Bảo mật WordPress

Tác giả NetworkEngineer, T.Sáu 08, 2020, 04:56:12 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Bảo mật WordPress


Hôm nay, tôi dự định thảo luận khá nhiều thủ thuật đơn giản có thể giúp bạn bảo mật trang web WordPress của mình hơn nữa.

1. Chỉ làm việc với những nhà cung cấp web shared hosting tốt nhất

Bạn chỉ nên làm việc với những nhà cung cấp web shared hosting đáng tin cậy, chất lượng cao và an toàn. Lời khuyên này có vẻ hiển nhiên, phải không?

Ít nhiều, mọi người đều nghĩ rằngnhững nhà cung cấp web shared hosting của họ là tuyệt vời cho đến khi một cái gì đó phá vỡ lần đầu tiên. Trong thế giới thực, không phải tất cả các công ty cung cấp web shared hosting đều được tạo ra như nhau.

Nếu bạn xem xét một trong các khảo sát về những nhà cung cấp web shared hosting chúng tôi, bạn sẽ thấy trải nghiệm của mọi người khác nhau như thế nào về chất lượng những nhà cung cấp web shared hosting tổng thể và cả các khía cạnh riêng lẻ trong thiết lập lưu trữ của họ, như bảo mật, độ tin cậy, tốc độ, v.v.

Tin xấu ở đây là hầu hết bạn thậm chí không biết rằng máy chủ của mình không đảm bảo an toàn trang web của bạn đủ nghiêm túc. Những thứ như tấn công tin tặc gia tăng, thời gian chết thường xuyên, hiệu suất thấp, tất cả có thể là kết quả của các cơ chế bảo mật không đầy đủ.

Thực tế là bạn sẽ không sửa được máy chủ mà bạn thuê web shared hosting của bạn. Giải pháp đơn giản và tốt nhất là chuyển sang một nhà cung cấp web shared hosting khác an toàn hơn.

Nói chung, bạn càng trả nhiều tiền, máy chủ mới của bạn sẽ càng tốt, nhưng cũng có một số tùy chọn ngân sách bạn có thể xem xét.

Nếu bạn muốn đi đến cuối cùng của chủ đề, chúng tôi có so sánh các tùy chọn web shared hosting tốt nhất hiện có, cộng với các khảo sát đã nói ở trên, nơi bạn có thể thấy những gì người khác nói.

2. Bảo vệ tập tin cấu hình của Wordpress wp-config.php

Tập tin wp-config.php chứa thông tin quan trọng về cài đặt WordPress của bạn và đây là tập tin quan trọng nhất trong thư mục gốc của trang web của bạn. Bảo vệ nó có nghĩa là bảo vệ cốt lõi của website WordPress của bạn.

Chiến thuật này khiến tin tặc khó có thể vi phạm bảo mật trang web của bạn, vì tập tin wp-config.php không thể truy cập được.

Là một phần thưởng, quá trình bảo vệ thực sự dễ dàng. Chỉ cần lấy tập tin wp-config.php của bạn và di chuyển nó lên một cấp độ cao hơn thư mục gốc của bạn.


Bây giờ, câu hỏi là, nếu bạn lưu trữ nó ở nơi khác, làm thế nào để máy chủ truy cập nó? Trong kiến trúc WordPress hiện tại, cài đặt tập tin cấu hình được đặt ở mức cao nhất trong danh sách ưu tiên. Vì vậy, ngay cả khi nó được lưu trữ một thư mục phía trên thư mục gốc, WordPress vẫn có thể nhìn thấy nó.

3. Không cho phép chỉnh sửa tập tin

Nếu người dùng có quyền truy cập quản trị vào bảng điều khiển WordPress của bạn, họ có thể chỉnh sửa bất kỳ tập tin nào là một phần của cài đặt WordPress của bạn. Điều này bao gồm tất cả các plugin và theme.

Nếu bạn không cho phép chỉnh sửa tập tin, sẽ không ai có thể sửa đổi bất kỳ tập tin nào - ngay cả khi tin tặc có quyền truy cập vào quản trị vào bảng điều khiển WordPress của bạn.

