Bảo mật và tối ưu WordPress

Tác giả NetworkEngineer, T.Năm 20, 2020, 10:37:05 SÁNG

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Bảo mật và tối ưu WordPress
 

Bảo mật WordPress là một chủ đề có tầm quan trọng rất lớn đối với mỗi chủ sở hữu trang web. Danh sách đen của Google có khoảng 10.000+ trang web mỗi ngày cho phần mềm độc hại và khoảng 50.000 cho lừa đảo mỗi tuần.

Nếu bạn nghiêm túc về trang web của mình, thì bạn cần chú ý đến các thực tiễn tốt nhất về bảo mật WordPress. Trong hướng dẫn này, chúng tôi sẽ chia sẻ tất cả các mẹo bảo mật WordPress hàng đầu để giúp bạn bảo vệ trang web của mình chống lại tin tặc và phần mềm độc hại.


Mặc dù phần mềm cốt lõi của WordPress rất an toàn và được hàng trăm nhà phát triển kiểm tra thường xuyên, nhưng có rất nhiều việc có thể được thực hiện để giữ an toàn cho trang web của bạn.

Chúng tôi tin rằng bảo mật không chỉ là loại bỏ rủi ro, đó cũng là về giảm thiểu rủi ro. Là chủ sở hữu trang web, có rất nhiều điều bạn có thể làm để cải thiện bảo mật WordPress của mình (ngay cả khi bạn không am hiểu về công nghệ).

Chúng tôi có một số bước có thể hành động mà bạn có thể thực hiện để bảo vệ trang web của mình khỏi các lỗ hổng bảo mật.

Để làm cho nó dễ dàng, chúng tôi đã tạo một bảng nội dung để giúp bạn dễ dàng điều hướng thông qua hướng dẫn bảo mật WordPress cuối cùng của chúng tôi.

I. Khái niệm cơ bản về bảo mật WordPress

1. Tại sao bảo mật trang web là quan trọng?

Một trang web WordPress bị hack có thể gây ra thiệt hại nghiêm trọng cho doanh thu và danh tiếng doanh nghiệp của bạn. Tin tặc có thể đánh cắp thông tin người dùng, mật khẩu, cài đặt phần mềm độc hại và thậm chí có thể phân phối phần mềm độc hại cho người dùng của bạn.

Tệ nhất, bạn có thể thấy mình trả tiền ransomware cho tin tặc chỉ để lấy lại quyền truy cập vào trang web của bạn.


Vào tháng 3 năm 2016, Google đã báo cáo rằng hơn 50 triệu người dùng trang web đã được cảnh báo về một trang web họ đang truy cập có thể chứa phần mềm độc hại hoặc đánh cắp thông tin.

Hơn nữa, danh sách đen của Google khoảng 20.000 trang web cho phần mềm độc hại và khoảng 50.000 cho lừa đảo mỗi tuần.

Nếu trang web của bạn là một doanh nghiệp, thì bạn cần chú ý hơn đến bảo mật WordPress của mình.

Tương tự như cách các chủ doanh nghiệp có trách nhiệm bảo vệ việc xây dựng cửa hàng thực tế của họ, với tư cách là chủ doanh nghiệp trực tuyến, bạn có trách nhiệm bảo vệ trang web doanh nghiệp của mình.

2. Cập nhật WordPress


WordPress là một phần mềm mã nguồn mở thường xuyên được bảo trì và cập nhật. Theo mặc định, WordPress tự động cài đặt các bản cập nhật nhỏ. Đối với các bản phát hành chính, bạn cần bắt đầu cập nhật thủ công.

WordPress cũng đi kèm với hàng ngàn plugin và giao diện mà bạn có thể cài đặt trên trang web của mình. Các plugin và giao diên này được duy trì bởi các nhà phát triển bên thứ ba thường xuyên phát hành các bản cập nhật.

Những cập nhật WordPress này rất quan trọng cho tính bảo mật và tính ổn định của trang web WordPress của bạn. Bạn cần đảm bảo rằng lõi, plugin và giao diện WordPress của bạn được cập nhật.

