Bảo mật cho WordPress là rất quan trọng đối với mọi chủ sở hữu trang web. Bảo mật tốt sẽ giúp website tránh được các cuộc tấn công của hacker.
Bảo mật cho WordPress là một vấn đề quan trọng đối với mọi chủ sở hữu trang web. Bảo mật tốt sẽ giúp trang web của bạn an toàn trước tin tặc và mã độc.
Mặc dù WordPress rất an toàn và được hàng trăm nhà phát triển trên toàn thế giới kiểm tra thường xuyên, nhưng bạn không nên tự mãn về việc giữ an toàn cho trang web của mình.
Trong hướng dẫn này, HOSTVN sẽ chia sẻ tất cả các thủ thuật bảo mật WordPress hàng đầu để giúp bạn bảo vệ trang web của mình khỏi tin tặc và phần mềm độc hại.
Tại sao bảo mật cho WordPress lại quan trọng?
Một khi trang web WordPress của bạn bị tấn công, nó có thể gây ra thiệt hại nghiêm trọng cho doanh thu và danh tiếng doanh nghiệp của bạn. Tin tặc có thể đánh cắp thông tin người dùng, mật khẩu, cài đặt phần mềm độc hại và thậm chí có thể phân phối phần mềm độc hại cho người dùng của bạn.
Vào tháng 3 năm 2016, Google báo cáo rằng hơn 50 triệu người dùng Internet đã được cảnh báo về một trang web mà họ truy cập có thể chứa phần mềm độc hại hoặc đánh cắp thông tin.
Hơn nữa, danh sách đen của Google cập nhật khoảng 20.000 trang web phần mềm độc hại và khoảng 50.000 trang web lừa đảo mỗi tuần.
Nếu trang web của bạn là một doanh nghiệp, thì bạn cần chú ý nhiều hơn đến bảo mật WordPress của mình. Cũng giống như cách mà chủ sở hữu doanh nghiệp có trách nhiệm bảo vệ tòa nhà của cửa hàng của họ, với tư cách là chủ sở hữu doanh nghiệp trực tuyến, bạn có trách nhiệm bảo vệ trang web doanh nghiệp của mình.
Cập nhật WordPress
WordPress là một phần mềm mã nguồn mở được bảo trì và cập nhật thường xuyên. Theo mặc định, WordPress tự động cài đặt các bản cập nhật nhỏ. Đối với các bản phát hành chính, bạn cần cập nhật WordPress theo cách thủ công.
WordPress cũng đi kèm với hàng nghìn plugin và chủ đề mà bạn có thể cài đặt trên trang web của mình. Các plugin và chủ đề này được duy trì bởi các nhà phát triển bên thứ ba và họ cũng thường xuyên phát hành các bản cập nhật.
Các bản cập nhật WordPress này rất quan trọng đối với sự bảo mật và ổn định của trang web WordPress của bạn. Bạn cần đảm bảo rằng WordPress, plugin và chủ đề của bạn được cập nhật thường xuyên.
Mật khẩu mạnh và quyền của người dùng
Sử dụng mật khẩu ngắn gọn, thông dụng và dễ đoán có thể khiến tin tặc lấy cắp mật khẩu của bạn dễ dàng hơn. Bạn có thể tránh điều đó bằng cách sử dụng mật khẩu mạnh và duy nhất cho trang web của mình. Không chỉ cho khu vực quản trị WordPress, mà còn cho tài khoản FTP, cơ sở dữ liệu, tài khoản lưu trữ WordPress và địa chỉ email của bạn.
Nhiều người thường không thích sử dụng mật khẩu mạnh vì khó nhớ. Điều tốt là bạn không cần phải nhớ mật khẩu nữa. Bạn có thể sử dụng trình quản lý mật khẩu như roboform, Lastpass
Một cách khác để giảm rủi ro là không cấp cho bất kỳ ai quyền truy cập vào tài khoản quản trị viên WordPress của bạn trừ khi bạn thực sự cần. Nếu bạn có nhóm tác giả, hãy đảm bảo rằng bạn hiểu vai trò và khả năng của người dùng trong WordPress trước khi thêm tài khoản tác giả và người dùng mới vào trang web WordPress của mình. Để hiểu thêm về user role trong wordpress, mời các bạn tham khảo bài viết user role trong wordpress của HOSTVN.
