tên người dùng dễ nhớ. Như vậy sẽ mở ra cánh cửa cho các cuộc tấn công mức độ cao hơn. Thực hiện các bước sau để đảm bảo thông tin đăng nhập của bạn có độ bảo mật cao:

=> Không sử dụng các tên đăng nhập mặc định đơn giản dễ nhớ.

Nhiều năm trước, ‘admin‘ là tiêu chuẩn cho tài khoản quản trị viên chính. Nó được sử dụng trong mọi cài đặt WordPress và nhiều người bị mắc kẹt với nó. Tin tặc biết điều này và do đó thường nhắm mục tiêu sử dụng tên người dùng mặc định này.

Do đó, nếu bạn đang cài đặt WordPress trên một trang mới, hãy đảm bảo tạo một tên người dùng khác. Nếu bạn có một trang web với tên quản trị đã tồn tại, hãy tạo người dùng mới có đầy đủ quyền quản trị viên (và tên người dùng khác), đăng nhập với tư cách người dùng đó và xóa tài khoản quản trị cũ của bạn. Đừng quên gán lại nội dung nếu cần.

=> Tạo mật khẩu an toàn

Điều quan trọng là phải có mật khẩu mạnh. WordPress đã trở nên tốt hơn khi nói cho bạn biết liệu mật khẩu của bạn có đủ hay không, vì vậy hãy lưu ý lời khuyên của đó.

Nếu bạn không thể tự mình tạo ra một mật khẩu mạnh, có những dịch vụ có thể giúp bạn, chẳng hạn như trình tạo mật khẩu mạnh, LastPass hoặc trình tạo mật khẩu Norton. Và đừng quên thay đổi nó theo thời gian!

Hãy sử dụng Strong Password GeneratorLastPass, or Norton Password Generator..  Khi có người muốn đăng ký tài khoản trên website của bạn. Bằng cách đó, sự lười biếng của người khác sẽ không trở thành mối lo ngại về an ninh.

3. Luôn cập nhật phiên bản wordpress mới

Mỗi phiên bản cập nhật mới không chỉ mang đến các tính năng bổ sung và sửa lỗi, mà còn giải quyết các mối quan tâm bảo mật đã biết — vì vậy đừng bỏ qua chúng!

Điều này đặc biệt đúng đối với các bản cập nhật WordPress nhỏ ( chữ số thứ ba trong số phiên bản của nó, ví dụ: 4.1.1).  Hiện tại, WordPress tự động thực hiện các cập nhật nhỏ và bạn cũng nên để nó theo cách đó.

4. Cảnh giác với việc sử dụng plugin

Plugin là một phần không thể thiếu đối với wordpress và cũng là điều khiến cho ngôn ngữ này phát triển.

Nhưng thực tế đây cũng chính là cánh cửa để các hacker lợi dụng tấn công website của bạn.

Vậy làm thế nào để tránh vấn đề này ? Có một vài bước như sau:

* Cài đặt càng ít plugin càng tốt

Mỗi plugin là một nguy cơ bảo mật tiềm tàng trong trường hợp nó được mã hóa kém hoặc nếu không sẽ không ngang bằng nhau.

Vì lý do đó, bạn nên cố gắng giới hạn số lượng plugin cài đặt trên trang web của mình.

Nếu một plugin không thực sự cần thiết hãy gỡ nó ra.

Loại bỏ các plugin không sử dụng cũng là một cách hay để tăng tốc website của bạn.

* Luôn cập nhật theme và plugin

Bạn chú ý thường xuyên bản cập nhật Plugin mới nhất cho website. Hãy thận trọng với các plugin chưa được cập nhật trong một thời gian dài — chúng có thể chứa các rủi ro về bảo mật.

