Bảo mật cho WordPress là vấn đề có tầm quan trọng rất lớn đối với mỗi chủ sở hữu trang web. Bảo mật tốt sẽ giúp website tránh khỏi tin tặc và các mã độc độc hại.
Mặc dù WordPress rất an toàn và nó được kiểm tra thường xuyên bởi hàng trăm nhà phát triển trên toàn thế giới, nhưng bạn cũng không nên chủ quan trong việc giữ an toàn cho trang web của bạn.
Trong hướng dẫn này, HOSTVN sẽ chia sẻ tất cả các mẹo bảo mật WordPress hàng đầu để giúp bạn bảo vệ trang web của mình chống lại tin tặc và các phần mềm độc hại.
Tại sao bảo mật cho WordPress lại quan trọng?
Một khi trang web WordPress bị hack có thể gây ra thiệt hại nghiêm trọng cho doanh thu và danh tiếng doanh nghiệp của bạn. Tin tặc có thể đánh cắp thông tin người dùng, mật khẩu, cài đặt phần mềm độc hại và thậm chí có thể phân phối phần mềm độc hại cho người dùng của bạn.
Vào tháng 3 năm 2016, Google đã báo cáo rằng hơn 50 triệu người dùng Internet đã được cảnh báo về một trang web mà họ truy cập có thể chứa phần mềm độc hại hoặc đánh cắp thông tin.
Hơn nữa, danh sách đen của Google cập nhật khoảng hơn 20.000 trang web chứa phần mềm độc hại và khoảng 50.000 trang web lừa đảo mỗi tuần.
Nếu trang web của bạn là một doanh nghiệp, thì bạn cần chú ý hơn đến bảo mật WordPress của mình. Tương tự như cách mà chủ sở hữu doanh nghiệp chịu trách nhiệm bảo vệ việc xây dựng cửa hàng của họ, với tư cách là chủ doanh nghiệp trực tuyến, bạn có trách nhiệm bảo vệ trang web doanh nghiệp của mình.
Cập nhật WordPress
WordPress là một phần mềm mã nguồn mở thường xuyên được bảo trì và cập nhật. Theo mặc định, WordPress tự động cài đặt các bản cập nhật nhỏ. Đối với các bản phát hành chính, bạn cần phải cập nhật WordPress theo cách thủ công.
WordPress cũng đi kèm với hàng ngàn plugin và giao diện mà bạn có thể cài đặt trên trang web của mình. Các plugin và giao diện này được duy trì bởi các nhà phát triển bên thứ ba và họ cũng thường xuyên phát hành các bản cập nhật.
Những cập nhật WordPress này rất quan trọng cho tính bảo mật và tính ổn định của trang web WordPress. Bạn cần đảm bảo rằng WordPress, plugin và giao diện của bạn được cập nhật thường xuyên.
Mật khẩu mạnh và quyền người dùng
Việc sử dụng một mật khẩu ngắn, phổ biến và dễ đoán có thể sẽ khiến tin tặc dễ dàng đánh cắp mật khẩu của bạn. Bạn có thể tránh điều đó bằng cách sử dụng mật khẩu mạnh và duy nhất cho trang web của bạn. Không chỉ cho khu vực quản trị WordPress, mà còn cho các tài khoản FTP, cơ sở dữ liệu, tài khoản WordPress hosting và các địa chỉ email của bạn.
Nhiều người thường không thích sử dụng mật khẩu mạnh vì nó khó nhớ. Điều tốt là bạn không cần nhớ mật khẩu nữa. Bạn có thể sử dụng một trình quản lý mật khẩu như roboform, Lastpass
Một cách khác để giảm rủi ro là không cấp cho bất kỳ ai quyền truy cập vào tài khoản quản trị viên WordPress của bạn trừ khi bạn thực sự cần phải làm vậy. Nếu bạn có một nhóm tác giả, thì hãy đảm bảo rằng bạn hiểu rõ vai trò và khả năng của người dùng trong WordPress trước khi bạn thêm tài khoản người dùng và tác giả mới vào trang web WordPress của mình. Để hiểu thêm về vai trò của người dùng trong wordpress hãy tham khảo bài viết về vai trò của người dùng trong wordpress của HOSTVN.
