Cách bảo mật WordPress cơ bản

Tác giả Network Engineer, T.M.Hai 10, 2021, 05:39:24 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Cách bảo mật WordPress cơ bản


WordPress là Hệ thống quản lý nội dung (CMS) phổ biến nhất và cung cấp hơn 30% trang web. Tuy nhiên, khi nó phát triển, tin tặc đã lưu ý và bắt đầu nhắm mục tiêu cụ thể vào các trang web WordPress. Cho dù trang web của bạn cung cấp những loại nội dung nào, bạn cũng không phải là một ngoại lệ. Nếu bạn không thực hiện các biện pháp phòng ngừa nhất định, bạn có thể bị tấn công. Giống như mọi thứ liên quan đến công nghệ, bạn cần kiểm tra bảo mật trang web của mình.

Trong hướng dẫn này, mình sẽ chia sẻ các cách hay nhất và dễ nhất để giữ an toàn cho trang web WordPress của bạn.

1. Chọn một công ty lưu trữ tốt

Cách đơn giản nhất để giữ an toàn cho trang web của bạn là sử dụng nhà cung cấp dịch vụ lưu trữ cung cấp nhiều lớp bảo mật.

Có vẻ hấp dẫn khi sử dụng một nhà cung cấp dịch vụ lưu trữ giá rẻ, vì sau tất cả, tiết kiệm tiền cho việc lưu trữ trang web của bạn có nghĩa là bạn có thể chi tiêu nó ở nơi khác trong tổ chức của mình. Tuy nhiên, đừng bị cám dỗ bởi con đường này. Nó có thể, và thường gây ra những cơn ác mộng trên đường. Dữ liệu của bạn có thể bị xóa hoàn toàn và url của trang web bạn có thể bắt đầu chuyển hướng đến một nơi khác.

Trả nhiều hơn một chút cho một công ty lưu trữ chất lượng có nghĩa là các lớp bảo mật bổ sung sẽ tự động được quy cho trang web của bạn. Một lợi ích bổ sung, bằng cách sử dụng một dịch vụ lưu trữ WordPress tốt, bạn có thể tăng tốc đáng kể trang web WordPress của mình.

Mặc dù có nhiều công ty lưu trữ trên mạng, mình khuyên bạn nên sử dụng những nhà cung cấp hàng đầu. Họ cung cấp nhiều tính năng bảo mật, bao gồm quét phần mềm độc hại hàng ngày và truy cập để hỗ trợ 24/7, 365 ngày một năm.

2. Không sử dụng các giao diện, plugin mà không rõ nguồn gốc (Nulled Themes, Nulled Plugins)

Các giao diện cao cấp của WordPress trông chuyên nghiệp hơn và có nhiều tùy chọn tùy chỉnh hơn một giao diện miễn phí. Nhưng người ta có thể tranh luận rằng bạn nhận được những gì bạn phải trả. Các giao diện cao cấp được lập trình bởi các nhà phát triển có tay nghề cao và được kiểm tra để vượt qua nhiều lần kiểm tra WordPress ngay khi xuất xưởng. Không có giới hạn nào đối với việc tùy chỉnh giao diện của bạn và bạn sẽ được hỗ trợ đầy đủ nếu có vấn đề gì xảy ra trên trang web của bạn. Hầu hết tất cả bạn sẽ nhận được các bản cập nhật giao diện thường xuyên.

Tuy nhiên, có một số trang web cung cấp các giao diện ăn cắp hoặc bị bẻ khóa. Giao diện Nulled hoặc giao diện bẻ khóa là phiên bản bị tấn công của giao diện cao cấp, có sẵn thông qua các phương tiện bất hợp pháp. Chúng cũng rất nguy hiểm cho trang web của bạn. Những giao diện đó chứa mã độc hại tiềm ẩn, có thể phá hủy trang web và cơ sở dữ liệu của bạn hoặc ghi lại thông tin đăng nhập quản trị của bạn.

Mặc dù có thể hấp dẫn để tiết kiệm một vài đô la, nhưng hãy luôn tránh các giao diện bẻ khóa kiểu này.

3. Cài đặt một plugin bảo mật WordPress

Việc thường xuyên kiểm tra bảo mật trang web của bạn để tìm phần mềm độc hại là một công việc tốn nhiều thời gian và trừ khi bạn thường xuyên cập nhật kiến ​​thức về các phương pháp viết mã, bạn thậm chí có thể không nhận ra rằng mình đang xem một phần mềm độc hại được viết trong mã. May mắn thay, những người khác đã nhận ra rằng không phải ai cũng là nhà phát triển và đã đưa ra các plugin bảo mật WordPress để trợ giúp. Một plugin bảo mật chăm sóc bảo mật trang web của bạn, quét phần mềm độc hại và giám sát trang web của bạn 24/7 để thường xuyên kiểm tra những gì đang xảy ra trên trang web của bạn.