3. Mật khẩu mạnh và quyền người dùng


Các nỗ lực hack WordPress phổ biến nhất là sử dụng mật khẩu bị đánh cắp. Bạn có thể làm khó điều đó bằng cách sử dụng mật khẩu mạnh hơn, duy nhất cho trang web của bạn. Không chỉ cho khu vực quản trị WordPress, mà còn cho các tài khoản FTP, cơ sở dữ liệu, tài khoản lưu trữ WordPress và địa chỉ email tùy chỉnh của bạn sử dụng tên miền của trang web của bạn.

Nhiều người mới bắt đầu không thích sử dụng mật khẩu mạnh vì chúng khó nhớ. Điều tốt là bạn không cần phải nhớ mật khẩu nữa. Bạn có thể sử dụng một chương trình quản lý mật khẩu.

Một cách khác để giảm rủi ro là không cấp cho bất kỳ ai quyền truy cập vào tài khoản quản trị WordPress của bạn trừ khi bạn thực sự phải làm vậy. Nếu bạn có một nhóm lớn hoặc tác giả, thì hãy đảm bảo rằng bạn hiểu vai trò và khả năng của người dùng trong WordPress trước khi bạn thêm tài khoản người dùng và tác giả mới vào trang web WordPress của mình.

4. Vai trò của WordPress Hosting

Dịch vụ lưu trữ Web shared Hosting WordPress của bạn đóng vai trò quan trọng nhất trong bảo mật trang web WordPress của bạn. Một nhà cung cấp dịch vụ lưu trữ chia sẻ tốt như Bluehost hoặc Siteground thực hiện các biện pháp bổ sung để bảo vệ máy chủ của họ trước các mối đe dọa phổ biến.

Đây là cách một công ty lưu trữ web tốt hoạt động trong nền để bảo vệ trang web và dữ liệu của bạn.

  • Họ liên tục theo dõi mạng của họ cho hoạt động đáng ngờ.
  • Tất cả các công ty lưu trữ tốt đều có các công cụ để ngăn chặn các cuộc tấn công DDOS quy mô lớn
  • Họ luôn cập nhật phần mềm và phần cứng máy chủ để ngăn chặn tin tặc khai thác lỗ hổng bảo mật đã biết trong phiên bản cũ.
  • Họ đã sẵn sàng triển khai các kế hoạch khắc phục thảm họa và tai nạn cho phép họ bảo vệ dữ liệu của bạn trong trường hợp xảy ra tai nạn lớn.

Trên gói lưu trữ được chia sẻ, bạn chia sẻ tài nguyên máy chủ với nhiều khách hàng khác. Điều này mở ra nguy cơ ô nhiễm chéo các trang web nơi tin tặc có thể sử dụng trang web lân cận để tấn công trang web của bạn.

Sử dụng dịch vụ lưu trữ WordPress được quản lý cung cấp một nền tảng an toàn hơn cho trang web của bạn. Các công ty lưu trữ WordPress được quản lý cung cấp sao lưu tự động, cập nhật WordPress tự động và các cấu hình bảo mật nâng cao hơn để bảo vệ trang web của bạn.

Chúng tôi khuyên dùng WPEngine là nhà cung cấp dịch vụ lưu trữ WordPress được quản lý ưa thích của chúng tôi. Họ cũng là một trong những nhà cung cấp Web Shared Hosting phổ biến nhất trong ngành công nghiệp.

II. Bảo mật WordPress trong các bước dễ dàng (Không cần biết coding)

Chúng tôi biết rằng cải thiện bảo mật WordPress có thể là một suy nghĩ đáng sợ cho người mới bắt đầu. Đặc biệt là nếu bạn không rành về công nghệ. Đoán xem - bạn không đơn độc. Chúng tôi đã giúp hàng ngàn người dùng WordPress trong việc tăng cường bảo mật WordPress của họ.