Vai trò của WordPress Hosting
Dịch vụ lưu trữ WordPress của bạn cũng đóng vai trò quan trọng trong bảo mật trang web WordPress của bạn. Một nhà cung cấp dịch vụ tốt như sẽ thực hiện các biện pháp bổ sung để bảo vệ máy chủ của họ trước các mối đe dọa phổ biến. Đây là một số tiêu chí đẻ chọn một nhà cung cấp hosting tốt cho bạn
- Sử dụng Cloudlinux phòng chống Local Attack
- Server được cài đặt phần mềm quét và phát hiện malware
- Server luôn cập được nhật phần mềm và phần cứng máy chủ để ngăn chặn tin tặc khai thác lỗ hổng bảo mật đã biết trong phiên bản cũ.
- Có hệ thống backup dữ liệu thường xuyên cho khách hàng
Hiện tại tất cả các máy chủ hosting Linux của HOSTVN đều sử dụng CloudLinux, được trang bị phần mềm quét malware tự động phát hiện và thông báo tới người dùng, ngoài ra HOSTVN hỗ trợ khách hàng backup dữ liệu hàng ngày và lưu 14 bản backup trong vòng 14 ngày gần nhất.
Hướng dẫn bảo mật cho WordPress
Trong hướng dẫn này HOSTVN sẽ hướng dẫn các bạn một số biện pháp cải thiện bảo mật WordPress của mình chỉ bằng vài cú nhấp chuột.
Cài đặt sao lưu cho WordPress
Sao lưu là cách đầu tiên của bạn để chống lại bất kỳ cuộc tấn công WordPress. Hãy nhớ rằng, không có gì là an toàn 100%. Nếu các trang web của chính phủ có thể bị hack, thì bạn cũng có thể bị hack.
Sao lưu cho phép bạn nhanh chóng khôi phục trang web WordPress của mình trong trường hợp có điều gì đó xấu xảy ra.
Rất may điều này có thể được thực hiện dễ dàng bằng cách sử dụng các plugin như VaultPress hoặc UpdraftPlus. Chúng đều đáng tin cậy và quan trọng nhất là dễ sử dụng.
Các bạn có thể xem thêm Hướng dẫn backup dữ liệu cho wordpress của HOSTVN.
Bật Tường lửa ứng dụng web (WAF)
Cách dễ nhất để bảo vệ trang web của bạn là sử dụng tường lửa ứng dụng web (WAF). Tường lửa sẽ giúp chặn tất cả lưu lượng độc hại trước khi nó đến trang web của bạn.
Để tìm hiểu thêm, hãy xem danh sách các plugin tường lửa WordPress tốt nhất của chúng tôi.
Chuyển trang web WordPress của bạn sang SSL/HTTPS
SSL là một giao thức mã hóa chuyển dữ liệu giữa trang web của bạn và trình duyệt người dùng. Mã hóa này khiến tin tặc khó tấn công và đánh cắp thông tin từ website của bạn.
Khi bạn bật SSL, trang web của bạn sẽ sử dụng HTTPS thay vì HTTP, bạn cũng sẽ thấy dấu hiệu khóa móc bên cạnh địa chỉ trang web của bạn trong trình duyệt.
Để chuyển http sang https các bạn có thể tham khảo bài viết chuyển https sang https cho wordpress của HOSTVN.
Thay đổi tên người dùng mặc định
Mặc định, khi cài đặt wordpress mọi người thường đặt tên người dùng quản trị viên là admin. Điều này sẽ khiến tin tặc dễ dàng hơn trong việc tấn công website của bạn. Vì vậy thay vì sử dụng tên người dùng là admin hãy thay đổi nó thành một tên người dùng khác khó đoán hơn.
Để đổi tên người dùng cho wordpress hay tham khảo bài viết hướng dẫn thay đổi tên người dùng cho wordpress của HOSTVN.
Vô hiệu hóa chỉnh sửa tập tin
WordPress đi kèm với trình chỉnh sửa code tích hợp cho phép bạn chỉnh sửa các tệp tin giao diện và plugin ngay trong khu vực quản trị WordPress của mình. Tuy nhiên, tính năng này có thể là một rủi ro bảo mật, đó là lý do tại sao chúng tôi khuyên bạn nên tắt nó.
Bạn có thể dễ dàng làm điều này bằng cách thêm đoạn mã sau vào file wp-config.php của bạn.
// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );
Các bạn cũng có thể xem thêm một số thiết lập cấu hình trong wp-config giúp tăng cường bảo mật và tối ưu tốc độ cho WordPress
Vô hiệu hóa thực thi tệp PHP trong một số thư mục của WordPress
Một cách khác để tăng cường bảo mật WordPress của bạn là vô hiệu hóa thực thi tệp PHP trong các thư mục không cần thiết như /wp-content/uploads/.