  Đăng nhập để xem liên kết là một plugin bảo mật WordPress tuyệt vời. Họ cung cấp kiểm tra hoạt động bảo mật, giám sát tính toàn vẹn của tập tin, quét phần mềm độc hại từ xa, theo dõi danh sách đen, tăng cường bảo mật hiệu quả, các hành động bảo mật sau hack, thông báo bảo mật và thậm chí có cả tường lửa trang web (trả phí)

4. Sử dụng mật khẩu mạnh

Mật khẩu là một phần rất quan trọng trong bảo mật trang web và rất tiếc thường bị bỏ qua. Nếu bạn đang sử dụng mật khẩu thuần túy, tức là '123456, abc123, password', bạn cần phải thay đổi mật khẩu của mình ngay lập tức. Mặc dù mật khẩu này có thể dễ nhớ nhưng cũng cực kỳ dễ đoán. Người dùng nâng cao có thể dễ dàng bẻ khóa mật khẩu của bạn và truy cập mà không gặp nhiều rắc rối.

Điều quan trọng là bạn phải sử dụng mật khẩu phức tạp hoặc tốt hơn là mật khẩu được tạo tự động với nhiều số, kết hợp chữ cái vô nghĩa và các ký tự đặc biệt như % hoặc ^

5. Tắt chỉnh sửa tập tin

Khi bạn thiết lập trang web WordPress của mình, có một chức năng chỉnh sửa mã trong trang Dashboard của bạn, cho phép bạn chỉnh sửa giao diện và plugin của mình. Nó có thể được truy cập bằng cách đi tới Appearance >> Editor. Một cách khác bạn có thể tìm thấy trình chỉnh sửa plugin là vào trong Plugins >> Editor.


Sau khi trang web của bạn hoạt động, mình khuyên bạn nên tắt tính năng này. Nếu bất kỳ tin tặc nào giành được quyền truy cập vào bảng điều khiển quản trị WordPress của bạn, họ có thể đưa mã độc hại tinh vi vào giao diện và plugin của bạn. Thông thường, mã độc sẽ rất tinh vi, bạn có thể không nhận thấy bất kỳ điều gì sai sót cho đến khi quá muộn.

Để tắt khả năng chỉnh sửa plugin và tập tin giao diện, chỉ cần dán đoạn mã sau vào tập tin wp-config.php của bạn.

Mã nguồn [Chọn]
define('DISALLOW_FILE_EDIT', true);
6. Cài đặt chứng chỉ SSL

Ngày nay, Single Sockets Layer (SSL) có lợi cho tất cả các loại trang web. Ban đầu, SSL là cần thiết để làm cho một trang web an toàn cho các giao dịch cụ thể, chẳng hạn như xử lý các khoản thanh toán. Tuy nhiên, ngày nay, Google đã nhận ra tầm quan trọng của nó và cung cấp cho các trang web có chứng chỉ SSL một vị trí quan trọng hơn trong kết quả tìm kiếm của nó.

SSL là bắt buộc đối với bất kỳ trang web nào xử lý thông tin nhạy cảm, tức là mật khẩu hoặc chi tiết thẻ tín dụng. Nếu không có chứng chỉ SSL, tất cả dữ liệu giữa trình duyệt web của người dùng và máy chủ web của bạn sẽ được gửi ở dạng văn bản thuần túy. Điều này có thể được đọc bởi tin tặc. Bằng cách sử dụng SSL, thông tin nhạy cảm sẽ được mã hóa trước khi được chuyển giữa trình duyệt của họ và máy chủ của bạn, khiến việc đọc trở nên khó khăn hơn và làm cho trang web của bạn an toàn hơn.

Đối với các trang web chấp nhận thông tin nhạy cảm, giá SSL trung bình là khoảng $70- $199 mỗi năm. Nếu bạn không chấp nhận bất kỳ thông tin nhạy cảm nào, bạn không cần phải trả tiền cho chứng chỉ SSL. Hầu hết mọi công ty lưu trữ đều cung cấp chứng chỉ SSL Let's Encrypt miễn phí mà bạn có thể cài đặt trên trang web của mình.

7. Thay đổi URL đăng nhập WordPres của bạn

Theo mặc định, để đăng nhập vào WordPress, địa chỉ là "   Đăng nhập để xem liên kết". Bằng cách để nó làm mặc định, bạn có thể bị nhắm mục tiêu cho một cuộc tấn công brute force nhằm bẻ khóa tổ hợp tên người dùng và mật khẩu của bạn. Nếu bạn chấp nhận người dùng đăng ký tài khoản đăng ký, bạn cũng có thể nhận được rất nhiều đăng ký spam. Để ngăn chặn điều này, bạn có thể thay đổi URL đăng nhập quản trị hoặc thêm câu hỏi bảo mật vào trang đăng ký và đăng nhập.

