9 cách đơn giản giúp bạn bảo vệ website sử dụng mã nguồn WordPress

Rất nhiều chủ trang web luôn lo lắng về bảo mật của website sử dụng mã nguồn WordPress. Bởi đa số ý kiến ​​cho rằng mã nguồn mở này thường dễ bị tấn công. Nhưng điều đó gần như không đúng. Câu hỏi đặt ra là bạn đang làm gì để trang web khỏi bị tấn công? Bài viết này sẽ chỉ ra 9 cách giúp bạn bảo mật WordPress website của mình.

bảo mật wordpress

Phần I: Bảo mật WordPress của bạn và ngăn chặn các cuộc tấn công thông qua Local Attack 

Mọi người đều biết WordPress đăng nhập bằng URL tiêu chuẩn. Và một số kẻ có ý đồ tấn công chỉ cần thêm /wp-login.php hoặc / wp-admin / ở cuối tên miền của bạn.

Hãy tùy chỉnh URL trang đăng nhập và thậm chí tương tác của trang. Đó là điều đầu tiên phải làm khi bạn muốn bảo trang web của mình.

Dưới đây là một số gợi ý để đảm mật trang đăng nhập của bạn:

1. Thiết lập bảo mật wordpress bằng website lockdown và ngăn cấm truy cập

Tính năng khóa dành cho lần đăng nhập không thành công có thể giải quyết một vấn đề lớn, tức là bạn sẽ hạn chế được sự tấn công liên tục. Bất cứ khi nào các mật khẩu sai lặp lại, trang web sẽ bị khóa. Ngay tức thì bạn sẽ nhận được thông báo về hoạt động trái phép này.

Plugin Bảo mật iThemes được đánh giá là một trong những plugin tốt nhất hiện nay dành cho các website sử dụng mã nguồn WordPress. Bạn có thể chỉ định một số lần đăng nhập thất bại nhất định sau đó plugin sẽ cấm địa chỉ IP của kẻ tấn công.

Ngoài ra các bạn có thể xem thêm hướng dẫn Hạn chế Bruteforce attack wordpress với plugins Limit Login Attempts.

2. Sử dụng xác thực 2 lớp để bảo mật wordpress

Sử dụng xác thực 2 yếu tố (2FA) tại trang đăng nhập là một biện pháp an ninh tốt. Trong trường hợp này, người dùng cung cấp các chi tiết đăng nhập cho hai thành phần khác nhau. Chủ sở hữu trang web sẽ đưa ra 2 lớp bảo mật. Có thể là mật khẩu thông thường  sau những câu hỏi bí mật, mã bí mật, tập hợp ký tự…

Nếu bạn chưa  biết cách thêm xác thực 2 yếu tố hãy xem hướng dẫn Xác thực hai yếu tố cho WordPress với Google Authenticator.

3. Sử dụng email để đăng nhập

Theo mặc định, bạn phải  đăng nhập bằng ID email thay vì tên người dùng sẽ là cách tiếp cận an toàn hơn. Tên người dùng dễ dự đoán, trong khi ID email thì không. Ngoài ra, mọi tài khoản người dùng WordPress luôn được tạo bằng một địa chỉ email duy nhất. Điều này làm cho nó trở thành một nhận dạng hợp lệ để đăng nhập.

Để kiểm tra bạn chỉ cần đăng xuất khỏi trang web và đăng nhập lại bằng địa chỉ email mà bạn đã tạo tài khoản.

4. Đổi tên URL đăng nhập của bạn

Thay đổi URL đăng nhập khá dễ dàng. Theo mặc định, trang đăng nhập WordPress có thể được truy cập dễ dàng qua wp-login.php hoặc wp-admin thêm vào URL chính của trang web.

Khi các hacker biết URL trực tiếp của trang đăng nhập của bạn, họ có thể cố gắng tìm cách đăng nhập và tấn công liên tục.

Vì vậy, tại thời điểm này, bạn nên đổi tên người dùng cho các ID email, có thể thay thế URL đăng nhập và loại bỏ 99% các cuộc tấn công trực tiếp.

Thủ thuật nhỏ này hạn chế thực thể trái phép truy cập vào trang đăng nhập. Chỉ những người có URL chính xác mới có thể làm được. Plugin iThemes Security có thể giúp bạn thay đổi URL đăng nhập nhanh chóng và dễ dàng.