Để tăng tốc quá trình, và nếu theme của bạn hỗ trợ hãy thêm các dòng sau vào file wp-config.php sẽ cho phép cập nhật tự động các plugin:

add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );

* Không sử dụng bất kỳ thứ gì từ các nguồn không xác định

Có rất  nhiều nguồn cung cấp “themes wordpress free”  và plugin free. Bạn nên xác định đó có phải là nơi uy tín để tải về sử dụng hay không ?

Bởi vì hacker thông qua đó để  gắn mã độc xâm hại website của bạn sau này.

* Kiểm tra độ tin cậy của Theme

Để kiểm tra xem Theme có đạt được các tiêu chuẩn và được update thường xuyên hay không, hãy sử dụng plugin Kiểm tra .

Bạn có thể làm điều này trực tiếp từ khu vực quản trị của trang web WordPress của bạn.

5. Thường xuyên sao lưu

Nếu trang web của bạn bị tấn công, bạn sẽ ở vị trí tốt hơn nhiều với bản sao lưu trong tầm tay. Có rất nhiều dịch vụ và plugin có sẵn để giúp bạn thực hiện việc này:

Bạn cũng có thể sử dụng trình quả lý sao lưu mà nhà cung cấp hosting cho bạn co sẵn. Nhiều người thực hiện sao lưu hàng ngày, điều đó sẽ giảm tối đa các thiệt hại đối với trang web của bạn khi bị hacker tấn công.

6. Giới hạn số lần đăng nhập

Vì chúng ta đã nói về tấn công Brute Force trước đây: Một cách hay để tránh những điều này là hạn chế số lần đăng nhập mà người dùng được phép thực hiện trước khi WordPress tắt chúng.

Các plugin  đăng nhập  Login LockDown và Login Security Solution bảo mật đăng nhập thất bại do IP cố gắng và cấm những người khác tiếp tục nếu cần.

Chức năng này cũng được tìm thấy trong nhiều plugin bảo mật chúng tôi đã giới thiệu trong bài

7. Sử dụng xác thực hai bước

Để làm cho các loại tấn công này trở nên khó khăn hơn, bạn có thể cài đặt quy trình xác thực hai bước.

Bằng cách đó, người dùng sẽ phải nhập thông tin đăng nhập bổ sung, ví dụ như đã được gửi tới điện thoại di động của họ.

Dưới đây là một số plugin cho việc này:

8. Chọn tiền tố bảng tùy chỉnh

Theo mặc định, WordPress áp dụng tiền tố wp_ cho tất cả các bảng cơ sở dữ liệu. Vì đây là một điều rất phổ biến, nó có thể giúp tin tặc truy cập vào trang web của bạn. Do đó, nếu bạn đang thực hiện cài đặt WordPress mới. Bạn nên thay đổi điều này, tốt hơn là một cái gì đó khó đoán.

Bạn có thể làm tương tự cho một trang web WordPress hiện có. Để làm như vậy, trước tiên bạn cần mở wp-config.php và cuộn xuống mục này:

$table_prefix  = 'wp_';

 

Thay đổi ‘wp_‘ thành tiền tố mong muốn của bạn, bạn cần làm như vậy bên trong cơ sở dữ liệu của bạn.

Điều này có thể được thực hiện thông qua một plugin (ví dụ:  iThemes Security) hoặc bằng tay thông qua phpMyAdmin hoặc một dịch vụ tương tự.

Nếu bạn dùng cách thủ công, hãy đảm bảo bạn đổi tên mọi bảng trong cơ sở dữ liệu của bạn.

9. Thêm bảo vệ vào file wp-config

Khi cuộn xuống dưới  trong file cấu hình WordPress, bạn sẽ nhìn thấy những dòng bên dưới:

define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

Đây là các khóa bảo mật được sử dụng để cải thiện mã hóa bằng cách che giấu thông tin được lưu trữ trong cookie của người dùng. Để tăng cường an ninh, WordPress có một chức năng tự vào các cụm từ duy nhất các ký tự ngẫu nhiên mà không ai có thể đoán được.

 bảo mật WordPress

Chỉ cần nhấp vào liên kết và sau đó sao chép và dán mã được tạo ở vị trí của các dòng trên. Sau đó  lưu và bạn đã hoàn tất.