Để thực hiện công việc này, hãy thêm phần sau vào cuối tập tin wp-config.php:

Mã nguồn [Chọn]
define('DISALLOW_FILE_EDIT', true);
4. Đặt quyền thư mục một cách cẩn thận

Quyền truy cập thư mục sai có thể gây ra lỗ hổng cho website, đặc biệt nếu website của bạn đang lưu trữ trong môi trường web shared hosting.

Trong trường hợp như vậy, thay đổi tập tin và quyền thư mục là một động thái tốt để bảo mật trang web ở cấp độ web shared hosting. Đặt quyền truy cập thư mục thành 755 và các tập tin thành 644, bảo vệ toàn bộ hệ thống tập tin, thư mục, thư mục con và các tập tin riêng lẻ.


Điều này có thể được thực hiện thủ công thông qua chương rình quản lý tập tin bên trong bảng điều khiển web shared hosting của bạn hoặc thông qua thiết bị đầu cuối Terminal (được kết nối với SSH) - sử dụng lệnh của chmod.

Để biết thêm, bạn có thể đọc về lược đồ quyền chính xác cho WordPress hoặc cài đặt plugin iTheme Security để kiểm tra cài đặt quyền hiện tại của bạn.

5. Vô hiệu hóa liệt kê danh sách thư mục với  .htaccess

Nếu bạn tạo một thư mục mới như một phần của trang web của mình và không đặt tập tin index.html  vào đó, bạn có thể ngạc nhiên khi thấy khách truy cập của mình có thể nhận được danh sách thư mục đầy đủ về mọi thứ trong thư mục đó.

Ví dụ: nếu bạn tạo một thư mục có tên là data, bạn có thể thấy mọi thứ trong thư mục đó chỉ bằng cách nhập https://www.example.com/data/  trong trình duyệt của bạn. Không có mật khẩu hoặc bất cứ điều gì để xác thực cần thiết.

Bạn có thể ngăn chặn điều này bằng cách thêm dòng mã sau vào tệp .htaccess của bạn :

Mã nguồn [Chọn]
Options All -Indexes
6. Chặn tất cả các liên kết nóng hot linking

Giả sử bạn có một hình ảnh trực tuyến và muốn chia sẻ nó trên trang web của bạn. Trước hết, bạn cần có sự cho phép hoặc trả tiền cho hình ảnh đó, nếu không thì rất có thể đó là bất hợp pháp khi làm như vậy. Nhưng nếu bạn được phép, bạn có thể trực tiếp kéo URL của hình ảnh và sử dụng nó để đặt ảnh vào bài đăng của bạn. Vấn đề chính ở đây là hình ảnh được hiển thị trên trang web của bạn, nhưng được lưu trữ trên máy chủ của trang web khác.

Từ góc nhìn này, bạn không có bất kỳ quyền kiểm soát nào về việc ảnh có còn trên máy chủ hay không. Nhưng điều quan trọng là phải nhận ra rằng mọi người có thể làm điều này với trang web của bạn.

Nếu bạn đang cố gắng bảo mật trang web WordPress của mình, thì hotlinking về cơ bản là một người khác chụp ảnh của bạn và đánh cắp băng thông máy chủ của bạn để hiển thị hình ảnh trên trang web của riêng họ. Cuối cùng, bạn sẽ thấy tốc độ tải chậm hơn và tiềm năng cho chi phí máy chủ cao.

Mặc dù có một số kỹ thuật thủ công để ngăn chặn liên kết nóng, phương pháp đơn giản nhất là tìm một plugin bảo mật WordPress cho công việc. Chẳng hạn, plugin All in One WP Security and Firewall bao gồm các công cụ tích hợp để chặn tất cả các liên kết nóng.


7. Hiểu và bảo vệ, chống lại các cuộc tấn công DDoS

Tấn công DDoS là một loại tấn công phổ biến đối với làm tràn băng thông máy chủ của bạn, trong đó kẻ tấn công sử dụng nhiều chương trình và hệ thống để làm quá tải máy chủ của bạn. Mặc dù một cuộc tấn công như thế này không gây nguy hiểm cho các tập tin trang web của bạn, nhưng điều đó có nghĩa là làm sập trang web của bạn trong một thời gian dài nếu không được giải quyết. Thông thường, bạn chỉ nghe về các cuộc tấn công DDoS khi nó xảy ra với các công ty lớn như GitHub hoặc Target. Chúng được thực hiện bởi những gì nhiều người gọi là khủng bố mạng, vì vậy động cơ có thể chỉ đơn giản là tàn phá.