Bạn có thể làm điều này bằng cách thêm mã sau vào file .htaccess của bạn:
<Files *.php> deny from all </Files>
Ngoài ra bạn có thể tham khảo thêm bài viết tăng cường bảo mật wordpress với file .htaccess của HOSTVN
Giới hạn số lần đăng nhập sai
Theo mặc định, WordPress không giới hạn số lần đăng nhập sai. Điều này khiến trang web WordPress của bạn dễ bị tấn công bruteforce. Tin tặc cố gắng bẻ khóa mật khẩu bằng cách cố gắng đăng nhập với phương pháp dò mật khẩu.
Điều này có thể dễ dàng khắc phục bằng cách hạn chế số lần đăng nhập sai vào trang quản trị. Bạn có thể dễ dàng làm điều này với hướng dẫn Hạn chế Bruteforce attack wordpress với plugins Limit Login Attempts
Thêm xác thực hai yếu tố
Kỹ thuật xác thực hai yếu tố yêu cầu người dùng đăng nhập bằng phương pháp xác thực hai bước. Bước đầu tiên là tên người dùng và mật khẩu, và bước thứ hai yêu cầu bạn xác thực bằng một thiết bị hoặc ứng dụng riêng biệt.
Hầu hết các trang web trực tuyến hàng đầu như Google, Facebook, Twitter đều cho phép bạn kích hoạt chức năng này cho tài khoản của mình. Bạn cũng có thể thêm chức năng tương tự vào trang web WordPress của mình.
Để kích hoạt xác thực hai yếu tố hãy tham khảo hướng dẫn Xác thực hai yếu tố cho WordPress với Google Authenticator
Thay đổi tiền tố (Prefix) cơ sở dữ liệu WordPress
Theo mặc định, WordPress sử dụng wp_ làm tiền tố cho tất cả các bảng trong cơ sở dữ liệu WordPress của bạn. Nếu trang web WordPress của bạn đang sử dụng tiền tố cơ sở dữ liệu mặc định, thì nó sẽ giúp tin tặc dễ đoán tên bảng của bạn hơn. Đây là lý do tại sao chúng tôi khuyên bạn nên thay đổi nó.
Bạn có thể thay đổi tiền tố cơ sở dữ liệu của mình bằng cách làm theo hướng dẫn từng bước của HOSTVN về cách thay đổi tiền tố cơ sở dữ liệu WordPress để cải thiện bảo mật.
Đặt mật khẩu bảo vệ thư mục wp-admin
Ngoài xác thực hai lớp bạn có thể đặt mật khẩu bảo vệ thư mục wp-admin ở cấp độ máy chủ, hãy làm theo hướng dẫn từng bước của HOSTVN về cách đặt mật khẩu bảo vệ thư mục quản trị viên WordPress (wp-admin) của bạn.
Vô hiệu hóa XML-RPC trong WordPress
XML-RPC được bật theo mặc định trong WordPress vì nó giúp kết nối trang web WordPress của bạn với các ứng dụng web và di động. Do tính chất mạnh mẽ của nó, XML-RPC có thể bị lợi dụng cho các cuộc tấn công Bruteforce cũng như Ddos.
Vì vậy nếu không sử dụng hãy vô hiệu hoá xml-rpc. Để làm điều này hãy làm theo hướng dẫn vô hiệu hoá xml-rpc của HOSTVN.
Quét mã nguồn để tìm phần mềm độc hại và lỗ hổng
Để đảm bảo cho website của bạn, hãy sử dụng một plugins quét mã độc và thường xuyên quét để kiểm tra tình trạng mã nguồn website của bạn. Qua đó có thể kịp thời phát hiện và xử lý mã độc nếu có.
Hãy xem Top 4 plugins hỗ trợ xoá mã độc wordpress tốt nhất 2019 và lựa chọn cho mình một plugins phù hợp.
Kết luận
HOSTVN hy vọng bài viết này đã giúp bạn tìm hiểu các biện pháp tốt nhất để bảo mật WordPress cũng như khám phá các plugin bảo mật WordPress tốt nhất cho trang web của bạn. Nếu có bất kỳ ý kiến đóng góp hoặc biện pháp bảo mật nào khác hãy để lại bình luận ở bên dưới cho chúng tôi biết nhé.
