Hướng dẫn sử dụng WordPress Toolkit – cPanel

  • Monday 04/01/2021

Hướng dẫn sử dụng WordPress Toolkit – cPanel

WordPress Toolkit là bộ quản lý toàn diện cho WordPress được tích hợp trong Hosting WordPress tại P.A, với WordPress Toolkit bạn có thể dễ dàng cài đặt và quản trị WordPress chỉ với 1 click chuột. Ngoài ra bạn có thể quản lý được nhiều website WordPress cùng lúc.

Trong ứng dụng WordPress Toolkit trên Cpanel này, chúng tôi sẽ trình bày chi tiết tất cả các tính năng với giao diện trực quan nhất.

Truy cập WordPress Toolkit trên Cpanel

Bạn truy cập vào hosting sau đó tìm đến Tab Application → WordPress Toolkit.

Như vậy  bạn đã truy cập được vào WordPress ToolkitHiện tại trong WordPress Toolkit  rất nhiều tính năng và chúng tôi đánh số thứ tự để các bạn có thể tiện tham khảo (Xem hình bên dưới).

Tính năng WordPress Toolkit trên Cpanel:

Install:

Thao tác này cho phép bạn cài đặt WordPress và thiết lập như sau:

1. General: Cấu hình tổng quan

  • Installation path: Đường dẫn cho website của bạn.
  • Version: Chọn phiên bản cho WordPress.
  • Website title: Tên website.
  • Website language: Ngôn ngữ cho giao diện WordPress.

2. WordPress Administrator: Cấu hình tài khoản quản trị

  • Username và Password: Thông tin tài khoản và mật khẩu.
  • Email: Email quản trị.

Lưu ý: Khi tạo mật khẩu bạn phải đảm bảo mật khẩu được tạo ra với độ bảo mật cao (Độ dài mật khẩu trên 8 ký tự, chữ Hoa, chữ thường, ký thự đặc biệt, chữ số). Bạn cũng có thể sử dụng nút Generate để hệ thống có thể tạo ngẫu nhiên mật khẩu cho bạn và sau đó bạn click vào icon trong ô mật khẩu để có thể hiển thị Password mà hệ thống tạo ra để bạn có thể lưu trữ lại thông tin Password.

3. Database: Cơ sở dữ liệu của Website

  • Database name: Tên database.
  • Database user name / Password: Tài khoản và mật khẩu của database.

Lưu ý: Khi tạo mật khẩu bạn phải đảm bảo mật khẩu được tạo ra với độ bảo mật cao (Độ dài mật khẩu trên 8 ký tự, chữ Hoa, chữ thường, ký thự đặc biệt, chữ số). Bạn cũng có thể sử dụng nút Generate để hệ thống có thể tạo ngẫu nhiên mật khẩu cho bạn và sau đó bạn click vào icon trong ô mật khẩu để có thể hiển thị Password mà hệ thống tạo ra để bạn có thể lưu trữ lại thông tin Password.

4. Automatic Update Settings: Cập nhật WordPress

Việc cập nhật WordPress theo phiên bản mới nhất là quan trọng, điều này giúp khắc phục được những lỗi trong hệ thống cũng như trải nghiệm những tính năng mới và tiến trình cập nhật này là hoàn toàn tự động.

  • No: Không cập nhật.
  • Minor (security) updates: Cập nhật từ từ, từng thao tác nhỏ.
  • Minor and major) updates: Nâng cấp lên tất cả các phiên bản.

Plugins: Tự động cập nhật plugin.

– Plugin không an toàn luôn là nguyên nhân gây ra sự cố website bị hack hoặc nhiễm mã độc. Vì vậy WordPress Toolkit cho phép tự động cập nhật các plugins đã được cài đặt, tuy nhiên chức năng này phải được thực hiện bật lên trong quá trình cài đặt WordPress bằng WordPress Toolkit.

Themes: Tự động cập nhật giao diện.

– Tính năng này áp dụng cho các giao diện themes được liệt kê sẵn trong kho lưu trữ của WordPress. Nếu giao diện của bạn có bản cập nhật mới và nó xuất hiện tại Available Updates, Cpanel sẽ tự động cập nhật nó.

Scan:

Tính năng Scan sẽ quét các phiên bản WordPress sau đó hiển thị tại WordPress Toolkit nếu chúng bị thiếu trong trường hợp WordPress đã được cài đặt thủ công và không thông qua Cpanel.

Plugins:

WordPress Toolkit cho phép bạn quản lý tất cả các plugins mà bạn đã cài đặt. Bạn có thể cài đặt thêm các plugins mới, upload plugins, kích hoạt, hủy kích hoạt và cập nhật plugins theo cách thủ công.