Chúng tôi sẽ chỉ cho bạn cách bạn có thể cải thiện bảo mật WordPress của mình chỉ bằng vài cú nhấp chuột (không yêu cầu mã hóa). Nếu bạn có thể chỉ và nhấp, bạn có thể làm điều này.

1. Cài đặt giải pháp sao lưu WordPress


Sao lưu là bảo vệ đầu tiên của bạn chống lại bất kỳ cuộc tấn công WordPress. Hãy nhớ rằng, không có gì là an toàn 100%. Nếu các trang web của chính phủ có thể bị hack, thì bạn cũng có thể bị hack. Sao lưu cho phép bạn nhanh chóng khôi phục trang web WordPress của mình trong trường hợp có điều gì đó xấu xảy ra.

Có rất nhiều plugin sao lưu WordPress miễn phí và trả phí mà bạn có thể sử dụng. Điều quan trọng nhất bạn cần biết khi nói đến các bản sao lưu là bạn phải thường xuyên lưu các bản sao lưu toàn bộ trang web vào một vị trí từ xa (không phải lưu trên cùng tài khoản lưu trữ Web Shared Hosting của bạn).

Chúng tôi khuyên bạn nên lưu trữ nó trên một dịch vụ đám mây như Amazon, Dropbox hoặc các đám mây riêng như Stash.

Dựa trên tần suất bạn cập nhật trang web của mình, cài đặt lý tưởng có thể là một lần một ngày hoặc sao lưu theo thời gian thực.

Rất may, điều này có thể được thực hiện dễ dàng bằng cách sử dụng các plugin như VaultPress hoặc UpdraftPlus. Chúng đều đáng tin cậy và quan trọng nhất là dễ sử dụng (không cần mã hóa).

2. Plugin bảo mật WordPress tốt nhất

Sau khi sao lưu, điều tiếp theo chúng ta cần làm là thiết lập một hệ thống kiểm tra và giám sát theo dõi mọi thứ xảy ra trên trang web của bạn. Điều này bao gồm giám sát toàn vẹn tập tin, các lần đăng nhập thất bại, quét phần mềm độc hại, v.v.

Rất may, điều này có thể được chăm sóc bởi plugin bảo mật WordPress miễn phí tốt nhất, Sucuri Scanner. Bạn cần cài đặt và kích hoạt plugin Sucuri Security miễn phí.

Sau khi kích hoạt, bạn cần vào menu Sucuri trong khu vực quản trị WordPress của mình. Điều đầu tiên bạn sẽ được yêu cầu là Tạo khóa API miễn phí. Điều này cho phép ghi nhật ký kiểm soát, kiểm tra tính toàn vẹn, thông báo qua email và các tính năng quan trọng khác.


Điều tiếp theo, bạn cần làm là nhấp vào tab 'Làm cứng' từ menu cài đặt. Đi qua mọi tùy chọn và nhấp vào nút 'Áp dụng Hardening'.


Các tùy chọn này giúp bạn khóa các khu vực chính mà tin tặc thường sử dụng trong các cuộc tấn công của chúng. Tùy chọn tăng cường duy nhất đó là nâng cấp trả phí là Tường lửa ứng dụng Web mà chúng tôi sẽ giải thích trong bước tiếp theo, vì vậy hãy bỏ qua ngay bây giờ.

Chúng tôi cũng đã đề cập đến rất nhiều các tùy chọn này trong phần Hardening này trong phần sau của bài viết này cho những ai muốn làm điều đó mà không cần sử dụng plugin hoặc những phần yêu cầu các bước bổ sung như thay đổi Database Prefix hoặc thay đổi Admin Username.

Sau phần Hardening, cài đặt plugin mặc định đủ tốt cho hầu hết các trang web và không cần bất kỳ thay đổi nào. Điều duy nhất chúng tôi khuyên bạn nên tùy chỉnh là 'Cảnh báo email'. Cài đặt cảnh báo mặc định có thể làm lộn xộn hộp thư đến của bạn với email. Chúng tôi khuyên bạn nên nhận thông báo cho các hành động chính như thay đổi plugins, đăng ký người dùng mới, v.v. Bạn có thể cấu hình cảnh báo bằng cách đi tới Sucuri Settings > Alerts.


