Các bước bảo mật WordPress Site

Quảng cáo
Ads_ngang
Website dinhthuanit.com có bài Các bước bảo mật WordPress Site

Bảo mật WordPress, dù bạn có cập nhật mới WordPress bạn vẫn bắt buộc phải đương đầu hơi nhiều vấn đề để cải thiện bảo mật cho website WordPress. Trong bài viết này mình sẽ nói về những điều quan trọng để giúp bạn tăng bảo mật WordPress một cách tốt nhất.

Bản thân WordPress có cung cấp một bản kê những thứ bạn cần làm để tăng tính bảo mật. Tất nhiên, mình cũng sẽ nhắc lại những phương cách đó trong bài viết này. Cá nhân mình thích đọc một chỉ dẫn chi tiết và định hướng cụ thể, bởi vì nguyên do này mình quyết định viết bài này về vấn đề bảo mật trong WordPress.

Chúng tôi gợi ý bạn sao đọng lại website trước khi thực hành các thiết lập dưới đây.

1 Không dùng tên đăng nhập admin

Bạn nên thay tên user ‘admin’, điều này sẽ có hạn hacker tấn công khi họ truy cập vào URL wp-admin / wp-login , sử dụng tên đăng nhập ‘admin’ và các mật khẩu ngẫu nhiên, kiểu tấn công này gọi là Brute Force attacks.

Hàng ngày có rất nhiều cuộc tấn công tự động vào website sử dụng Brute Force attack, xóa tên người sử dụng ‘admin’ hoặc ‘administrator’ đích thực sẽ giúp bạn tránh nhiều rủi ro. Làm cho hacker khó đoán username.

Cách đơn giản, để thay đổi tên truy cập ‘admin’ bạn cũng có thể có thể tạo user mới bằng phương pháp vào Users > New User và thiết lập quyền Administrator. Sau đó, xóa user ‘admin’ là xong. Đừng lo lắng về bài viết hoặc trang , admin user sẽ gán lại giúp bạn. WordPress sẽ hỏi bạn “Những nội dung nào tạo bởi người sử dụng nào” rồi cho bạn lựa chọn để xóa mọi thứ nội dung ra khỏi blog hoặc gán chúng vào user mới.

2. Sử dụng mật khẩu khó đoán

Hãy nhớ rằng luôn đặt mật khẩu dài, phức tạp (có chứa ký tự đặc biệt), và duy nhất. Một số công cụ trợ giúp bạn tạo mật khẩu tình cờ như 1Password và LastPass. Chỉ cần nhập độ dài mật khẩu nó sẽ tự động tạo nên cho bạn.

3. Thêm 2 bước xác nhận (Two-Factor Authentication)

Cho dù bạn không sử dụng tên đăng nhập ‘admin’ và sử dụng mật khẩu mạnh, Brute Force attacks cũng cũng có thể có thể tìm ra và làm gây hại tới website của bạn. Hãy nghĩ về thiết lập 2 bước xác nhận nó sẽ giúp bạn làm giảm và chặn các cuộc tiến công thành công.

Oh, mình xin giải thích rõ hơn , 2 bước xác nhận là để đăng nhập thành đạt vào quản trị WordPress bạn cần trải qua 2 form xác nhận. Ngày nay , nó là tiêu chuẩn để tăng tính bảo mật cho backend. Bạn đã từng sử dụng 2 bước xác minh trong Google, Paypal…

Có một plugin bạn cũng có thể có thể tích hợp tính năng này đó là Google Authenticator. Một cách tiếp cận khác nhưng với và một nguyên tắc là plugin Rublon.

4. Sử dụng các nguyên tắc tối thiểu

Team WordPress.org có bài viết chỉ dẫn về thiết lập vai trò và quyền quản trị (Roles & Capabilities). Bạn cần đọc nó ngay!

Nếu một ai đó đòi hỏi quản trị viên cấp phép họ truy cập vào cấu hình, hãy thiết lập quyền cho họ nhưng bạn phải xóa đi sau khi họ đã kết thúc đạt việc.

Ngược lại không phải người sử dụng nào cũng đòi hỏi quyền quản trị, bạn có thể thiết lập vai trò riêng như quản trị nội dung,..và gán quyền cho người dùng. Bạn sẽ tận gốc giảm thiểu được rủi ro.

5. Ẩn wp-config.php .htaccess

Hãy thận trọng, nếu sự thay đổi của bạn gây ra lỗi cũng có thể website không truy cập được. Hãy chắc chắn tạo 1 bản sao lưu chúng, trước khi triển khai sửa nội dung.

