VietNetwork.Vn

WordPress là hệ thống quản lý nội dung (CMS) phổ biến nhất, với 43,2% tất cả các trang web chạy trên phần mềm của nó. Thật không may, sự phổ biến của nó thu hút tất cả các loại tội phạm mạng khai thác các lỗ hổng bảo mật của nền tảng.

Điều này không có nghĩa là WordPress có một hệ thống bảo mật kém – vi phạm bảo mật cũng có thể xảy ra do người dùng thiếu nhận thức về bảo mật. Do đó, tốt nhất bạn nên áp dụng các biện pháp bảo mật phòng ngừa trước khi trang web của bạn trở thành mục tiêu của tin tặc.

Chúng tôi sẽ thảo luận về các phương pháp để cải thiện bảo mật WordPress và bảo vệ trang web của bạn khỏi các cuộc tấn công mạng khác nhau. Bài viết sẽ bao gồm các mẹo và phương pháp hay nhất – có hoặc không có plugin WordPress. Một số phương pháp cũng có thể áp dụng cho các nền tảng khác ngoài WordPress.

1. Tại sao bạn cần bảo mật một trang web WordPress?

Nếu trang web WordPress của bạn bị tấn công, bạn có nguy cơ mất dữ liệu, tài sản và uy tín quan trọng. Hơn nữa, những vấn đề bảo mật này có thể gây nguy hiểm cho dữ liệu cá nhân và thông tin thanh toán của khách hàng của bạn.

Chi phí thiệt hại do tội phạm mạng có thể lên tới 10,5 nghìn tỷ USD mỗi năm vào năm 2025. Chắc chắn bạn không muốn trở thành mục tiêu của tin tặc và góp phần vào đó.

Dựa trên Cơ sở dữ liệu về lỗ hổng WPScan, đây là một số loại lỗ hổng bảo mật WordPress phổ biến nhất:

• Giả mạo yêu cầu trên nhiều trang web ( CSRF ) – buộc người dùng thực hiện các hành động không mong muốn trong một ứng dụng web đáng tin cậy.
• Tấn công từ chối dịch vụ ( DDoS ) phân tán – làm vô hiệu hóa các dịch vụ trực tuyến bằng cách tràn ngập chúng bằng các kết nối không mong muốn, do đó khiến một trang web không thể truy cập được.
• Bỏ qua xác thực – cho phép tin tặc truy cập vào tài nguyên trang web của bạn mà không cần xác minh tính xác thực của chúng.
• SQL injection ( SQLi ) – buộc hệ thống thực thi các truy vấn SQL độc hại và thao tác dữ liệu trong cơ sở dữ liệu.
• Tập lệnh chéo trang ( XSS ) – tiêm mã độc biến trang web thành nơi vận chuyển phần mềm độc hại.
• Bao gồm tệp cục bộ ( LFI ) – buộc trang web xử lý các tệp độc hại được đặt trên máy chủ web.

2. Các phương pháp hay nhất chung để cải thiện bảo mật trang web

Trong phần này, chúng ta sẽ xem xét sáu mẹo bảo mật WordPress chung không yêu cầu kiến thức kỹ thuật nâng cao và các khoản đầu tư rủi ro cao. Ngay cả người mới bắt đầu cũng có thể thực hiện những tác vụ đơn giản này, như cập nhật phần mềm WordPress và xóa các giao diện không sử dụng.

2.1. Cập nhật phiên bản WordPress thường xuyên

WordPress phát hành các bản cập nhật phần mềm thường xuyên để cải thiện hiệu suất và bảo mật. Những cập nhật này cũng bảo vệ trang web của bạn khỏi các mối đe dọa trên mạng.

Cập nhật phiên bản WordPress của bạn là một trong những cách đơn giản nhất để cải thiện bảo mật WordPress. Tuy nhiên, gần 50% trang web WordPress đang chạy trên phiên bản WordPress cũ hơn, khiến chúng dễ bị tấn công hơn.

Để kiểm tra xem bạn có phiên bản WordPress mới nhất hay không, hãy mở khu vực quản trị WordPress của bạn và điều hướng đến Bảng điều khiển -> Cập nhật trên bảng menu bên trái. Nếu thông báo cho biết phiên bản của bạn chưa cập nhật, chúng tôi khuyên bạn nên cập nhật phiên bản đó càng sớm càng tốt.


Theo dõi ngày phát hành bản cập nhật trong tương lai để đảm bảo trang web của bạn không chạy phiên bản WordPress lỗi thời.

