Các thủ thuật tăng cường bảo mật cho website WordPress của bạn

  • Tuesday 30/11/2021

Bảo mật website WordPress là một chủ đề có tầm quan trọng lớn đối với mọi chủ sở hữu trang web. Google đưa vào blacklist hơn 20.000 trang web chứa malware và khoảng 50.000 trang web lừa đảo mỗi tuần. Nếu bạn thực sự nghiêm túc về trang web của mình, thì bạn cần chú ý đến các phương pháp để bảo mật WordPress. 

Mặc dù mã nguồn lõi của WordPress rất an toàn và được hàng trăm nhà phát triển kiểm tra thường xuyên, nhưng bạn vẫn có thể thực hiện thêm các thao tác để giữ an toàn cho trang web của mình. Bảo mật không chỉ là loại bỏ rủi ro mà còn là giảm thiểu rủi ro. Là chủ sở hữu trang web, bạn có thể làm rất nhiều điều để cải thiện bảo mật website (ngay cả khi bạn không hiểu biết về công nghệ).

 

Các thủ thuật tăng cường bảo mật cho website WordPress

Trong hướng dẫn này, PAVietnam sẽ chia sẻ các mẹo tăng cường bảo mật cho website WordPress để giúp bạn bảo vệ trang web của mình khỏi tin tặc và malware.

Kiến thức cơ bản về bảo mật WordPress

 

1. Cập nhật WordPress thường xuyên

WordPress là một mã nguồn mở được bảo trì và cập nhật thường xuyên. Theo mặc định, WordPress tự động cài đặt các bản cập nhật nhỏ. Đối với các bản phát hành chính, bạn cần bắt đầu cập nhật theo cách thủ công. WordPress cũng đi kèm với hàng nghìn plugin và chủ đề mà bạn có thể cài đặt trên trang web của mình. Các plugin và theme này được duy trì bởi các nhà phát triển bên thứ ba, họ cũng thường xuyên phát hành các bản cập nhật. Các bản cập nhật WordPress này rất quan trọng đối với sự bảo mật và ổn định của trang web WordPress của. Bạn cần đảm bảo rằng WordPress core , plugin và theme của website được cập nhật thường xuyên.

Bạn có thể tham khảo bài viết này để thực hiện cập nhật wordpress cũng như theme và plugin của website.

 

2. Sử dụng mật khẩu có độ phức tạp cao

– Lí do website WordPress bị hack phổ biến nhất thường do mật khẩu bị đánh cắp. Bạn có thể giới hạn việc này bằng cách sử dụng mật khẩu mạnh chỉ dùng riêng cho trang web. Không chỉ dành cho trang quản trị quản trị WordPress, mà còn cho tài khoản FTP, cơ sở dữ liệu, hosting và địa chỉ email sử dụng tên miền của trang web.

 

Bảo mật WordPress qua các bước đơn giản (Không cần can thiệp code)

 

3. Cài đặt plugin sao lưu WordPress

Sao lưu là cách bảo vệ đầu tiên của bạn chống lại bất kỳ cuộc tấn công nào đối với website. Hãy nhớ rằng, không có gì là an toàn 100%. Vì vậy nếu sự cố xảy ra , bản sao lưu cho phép bạn nhanh chóng khôi phục trang web WordPress của mình.
Bạn có thể tham khảo danh sách các plugin phổ biên ở đây  để lựa chọn plugin backup phù hợp với nhu cầu và kinh phí.

 

4. Chuyển hướng SSL/HTTPS cho website

– SSL (Secure Sockets Layer) là một giao thức mã hóa việc truyền dữ liệu giữa trang web của bạn và trình duyệt của người dùng. Mã hóa này khiến ai đó khó nghe lén và lấy cắp thông tin hơn. Khi bạn bật SSL, trang web sẽ sử dụng HTTPS thay vì HTTP, bạn cũng sẽ thấy dấu hiệu ổ khóa bên cạnh địa chỉ trang web của mình trong trình duyệt. Hosting của PAVietnam mặc định hỗ trợ sẵn SSL Free cho website , hoặc bạn cũng có thể đăng ký sử dung SSL có phí nếu có nhu cầu sử dụng.

Bạn có thể tham khảo bài viết này để cấu hình chuyển hướng HTTPS cho website của mình.

 

5. Sử dụng plugin bảo mật WordPress

Một plugin bảo mật tốt sẽ giúp nạn thiết lập một hệ thống kiểm tra và giám sát để theo dõi mọi thứ xảy ra trên trang web. Điều này bao gồm giám sát tính toàn vẹn của tệp, các lần đăng nhập không thành công, quét phần mềm độc hại, v.v.