10. Đặt quyền cho tập tin

Bằng cách cài đặt quyền đối với tệp trên máy chủ của bạn. Bạn có thể tránh tải lên hoặc thay đổi tệp không được phép.

Quyền có thể được thay đổi thông qua một ứng dụng khách FTP như FileZilla. Đối với những gì họ nên được thay đổi:

  • 755 or 750 for directories
  • 644 or 640 for files
  • wp-config.php should be set to 440 or 400

Để biết thêm thông tin về quyền truy cập tệp cho WordPress, vui lòng tham khảo WordPress Codex.

11. Vô hiệu hóa WordPress theme và plugin editor

Trình soạn thảo WordPress cho phép người dùng thực hiện thay đổi đối với các tệp chủ đề và plugin trực tiếp từ back-end của WordPress.

Tuy nhiên, nên một số tài khoản có quyền truy cập vào khu vực quản trị, họ có thể sử dụng tính năng tương tự này để tàn phá nghiêm trọng  trang web của bạn.

Để tránh điều này xảy ra, bạn có thể vô hiệu hóa trình soạn thảo bằng cách thêm dòng sau vào wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

12. Chặn truy cập vào tệp wp-config của bạn

Chắc chắn rồi, và may mắn là chúng ta có thể làm điều đó bằng cách thêm đoạn mã sau vào tập tin .htaccess của chúng ta:

<files wp-config.php>
order allow,deny
deny from all
</files>

=> Một lưu ý quan trọng: Mã này phải được đặt bên ngoài thẻ WordPress # BEGIN và # END WordPress. Bất cứ điều gì trong các thẻ có thể được cập nhật bởi WordPress và do đó dễ bị mất trong quá trình cập nhật hoặc thay đổi cấu trúc permalink.

13. Xóa phiên bản của WordPress

Trước đó chúng tôi đã nói về các cập nhật nhỏ của WordPress và cách chúng giải quyết các vấn đề quan trọng về bảo mật. Vì đây là những kiến thức công khai, bất kỳ ai cũng có thể nhanh chóng tìm ra lỗ hổng của các phiên bản WordPress cũ hơn và khai thác chúng.

Điều này cũng có nghĩa là nếu họ có thể tìm ra phiên bản trang web của bạn đang chạy, những điểm yếu trong bảo mật của bạn sẽ hoàn toàn hiển nhiên.

Để tránh tình huống này, người dùng phải ẩn phiên bản trang web của họ. Điều này có thể được thực hiện thông qua plugin hoặc bằng cách thêm dòng mã sau đây vào file function.php của Theme theo cách thủ công:

remove_action('wp_head', 'wp_generator');

* Sử dụng plugin bảo mật WordPress

Bên cạnh đó cũng có một số plugin bảo mật  để củng cố trang web của bạn . Chỉ với một vài cú nhấp chuột đơn giản.

Dưới đây là danh sách các Plugin bảo mật nhiều người tin dùng :

* Bảo mật WordPress trong một nutshell

Bảo mật là một phần thường bị bỏ quên khi chạy một trang web WordPress. Việc đó không nhất thiết phải là điều mà nhiều người trong chúng ta muốn giải quyết. Thật không may, chúng ta chỉ thực sự nhận ra ý nghĩa nó khi website  của mình bị tấn công.

Thông qua 13 bước đã nêu ở trên, phần nào giúp bạn cải thiện được vấn đề bảo mật cho website của mình. Hy vọng bài viết này có ích cho bạn.

Nếu bạn chưa thực sự hiểu rõ phần nào hoặc cần chúng tôi hỗ trợ gì. Hãy cho chúng tôi biết trong phần bình luận.

Chúc bạn thành công!

0 0 vote
Article Rating
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x