Điều đó nói rằng, bạn không cần phải là một công ty Fortune 500 để gặp rủi ro.

Nếu điều này làm bạn lo lắng, chúng tôi khuyên bạn nên đăng ký gói cao cấp Sucuri hoặc Cloudflare. Các giải pháp này có tường lửa ứng dụng web để phân tích băng thông đang được sử dụng và chặn hoàn toàn các cuộc tấn công DDoS.

8. Thiết lập tính năng khóa trang web và cấm người dùng

Một tính năng khóa cho các lần thử đăng nhập thất bại có thể giải quyết vấn đề lớn của các nỗ lực tấn công Brute Force attack. Bất cứ khi nào có một nỗ lực hack với mật khẩu sai lặp đi lặp lại, trang web sẽ bị khóa và bạn được thông báo về hoạt động trái phép này.

Tôi phát hiện ra rằng  plugin iTheme Security là một trong những plugin tốt nhất như vậy và tôi đã sử dụng nó khá lâu. Các plugin có rất nhiều để cung cấp về mặt này. Cùng với hơn 30 biện pháp bảo mật WordPress tuyệt vời khác, bạn có thể chỉ định một số lần thử đăng nhập thất bại nhất định trước khi plugin cấm địa chỉ IP của kẻ tấn công.


9. Sử dụng xác thực hai yếu tố để bảo mật WordPress

Giới thiệu mô-đun xác thực hai yếu tố (2FA) trên trang đăng nhập là một biện pháp bảo mật tốt khác. Trong trường hợp này, người dùng cung cấp chi tiết đăng nhập cho hai thành phần khác nhau. Chủ sở hữu trang web quyết định hai cái đó là gì. Nó có thể là mật khẩu thông thường theo sau là một câu hỏi bí mật, mã bí mật, một bộ ký tự hoặc phổ biến hơn, ứng dụng Google Authenticator, gửi một mã bí mật đến điện thoại của bạn. Bằng cách này, chỉ người có điện thoại của bạn mới có thể đăng nhập vào trang web của bạn.

Tôi thích sử dụng mã bí mật trong khi triển khai 2FA trên bất kỳ trang web nào của tôi. Các Google Authenticator Plugin giúp tôi với điều đó chỉ trong một vài cú nhấp chuột.


10. Sử dụng email của bạn để đăng nhập

Theo mặc định, bạn phải nhập tên người dùng của mình để đăng nhập vào WordPress. Sử dụng ID email thay vì tên người dùng là một cách tiếp cận an toàn hơn. Những lý do khá rõ ràng. Tên người dùng dễ dự đoán, trong khi ID email thì không. Ngoài ra, bất kỳ tài khoản người dùng WordPress nào cũng được tạo bằng một địa chỉ email duy nhất, làm cho nó trở thành một định danh hợp lệ để đăng nhập.

Một số plugin bảo mật WordPress cho phép bạn thiết lập các trang đăng nhập để tất cả người dùng phải sử dụng địa chỉ email của họ để đăng nhập.

11. Đổi tên URL đăng nhập của bạn để bảo mật trang web WordPress của bạn

Thay đổi URL đăng nhập là một điều dễ dàng để làm. Theo mặc định, trang đăng nhập WordPress có thể được truy cập dễ dàng thông qua wp-login.php hoặc wp-adminthêm vào URL chính của trang web.

Khi hacker biết địa chỉ URL trực tiếp của trang đăng nhập của bạn, họ có thể thử Brute Force attack heo cách của họ trong cố gắng để đăng nhập với GWDb,  là một cơ sở dữ liệu tên người dùng dự đoán và mật khẩu, ví dụ như username:. admin Và mật khẩu: p@ssword ... với hàng triệu kết hợp như vậy).

Tại thời điểm này, chúng ta đã hạn chế các nỗ lực đăng nhập của người dùng và hoán đổi tên người dùng cho ID email. Bây giờ chúng tôi có thể thay thế URL đăng nhập và loại bỏ 99% các cuộc tấn công Brute Force trực tiếp.

