14 mẹo giúp bảo mật WordPress Admin

Quảng cáo
Ads_ngang
Website dinhthuanit.com có bài 14 mẹo giúp bảo mật WordPress Admin

Bạn có thấy biết bao cuộc tiến công vào quản trị WordPress của bạn không? Bảo mật trang quản trị khỏi sự truy cập trái phép /cuộc tiến công từ bên ngoài. Trong bài viết này, mình sẽ chỉ cho bạn một số mẹo quan trọng để bảo vệ trang quản trị WordPress của bạn.

1. Sử dụng phần mềm Firewall

Ứng dụng tường lửa trang web hoặc WAF (đo lường lưu lượng truy cập trang web) và chặn các yêu cầu đáng ngờ truy cập vào trang web của bạn.

Có một số plugin tường lửa WordPress khá tốt, chúng tôi khuyên bạn nên sử dụng Sucuri. Đây là một dịch vụ bảo mật trang web dựa trên WAF đám mây để bảo vệ trang web của bạn.

Tất cả lưu lượng truy cập trang web của bạn trước tiên đều đi qua proxy đám mây của họ, nơi họ phân tích từng lượt truy cập và chặn những người đáng ngờ không lúc nào truy cập trang web của bạn. Nó ngăn trang web của bạn khỏi các cuộc tấn công, lừa đảo, ứng dụng độc hại và các hoạt động độc đáng ngờ khác.

2. Bảo vệ thư mục bằng mật khẩu

Trang quản trị WordPress của bạn đã được bảo quản bằng mật khẩu đăng nhập. Tuy nhiên, việc thêm mật khẩu bảo quản vào thư mục quản trị viên WordPress sẽ thêm 1 lớp bảo mật khác cho trang web của bạn.

Trước tiên hãy đăng nhập vào cPanel của hosting WordPress và nhấp vào tượng trưng ‘Password Protect Directories’ hoặc ‘Directory Privacy’.

Tiếp theo, bạn chọn thư mục /public_html/wp-admin. Trên màn hình tiếp theo, bạn chọn tùy chọn ‘Password protect this directory’ và cung cấp một tên cho thư mục được bảo vệ.

Sau đó, nhấp vào nút lưu để thiết lập quyền.

Tiếp theo, bạn cần nhấn nút quay về và sau đó tạo người dùng. Bạn sẽ có đòi hỏi cung cấp tên người dùng / mật khẩu, sau đó bấm vào nút ‘Save’.

Bây giờ khi ai đó cố gắng truy cập trang quản trị WordPress hoặc thư mục wp-admin trên trang web của bạn, họ sẽ có yêu cầu nhập tên người dùng và mật khẩu.

3. Sử dụng mật khẩu khó đoán

Luôn sử dụng mật khẩu mạnh cho cả những tài khoản trực tuyến của bạn, cho dù là cho trang web WordPress của bạn. Chúng tôi khuyên bạn nên sử dụng phối hợp các chữ cái, số và ký tự đặc biệt trong mật khẩu. Ví điều đó sẽ làm cho tin tặc khó đoán mật khẩu của bạn hơn.

Có một số phần mềm quản lý mật khẩu thực sự tuyệt vời mà bạn có thể cài đặt trên máy tính và điện thoại. vd:
https://passwordsgenerator.net

4. Kích hoạt 2 bước xác minh

Xác minh hai bước để thêm một lớp bảo mật vào mật khẩu của bạn. Thay vì chỉ sử dụng mật khẩu, nó đòi hỏi bạn nhập mã xác minh được tạo bởi phần mềm Google Authenticator trên điện thoại của bạn.

Ngay cả khi ai đó có thể đoán mật khẩu WordPress của bạn, họ vẫn sẽ rất cần mã Google Authenticator để đăng nhập.

Xem hướng dẫn cách thiết lập 2 bước xác minh trong WordPress sử dụng Google Authenticator

5. Giới hạn số lần đăng nhập lỗi

Mặc định, WordPress cho phép người dùng nhập mật khẩu nhiều đợt để thử như một hacker. Điều này có tức là ai đó cũng có thể có thể tiếp tục gắng gượng đoán mật khẩu WordPress của bạn bằng phương pháp tái diễn thao tác này. Nó cũng cấp phép tin tặc sử dụng các tập lệnh tự động để bẻ khóa mật khẩu.

Để khắc phục điều này, bạn nên cài đặt và kích hoạt plugin Login LockDown. Sau khi kích hoạt, hãy truy cập Settings » Login LockDown để cấu hình cài đặt plugin.