Themes:

Cũng giống như là trình quản lý Plugins, bạn cũng có thể quản lý các themes của mình trong WordPress Toolkit. Tìm kiếm và cài đặt các themes mới, tải lên các themes cao cấp, gỡ cài đặt và cập nhật các themes hiện có.

Databases:

Trong tab Database, bạn sẽ thấy toàn bộ thông tin về cơ sở dữ liệu và có thể thực hiện chỉnh sửa tên người dùng và mật khẩu của cơ sở dữ liệu cũng như truy cập trực tiếp vào phpMyAdmin.

File Manager:

Cho phép bạn quản lý tất cả các file trên website WordPress của bạn. Tại đây bạn có thể tạo mới, sửa, xóa, upload, nén/giải nén, di chuyển, đổi tên thư mục, phân quyền file,…

Backup/Restore:

Cho phép bạn quản lý cũng như chủ động việc sao lưu/phục hồi dữ liệu để phòng trường hợp website bị lỗi và cần lấy lại thông tin dữ liệu cũ cũng như bảo vệ website của bạn.

Login/Setup:

Với WordPress Toolkit, bạn có thể truy cập vào bảng điều khiển WordPress mà không phải thực hiện đăng nhập (Login). Bạn cũng có thể vào mục Setup để xem mật khẩu của tài khoản quản trị và thiết lập mật khẩu mới.

Security:

Chỉ  với 1 lần click chuột, bạn có thể đánh giá và tìm ra toàn bộ lỗ hỏng bảo mật của hệ thống. Đồng thời, công cụ này cũng sẽ hỗ trợ trong việc khắc phục những lỗ hỏng trên nếu có.

Tại Security → Check Security để kiểm tra tình trạng bảo mật cho WordPress.

Một số cài đặt mặc định của WordPress được xây dựng với các cải tiến bảo mật sau đây:

  • Restrict access to files and directories (Hạn chế quyền truy cập vào các tập tin và thư mục)Nếu quyền truy cập cho các tệp và thư mục không đủ an toàn, các tệp này có thể bị tin tặc truy cập và sử dụng để xâm phạm trang web của bạn. Biện pháp bảo mật này đặt các quyền cho tệp wp-config thành 600, cho các tệp khác thành 644 và cho các thư mục thành 755.
  • Configure security keys (Cấu hình khóa bảo mật): WordPress sử dụng các khóa bảo mật (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY và NONCE_KEY) để đảm bảo mã hóa tốt hơn thông tin được lưu trữ trong cookie của người dùng. Khóa bảo mật tốt phải dài (60 ký tự trở lên), ngẫu nhiên và phức tạp. Kiểm tra bảo mật sẽ xác minh rằng các khóa bảo mật đã được thiết lập và chúng có chứa ít nhất các ký tự chữ và số.
  • Block directory browsing (Chặn thư mục duyệt) (có thể trở về): Nếu duyệt thư mục được bật, tin tặc có thể có được thông tin khác nhau về trang web của bạn có khả năng xâm phạm bảo mật của nó. Theo mặc định, duyệt thư mục bị tắt trong Cpanel, nhưng khi nó được bật, biện pháp bảo mật này có thể chặn nó. Biện pháp này sửa đổi tệp cấu hình máy chủ (Apache, nginx cho Linux hoặc web.config cho Windows).
  • Block unauthorized access to to wp-config.php (Chặn truy cập trái phép vào wp-config.php) (có thể trở về): Tệp wp-config.php chứa thông tin nhạy cảm như thông tin truy cập cơ sở dữ liệu, v.v. Nếu, vì một số lý do, việc xử lý các tệp PHP của máy chủ web bị tắt, tin tặc có thể truy cập nội dung của tệp wp-config.php. Biện pháp bảo mật này ngăn chặn truy cập trái phép vào tệp wp-config.php. Biện pháp này sửa đổi tệp cấu hình máy chủ (Apache, nginx cho Linux hoặc web.config cho Windows).
  • Disable unused scripting languages (Vô hiệu hóa các ngôn ngữ kịch bản không sử dụng):  Biện pháp bảo mật này tắt hỗ trợ cho các script ngôn ngữ không được WordPress sử dụng, chẳng hạn như Python và Perl. Tắt chúng để đảm bảo rằng trang web của bạn có thể bị xâm phạm bằng cách khai thác các lỗ hổng trong các script ngôn ngữ này.
  • Disable PHP execution in cache directories (Vô hiệu hóa thực thi PHP trong các thư mục bộ đệm) (có thể trở về): Nếu một tệp PHP bị xâm nhập kết thúc ở một trong các thư mục bộ đệm (cache) của trang web của bạn, việc thực thi nó có thể dẫn đến làm nguy toàn bộ trang web. Biện pháp bảo mật này vô hiệu hóa việc thực thi các tệp PHP trong các thư mục bộ đệm (cache), ngăn chặn việc khai thác như vậy xảy ra. Lưu ý rằng một số plugin hoặc chủ đề (theme) có thể bỏ qua các đề xuất bảo mật từ Nhóm bảo mật WordPress và lưu trữ các tệp thực thi PHP hợp lệ trong thư mục bộ đệm (cache) của chúng. Bạn có thể phải vô hiệu hóa biện pháp bảo mật này nếu bạn cần làm cho các plugin hoặc chủ đề (theme) đó hoạt động.
  • Change default database table prefix (Thay đổi tiền tố bảng cơ sở dữ liệu mặc định): Các bảng cơ sở dữ liệu WordPress có cùng tên tiêu chuẩn trên tất cả các cài đặt WordPress. Khi mặc định wp_ prefix được sử dụng cho tên bảng cơ sở dữ liệu, toàn bộ cấu trúc cơ sở dữ liệu WordPress là trong suốt, giúp các tập lệnh độc hại dễ dàng lấy được bất kỳ dữ liệu nào từ nó. Biện pháp bảo mật này thay đổi tiền tố tên bảng cơ sở dữ liệu thành một cái gì đó khác với mặc định wp_ prefix. Lưu ý rằng việc thay đổi tiền tố cơ sở dữ liệu trên một trang web với dữ liệu sản xuất có thể nguy hiểm, vì vậy chúng tôi khuyên bạn nên sao lưu trang web của mình trước khi áp dụng biện pháp này.
  • Block access to sensitive files (Chặn quyền truy cập vào các tệp nhạy cảm) (có thể trở về): Biện pháp bảo mật này ngăn chặn truy cập công khai vào một số tệp có thể chứa thông tin nhạy cảm như thông tin kết nối hoặc thông tin khác nhau có thể được sử dụng để xác định khai thác đã biết nào có thể áp dụng cho trang web WordPress của bạn.
  • Change default administrator’s username (Thay đổi tên người dùng của quản trị viên mặc định): Trong quá trình cài đặt, WordPress tạo một người dùng có quyền quản trị và tên người dùng ‘admin’. Vì tên người dùng trong WordPress không thể thay đổi, nên có thể thử sử dụng mật khẩu của người dùng này để truy cập WordPress với tư cách quản trị viên. Biện pháp bảo mật này tạo tài khoản quản trị viên WordPress với tên người dùng ngẫu nhiên và đảm bảo rằng không có người dùng nào có quyền quản trị và tên người dùng ‘admin’. Nếu tìm thấy người dùng ‘admin’, tất cả nội dung thuộc về người dùng này sẽ được gán lại cho tài khoản quản trị viên mới và tài khoản người dùng ‘admin’ sẽ bị xóa.

Bạn cũng có thể áp dụng các biện pháp sau để cải thiện bảo mật cho các phiên bản WordPress của mình. Tuy nhiên, trước khi thao tác, bạn vui lòng thực hiện sao lưu dữ liệu website vì một vài thao tác sẽ ảnh hưởng đến website của bạn mà không thể hoàn tác lại được.

 