5. Điều chỉnh mật khẩu của bạn

Thường xuyên thay đổi mật khẩu giúp website của bạn trở nên an toàn hơn. Cải thiện sức mạnh của chúng bằng cách thêm chữ hoa và chữ thường, sốvà ký tự đặc biệt.

Phần II: Bảo vệ bảng điều khiển quản trị trang web sử dụng mã nguồn WordPress.

Khi hacker tấn công trang của bạn thì bảng điều khiển quản trị là thứ đầu tiên được quan tâm. Thông qua bảng điều khiển này các hacker sẽ dễ dàng đạt được mọi mục đích của mình.

6. Bảo mật wordpress qua thư mục wp-admin của trang web 

Thư mục wp-admin là trung tâm của bất kỳ trang web sử dụng mã nguồn WordPress nào. Nếu thư mục này bị xâm hại thì toàn bộ trang web có thể bị hư hỏng.

Một cách có thể để ngăn chặn điều này là bảo vệ bằng mật khẩu thư mục wp-admin. Và chủ sở hữu website có thể truy cập vào bảng điều khiển bằng cách gửi hai mật khẩu. Một bảo vệ các trang đăng nhập, và một  quản trị WordPress. Nếu người dùng trang web được yêu cầu truy cập vào một số phần cụ thể của wp-admin, bạn có thể bỏ chặn những phần đó trong khi khóa phần còn lại.

Các bạn cũng có thể xem thêm Hướng dẫn đặt mật khẩu hai lớp cho wp-admin của HOSTVN.

7. Sử dụng SSL để mã hóa dữ liệu

Chứng chỉ SSL (Secure Socket Layer) là một giải pháp thông minh để bảo vệ bảng quản trị. SSL đảm bảo truyền dữ liệu an toàn giữa các trình duyệt của người dùng và máy chủ. Đồng thời làm cho các hacker khó có thể vi phạm kết nối hoặc lừa dối thông tin của bạn.

Chứng chỉ SSL cũng ảnh hưởng đến thứ hạng trang web của bạn tại Google. Google xếp hạng các trang web có SSL cao hơn các trang web không có. Điều đó có nghĩa là traffic nhiều hơn. Và đây cũng chính là mục đích của tất cả mọi chủ trang web.

Để cài đặt SSL cho WordPress hãy xem hướng dẫn cách chuyển HTTP sang HTTPS cho WordPress.

8. Thêm tài khoản người dùng thật cẩn thận

Nếu bạn chạy một blog WordPress có chia sẻ nhiều quyền tác giả. Và bạn cần phải đối phó với nhiều người truy cập bảng quản trị website. Điều này có thể làm cho trang web của bạn dễ bị đe dọa bảo mật hơn.

Bạn có thể  dùng plugin như Force Strong passwords để đảm bảo mọi mật khẩu họ sử dụng  an toàn.

9. Thay đổi tên người dùng quản trị

Khi cài đặt bảo mật WordPress,  không nên chọn “admin” làm tên người dùng cho tài khoản quản trị chính của bạn. Tên người dùng dễ đoán là dễ tiếp cận đối với tin tặc. Tất cả họ cần biết là mật khẩu và toàn bộ trang web của bạn bị mắc lỗi.

Tôi không thể cho bạn biết có bao nhiêu lần tôi đã cuộn qua các bản ghi trang web của tôi và tìm thấy các lần đăng nhập bằng tên người dùng “admin”.

Các plugin bảo mật iThemes có thể bằng cách ngay lập tức cấm bất kỳ địa chỉ IP khi có ai đó cố gắng đăng nhập với tên người dùng đó.

Ngoài ra các bạn cũng có thể xem thêm hướng dẫn thay đổi Username trong WordPress

Kết luận.

Hy vọng rằng 9 cách mà bài viết cung cấp có thể giúp bạn bảo mật tốt hơn trang web sử dụng mã nguồn WordPress.

Ngoài ra bạn có thể tham khảo sử dụng WordPress Hosting của HOSTVN để tăng cường khả năng bảo mật WordPress website của bạn.

10 Cách hạn chế tấn công Local Attacks thông qua WordPress

Chúc các bạn thành công!