Chúng tôi cũng khuyên bạn nên cập nhật các giao diện và plugin được cài đặt trên trang web WordPress của mình. Các giao diện và plugin lỗi thời có thể xung đột với phần mềm lõi WordPress mới được cập nhật, gây ra lỗi và dễ bị đe dọa bảo mật.

Thực hiện theo các bước sau để loại bỏ các giao diện và plugin lỗi thời:

• Điều hướng đến bảng quản trị WordPress của bạn và đi tới Bảng điều khiển -> Cập nhật.
• Cuộn xuống phần Plugin và giao diện và kiểm tra danh sách các giao diện và plugin đã sẵn sàng để cập nhật. Lưu ý rằng chúng có thể được cập nhật tất cả cùng một lúc hoặc riêng biệt.
• Nhấp vào Cập nhật plugin.

Kích hoạt cập nhật tự động giúp giảm bớt khối lượng công việc của bạn, nhưng nó có thể làm hỏng trang web của bạn do không tương thích với các plugin hoặc giao diện cũ hơn. Nếu bạn bật tùy chọn này, hãy đảm bảo rằng trang web của bạn được sao lưu thường xuyên để bạn có thể quay lại phiên bản trước trong trường hợp xảy ra lỗi.

2.2. Sử dụng thông tin đăng nhập WP-Admin an toàn

Một trong những lỗi phổ biến nhất mà người dùng mắc phải là sử dụng tên người dùng dễ đoán, chẳng hạn như "admin", "administrator" hoặc "test". Điều này khiến trang web của bạn có nguy cơ cao bị tấn công vũ phu. Hơn nữa, những kẻ tấn công cũng sử dụng kiểu tấn công này để nhắm mục tiêu các trang web WordPress không có mật khẩu mạnh.

Do đó, chúng tôi khuyên bạn nên đặt tên người dùng và mật khẩu của mình là duy nhất và phức tạp hơn.

Ngoài ra, hãy làm theo các bước sau để tạo tài khoản quản trị viên WordPress mới với tên người dùng mới:

• Từ Bảng điều khiển WordPress của bạn, điều hướng đến Người dùng -> Thêm mới.

• Tạo một người dùng mới và gán cho nó vai trò Quản trị viên. Thêm mật khẩu và nhấn nút Thêm người dùng mới sau khi bạn hoàn tất.

Kết hợp số, ký hiệu, chữ hoa và chữ thường vào mật khẩu của bạn. Chúng tôi cũng khuyên bạn nên sử dụng nhiều hơn 12 ký tự vì mật khẩu dài hơn sẽ khó bẻ khóa hơn.

Mật khẩu càng dài – càng an toàn. Tuy nhiên, mật khẩu mạnh không nhất thiết phải dài và phức tạp – hãy sử dụng các ký hiệu và số đặc biệt thay vì các chữ cái quen thuộc. Ví dụ: 41@bAm@! thay vì Alabama! dễ nhớ lại và khó bẻ khóa hơn. Ngoài ra, hãy sử dụng một mẫu trên bàn phím thay vì các từ thực tế, chẳng hạn như qpzmwoxn. Ngoài ra, hãy kết hợp cả hai để tạo mật khẩu mạnh hơn.

Nếu bạn cần trợ giúp tạo mật khẩu mạnh, hãy sử dụng các công cụ trực tuyến như LastPass và 1Password. Bạn cũng có thể sử dụng dịch vụ quản lý mật khẩu của họ để lưu trữ mật khẩu mạnh một cách an toàn. Bằng cách đó, bạn không cần phải ghi nhớ chúng.


Sau khi tạo tên người dùng quản trị viên WordPress mới, bạn sẽ cần xóa tên người dùng quản trị viên cũ của mình. Dưới đây là các bước để làm như vậy:

• Đăng nhập bằng thông tin đăng nhập người dùng WordPress mới được tạo của bạn.
• Điều hướng đến Người dùng -> Tất cả người dùng.

• Chọn tài khoản quản trị cũ mà bạn muốn xóa. Thay đổi menu thả xuống Hành động hàng loạt thành Xóa và nhấp vào Áp dụng.

Để giữ an toàn cho trang web của bạn, điều quan trọng là phải kiểm tra mạng trước khi đăng nhập. Nếu bạn vô tình kết nối với Hotspot Honeypot, một mạng do tin tặc điều hành, bạn có nguy cơ bị rò rỉ thông tin đăng nhập cho người điều hành.

