9 cách đơn giản giúp bạn bảo vệ website sử dụng mã nguồn WordPress

2
635 views

Rất nhiều chủ trang web luôn lo lắng về bảo mật của website sử dụng mã nguồn WordPress. Bởi đa số ý kiến ​​cho rằng mã nguồn mở này thường dễ bị tấn công. Nhưng điều đó gần như không đúng. Câu hỏi đặt ra là bạn đang làm gì để trang web khỏi bị tấn công? Bài viết này sẽ chỉ ra 9  cách giúp bạn bảo vệ trang web WordPress của mình.

Phần I: Bảo mật website của bạn và ngăn chặn các cuộc tấn công thông qua Local Attack 

Mọi người đều biết WordPress đăng nhập bằng URL tiêu chuẩn. Và một số kẻ có ý đồ tấn công chỉ cần thêm /wp-login.php hoặc / wp-admin / ở cuối tên miền của bạn.

Hãy tùy chỉnh URL trang đăng nhập và thậm chí tương tác của trang. Đó là điều đầu tiên phải làm khi bạn muốn bảo trang web của mình.

Dưới đây là một số gợi ý để đảm mật trang đăng nhập của bạn:

1. Thiết lập website lockdown và cấm người dùng

Tính năng khóa dành cho lần đăng nhập không thành công có thể giải quyết một vấn đề lớn, tức là bạn sẽ hạn chế được sự tấn công liên tục. Bất cứ khi nào các mật khẩu sai lặp lại, trang web sẽ bị khóa. Ngay tức thì bạn sẽ nhận được thông báo về hoạt động trái phép này.

Plugin Bảo mật iThemes được đánh giá là một trong những plugin tốt nhất hiện nay dành cho các website sử dụng mã nguồn WordPress. Bạn có thể chỉ định một số lần đăng nhập thất bại nhất định sau đó plugin sẽ cấm địa chỉ IP của kẻ tấn công.

2. Sử dụng xác thực 2 yếu tố

Sử dụng xác thực 2 yếu tố (2FA) tại trang đăng nhập là một biện pháp an ninh tốt. Trong trường hợp này, người dùng cung cấp các chi tiết đăng nhập cho hai thành phần khác nhau. Chủ sở hữu trang web sẽ đưa ra 2 lớp bảo mật. Có thể là mật khẩu thông thường  sau những câu hỏi bí mật, mã bí mật, tập hợp ký tự…

3. Sử dụng email để đăng nhập

Theo mặc định, bạn phải  đăng nhập bằng ID email thay vì tên người dùng sẽ là cách tiếp cận an toàn hơn. Tên người dùng dễ dự đoán, trong khi ID email thì không. Ngoài ra, mọi tài khoản người dùng WordPress luôn được tạo bằng một địa chỉ email duy nhất. Điều này làm cho nó trở thành một nhận dạng hợp lệ để đăng nhập.

Để kiểm tra bạn chỉ cần đăng xuất khỏi trang web và đăng nhập lại bằng địa chỉ email mà bạn đã tạo tài khoản.

4. Đổi tên URL đăng nhập của bạn

Thay đổi URL đăng nhập khá dễ dàng. Theo mặc định, trang đăng nhập WordPress có thể được truy cập dễ dàng qua wp-login.php hoặc wp-admin thêm vào URL chính của trang web.

Khi các hacker biết URL trực tiếp của trang đăng nhập của bạn, họ có thể cố gắng tìm cách đăng nhập và tấn công liên tục.

Vì vậy, tại thời điểm này, bạn nên đổi tên người dùng cho các ID email, có thể thay thế URL đăng nhập và loại bỏ 99% các cuộc tấn công trực tiếp.

Thủ thuật nhỏ này hạn chế thực thể trái phép truy cập vào trang đăng nhập. Chỉ những người có URL chính xác mới có thể làm được. Plugin iThemes Security có thể giúp bạn thay đổi URL đăng nhập nhanh chóng và dễ dàng.

5. Điều chỉnh mật khẩu của bạn

Thường xuyên thay đổi mật khẩu giúp website của bạn trở nên an toàn hơn. Cải thiện sức mạnh của chúng bằng cách thêm chữ hoa và chữ thường, sốvà ký tự đặc biệt.

Phần II: Bảo vệ bảng điều khiển quản trị trang web sử dụng mã nguồn WordPress.