Bạn có thể bảo vệ thêm trang đăng nhập của mình bằng cách thêm plugin xác thực 2 yếu tố vào WordPress của mình. Khi bạn cố gắng đăng nhập, bạn sẽ cần cung cấp xác thực bổ sung để có thể truy cập trang web của mình. Ví dụ: đó có thể là mật khẩu và email (hoặc văn bản) của bạn. Đây là một tính năng bảo mật nâng cao để ngăn chặn tin tặc truy cập vào trang web của bạn.

Bạn cũng có thể kiểm tra xem địa chỉ IP nào có nhiều lần đăng nhập thất bại nhất, sau đó bạn có thể chặn các địa chỉ IP đó.

8. Giới hạn nỗ lực đăng nhập

Theo mặc định, WordPress cho phép người dùng cố gắng đăng nhập bao nhiêu lần tùy thích. Mặc dù điều này có thể hữu ích nếu bạn thường xuyên quên các chữ cái viết hoa, nhưng nó cũng khiến bạn gặp phải các cuộc tấn công brute force.

Bằng cách giới hạn số lần đăng nhập, người dùng có thể thử một số lần giới hạn cho đến khi chúng tạm thời bị chặn. Giới hạn cơ hội thực hiện hành vi tấn công brute force của bạn vì tin tặc bị khóa trước khi chúng có thể hoàn thành cuộc tấn công của mình.


Bạn có thể kích hoạt điều này một cách dễ dàng với một plugin giới hạn số lần đăng nhập WordPress. Sau khi đã cài đặt plugin, bạn có thể thay đổi số lần đăng nhập thông qua Settings >> Login Limit Attempts. Nếu bạn muốn kích hoạt các nỗ lực đăng nhập mà không cần plugin, bạn cũng có thể làm như vậy.

9. Ẩn các tập tin wp-config.php và .htaccess

Mặc dù đây là một quy trình nâng cao để cải thiện bảo mật cho trang web của bạn, nhưng nếu bạn nghiêm túc về vấn đề bảo mật của mình, bạn nên ẩn các tập tin .htaccesswp-config.php trên trang web của mình để ngăn chặn tin tặc truy cập chúng.

Mình thực sự khuyên các nhà phát triển có kinh nghiệm thực hiện tùy chọn này, nhưng trước tiên bạn cần phải thực hiện một bản sao lưu trang web của mình và sau đó tiến hành một cách thận trọng. Bất kỳ sai sót nào cũng có thể khiến trang web của bạn không thể truy cập được.

Để ẩn các tập tin, sau khi sao lưu, có hai việc bạn cần làm:

Đầu tiên, hãy truy cập tập tin wp-config.php của bạn và thêm mã sau.

Mã nguồn [Chọn]
<Files wp-config.php>
order allow,deny
deny from all
</Files>

Trong một phương pháp tương tự, bạn sẽ thêm mã sau vào tập tin .htaccess của mình.

Mã nguồn [Chọn]
<Files .htaccess>
order allow,deny
deny from all
</Files>

Mặc dù bản thân quá trình này rất dễ dàng, nhưng điều quan trọng là phải đảm bảo bạn có bản sao lưu trước khi bắt đầu trong trường hợp có bất kỳ sự cố nào xảy ra trong quá trình này.

10. Cập nhật phiên bản WordPress của bạn

Luôn cập nhật WordPress của bạn là một phương pháp hay để giữ an toàn cho trang web của bạn. Với mỗi bản cập nhật, các nhà phát triển thực hiện một vài thay đổi, thường là các bản cập nhật cho các tính năng bảo mật. Bằng cách luôn cập nhật phiên bản mới nhất, bạn đang giúp tự bảo vệ mình khỏi trở thành mục tiêu cho những sơ hở và lợi dụng được xác định trước mà tin tặc có thể sử dụng để giành quyền truy cập vào trang web của bạn.

Điều quan trọng nữa là cũng phải cập nhật các plugin và giao diện của bạn vì những lý do tương tự.

Theo mặc định, WordPress tự động tải xuống các bản cập nhật nhỏ. Tuy nhiên, đối với các bản cập nhật lớn, bạn sẽ cần cập nhật trực tiếp từ bảng điều khiển quản trị WordPress của mình.


Bảo mật WordPress là một trong những phần quan trọng của trang web. Nếu bạn không duy trì bảo mật WordPress của mình, tin tặc có thể dễ dàng tấn công trang web của bạn. Duy trì bảo mật trang web của bạn không khó và có thể được thực hiện mà không tốn một xu nào.

Một số giải pháp này dành cho người dùng nâng cao nhưng nếu bạn có bất kỳ câu hỏi nào, hãy vui lòng để lại qua bình luận bên dưới.