Ngay cả các mạng công cộng như WiFi của thư viện trường học cũng có thể không an toàn như vẻ ngoài của nó. Tin tặc có thể chặn kết nối của bạn và đánh cắp dữ liệu không được mã hóa, bao gồm cả thông tin đăng nhập.

Vì lý do đó, chúng tôi khuyên bạn nên sử dụng VPN khi bạn kết nối với mạng công cộng. Nó cung cấp một lớp mã hóa cho kết nối, khiến việc chặn dữ liệu và bảo vệ các hoạt động trực tuyến của bạn trở nên khó khăn hơn.

2.3. Thiết lập Safelist và Blocklist cho Trang quản trị

Kích hoạt khóa URL bảo vệ trang đăng nhập của bạn khỏi các địa chỉ IP trái phép và các cuộc tấn công vũ phu. Để làm được điều đó, bạn cần có dịch vụ tường lửa ứng dụng web (WAF) chẳng hạn như Cloudflare hoặc Sucuri.

Sử dụng Cloudflare, có thể định cấu hình quy tắc khóa vùng. Nó chỉ định các URL bạn muốn khóa và dải IP được phép truy cập các URL này. Bất kỳ ai nằm ngoài phạm vi IP được chỉ định sẽ không thể truy cập chúng.

Sucuri có một tính năng tương tự được gọi là danh sách đen đường dẫn URL. Đầu tiên, bạn thêm URL trang đăng nhập vào danh sách chặn để không ai có thể truy cập được. Sau đó, bạn liệt kê các địa chỉ IP được ủy quyền an toàn để truy cập trang đăng nhập.

Ngoài ra, hạn chế quyền truy cập vào trang đăng nhập của bạn bằng cách định cấu hình tệp.htaccess của trang web của bạn. Điều hướng đến thư mục gốc của bạn để truy cập tệp.

Quan trọng: Trước khi thực hiện bất kỳ thay đổi nào, chúng tôi thực sự khuyên bạn nên sao lưu tệp.htaccess cũ. Nếu xảy ra sự cố, bạn sẽ có thể khôi phục lại trang web của mình một cách dễ dàng.

Việc thêm quy tắc này vào.htaccess của bạn sẽ giới hạn quyền truy cập vào wp-login.php của bạn chỉ với một IP. Do đó, những kẻ tấn công sẽ không thể truy cập vào trang đăng nhập của bạn từ các vị trí khác.

# Block IPs for login Apache 2.2
<files /wp-login.php>
order deny,allow
allow from MYIP
allow from MYIP2
deny from all
</files>
# Block IPS for login Apache 2.4
<Files "wp-login.php">
Require all denied
</Files>
Quy tắc này nên được đặt sau các câu lệnh # BEGIN WordPress và # END WordPress, như hình bên dưới.


Quy tắc này áp dụng ngay cả khi bạn không có IP tĩnh, vì bạn có thể hạn chế đăng nhập trong phạm vi chung của ISP.

Bạn cũng có thể sử dụng quy tắc này để hạn chế các URL được xác thực khác, chẳng hạn như /wp-admin.

Lưu ý rằng danh sách chặn chỉ có hiệu quả đối với các mối đe dọa đã biết. Tin tặc có thể thiết kế phần mềm độc hại đặc biệt để tránh bị các công cụ sử dụng hệ thống danh sách chặn phát hiện. Mặc dù danh sách an toàn mang lại khả năng bảo mật mạnh mẽ hơn nhưng việc triển khai cũng có thể phức tạp hơn, đặc biệt nếu bạn muốn bên thứ ba thực hiện việc đó – họ sẽ cần thông tin về tất cả các ứng dụng bạn sử dụng.

2.4. Sử dụng các giao diện WordPress đáng tin cậy


Các giao diện WordPress không có giá trị là các phiên bản trái phép của các giao diện cao cấp ban đầu. Trong hầu hết các trường hợp, các giao diện này được bán với giá thấp hơn để thu hút người dùng. Tuy nhiên, họ thường có nhiều vấn đề bảo mật.

Thông thường, các nhà cung cấp giao diện nulled là tin tặc đã tấn công giao diện cao cấp ban đầu và chèn mã độc hại, bao gồm phần mềm độc hại và liên kết spam. Hơn nữa, các giao diện này có thể là cửa hậu cho các hoạt động khai thác khác có thể gây nguy hiểm cho trang web WordPress của bạn.