Plugin bảo mật WordPress này rất mạnh, vì vậy hãy duyệt qua tất cả các tab và cài đặt để xem tất cả những gì nó làm như quét phần mềm độc hại, Nhật ký kiểm soát, Theo dõi đăng nhập thất bại, v.v.

3. Bật tường lửa ứng dụng web (WAF)

Cách dễ nhất để bảo vệ trang web của bạn và tự tin về bảo mật WordPress của bạn là sử dụng tường lửa ứng dụng web (WAF). Tường lửa trang web chặn tất cả lưu lượng độc hại trước khi nó đến trang web của bạn.

  • Tường lửa trang web cấp DNS - Những tường lửa này định tuyến lưu lượng truy cập trang web của bạn thông qua các máy chủ proxy đám mây của họ. Điều này cho phép họ chỉ gửi lưu lượng truy cập an toàn đến máy chủ web của bạn.
  • Tường lửa cấp ứng dụng - Các plugin tường lửa này kiểm tra lưu lượng một khi nó đến máy chủ của bạn nhưng trước khi tải hầu hết các script WordPress. Phương pháp này không hiệu quả như tường lửa cấp DNS trong việc giảm tải máy chủ.


Chúng tôi sử dụng và giới thiệu Sucuri là tường lửa ứng dụng web tốt nhất cho WordPress. Bạn có thể đọc về cách Sucuri giúp chúng tôi chặn 450.000 cuộc tấn công WordPress trong một tháng.


Phần tốt nhất về tường lửa của Sucuri là nó cũng đi kèm với bảo đảm xóa phần mềm độc hại và bảo đảm loại bỏ danh sách đen. Về cơ bản nếu bạn bị hack dưới sự giám sát của chúng, chúng sẽ đảm bảo rằng sẽ sửa trang web của bạn (cho dù bạn có bao nhiêu trang). Đây là một bảo hành khá mạnh vì sửa chữa các trang web bị tấn công là tốn kém. Các chuyên gia bảo mật thường tính phí $ 250 mỗi giờ. Trong khi đó, bạn có thể nhận được toàn bộ bảo mật Sucuri với giá 199 đô la mỗi năm.

Sucuri không phải là nhà cung cấp tường lửa cấp DNS duy nhất ngoài thị trường. Đối thủ cạnh tranh phổ biến khác là Cloudflare.

4. Chuyển trang web WordPress của bạn sang SSL / httpsS

SSL (Secure Sockets Layer) là một giao thức mã hóa chuyển dữ liệu giữa trang web của bạn và trình duyệt người dùng. Mã hóa này khiến người khác khó theo dõi và đánh cắp thông tin.


Khi bạn bật SSL, trang web của bạn sẽ sử dụng httpsS thay vì https, bạn cũng sẽ thấy dấu hiệu khóa móc bên cạnh địa chỉ trang web của bạn trong trình duyệt. Chứng chỉ SSL thường được cấp bởi các cơ quan chứng nhận và giá của chúng bắt đầu từ $ 80 đến hàng trăm đô la mỗi năm. Do chi phí tăng thêm, hầu hết chủ sở hữu trang web đã chọn tiếp tục sử dụng giao thức không an toàn.

Để khắc phục điều này, một tổ chức phi lợi nhuận có tên Let's Encrypt đã quyết định cung cấp Chứng chỉ SSL miễn phí cho chủ sở hữu trang web. Dự án của họ được hỗ trợ bởi Google Chrome, Facebook, Mozilla và nhiều công ty khác.

Giờ đây, việc bắt đầu sử dụng SSL cho tất cả các trang web WordPress của bạn trở nên dễ dàng hơn bao giờ hết. Nhiều công ty lưu trữ Web Shared Hosting hiện đang cung cấp chứng chỉ SSL miễn phí cho trang web WordPress của bạn.