Thủ thuật nhỏ này hạn chế một thực thể trái phép truy cập vào trang đăng nhập. Chỉ ai đó có URL chính xác mới có thể làm điều đó.

Cách dễ nhất để thay đổi URL đăng nhập của bạn là sử dụng plugin có tên thích hợp WPS Hide Login. Nó rất đơn giản để sử dụng, chỉ cần nhập URL trang đăng nhập mới của bạn và lưu các thay đổi. Bạn có thể đặt URL thành bất cứ điều gì bạn muốn.


12. Điều chỉnh mật khẩu của bạn

Thay đổi chúng thường xuyên để bảo mật trang web WordPress của bạn. Cải thiện sức mạnh của họ bằng cách thêm các từ bổ sung và làm cho mật khẩu của bạn dài hơn.

Lưu ý rằng chúng tôi không nhất thiết khuyên bạn tiếp tục thêm nhiều chữ hoa và chữ thường, số và ký tự đặc biệt vào mật khẩu của bạn. Thay vào đó, nhiều người lựa chọn cụm mật khẩu dài vì những tin tặc này gần như không thể dự đoán được nhưng dễ nhớ hơn một loạt các số và chữ cái ngẫu nhiên.

Có một truyện tranh nổi tiếng của xkcd về cách đánh lừa một số mật khẩu dường như an toàn có thể là:


Nó chỉ ra rằng sử dụng một cụm từ phức tạp thường có thể an toàn hơn nhiều và cũng dễ nhớ hơn gấp 10 lần.

13. Sử dụng chương trình quản lý mật khẩu

Được rồi, tất cả chúng ta đều biết rằng chúng ta nên thay đổi mật khẩu thường xuyên và chúng sẽ khó bị bẻ khóa. Chúng ta biết những gì chúng ta nên làm, nhưng đó không phải lúc nào chúng ta cũng có thời gian.


Đây là nơi một số nhà quản lý mật khẩu chất lượng đi vào chơi. Họ sẽ không chỉ tạo mật khẩu an toàn cho bạn mà sau đó lưu trữ chúng trong một hầm bảo mật, điều này sẽ giúp bạn tiết kiệm được những rắc rối khi phải nhớ chúng.

14. Tự động ngắt kết nối với người dùng nhàn rỗi ra khỏi trang web của bạn

Người dùng để bảng điều khiển wp-admin của trang web của bạn mở trên màn hình của họ có thể gây ra mối đe dọa bảo mật nghiêm trọng cho WordPress. Bất kỳ người đi ngang qua nào cũng có thể thay đổi thông tin trên trang web của bạn, thay đổi tài khoản người dùng của một người hoặc thậm chí phá vỡ hoàn toàn trang web của bạn. Bạn có thể tránh điều này bằng cách đảm bảo rằng trang web của bạn đăng xuất mọi người sau khi họ không sử dụng trong một khoảng thời gian nhất định.


Bạn có thể thiết lập điều này bằng cách sử dụng một plugin như BulletProof Security. Plugin này cho phép bạn đặt giới hạn thời gian tùy chỉnh cho người dùng nhàn rỗi, sau đó họ sẽ tự động đăng xuất.

15. Bảo vệ thư mục wp-admin

Thư mục wp-admin là trái tim của bất kỳ trang web WordPress nào. Do đó, nếu phần này của trang web của bạn bị vi phạm, thì toàn bộ trang web có thể bị hỏng.

Một cách có thể để ngăn chặn điều này là bảo vệ với mật khẩu thư mục wp-admin. Với biện pháp bảo mật WordPress như vậy, chủ sở hữu trang web có thể truy cập bảng điều khiển bằng cách gửi hai mật khẩu. Một cái bảo vệ trang đăng nhập và cái kia bảo vệ khu vực quản trị WordPress.


Thiết lập điều này thường liên quan đến việc điều chỉnh thiết lập web shared hosting của bạn thông qua cPanel. Tuy nhiên, điều này không quá khó để làm nếu bạn thực hiện đúng các bước.