Vì các giao diện nulled được phân phối bất hợp pháp nên người dùng của họ không nhận được bất kỳ sự hỗ trợ nào từ các nhà phát triển. Điều này có nghĩa là nếu trang web của bạn có bất kỳ sự cố nào, bạn sẽ phải tìm ra cách khắc phục chúng và tự bảo mật trang web WordPress của mình.

Để tránh trở thành mục tiêu của tin tặc, chúng tôi khuyên bạn nên chọn một giao diện WordPress từ kho lưu trữ chính thức hoặc từ các nhà phát triển đáng tin cậy. Ngoài ra, hãy kiểm tra các giao diện của bên thứ ba trong các thị trường giao diện chính thức, chẳng hạn như ThemeForest, nơi có sẵn hàng nghìn giao diện cao cấp.

2.5. Cài đặt chứng chỉ SSL


Lớp cổng bảo mật (SSL) là một giao thức truyền dữ liệu mã hóa dữ liệu được trao đổi giữa trang web và khách truy cập, khiến kẻ tấn công khó đánh cắp thông tin quan trọng hơn.

Ngoài ra, chứng chỉ SSL cũng tăng cường tối ưu hóa công cụ tìm kiếm (SEO) của trang web WordPress, giúp trang web có được nhiều khách truy cập hơn.

Các trang web được cài đặt chứng chỉ SSL sẽ sử dụng HTTPS thay vì HTTP, vì vậy rất dễ xác định chúng.

Hầu hết các công ty lưu trữ bao gồm SSL với kế hoạch của họ. Ví dụ: Hầu hết các nhà cung cấp dịch vụ web shared hosting đều cung cấp chứng chỉ SSL Let's Encrypt miễn phí trên tất cả các gói dịch vụ lưu trữ của mình.

Khi bạn đã cài đặt chứng chỉ SSL trên tài khoản lưu trữ của mình, hãy kích hoạt nó trên trang web WordPress của bạn.

Các plugin như SSL thực sự đơn giản hoặc SSL Insecure Content Fixer có thể xử lý các khía cạnh kỹ thuật và kích hoạt SSL trong một vài cú nhấp chuột. Phiên bản cao cấp của SSL thực sự đơn giản có thể kích hoạt các tiêu đề HTTP Strict Transport Security để thực thi việc sử dụng HTTPS khi truy cập trang web.

Sau khi hoàn tất, hãy thay đổi URL trang web của bạn từ HTTP thành HTTPS. Để làm như vậy, hãy điều hướng đến Cài đặt -> Chung và tìm trường Địa chỉ Trang web (URL) để thay đổi URL của nó.

2.6. Xóa các plugin và giao diện WordPress không sử dụng

Giữ các plugin và giao diện không sử dụng trên trang web có thể gây hại, đặc biệt nếu các plugin và giao diện chưa được cập nhật. Các plugin và giao diện lỗi thời làm tăng nguy cơ bị tấn công mạng vì tin tặc có thể sử dụng chúng để truy cập vào trang web của bạn.

Thực hiện theo các bước sau để xóa plugin WordPress không sử dụng:

• Điều hướng đến Plugin -> Plugin đã cài đặt.
• Bạn sẽ thấy danh sách tất cả các plugin đã cài đặt. Nhấp vào Xóa bên dưới tên plugin.

Lưu ý rằng nút xóa sẽ chỉ khả dụng sau khi tắt plugin.

Trong khi đó, đây là các bước để xóa một giao diện không sử dụng :

• Từ bảng điều khiển quản trị viên WordPress của bạn, đi tới Giao diện -> giao diện.
• Nhấp vào giao diện bạn muốn xóa.
• Một cửa sổ bật lên sẽ xuất hiện, hiển thị chi tiết giao diện. Nhấp vào nút Xóa ở góc dưới cùng bên phải.

Khi xóa một plugin hoặc giao diện WordPress phổ biến khỏi bảng điều khiển WordPress của bạn, bạn có thể không có tùy chọn sử dụng trình gỡ cài đặt tùy chỉnh, nơi bạn có thể chọn xóa hoàn toàn tất cả dữ liệu liên quan đến plugin hoặc giao diện đó. Trong trường hợp này, bạn sẽ cần thực hiện thông qua ứng dụng khách FTP bằng cách truy cập cơ sở dữ liệu của mình và xóa thủ công plugin hoặc mục nhập giao diện.

3. Cách sử dụng plugin bảo mật WordPress

Phương pháp tiếp theo để cải thiện bảo mật WordPress là sử dụng các plugin WordPress.