Hiện tại có nhiều plugin bảo mật top đầu đều hỗ trợ các tính năng này, bạn có thể sử dụng plugin bảo mật WordPress miễn phí tốt nhất, Sucuri Scanner.

Tất cả những gì bạn cần làm là cài đặt và kích hoạt plugin Sucuri Security miễn phí để được tân hưởng các tính năng vượt trội này.

 

Tăng cường bảo mật cho website WordPress nâng cao

Các thủ thuật bên dưới yêu cầu bạn cần có kiến thức nhất định về WordPress để thực hiện. Ngoài ra để tránh sự cố , bạn nên thực hiện backup dữ liệu website trước khi thực hiện áp dụng những cài đặt dưới đây.

 

6. Vô hiệu hóa chỉnh sửa tệp

WordPress có tích hợp một trình chỉnh sửa code cho phép bạn chỉnh sửa các tệp theme và plugin ngay từ khu vực quản trị WordPress t Nếu dùng sai, tính năng này có thể là một rủi ro bảo mật, đó là lý do tại sao bạn nên tắt nó đi.
Bạn có thể dễ dàng thực hiện việc này bằng cách thêm mã sau vào tệp wp-config.php.
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

7. Vô hiệu hóa thực thi tệp PHP trong một số thư mục WordPress

– Một cách khác để tăng cường bảo mật WordPress là tắt thực thi tệp PHP trong các thư mục không cần thiết, chẳng hạn như /wp-content/uploads/.
Tất cả những gì bạn cần làm là tạo 1 file .htaccess trong thư mục /wp-content/uploads/ và thêm nội dung
<Files *.php>
deny from all
</Files>

 

8. Giới hạn số lần đăng nhập

Theo mặc định, WordPress cho phép người dùng đăng nhập với số lần sai tùy thích. Điều này khiến trang web WordPress của bạn dễ bị tấn công bởi các cuộc tấn công brute-force. Tin tặc cố gắng bẻ khóa mật khẩu bằng cách cố gắng đăng nhập bằng nhiều cách kết hợp khác nhau. Điều này có thể dễ dàng khắc phục bằng cách hạn chế các lần đăng nhập thất bại mà người dùng có thể thực hiện qua việc cài đặt và kích hoạt plugin Login LockDown

9. Sử dụng xác thực hai yếu tố

Kỹ thuật xác thực hai yếu tố yêu cầu người dùng đăng nhập bằng phương pháp xác thực hai bước. Bước đầu tiên là tên người dùng và mật khẩu và bước thứ hai yêu cầu bạn xác thực bằng một thiết bị hoặc ứng dụng riêng biệt. Hầu hết các trang web trực tuyến hàng đầu như Google, Facebook, Twitter, đều cho phép bạn kích hoạt nó cho các tài khoản của mình. Bạn cũng có thể thêm chức năng tương tự vào trang WordPress của mình.
Bạn có cấu hình chuyển xác thực 2 yếu tốc cho website của mình tại đây.

 

10. Thay đổi tên đăng nhập mặc định “admin”

– Trước kia username quản trị WordPress được mặc định là “admin” khiến hacker dễ dàng thực hiện các cuộc tấn công brute-force hơn vì đã biết sẵn tên đăng nhập. Rất may, WordPress đã thay đổi điều này và bây giờ cho phép bạn chọn tên đăng nhập tùy chỉnh tại thời điểm cài đặt WordPress.
Vì WordPress không cho phép bạn thay đổi tên đăng nhập, nên có ba phương pháp bạn có thể sử dụng để thay đổi nễu đã lỡ dùng username admin khi cài đặt.
  1. Tạo username quản trị mới và xóa username cũ. Tham khảo cách thêm username mới tại đây.
  2. Sử dụng plugin
  3. Cập nhật tên người dùng từ phpMyAdmin. Truy cập vào hosting -> vào phpmyadmin. Trong này sẽ hiển thị danh sách database hiện có của hosting -> chọn database của website bạn muốn đổi username ->  chọn table wp_users -> chọn record có chứa username admin để sửa. Sau đó thay đổi giá trị ở hàng user_login sang username mới mong muốn và nhấn save.

11. Thay đổi tiền tố cơ sở dữ liệu WordPress

– WordPress mặc định sử dụng wp_ làm tiền tố cho tất cả các bảng trong cơ sở dữ liệu WordPress của bạn. Nếu trang web WordPress của bạn đang sử dụng tiền tố mặc định, hacker sẽ dễ dàng đoán được tên bảng là gì. Đây là lý do tại sao bạn nên thay đổi nó.
Lưu ý: Việc này có thể làm hỏng web nếu không được thực hiện đúng cách. Chỉ thực hiện nếu bạn cảm thấy tự tin với kỹ năng tin lập trình của mình.