Vai trò của WordPress Hosting
Lưu trữ WordPress của bạn cũng đóng một vai trò quan trọng trong việc bảo mật trang web WordPress của bạn. Một nhà cung cấp dịch vụ tốt như vậy sẽ thực hiện các biện pháp bổ sung để bảo vệ máy chủ của họ trước các mối đe dọa phổ biến. Dưới đây là một số tiêu chí để chọn một nhà cung cấp hosting tốt cho bạn
- Sử dụng Cloudlinux để ngăn chặn Tấn công cục bộ
- Máy chủ được cài đặt phần mềm quét và phát hiện phần mềm độc hại
- Máy chủ luôn cập nhật phần mềm và phần cứng để ngăn tin tặc khai thác các lỗ hổng bảo mật đã biết trong các phiên bản cũ hơn.
- Có hệ thống backup dữ liệu thường xuyên cho khách hàng
Hiện tại, tất cả các máy chủ lưu trữ Linux của HOSTVN đều sử dụng CloudLinux, được trang bị phần mềm quét mã độc tự động phát hiện và thông báo cho người dùng, ngoài ra HOSTVN hỗ trợ khách hàng sao lưu dữ liệu hàng ngày và lưu 14 bản. sao lưu trong vòng 14 ngày qua.
Hướng dẫn bảo mật cho WordPress
Trong hướng dẫn này, HOSTVN sẽ chỉ cho bạn một số cách để cải thiện bảo mật WordPress của bạn chỉ với một vài cú nhấp chuột.
Cài đặt sao lưu cho WordPress
Sao lưu là cách đầu tiên của bạn để chống lại bất kỳ cuộc tấn công nào của WordPress. Hãy nhớ rằng, không có gì là an toàn 100%. Nếu các trang web của chính phủ có thể bị tấn công, bạn cũng có thể bị tấn công.
Bản sao lưu cho phép bạn nhanh chóng khôi phục trang web WordPress của mình trong trường hợp có điều gì đó xấu xảy ra.
Rất may, điều này có thể được thực hiện dễ dàng bằng cách sử dụng các plugin như VaultPress hoặc UpdraftPlus. Chúng đều đáng tin cậy và quan trọng nhất là dễ sử dụng.
Bạn có thể xem thêm hướng dẫn cách backup dữ liệu cho wordpress của HOSTVN.
Bật tường lửa ứng dụng web (WAF)
Cách dễ nhất để bảo vệ trang web của bạn là sử dụng tường lửa ứng dụng web (WAF). Tường lửa sẽ giúp chặn tất cả lưu lượng độc hại trước khi nó đến trang web của bạn.
Để tìm hiểu thêm, hãy xem danh sách các plugin tường lửa WordPress tốt nhất của chúng tôi.
Chuyển trang web WordPress của bạn sang SSL / HTTPS
SSL là một giao thức được mã hóa để truyền dữ liệu giữa trang web của bạn và trình duyệt của người dùng. Mã hóa này khiến tin tặc khó có thể xâm nhập và lấy cắp thông tin từ trang web của bạn.
Khi bạn bật SSL, trang web của bạn sẽ sử dụng HTTPS thay vì HTTP, bạn cũng sẽ thấy dấu hiệu ổ khóa bên cạnh địa chỉ trang web trong trình duyệt của mình.
Để chuyển từ http sang https, bạn có thể tham khảo bài viết chuyển từ https sang https cho wordpress của HOSTVN.
Thay đổi tên người dùng mặc định
Mặc định khi cài đặt wordpress mọi người thường đặt tên người dùng quản trị là admin. Điều này sẽ làm cho các tin tặc tấn công trang web của bạn dễ dàng hơn. Vì vậy, thay vì sử dụng tên người dùng admin, hãy thay đổi nó thành một tên người dùng khó đoán hơn.
Để đổi tên người dùng cho wordpress hay tham khảo bài viết cách đổi tên người dùng cho wordpress của HOSTVN.
Tắt chỉnh sửa tệp
WordPress đi kèm với một trình chỉnh sửa mã tích hợp cho phép bạn chỉnh sửa các tệp chủ đề và plugin ngay trong khu vực quản trị WordPress của bạn. Tuy nhiên, tính năng này có thể là một rủi ro bảo mật, đó là lý do tại sao chúng tôi khuyên bạn nên tắt nó đi.
Bạn có thể dễ dàng thực hiện việc này bằng cách thêm mã sau vào tệp của mình wp-config.php của bạn.
// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );
Bạn cũng có thể xem thêm một số cài đặt cấu hình trong wp-config để tăng tính bảo mật và tối ưu hóa tốc độ WordPress.