Xem thêm cách Bỏ chặn đăng nhập giới hạn trong WordPress.

6. Giới hạn IP cho đăng nhập

Một cách tuyệt vời khác để bảo mật trang đăng nhập WordPress là giới hạn quyền truy cập vào các địa chỉ IP cụ thể. Mẹo này đặc biệt hữu ích nếu bạn hoặc chỉ một vài người sử dụng đáng tin cậy cần truy cập vào khu vực quản trị.

Chỉ cần thêm mã này vào tệp .htaccess của bạn.

 AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic    order deny,allow deny from all # whitelist Syed's IP address allow from xx.xx.xx.xxx # whitelist DavSomething is wrong!'; } add_filter( 'login_errors', 'no_wordpress_errors' );    

8. Yêu cầu sử dụng mật khẩu mạnh

Nếu bạn duy trì một trang web WordPress với nhiều tác giả, thì các người dùng đó cũng có thể có thể chỉnh sửa hồ sơ của họ và sử dụng mật khẩu yếu. Các mật khẩu này còn cũng đều có thể bị bẻ khóa và cung cấp cho ai đó quyền truy cập vào khu vực quản trị WordPress.

Để khắc phục điều này, bạn cũng có thể có thể sử dụng plugin Force Strong Passwords. Plugin không có trang cấu hình , bạn cũng có thể sử dụng ngay sau khi kích hoạt plugin. Sau khi kích hoạt, nó sẽ ngăn người sử dụng lưu mật khẩu yếu hơn.

Lưu ý: Plugin sẽ không kiểm tra cường độ mật khẩu cho các tài khoản người dùng hiện có. Nếu người sử dụng đã sử dụng mật khẩu yếu, thì họ sẽ được thể tiếp tục sử dụng mật khẩu của mình.

9. Đặt lại mật khẩu cho mọi thứ người dùng

Bạn cũng đều có thể đơn giản đòi hỏi mọi thứ người dùng của bạn đặt lại mật khẩu của họ.

Trước tiên, bạn phải cài đặt và kích hoạt plugin Emergency Password Reset. Sau khi kích hoạt, truy cập Users » Emergency Password Reset và nhấn vào ‘Reset All Passwords’.

Plugin sẽ tự động đặt lại mật khẩu cho cả người dùng (bao gồm cả người dùng quản trị viên). Nó cũng sẽ gửi email đến mọi thứ người dùng có chứa mật khẩu mới của họ.

Nếu vì một lý do nào đó, người dùng không thu được mật khẩu của họ trong email, thì họ có thể dễ dàng phục hồi lại. Tất cả các gì họ nên làm là nhấp vào liên kết ‘Lost your password’ trên trang đăng nhập.

Sau khi đặt lại mọi thứ mật khẩu, chúng tôi khuyên bạn nên thay đổi khóa bảo mật WordPress (gọi là SALT). Thay đổi khóa bảo mật sẽ hoàn thành tất cả các phiên cho người sử dụng đã đăng nhập, vì vậy nếu người dùng bị hack đang bị đăng nhập, họ sẽ tự động đăng xuất.

10. Luôn cập nhật WordPress mới nhất

WordPress có từng cơn phát hành những phiên bản mới của hệ thống. Mỗi bản phát hành mới của WordPress chứa các bản sửa lỗi quan trọng, các tính năng mới và sửa các lỗi về bảo mật.

Sử dụng phiên bản cũ trên trang web của bạn giúp hacker tiếp tục tìm ra các vấn đề cũ để khai thác và các lỗ hổng tiềm ẩn. Để khắc phục điều này, bạn cần đảm nói rằng bạn đang sử dụng phiên bản WordPress mới nhất.

Tương tự, các plugin WordPress cũng thường được cập nhật để giới thiệu các tính năng mới hoặc sửa lỗi bảo mật, cũng giống các vấn đề khác. Hãy chắc chắn rằng các plugin WordPress của bạn cũng đã được cập nhật.

11. Tùy biến trang đăng nhập & đăng ký

Nhiều trang web WordPress đòi hỏi người sử dụng đăng ký. Ví dụ: trang web thành viên, trang web quản lý học tập hoặc cửa hàng trực tuyến sẽ đòi hỏi người dùng tạo tài khoản.

Tuy nhiên, những người dùng này cũng có thể sử dụng tài khoản của họ để đăng nhập vào khu vực quản trị WordPress. Đây chẳng cần là một vấn đề lớn, vì họ sẽ chỉ có thể làm những việc được cấp phép bởi “vai trò và quyền hạn” của người dùng. Tuy nhiên, điều ấy ngăn bạn có hạn quyền truy cập vào các trang đăng nhập và đăng ký vì bạn phải những trang đó để người dùng đăng ký, quản lý giấy tờ của họ và đăng nhập.