  • Forbid execution of PHP scripts in the wp-includes directory (Cấm thực thi các tập lệnh PHP trong thư mục wp-includes) (có thể trở về): Thư mục wp-includes có thể chứa các tệp PHP không an toàn có thể được thực thi để tiếp quản và khai thác trang web của bạn. Biện pháp bảo mật này ngăn chặn việc thực thi các tệp PHP trong thư mục wp-includes. Biện pháp này sửa đổi tệp cấu hình máy chủ (Apache, nginx cho Linux hoặc web.config cho Windows). Lưu ý rằng các chỉ thị tùy chỉnh trong tệp .htaccess hoặc web.config có thể ghi đè lên lệnh này.
  • Forbid execution of PHP scripts in the wp-content/uploads directory (Cấm thực thi các tập lệnh PHP trong thư mục wp-content/uploads) (có thể trở về): Thư mục wp-content/uploads có thể chứa các tệp PHP không an toàn có thể được thực thi để tiếp quản và khai thác trang web của bạn. Biện pháp bảo mật này ngăn chặn việc thực thi các tệp PHP trong thư mục wp-content/uploads. Biện pháp này sửa đổi tệp cấu hình máy chủ (Apache, nginx cho Linux hoặc web.config cho Windows). Lưu ý rằng các chỉ thị tùy chỉnh trong tệp .htaccess hoặc web.config có thể ghi đè lên lệnh này.
  • Disable scripts concatenation for WordPress admin panel (Vô hiệu hóa tập lệnh ghép cho bảng quản trị WordPress) (có thể trở về): Biện pháp bảo mật này sẽ tắt việc ghép các tập lệnh đang chạy trong bảng Quản trị viên WordPress, ngăn trang web của bạn khỏi bị ảnh hưởng bởi các cuộc tấn công DoS nhất định. Tắt kết nối các tập lệnh có thể ảnh hưởng một chút đến hiệu suất của bảng Quản trị viên WordPress, nhưng nó sẽ không ảnh hưởng đến trang web WordPress của bạn.
  • Turn off pingbacks (Tắt pingback) (có thể trở về): Pingbacks cho phép các trang web WordPress khác tự động để lại nhận xét bên dưới bài đăng của bạn khi các trang web này liên kết với các bài đăng này. Pingbacks có thể được sử dụng để khởi chạy các cuộc tấn công DDoS trên trang web của bạn. Biện pháp bảo mật này sẽ tắt pingback RPC XML cho toàn bộ trang web của bạn và cũng vô hiệu hóa pingback cho các bài đăng được tạo trước đó với pingback được kích hoạt.
  • Enable hotlink protection (Cho phép bảo vệ hotlink) (có thể trở về): Bảo vệ liên kết nóng ngăn các trang web khác hiển thị, liên kết hoặc nhúng hình ảnh của bạn. Thực thi này được gọi là liên hết nóng, thêm nó có thể nhanh chóng rút hết băng thông của bạn và làm cho trang web của bạn không có sẵn.
  • Disable file editing in WordPress Dashboard (Vô hiệu hóa chỉnh sửa tệp trong Bảng điều khiển WordPress) (có thể trở về): Vô hiệu hóa chỉnh sửa tệp trong WordPress sẽ loại bỏ khả năng chỉnh sửa trực tiếp các nguồn tệp plugin và chủ đề (theme) trong giao diện WordPress. Biện pháp này bổ sung thêm một lớp bảo vệ cho trang web WordPress trong trường hợp một trong các tài khoản quản trị viên WordPress bị xâm phạm. Cụ thể, nó ngăn các tài khoản bị xâm nhập dễ dàng thêm mã thực thi độc hại vào plugin hoặc chủ đề (theme).
  • Enable bot protection (Cho phép bảo vệ bot) (có thể trở về): Biện pháp này bảo vệ trang web của bạn khỏi các bot vô dụng, độc hại hoặc có hại. Nó chặn các bot quét trang web của bạn để tìm lỗ hổng và làm quá tải trang web của bạn với các yêu cầu không mong muốn, gây ra lạm dụng tài nguyên. Lưu ý rằng bạn có thể muốn tạm thời vô hiệu hóa biện pháp này nếu bạn dự định sử dụng dịch vụ trực tuyến để quét trang web của bạn để tìm lỗ hổng, vì các dịch vụ này cũng có thể sử dụng các bot như vậy.
  • Block access to potentially sensitive files (Chặn quyền truy cập vào các tệp có khả năng nhạy cảm) (có thể trở về): Biện pháp bảo mật này ngăn chặn truy cập công khai vào một số tệp nhất định (ví dụ: tệp nhật ký (log), tập lệnh shell và các tệp thực thi khác) có thể tồn tại trên trang web WordPress của bạn. Quyền truy cập công khai vào các tệp này có khả năng ảnh hưởng đến bảo mật của trang web WordPress của bạn.
  • Block access to .htaccess and .htpasswd (Chặn quyền truy cập vào .htaccess và .htpasswd) (có thể trở về): Đạt được quyền truy cập vào các tệp .htaccess và .htpasswd cho phép kẻ tấn công đưa trang web của bạn vào một loạt các khai thác và vi phạm bảo mật. Biện pháp bảo mật này đảm bảo rằng các tệp .htaccess và .htpasswd có thể được truy cập bởi những kẻ lạm dụng.
  • Block author scans (Quét khối tác giả) (có thể trở về): Quét tác giả là một hình thức lừa đảo ID người dùng. Mục tiêu của các lần quét này là tìm tên người dùng của người dùng đã đăng ký (đặc biệt là quản trị viên WordPress) và tấn công mạnh mẽ vào trang đăng nhập của trang web của bạn để có quyền truy cập. Lưu ý rằng tùy thuộc vào cấu hình đường dẫn tĩnh (permalink) trên trang web của bạn, biện pháp này có thể ngăn khách truy cập truy cập các trang liệt kê tất cả các bài viết được viết bởi một tác giả cụ thể.