Tắt thực thi tệp PHP trong một số thư mục WordPress
Một cách khác để tăng cường bảo mật WordPress của bạn là tắt thực thi tệp PHP trong các thư mục không cần thiết như / wp-content / uploads /.
Bạn có thể thực hiện việc này bằng cách thêm mã sau vào tệp .htaccess của bạn:
<Files *.php> deny from all </Files>
Ngoài ra, bạn có thể tham khảo thêm bài viết tăng cường bảo mật wordpress bằng file .htaccess của HOSTVN
Giới hạn số lần đăng nhập sai
Theo mặc định, WordPress không giới hạn số lần đăng nhập sai. Điều này khiến trang web WordPress của bạn dễ bị tấn công bởi các cuộc tấn công bruteforce. Tin tặc cố gắng bẻ khóa mật khẩu bằng cách cố gắng đăng nhập bằng máy dò mật khẩu.
Điều này có thể dễ dàng khắc phục bằng cách hạn chế số lần đăng nhập sai vào trang quản trị. Bạn có thể dễ dàng thực hiện điều này với bài hướng dẫn Hạn chế tấn công Bruteforce wordpress với plugin Giới hạn số lần đăng nhập
Thêm xác thực hai yếu tố
Xác thực hai yếu tố yêu cầu người dùng đăng nhập bằng xác thực hai yếu tố. Bước đầu tiên là tên người dùng và mật khẩu và bước thứ hai yêu cầu bạn xác thực bằng một thiết bị hoặc ứng dụng riêng biệt.
Hầu hết các trang trực tuyến hàng đầu như Google, Facebook, Twitter đều cho phép bạn kích hoạt chức năng này cho tài khoản của mình. Bạn cũng có thể thêm chức năng tương tự vào trang WordPress của mình.
Để bật xác thực hai yếu tố, hãy tham khảo hướng dẫn Xác thực hai yếu tố cho WordPress với Google Authenticator
Thay đổi tiền tố cơ sở dữ liệu WordPress
Theo mặc định, WordPress sử dụng wp_ tiền tố tất cả các bảng trong cơ sở dữ liệu WordPress của bạn. Nếu trang web WordPress của bạn đang sử dụng tiền tố cơ sở dữ liệu mặc định, thì tin tặc sẽ dễ dàng đoán tên bảng của bạn hơn. Đây là lý do tại sao chúng tôi khuyên bạn nên thay đổi nó.
Bạn có thể thay đổi tiền tố cơ sở dữ liệu của mình bằng cách làm theo hướng dẫn từng bước của HOSTVN về cách thay đổi tiền tố cơ sở dữ liệu WordPress để cải thiện bảo mật.
Đặt mật khẩu để bảo vệ thư mục wp-admin
Ngoài xác thực hai yếu tố, bạn có thể bảo vệ bằng mật khẩu thư mục wp-admin ở cấp máy chủ, hãy làm theo hướng dẫn từng bước của HOSTVN về cách đặt mật khẩu bảo vệ thư mục quản trị WordPress (wp-admin) của bạn.
Tắt XML-RPC trong WordPress
XML-RPC được bật theo mặc định trong WordPress vì nó giúp kết nối trang web WordPress của bạn với các ứng dụng web và di động. Do tính chất mạnh mẽ của nó, XML-RPC có thể bị khai thác cho các cuộc tấn công Bruteforce cũng như Ddos.
Vì vậy, nếu bạn không sử dụng nó, hãy tắt xml-rpc. Để thực hiện việc này, hãy làm theo hướng dẫn tắt xml-rpc của HOSTVN.
Quét mã nguồn để tìm phần mềm độc hại và lỗ hổng bảo mật
Để bảo mật trang web của bạn, hãy sử dụng plugin quét phần mềm độc hại và thường xuyên quét nó để kiểm tra sức khỏe của mã nguồn trang web của bạn. Qua đó có thể phát hiện và xử lý kịp thời các mã độc nếu có.
Hãy xem qua Top 4 plugin hỗ trợ diệt phần mềm độc hại wordpress tốt nhất năm 2019 và chọn cho mình một plugin phù hợp.
Sự kết luận
HOSTVN hy vọng bài viết này đã giúp bạn tìm hiểu các phương pháp hay nhất để bảo mật WordPress cũng như khám phá các plugin bảo mật WordPress tốt nhất cho trang web của bạn. Nếu bạn có bất kỳ đề xuất hoặc biện pháp bảo mật nào khác, vui lòng để lại bình luận bên dưới cho chúng tôi biết.