Nếu công ty lưu trữ web của bạn không cung cấp một cái, thì bạn có thể mua một cái từ   Đăng nhập để xem liên kết . Họ có thỏa thuận SSL tốt nhất và đáng tin cậy nhất trên thị trường. Nó đi kèm với bảo hành bảo mật $ 10.000 và con dấu bảo mật TrustLogo.

III. Bảo mật WordPress cho người dùng DIY

Nếu bạn làm mọi thứ mà chúng tôi đã đề cập cho đến nay, thì bạn đang ở trong một hình dạng khá tốt. Nhưng như mọi khi, có nhiều việc bạn có thể làm để tăng cường bảo mật WordPress của mình. Một số bước này có thể yêu cầu kiến thức mã hóa.

1. Thay đổi tên người dùng mặc định của admin

Ngày xưa, tên người dùng quản trị viên mặc định của WordPress là admin. Vì tên người dùng chiếm một nửa thông tin đăng nhập, điều này giúp tin tặc thực hiện các cuộc tấn công Brute force dễ dàng hơn. Rất may, WordPress đã thay đổi điều này và bây giờ yêu cầu bạn chọn tên người dùng tùy chỉnh tại thời điểm cài đặt WordPress.

Tuy nhiên, một số chương trình cài đặt WordPress chỉ với 1 cú nhấp chuột, vẫn đặt tên người dùng quản trị mặc định là admin. Nếu bạn nhận thấy rằng đó là trường hợp của bạn, thì có lẽ nên chuyển đổi nhà cung cấp lưu trữ Web Shared Hosting web của bạn.

Vì WordPress không cho phép bạn thay đổi tên người dùng theo mặc định, có ba phương pháp bạn có thể sử dụng để thay đổi tên người dùng.

  • Tạo tên người dùng quản trị mới và xóa tên cũ.
  • Sử dụng plugin Username Changer
  • Cập nhật tên người dùng từ phpMyAdmin

Chúng tôi đã trình bày cả ba điều này trong hướng dẫn chi tiết về cách thay đổi tên người dùng WordPress của bạn (từng bước một).

Lưu ý: Chúng tôi đang nói về tên người dùng được gọi là admin, chứ không phải là vai trò quản trị.

2. Vô hiệu hóa chỉnh sửa tập tin

WordPress đi kèm với chương trình chỉnh sửa mã code tích hợp cho phép bạn chỉnh sửa các tập tin giao diện và plugin ngay từ khu vực quản trị WordPress của mình. Trong mặt khác, tính năng này có thể là một rủi ro bảo mật, đó là lý do tại sao chúng tôi khuyên bạn nên tắt nó.


Bạn có thể dễ dàng làm điều này bằng cách thêm đoạn mã sau vào tập tin wp-config.php của bạn .

Mã nguồn [Chọn]
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Ngoài ra, bạn có thể thực hiện việc này chỉ với 1 cú nhấp chuột bằng tính năng Hardening trong plugin Sucuri miễn phí mà chúng tôi đã đề cập ở trên.

3. Vô hiệu hóa thực thi tập tin PHP trong một số thư mục WordPress

Một cách khác để tăng cường bảo mật WordPress của bạn là bằng cách vô hiệu hóa thực thi tập tin PHP trong các thư mục không cần thiết như /wp-content / uploads /.

Bạn có thể làm điều này bằng cách mở trình soạn thảo văn bản như Notepad và dán mã code này vào :

Mã nguồn [Chọn]
<Files *.php>
deny from all
</Files>

Tiếp theo, bạn cần lưu tập tin này dưới dạng .htaccess và tải nó lên /wp-content / uploads / thư mục trên trang web của bạn bằng ứng dụng khách FTP.

Để được giải thích chi tiết hơn, hãy xem hướng dẫn của chúng tôi về cách vô hiệu hóa thực thi PHP trong các thư mục WordPress nhất định. Ngoài ra, bạn có thể thực hiện việc này chỉ với 1 cú nhấp chuột bằng tính năng Hardening trong plugin Sucuri miễn phí mà chúng tôi đã đề cập ở trên.