 

12. Cài đặt Password Protect đối với trang quản trị WordPress

– Thông thường, hacker có thể truy cập thư mục wp-admin và trang đăng nhập mà không có bất kỳ hạn chế nào. Điều này cho phép họ thử các thủ thuật hack hoặc thực hiện các cuộc tấn công DDoS. Bạn có thể thêm một lớp bảo vệ bằng mật khẩu bổ sung ở cấp độ máy chủ, điều này sẽ chặn các truy cập đó một cách hiệu quả.
Chi tiết bạn có thể xem hướng dẫn ở bài viết này , trong phần HTTP Authentication

13. Tắt tính năng duyệt và lập chỉ mục thư mục

– Việc duyệt thư mục có thể được tin tặc sử dụng để tìm xem bạn có bất kỳ tệp nào có lỗ hổng bảo mật đã biết hay không, vì vậy chúng có thể lợi dụng những tệp này để giành quyền truy cập website.Người khác cũng có thể sử dụng tính năng duyệt thư mục để xem các tệp của bạn, sao chép hình ảnh, tìm ra cấu trúc thư mục của bạn và các thông tin khác. Đây là lý do tại sao bạn nên tắt tính năng lập chỉ mục và duyệt thư mục.

Bạn cần thêm dòng sau vào cuối tệp .htaccess ở thư mục gốc của trang web

Options -Indexes

 

14. Tắt XML-RPC trong WordPress

– XML-RPC được bật theo mặc định trong WordPress 3.5 vì nó giúp kết nối trang web WordPress của bạn với các ứng dụng web và thiết bị di động. Do tính chất mạnh mẽ của nó, XML-RPC có thể khuếch đại đáng kể các cuộc tấn công brute-force.

Ví dụ: thông thường, nếu một hacker  muốn thử 500 mật khẩu khác nhau trên trang web của bạn, họ sẽ phải thực hiện 500 lần đăng nhập riêng biệt và sẽ bị chặn bởi plugin khóa đăng nhập. Nhưng với XML-RPC, hacker có thể sử dụng hàm system.multicall để thử hàng nghìn mật khẩu với 20 hoặc 50 yêu cầu. Đây là lý do tại sao nếu bạn không sử dụng XML-RPC, thì bạn nên tắt nó.
Chi tiết thao tác có thể xem hướng dẫn tại đây  để tắt tính năng XML-PRC.
Lưu ý : Phương thức .htaccess là phương pháp tốt nhất vì nó tốn ít tài nguyên nhất.

 

15. Quét phần mềm độc hại và lỗ hổng bảo mật trong WordPress

Nếu bạn đã cài đặt plugin bảo mật WordPress, thì các plugin đó sẽ thường xuyên kiểm tra phần mềm độc hại và các dấu hiệu vi phạm bảo mật. Tuy nhiên, nếu bạn thấy lưu lượng truy cập trang web hoặc thứ hạng tìm kiếm giảm đột ngột, thì bạn nên chạy quá trình quét theo cách thủ công. Bạn có thể sử dụng plugin bảo mật WordPress của mình hoặc sử dụng một trong các trình quét bảo mật và malware trực tuyến, ví dụ như :  Sucuri SiteCheck , IsItWP Security Scanner , Google Safe Browsing , Quttera , v.v.

Việc chạy các bản quét trực tuyến này khá dễ dàng, bạn chỉ cần nhập URL trang web của mình và trình thu thập thông tin của chúng sẽ truy cập web của bạn để tìm phần mềm độc hại và mã độc hại đã biết.

Tuy nhiên, hãy nhớ rằng hầu hết các trình quét bảo mật WordPress chỉ có thể quét trang web của bạn. Họ không thể xóa phần mềm độc hại hoặc làm sạch một trang WordPress bị tấn công.

 

Tổng kết

Trên đây là 1 số thủ thuật từ đơn giản đến phức tạp để bạn có thể cải thiện được độ bảo mật của website. Chúng tôi hy vọng bài viết này đã giúp bạn tìm hiểu các phương pháp về bảo mật WordPress hàng đầu cũng như lựa chọn được các plugin bảo mật WordPress tốt nhất cho trang web của bạn.

Nếu như có hứng thú , các bạn có thể xem thêm các bài viết khác của chúng tôi tại đây.

 

P.A Việt Nam cung cấp đa dạng các Plan Hosting WordPress đáp ứng yêu cầu của khách hàng
WordPress Hosting phổ thông
WordPress Hosting chất lượng cao
WordPress VIP

Tham khảo các ưu đãi: https://www.pavietnam.vn/vn/tin-khuyen-mai/