Để cải thiện bảo mật, bạn thêm dòng sau trong file .htaccess để bảo quản file wp-config.php

    order allow,deny deny from all     

Điều này sẽ ngăn không cho truy cập vào wp-config.php, tựa như có thể bảo vệ những file khác:

    order allow,deny deny from all     

6. Sử dụng khóa bảo mật

Sử dụng khóa bảo mật Keys và salts sẽ bảo quản dữ liệu Cookies và mật khẩu giữa trình duyệt người sử dụng và web server. Khóa xác thực về cơ bản là những biến chứa giá trị chuỗi ngẫu nhiên. Khóa này còn có vai trò mã hóa tin tức cookie. Để thay đổi khóa bạn sừa file wp-config.php , lấy khóa mới tại https://api.wordpress.org/secret-key/1.1/salt/

7. Vô hiệu tính năng sửa file

Nếu hacker vào được quản trị WordPress, chúng sẽ dễ dàng sửa các file của bạn trong menu Appearance > Editor. Bạn cũng có thể vô hiệu hóa viết file trong admin, mở file wp-config.php và thêm vào dòng sau:

 define('DISALLOW_FILE_EDIT', true);  

Bạn sẽ vẫn sửa được file thông qua phần mềm FTP, nhưng vẫn không thể sửa được file trong trang quản lý WordPress.

8. Giới hạn số lần đăng nhập

Các lần tiến công sẽ gắng gượng truy cập vào trang đăng nhập. Để bảo mật , bạn nên cài plugin All in One WP Security & Firewall, sẽ có tùy chọn thay đổi đường dẫn trang đăng nhập /wp-admin/

Tiếp đó, bạn cũng cũng có thể giới hạn số lần đăng nhập thất bại từ một IP. Có một vài plugin giúp bạn ngăn chặn đăng nhập nếu vượt quá số lần cho phép.

9. Chọn lọc với XML-RPC

XML-RPC là một phần mềm cung cấp giao diện API. Nó được sử dụng bởi các plugins và theme, hãy thận trọng khi vô hiệu hóa tính năng này. Tuy nhiên nếu website WordPress chỉ là một blog hay là không có tính năng cần đến API, tôi khuyến khích vô hiệu hóa nó.

Có một số plugin giúp bạn vô hiệu hóa XML-RPC.

10. Hosting & bảo mật WordPress

Chọn nhà cung cấp hosting tốt, sẽ giúp website wordpress bảo mật tốt hơn. Hầu hết những bài viết về hosting hoặc công ty hosting thường bắt đầu nói về giá rẻ. Những hosting giá cả rẻ đều không bổ trợ giúp bạn khôi phục dữ liệu khi site bị tấn công.

Bảo mật wordpress là một những vấn đề bạn nên lưu ý, các hãng sản xuất hosting có đưa ra gói sản phẩm đặc biệt đã tối ưu cho WordPress, như GoDaddy. Họ có tính năng sao lưu, firewall, quyets mã độc, bảo về DDos và cập nhật WordPress thường xuyên.

11. Dữ cập nhật phần mềm

Hãy luôn cập nhật theme & plugin với phiên bản mới nhất, cập nhật WordPress nếu có phiên bản mới.

Các phiên mới sẽ được vá lỗi bảo mật, mà phiên bản cũ thiếu xót.

12. Chọn theme & plugin tốt nhất

Hầu hết các theme & plugin là miễn phí, hãy cài những plugin có đánh giá tốt.

Những plugin và theme miễn phí cũng có thể có thể dễ dẫn đến tấn công. Khi thêm mới plugin hoặc theme bạn phải kiểm tra số lượt đánh giá, có nhiều người dùng không. WordPress.org có hiển thị đánh giá sao , tuy vậy một plugin nếu đạt 5 ngôi sao cũng chưa nói lên điều gì, mà bạn phải biết có bao nhiêu người đánh giá plugin đó. Nếu bạn đã sử dụng plugin và thấy nó thực thụ tốt hãy đừng quyên đánh giá nó.

Một điều nữa, nếu một plugin chưa được cập nhật sau 2 năm, wordpress sẽ hiện thông báo cho bạn biết. Nó không có nghĩa plugin đó không tốt, có thể nó chưa cần cập nhật vẫn hoạt động tốt.

Dựa trên tỷ suất đánh giá, bạn cũng đều có thể chọn những plugin có nhiều người dùng như vậy bạn sẽ kiếm được hỗ trợ tốt hơn.

Tôi tin qua bài viết về bảo mật WordPress này sẽ cho bạn những việc bạn nên làm để bảo quản website khỏi những cuộc tiến công phổ thông. Hãy nhớ rằng bảo mật WordPress không hơn khó, hãy nghĩ về kiểu cách làm khó hacker cũng có thể sửa đổi website của bạn.

Chúc bạn thành công!

Để nhận được bài viết mới vui lòng đăng ký kênh kiến thức WordPress từ A-Z ở Form bên dưới. Bạn cũng cũng có thể thu được sự trợ giúp trên Twitter và Facebook

Bài viết Các bước bảo mật WordPress Site được tổng hợp và biên tập bởi: dinhthuanit.com. Mọi ý kiến đóng góp và phản hồi vui lòng gửi Liên Hệ cho dinhthuanit.com để điều chỉnh. dinhthuanit.com xin cảm ơn.

Bài Viết Liên Quan


Bài Viết Khác


Quảng cáo
Ads_ngang