4. Hạn chế nỗ lực đăng nhập

Theo mặc định, WordPress cho phép người dùng cố gắng đăng nhập bao nhiêu lần tùy ý. Điều này khiến trang web WordPress của bạn dễ bị tấn công Brute Force. Tin tặc cố gắng bẻ khóa mật khẩu bằng cách cố gắng đăng nhập bằng các kết hợp khác nhau.

Điều này có thể dễ dàng khắc phục bằng cách hạn chế các lần thử đăng nhập thất bại mà người dùng có thể thực hiện. Nếu bạn đang sử dụng tường lửa ứng dụng web được đề cập trước đó, thì việc này sẽ tự động được quan tâm.  Tuy nhiên, nếu bạn không có thiết lập tường lửa, thì hãy tiến hành các bước bên dưới.

Đầu tiên, bạn cần cài đặt và kích hoạt plugin Đăng nhập LockDown. Sau khi kích hoạt, hãy truy cập Settings > Login LockDown để thiết lập plugin.


4. Thêm xác thực hai yếu tố

Kỹ thuật xác thực hai yếu tố yêu cầu người dùng đăng nhập bằng phương pháp xác thực hai bước. Bước đầu tiên là tên người dùng và mật khẩu, và bước thứ hai yêu cầu bạn xác thực bằng một thiết bị hoặc ứng dụng riêng biệt.

Hầu hết các trang web trực tuyến hàng đầu như Google, Facebook, Twitter, cho phép bạn kích hoạt nó cho tài khoản của mình. Bạn cũng có thể thêm chức năng tương tự vào trang web WordPress của mình.

Trước tiên, bạn cần cài đặt và kích hoạt plugin Two Factor Authentication. Sau khi kích hoạt, bạn cần nhấp vào liên kết 'Two Factor Authentication' trong thanh bên quản trị WordPress.


Tiếp theo, bạn cần cài đặt và mở một ứng dụng xác thực trên điện thoại của mình. Có một vài trong số chúng có sẵn như Google Authenticator, Authy và LastPass Authenticator.

Chúng tôi khuyên bạn nên sử dụng LastPass Authenticator hoặc Authy vì cả hai đều cho phép bạn sao lưu tài khoản của mình lên đám mây. Điều này rất hữu ích trong trường hợp điện thoại của bạn bị mất, cài lại hoặc bạn mua điện thoại mới. Tất cả thông tin đăng nhập tài khoản của bạn sẽ được khôi phục dễ dàng.

Chúng tôi sẽ sử dụng LastPass Authenticator cho hướng dẫn. Tuy nhiên, hướng dẫn là tương tự cho tất cả các ứng dụng auth. Mở ứng dụng xác thực của bạn, rồi bấm vào nút Thêm.


Bạn sẽ được hỏi nếu bạn muốn quét một trang web bằng tay hoặc quét mã vạch. Chọn tùy chọn mã vạch quét và sau đó trỏ camera điện thoại của bạn vào Mã QR được hiển thị trên trang cài đặt của plugin.

Đó là tất cả, ứng dụng xác thực của bạn bây giờ sẽ lưu nó. Lần tới khi bạn đăng nhập vào trang web của mình, bạn sẽ được yêu cầu mã xác thực hai yếu tố sau khi bạn nhập mật khẩu.


Chỉ cần mở ứng dụng xác thực trên điện thoại của bạn và nhập mã bạn thấy trên đó.

5. Thay đổi tiền tố cơ sở dữ liệu WordPress

Theo mặc định, WordPress sử dụng wp_ làm tiền tố cho tất cả các bảng trong cơ sở dữ liệu WordPress của bạn. Nếu trang web WordPress của bạn đang sử dụng tiền tố cơ sở dữ liệu mặc định, thì nó sẽ giúp tin tặc dễ đoán tên bảng của bạn hơn. Đây là lý do tại sao chúng tôi khuyên bạn nên thay đổi nó.

Bạn có thể thay đổi tiền tố cơ sở dữ liệu của mình bằng cách làm theo hướng dẫn từng bước của chúng tôi về cách thay đổi tiền tố cơ sở dữ liệu WordPress để cải thiện bảo mật .