16. Sử dụng SSL để mã hóa dữ liệu

Triển khai chứng chỉ SSL (Secure Socket Layer ) là một bước đi thông minh để bảo mật bảng quản trị. SSL đảm bảo truyền dữ liệu an toàn giữa trình duyệt người dùng và máy chủ, khiến tin tặc khó xâm phạm kết nối hoặc giả mạo thông tin của bạn.

Nhận chứng chỉ SSL cho trang web WordPress của bạn rất đơn giản. Bạn có thể mua một cái từ một công ty bên thứ ba hoặc kiểm tra xem công ty web shared hosting của bạn có cung cấp miễn phí không.


Tôi sử dụng chứng chỉ SSL mã nguồn mở miễn phí trên hầu hết các trang web của mình. Bất kỳ công ty lưu trữ tốt nào như SiteGround đều cung cấp chứng chỉ SSL Encrypt SSL miễn phí với các gói lưu trữ.

Chứng chỉ SSL cũng ảnh hưởng đến thứ hạng Google của trang web của bạn. Google có xu hướng xếp hạng các trang web có SSL cao hơn các trang web không có nó. Điều đó có nghĩa là lưu lượng truy cập nhiều hơn. Bây giờ ai không muốn điều đó?

Kích hoạt SSL trên trang web WordPress của bạn rất đơn giản. Trong 99% trường hợp, tất cả những gì bạn cần làm là cài đặt plugin SSL Simple Simple và kích hoạt nó. Không có cài đặt khác được yêu cầu.


17. Thêm tài khoản người dùng một cách cẩn thận

Nếu bạn chạy một blog WordPress, hay đúng hơn là một blog nhiều tác giả, thì bạn cần phải đối phó với nhiều người truy cập bảng quản trị của bạn. Điều này có thể làm cho trang web của bạn dễ bị tổn thương hơn trước các mối đe dọa bảo mật WordPress.

Bạn có thể sử dụng một plugin như Force Strong Passwords nếu bạn muốn đảm bảo rằng bất kỳ mật khẩu nào người dùng tạo đều an toàn. Đây chỉ là một biện pháp phòng ngừa, nhưng tốt hơn là có nhiều người dùng có mật khẩu yếu.


18. Thay đổi tên người dùng quản trị

Trong quá trình cài đặt WordPress của bạn, bạn không bao giờ nên chọn tên admin làm tên người dùng cho tài khoản quản trị chính của mình. Một tên người dùng dễ đoán như vậy có thể tiếp cận được đối với tin tặc. Tất cả những gì họ cần để tìm ra là mật khẩu, sau đó toàn bộ trang web của bạn rơi vào tay kẻ xấu.


Tôi không thể cho bạn biết tôi đã cuộn qua nhật ký trang web của mình bao nhiêu lần và tìm thấy các lần thử đăng nhập với tên người dùng admin.

Plugin iTheme Security có thể ngăn chặn những nỗ lực đó bằng cách cấm ngay lập tức bất kỳ địa chỉ IP nào cố gắng đăng nhập bằng tên người dùng đó.

19. Giám sát các tập tin của bạn

Nếu bạn muốn thêm một số bảo mật WordPress, hãy theo dõi các thay đổi đối với các tập tin của trang web của bạn thông qua các plugin như Wordfence hoặc một lần nữa, iTheme Security.


20. Thay đổi tiền tố PREFIX bảng cơ sở dữ liệu WordPress

Nếu bạn đã từng cài đặt WordPress thì bạn đã quen với wp-prefix bảng được sử dụng bởi cơ sở dữ liệu WordPress. Tôi khuyên bạn nên thay đổi nó thành một cái gì đó độc đáo.

Sử dụng tiền tố mặc định làm cho cơ sở dữ liệu trang web của bạn dễ bị tấn công SQL. Các cuộc tấn công như vậy có thể được ngăn chặn bằng cách thay đổi  wp-khác một số thuật ngữ khác. Ví dụ, bạn có thể làm cho nó mywp-hoặc wpnew-.


Nếu bạn đã cài đặt trang web WordPress của mình với tiền tố mặc định, thì bạn có thể sử dụng một vài plugin để thay đổi nó. Các plugin như  WP- DBManager hoặc iTheme Security có thể giúp bạn thực hiện công việc chỉ bằng một nút bấm. Hãy chắc chắn rằng bạn sao lưu trang web của mình trước khi làm bất cứ điều gì với cơ sở dữ liệu.