PHP:

Cho phép bạn kiểm tra được phiên bản PHP hiện tại mà bạn đang sử dụng cho WordPress của mình.

SSL/TLS:

Để bảo đảm bảo mật cho website của bạnhãy sử dụng giao thức SSL/TLS để  hóa tất cả dữ liệu truyền dữ liệu qukết nối an toàn. Khi kích hoạt sử dụng SSL/TLS, trạng thái hiển thị “Enabled

Search engine indexing:

Nếu bạn đang làm việc trên một website dàn dựng và không muốn các công cụ tìm kiếm lập chỉ mục nội dung của website của bạn, hãy tắt tính năng này. Nếu website dàn dựng của bạn được Googlebot lập chỉ mục, website chính của bạn có thể bị phạt vì nội dung trùng lặp.

Vô hiệu hóa tùy chọn này cho phép tùy chọn “Không khuyến khích công cụ tìm kiếm lập chỉ mục website này” trong WordPress, từ đó, thêm thẻ “noindex, nofollow” vào tiêu đề website của bạn và thêm chỉ thị Không cho phép vào tệp robots.txt.

Debugging:

Việc xử lý lỗi của một website khá khó khăn, phức tạp và mạo hiểm. Vì vậy, phần mềm hỗ trợ người dùng sao chép từ website chính sang một website thử nghiệm và kiểm tra lỗi trên website này với những công cụ đa dạng.

Bật cấu hình debug các lỗi của website để quản trị viên dễ dàng nhận thấy để khắc phục (bạn có thể cấu hình chi tiết hơn tại phần setup).

Thông thường Debugging trong WordPress liên quan đến việc chỉnh sửa bằng tay trong wp_config và thiết lập các hằng số gỡ lỗi: WP_DEBUG. SCRIPT_DEBUG và SAVE_QUERIES. Tuy nhiên, với WordPress Toolkit, bạn có thể thiết lập cấu hình Debug.

Tại Debugging -> Icon Setting.

Các tùy chọn trong mục Setting cho phép bạn quản lý các công cụ WordPress debugging gốc được bật trong tệp wp-config.php:

  • WP_DEBUGKích hoạt chế độ gỡ lỗi chính trong WordPress.
  • WP_DEBUG_LOGLưu tất cả các lỗi vào tệp debug.log bên trong thư mục wp-content.
  • WP_DEBUG_DISPLAYHiển thị thông báo gỡ lỗi bên trong các trang HTML.
  • SCRIPT_DEBUG: Buộc WordPress sử dụng các phiên bản không được rút gọn của các tệp CSS và JavaScript lõi. Điều này rất hữu ích khi bạn đang thử nghiệm các thay đổi được thực hiện đối với các tệp .js và .css.
  • SAVEQUERIES: Lưu các truy vấn cơ sở dữ liệu vào một mảng có thể được hiển thị để giúp phân tích chúng. Lưu ý: điều này sẽ có tác động đáng chú ý đến hiệu suất website của bạn, vì vậy không nên để tùy chọn này được bật khi bạn không gỡ lỗi.

Password Protection:

Nếu bạn cần giới hạn quyền truy cập vào website của mình và yêu cầu tất cả người truy cập phải cung cấp tên người dùng và mật khẩu, hãy kích hoạt tùy chọn Password protection. Điều này nên được sử dụng cho các website phát triển đã được nhân bản vào một website dàn dựng. Hoặc nếu bạn đang xây dựng một website WordPress mới và chưa muốn công khai. Điều này cũng sẽ ngừng trình thu thập thông tin của công cụ tìm kiếm lập chỉ mục website.

Tại Password protection → Icon Setting→ New password → Protect.

Sau khi thiết lập Password protection, người dùng sẽ được yêu cầu đăng nhập user và mật khẩu khi truy cập.

Maintenance mode:

Bật để website chuyển sang chế độ bảo trì thay vì sử dụng plugin trên WordPress. Khi một website WordPress ở chế độ bảo trì, nội dung của website bị ẩn khỏi khách truy cập mà không bị thay đổi hoặc bị ảnh hưởng khác.

Sau khi bật chế độ Maintenance mode, website của bạn sẽ hiển thị giao diện như sau:

Bạn cũng có thể tham khảo thêm về việc nên bật hay tắt chế độ Maintenance mode cho WordPress trong WordPress Toolkit tại đây

Đây là tổng quan tất cả các chức năng trong WordPress Toolkit. Hi vọng bài viết này sẽ giúp ích cho các bạn trong quá trình tìm hiểu cũng như sử dụng WordPress Toolkit.