Lưu ý: Điều này có thể phá vỡ trang web của bạn nếu nó không được thực hiện đúng. Chỉ tiến hành, nếu bạn cảm thấy thoải mái với các kỹ năng coding của bạn.

6. Mật khẩu bảo vệ trang Quản trị WordPress và Trang đăng nhập


Thông thường, tin tặc có thể truy cập thư mục wp-admin và trang đăng nhập của bạn mà không có bất kỳ hạn chế nào. Điều này cho phép họ thử các thủ thuật hack hoặc chạy các cuộc tấn công DDoS.

Bạn có thể thêm bảo vệ mật khẩu bổ sung ở cấp độ máy chủ, điều này sẽ chặn các yêu cầu đó một cách hiệu quả.

Làm theo hướng dẫn từng bước của chúng tôi về cách mật khẩu bảo vệ thư mục quản trị WordPress (wp-admin) của bạn.

7. Vô hiệu hóa lập chỉ mục và duyệt thư mục, tập tin


Duyệt thư mục, tập tin có thể được sử dụng bởi tin tặc để tìm hiểu xem bạn có bất kỳ tập tin nào có lỗ hổng đã biết hay không, vì vậy chúng có thể tận dụng các tập tin này để có quyền truy cập.

Người dùng cũng có thể sử dụng duyệt thư mục để xem xét các tập tin của bạn, sao chép hình ảnh, tìm hiểu cấu trúc thư mục của bạn và các thông tin khác. Đây là lý do tại sao bạn nên tắt lập chỉ mục và duyệt thư mục.

Bạn cần kết nối với trang web của mình bằng trình quản lý tập tin của FTP hoặc cPanel. Tiếp theo, tìm đến tập tin .htaccess trong thư mục gốc của trang web của bạn. Nếu bạn không thể nhìn thấy nó ở đó, thì hãy tham khảo hướng dẫn của chúng tôi về lý do tại sao bạn không thể xem tệp .htaccess trong WordPress. Sau đó, bạn cần thêm dòng sau vào cuối tập tin .htaccess:

Mã nguồn [Chọn]
Options -Indexes
Đừng quên lưu và tải tập tin .htaccess trở lại trang web của bạn. Để biết thêm về chủ đề này, hãy xem bài viết của chúng tôi về cách vô hiệu hóa duyệt thư mục trong WordPress.

8. Vô hiệu hóa XML-RPC trong WordPress

XML-RPC được bật theo mặc định trong WordPress 3.5 vì nó giúp kết nối trang web WordPress của bạn với các ứng dụng web và di động. Do tính chất mạnh mẽ của nó, XML-RPC có thể khuếch đại đáng kể các cuộc tấn công Brute Force.

Ví dụ: theo truyền thống, nếu một hacker muốn thử 500 mật khẩu khác nhau trên trang web của bạn, họ sẽ phải thực hiện 500 lần đăng nhập riêng biệt sẽ bị bắt và chặn bởi plugin khóa đăng nhập. Nhưng với XML-RPC, một hacker có thể sử dụng chức năng system.multicall để thử hàng ngàn mật khẩu với 20 hoặc 50 yêu cầu. Đây là lý do tại sao nếu bạn không sử dụng XML-RPC, thì chúng tôi khuyên bạn nên tắt nó.

Có 3 cách để vô hiệu hóa XML-RPC trong WordPress và chúng tôi đã trình bày tất cả chúng trong hướng dẫn từng bước về cách vô hiệu hóa XML-RPC trong WordPress.

Mẹo: Phương thức .htaccess là phương pháp tốt nhất vì nó tốn ít tài nguyên nhất. Nếu bạn đang sử dụng tường lửa ứng dụng web được đề cập trước đó, thì điều này có thể được tường lửa xử lý.