Cách dễ dàng để khắc phục điều đây là bằng cách tạo riêng các trang đăng nhập và đăng ký để người sử dụng cũng có thể có thể đăng ký và đăng nhập trực diện từ trang web của bạn.

Xem chỉ dẫn cách tạo trang đăng nhập & đăng ký trong WordPress

12. Tìm hiểu về vai trò và quyền của người dùng WordPress

WordPress kèm theo với một hệ thống quản lý người dùng hùng cường với những vai trò và quyền hạn người sử dụng khác nhau. Khi thêm người dùng mới vào trang web WordPress của bạn, bạn có thể chọn vai trò cho người dùng. Vai trò người sử dụng này xác định những gì họ cũng có thể làm trên trang web WordPress của bạn.

Lưu ý: Gán vai trò người dùng không chuẩn xác có thể cung cấp cho mọi người nhiều quyền truy cập hơn. Để tránh điều này, bạn cần hiểu những vai trò & khả năng sử dụng quyền người sử dụng không giống nhau trong WordPress.

13. Giới hạn truy cập bảng điều khiển

Bạn muốn có 1 số người dùng nhất định cần truy cập vào bảng điều khiển và một số người sử dụng chưa được phép. Tuy nhiên, theo mặc định, mọi thứ họ có thể truy cập vào khu vực quản trị.

Để khắc phục điều này, bạn cần cài đặt plugin Remove Dashboard Access. Sau khi kích hoạt, truy cập Settings » Dashboard Access và chọn vai trò người sử dụng nào sẽ có quyền truy cập vào khu vực quản trị viên trên trang web của bạn.

Xem chi tiết chỉ dẫn làm sao giới hạn truy cập trang quản trị WordPress.

14. Đăng xuất người sử dụng không hoạt động

WordPress không tự động đăng xuất người sử dụng cho đến khi họ đăng xuất hoặc đóng cửa sổ trình duyệt của họ. Điều này còn cũng có thể là một mối đoái hoài cho những trang web WordPress với thông tin nhạy cảm. Đó là nguyên nhân tại sao các trang web và phần mềm của tổ chức tài chính tự động đăng xuất người sử dụng nếu họ không hoạt động.

Để khắc phục điều này, bạn có thể cài đặt và kích hoạt plugin Idle User Logout. Sau khi kích hoạt, bạn truy cập Settings » Idle User Logout và nhập thời gian sau đó bạn muốn người sử dụng tự động đăng xuất.

Giá trị mặc định là 20 giây, nhưng bạn cũng đều có thể đặt chúng thành giá trị thấp hơn hoặc cao hơn. Tiếp theo, bạn phải chọn có tính thời gian nhàn rỗi trong khu vực quản trị WordPress hay không. Hãy chắc chắn rằng bạn bỏ chọn tùy chọn này để bảo mật tốt hơn.

Nhấp vào nút lưu thay đổi để đọng lại các thay đổi của bạn.

Bây giờ bạn phải bấm vào tab behavior. Trên trang này, bạn có thể điều chỉnh hành vi của plugin. Bạn có thể đặt các quy tắc đăng xuất khác nhau cho các vai trò người sử dụng khác nhau.

Bạn cũng cũng có thể chọn những việc phải làm khi người sử dụng không sử dụng trong thời gian nhất định. Bạn có thể đăng xuất người dùng và gửi lại cho trang đăng nhập, chuyển hướng họ đến một trang tùy chỉnh, hiển thị cho họ một cửa sổ bật lên, v.v.

Chúng tôi kỳ vọng bài viết này đã giúp bạn tìm hiểu một số mẹo hay mới để bảo mật trang quản trị WordPress của bạn.

Hãy cho mình biết suy nghĩ của bạn trong phần bình luận bên dưới bài viết này. Hãy theo dấu kênh chia sẻ kiến thức WordPress của TopVn trên Twitter và Facebook

Bài viết 14 mẹo giúp bảo mật WordPress Admin được tổng hợp và biên tập bởi: dinhthuanit.com. Mọi ý kiến đóng góp và phản hồi vui lòng gửi Liên Hệ cho dinhthuanit.com để điều chỉnh. dinhthuanit.com xin cảm ơn.

Bài Viết Liên Quan


Bài Viết Khác


Quảng cáo
Ads_ngang