Khi hacker tấn công trang của bạn thì bảng điều khiển quản trị là thứ đầu tiên được quan tâm. Thông qua bảng điều khiển này các hacker sẽ dễ dàng đạt được mọi mục đích của mình.

6. Bảo vệ thư mục wp-admin của trang web sử dụng mã nguồn WordPress 

Thư mục wp-admin là trung tâm của bất kỳ trang web sử dụng mã nguồn WordPress nào. Nếu thư mục này bị xâm hại thì toàn bộ trang web có thể bị hư hỏng.

Một cách có thể để ngăn chặn điều này là bảo vệ bằng mật khẩu thư mục wp-admin. Và chủ sở hữu website có thể truy cập vào bảng điều khiển bằng cách gửi hai mật khẩu. Một bảo vệ các trang đăng nhập, và một  quản trị WordPress. Nếu người dùng trang web được yêu cầu truy cập vào một số phần cụ thể của wp-admin, bạn có thể bỏ chặn những phần đó trong khi khóa phần còn lại.

Bạn có thể sử dụng plugin AskApache Password Protect để bảo vệ khu vực quản trị. Nó sẽ tự động tạo ra một tập tin .htpasswd, mã hóa mật khẩu và cấu hình các quyền của tập tin được tăng cường bảo mật đúng.

7. Sử dụng SSL để mã hóa dữ liệu

Chứng chỉ SSL (Secure Socket Layer) là một giải pháp thông minh để bảo vệ bảng quản trị. SSL đảm bảo truyền dữ liệu an toàn giữa các trình duyệt của người dùng và máy chủ. Đồng thời làm cho các hacker khó có thể vi phạm kết nối hoặc lừa dối thông tin của bạn.

Chứng chỉ SSL cũng ảnh hưởng đến thứ hạng trang web của bạn tại Google. Google xếp hạng các trang web có SSL cao hơn các trang web không có. Điều đó có nghĩa là traffic nhiều hơn. Và đây cũng chính là mục đích của tất cả mọi chủ trang web.

8. Thêm tài khoản người dùng thật cẩn thận

Nếu bạn chạy một blog WordPress có chia sẻ nhiều quyền tác giả. Và bạn cần phải đối phó với nhiều người truy cập bảng quản trị website. Điều này có thể làm cho trang web của bạn dễ bị đe dọa bảo mật hơn.

Bạn có thể  dùng plugin như Force Strong passwords để đảm bảo mọi mật khẩu họ sử dụng  an toàn.

9. Thay đổi tên người dùng quản trị

Khi cài đặt WordPress,  không nên chọn “admin” làm tên người dùng cho tài khoản quản trị chính của bạn. Tên người dùng dễ đoán là dễ tiếp cận đối với tin tặc. Tất cả họ cần biết là mật khẩu và toàn bộ trang web của bạn bị mắc lỗi.

Tôi không thể cho bạn biết có bao nhiêu lần tôi đã cuộn qua các bản ghi trang web của tôi và tìm thấy các lần đăng nhập bằng tên người dùng “admin”.

Các plugin bảo mật iThemes có thể bằng cách ngay lập tức cấm bất kỳ địa chỉ IP khi có ai đó cố gắng đăng nhập với tên người dùng đó.

Hy vọng rằng 9 cách mà bài viết cung cấp có thể giúp bạn bảo mật tốt hơn trang web sử dụng mã nguồn WordPress.

Chúc bạn thành công!

 

 

2
Comment của bạn

avatar
1 Comment threads
1 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
2 Comment authors
Yến HOSTVNTVD Recent comment authors
  Subscribe  
mới nhất cũ nhất bình chọn nhiều nhất
Notify of
TVD

Cho hỏi sử dụng SSL miễn phí thì có ổn không?

Yến HOSTVN

Chào bạn, nếu bạn chưa có ngân sách cho bản trả phí thì có thể dùng SSL miễn phí ạ. Tuy nhiên, SSL miễn phí thì sẽ có rất nhiều chức năng bị hạn chế. Bạn có thể tham khảo bài viết này để biết thêm về sự khác biệt giữa SSL miễn phí so với trả phí bạn nhé. https://blog.hostvn.net/bao-mat/ssl-tra-phi-co-gi-khac-biet-hon-so-voi-ssl-mien-phi.html