9. Tự động đăng xuất người dùng ở chế độ không sử dụng trong WordPress

Người dùng đã đăng nhập đôi khi có thể đi lang thang khỏi màn hình và điều này gây rủi ro bảo mật. Ai đó có thể chiếm quyền điều khiển phiên của họ, thay đổi mật khẩu hoặc thay đổi tài khoản của họ. Đây là lý do tại sao nhiều trang web tài chính ngân hàng tự động đăng xuất một người dùng không hoạt động. Bạn cũng có thể thực hiện chức năng tương tự trên trang web WordPress của mình.

Bạn sẽ cần cài đặt và kích hoạt plugin Inactive Logout. Khi kích hoạt, hãy truy cập Setting > Inactive Logout để cấu hình cài đặt plugin.


Chỉ cần đặt thời lượng và thêm một thông báo đăng xuất. Đừng quên nhấp vào nút lưu thay đổi để lưu trữ cài đặt của bạn.

10. Thêm câu hỏi bảo mật vào màn hình đăng nhập WordPress


Thêm một câu hỏi bảo mật vào màn hình đăng nhập WordPress của bạn khiến người khác khó truy cập trái phép hơn. Bạn có thể thêm câu hỏi bảo mật bằng cách cài đặt plugin WP Security Questions. Khi kích hoạt, bạn cần truy cập trang Setting > WP Security Questions để cấu hình cài đặt plugin.

Để biết hướng dẫn chi tiết hơn, hãy xem hướng dẫn của chúng tôi về cách thêm câu hỏi bảo mật vào màn hình đăng nhập WordPress.

11. Quét WordPress để tìm phần mềm độc hại và Vulnerabflower


Nếu bạn đã cài đặt plugin bảo mật WordPress, thì các plugin đó sẽ thường xuyên kiểm tra phần mềm độc hại và các dấu hiệu vi phạm bảo mật. Tuy nhiên, nếu bạn thấy lưu lượng truy cập trang web hoặc bảng xếp hạng tìm kiếm giảm đột ngột, thì bạn có thể muốn chạy quét theo cách thủ công. Bạn có thể sử dụng plugin bảo mật WordPress của mình hoặc sử dụng một trong những trình quét phần mềm độc hại và bảo mật này.

Chạy các quét trực tuyến này khá đơn giản, bạn chỉ cần nhập URL trang web của bạn và trình thu thập thông tin của họ đi qua trang web của bạn để tìm phần mềm độc hại và mã độc đã biết. Bây giờ hãy nhớ rằng hầu hết các máy quét bảo mật WordPress chỉ có thể quét trang web của bạn. Chúng không thể xóa phần mềm độc hại hoặc xóa một trang web WordPress bị hack.

Điều này đưa chúng ta đến phần tiếp theo, dọn dẹp phần mềm độc hại và các trang web WordPress bị tấn công.

12. Sửa một trang web WordPress bị hack

Nhiều người dùng WordPress không nhận ra tầm quan trọng của sao lưu và bảo mật trang web cho đến khi trang web của họ bị hack. Làm sạch một trang web WordPress có thể rất khó khăn và tốn thời gian. Lời khuyên đầu tiên của chúng tôi là hãy để một chuyên gia chăm sóc nó.

Tin tặc cài đặt các cửa hậu backdoor trên các trang bị ảnh nhiễm và nếu các cửa hậu này không được sửa đúng cách, thì trang web của bạn có thể sẽ bị hack nhiều lần nữa.

Cho phép một công ty bảo mật chuyên nghiệp như Sucuri sửa chữa trang web của bạn sẽ đảm bảo rằng trang web của bạn an toàn để sử dụng lại. Nó cũng sẽ bảo vệ bạn trước mọi cuộc tấn công trong tương lai. Đối với người dùng thích phiêu lưu và DIY, chúng tôi đã biên soạn hướng dẫn từng bước về cách sửa một trang web WordPress bị hack.

Đó là tất cả, chúng tôi hy vọng bài viết này đã giúp bạn tìm hiểu các thực tiễn tốt nhất về bảo mật WordPress cũng như khám phá các plugin bảo mật WordPress tốt nhất cho trang web của bạn.