21. Tạo bản sao lưu thường xuyên để bảo mật trang web WordPress của bạn

Cho dù trang web WordPress của bạn an toàn đến mức nào, luôn có chỗ để tấn công. Nhưng vào cuối ngày, giữ một bản sao lưu ngoài trang web ở đâu đó có lẽ là liều thuốc giải độc tốt nhất cho dù điều gì xảy ra.

Nếu bạn có một bản sao lưu, bạn có thể khôi phục trang web WordPress của mình về trạng thái hoạt động bất cứ lúc nào bạn muốn. Có một số plugin có thể giúp bạn về mặt này.

Nếu bạn đang tìm kiếm một giải pháp cao cấp thì tôi khuyên dùng VaultPress của Automattic. Tôi đã thiết lập nó để nó tạo bản sao lưu mỗi tuần. Và nếu bất cứ điều gì xấu xảy ra, tôi có thể dễ dàng khôi phục trang web chỉ bằng một cú nhấp chuột.


Tôi biết một số trang web lớn hơn chạy sao lưu mỗi giờ, nhưng đối với hầu hết các tổ chức hoàn toàn quá mức cần thiết. Chưa kể, bạn sẽ cần đảm bảo rằng hầu hết các bản sao lưu đó sẽ bị xóa sau khi một bản sao mới được tạo vì mỗi tập tin sao lưu chiếm không gian trên ổ đĩa của bạn. Điều đó nói rằng, tôi khuyên bạn nên sao lưu hàng tuần hoặc hàng tháng cho hầu hết các tổ chức.

Ngoài các bản sao lưu, VaultPress cũng kiểm tra phần mềm độc hại trên trang web của tôi và thông báo cho tôi nếu có bất cứ điều gì mờ ám đang xảy ra.

22. Đặt mật khẩu mạnh cho cơ sở dữ liệu của bạn

Mật khẩu mạnh cho người dùng cơ sở dữ liệu chính là bắt buộc vì mật khẩu này là mật khẩu mà WordPress sử dụng để truy cập cơ sở dữ liệu.

Như mọi khi, sử dụng chữ hoa, chữ thường, số và ký tự đặc biệt cho mật khẩu. Mật khẩu cực mạnh là tuyệt vời nhất. Tôi một lần nữa đề nghị LastPass để tạo và lưu trữ mật khẩu ngẫu nhiên. Một công cụ miễn phí và nhanh chóng để tạo mật khẩu mạnh là chương trình tạo mật khẩu an toàn.


23. Theo dõi nhật ký kiểm soát của bạn

Khi bạn đang chạy WordPress nhiều trang hoặc xử lý một trang web nhiều tác giả, điều cần thiết là phải hiểu loại hoạt động người dùng nào đang diễn ra. Tác giả và cộng tác viên của bạn có thể đang thay đổi mật khẩu, nhưng có những điều khác bạn có thể không muốn xảy ra. Chẳng hạn, thay đổi giao diện và widget rõ ràng chỉ dành riêng cho quản trị viên. Khi bạn kiểm tra nhật ký kiểm soát, bạn có thể chắc chắn rằng quản trị viên và cộng tác viên của bạn không cố gắng thay đổi điều gì đó trên trang web của bạn mà không được chấp thuận.


Plugin WP Security Audit Log cung cấp một danh sách đầy đủ cho hoạt động này, cùng với các thông báo email và báo cáo. Đơn giản nhất, nhật ký kiểm soát có thể giúp bạn thấy rằng một tác giả đang gặp sự cố khi đăng nhập. Nhưng plugin cũng có thể tiết lộ hoạt động độc hại từ một trong những người dùng của bạn.


24. Cập nhật thường xuyên để bảo mật WordPress

Mỗi sản phẩm phần mềm tốt đều được các nhà phát triển của nó hỗ trợ và được cập nhật thường xuyên. Những cập nhật này có nghĩa là để sửa lỗi và đôi khi có các bản vá bảo mật quan trọng. WordPress, và các plugin của nó, không khác nhau.

Không phải cập nhật giao diện và plugin của bạn có thể rắc rối. Nhiều tin tặc dựa vào thực tế là mọi người không thể bận tâm cập nhật các plugin và giao diện của họ. Thường xuyên còn hơn không, những tin tặc khai thác các lỗi đã được sửa.

Vì vậy, nếu bạn đang sử dụng bất kỳ sản phẩm WordPress nào, hãy cập nhật nó thường xuyên. Plugin, giao diện, mọi thứ. Tin vui là WordPress tự động tung ra các bản cập nhật cho người dùng, vì vậy bạn sẽ nhận được email thông báo cho bạn về bản cập nhật và thông tin về các bản sửa lỗi trong bảng điều khiển của bạn.

Đối với các plugin, chúng phải được cập nhật thủ công bằng cách truy cập Plugin trong bảng điều khiển của bạn. Khi một plugin có phiên bản mới, nó sẽ thông báo cho bạn và cung cấp một liên kết để cập nhật ngay bây giờ.


Để thay thế, bạn có thể chọn một gói web shared hosting được quản lý của WordPress . Cùng với nhiều tính năng và cải tiến khác đối với bảo mật WordPress của bạn, web shared hosting được quản lý chất lượng cung cấp cập nhật tự động cho tất cả các yếu tố của trang web WordPress của bạn.

Một số nhà cung cấp dịch vụ lưu trữ được quản lý bao gồm Kinsta, SiteGround và Flywheel.

25. Xóa con số phiên bản WordPress của bạn

Con số phiên bản WordPress hiện tại của bạn có thể được tìm thấy rất dễ dàng. Về cơ bản, nó đang ngồi ngay trong chế độ xem nguồn của trang web của bạn. Bạn cũng có thể nhìn thấy nó ở dưới cùng của bảng điều khiển của bạn nhưng điều này không thành vấn đề khi cố gắng bảo mật trang web WordPress của bạn.


Đây là điều nếu tin tặc biết bạn sử dụng phiên bản WordPress nào, thì chúng sẽ dễ dàng điều chỉnh cuộc tấn công hoàn hảo hơn.

Bạn có thể ẩn số phiên bản của mình với hầu hết các plugin bảo mật WordPress mà tôi đã đề cập ở trên.

Để có cách tiếp cận thủ công hơn và cũng để xóa số phiên bản khỏi nguồn cấp RSS, hãy xem xét thêm đoạn mã sau vào tập tin functions.php của bạn:

Mã nguồn [Chọn]
function VietNetwork_remove_version() {
return '';
}
add_filter('the_generator', 'VietNetwork_remove_version');

Suy nghĩ cuối cùng về cách bảo mật trang web WordPress của bạn.

Nếu bạn là người mới bắt đầu thì đó là rất nhiều để tham gia. Tuy nhiên, tất cả mọi thứ mà tôi đề cập trong bài viết này là một bước đi đúng hướng. Bạn càng quan tâm đến bảo mật WordPress của mình, hacker càng khó xâm nhập.

Tuy nhiên, với các điều đó đang được nói, có lẽ cũng quan trọng không kém bảo mật là hiệu suất trang web. Về cơ bản, không có trang web tải nhanh, khách truy cập của bạn sẽ không bao giờ có cơ hội xem hết nội dung của trang website của bạn. Khách truy cập trang web trung bình sẽ phải đợi trong 2 giây trước khi thất vọng và rời đi.

Dưới đây là một số tài nguyên có thể giúp bạn giành chiến thắng trong trò chơi hiệu suất và đảm bảo rằng trang web của bạn tải nhanh như chớp:

    Sử dụng CDN chất lượng. Một số trong số họ thậm chí là miễn phí. Dưới đây là so sánh các tùy chọn hàng đầu: MaxCDN vs CloudFlare vs Amazon CloudFront vs Akamai Edge vs Fastly
    Điều chỉnh một số điều dưới hoode của trang web của bạn. Dưới đây là 11 cách để tăng tốc WordPress

Nếu bạn có bất kỳ câu hỏi nào về cách bảo mật trang web WordPress của bạn, hãy cho chúng tôi biết trong các bình luận bên dưới và chúng tôi sẽ trả lời chúng.

Các chủ đề tương tự (10)