Đó là một cách thuận tiện để bảo vệ trang web của bạn, nhưng hãy nhớ không cài đặt tất cả các plugin này cùng một lúc mà không xem xét thêm vì quá nhiều plugin có thể làm chậm trang web của bạn.

Đầu tiên, xác định nhu cầu của bạn để chọn plugin hiệu quả nhất cho trang web của bạn.

3.1. Kích hoạt xác thực hai yếu tố cho WP-Admin

Kích hoạt xác thực hai yếu tố (2FA) để củng cố quá trình đăng nhập trên trang web WordPress của bạn. Phương thức xác thực này thêm một lớp bảo mật WordPress thứ hai vào trang đăng nhập, vì nó yêu cầu bạn nhập một mã duy nhất để hoàn tất quá trình đăng nhập.

Mã này chỉ có sẵn cho bạn qua tin nhắn văn bản hoặc ứng dụng xác thực của bên thứ ba.

Để áp dụng 2FA trên trang web WordPress của bạn, hãy cài đặt plugin bảo mật đăng nhập như Bảo mật đăng nhập Wordfence. Ngoài ra, bạn sẽ cần cài đặt ứng dụng xác thực của bên thứ ba, chẳng hạn như Google Authenticator trên điện thoại di động của mình.

Nếu bạn không chắc nên sử dụng plugin xác thực hai yếu tố nào, hãy chọn plugin được đánh giá và cập nhật thường xuyên nhất.

Khi bạn đã cài đặt plugin và ứng dụng xác thực, hãy làm theo các bước sau để bật xác thực hai yếu tố:

• Truy cập trang plugin trên quản trị viên WordPress của bạn. Nếu bạn đang sử dụng Bảo mật đăng nhập Wordfence, hãy điều hướng đến menu Bảo mật đăng nhập trên bảng menu bên trái.
• Mở tab Xác thực hai yếu tố.

• Sử dụng ứng dụng trên điện thoại di động của bạn để quét mã QR hoặc nhập khóa kích hoạt.
• Nhập mã được tạo trên ứng dụng điện thoại di động của bạn vào trường có sẵn trong phần mã khôi phục.
• Nhấp vào nút KÍCH HOẠT để hoàn tất thiết lập.

Ngoài ra, hãy tải xuống mã khôi phục được cung cấp trong trường hợp bạn mất quyền truy cập vào thiết bị chứa ứng dụng xác thực.

3.2. Sao lưu WordPress thường xuyên

Thường xuyên tạo bản sao lưu trang web WordPress là một nhiệm vụ giảm thiểu quan trọng vì nó sẽ giúp bạn khôi phục trang web của mình sau các sự cố, chẳng hạn như tấn công mạng hoặc thiệt hại vật lý đối với trung tâm dữ liệu. Tệp sao lưu phải bao gồm toàn bộ tệp cài đặt WordPress của bạn, như cơ sở dữ liệu của bạn và các tệp cốt lõi của WordPress.

Với WordPress, việc sao lưu một trang web có thể được thực hiện bằng cách sử dụng plugin như All-in-One WP Migration. Thực hiện theo các bước sau để tạo tệp sao lưu với plugin này:

• Cài đặt và kích hoạt plugin.
• Điều hướng đến menu All-in-One WP Migration ở bảng menu bên trái.
• Chọn Sao lưu.
• Nhấp vào Tạo bản sao lưu.

• Sau khi sao lưu được tạo, nó sẽ xuất hiện trong danh sách trên trang Sao lưu.

• Tải xuống và lưu bản sao lưu vào bộ lưu trữ. Để làm như vậy, hãy đi tới All-in-One WP Migration -> Export.
• Nhấp vào menu thả xuống XUẤT SANG, chọn Tệp. Điều này sẽ tạo ra một bản sao lưu cho trang web của bạn.

• Sau khi quá trình hoàn tất, hãy nhấp vào liên kết tải xuống và lưu bản sao lưu trang web của bạn vào bộ lưu trữ an toàn được chỉ định, tốt nhất là không phải vị trí trên cùng một máy chủ với trang web của bạn. Điều này là do các bản sao lưu được lưu trữ trên máy chủ web của bạn có thể truy cập công khai, khiến nó dễ bị tấn công mạng.

Trong trường hợp xảy ra sự cố, bạn có thể khôi phục trang web WordPress của mình bằng công cụ nhập của All-in-One WP Migration.

Hầu hết các nhà cung cấp dịch vụ web shared hosting đều có thể tạo bản sao lưu mà không cần plugin WordPress bằng cách sử dụng tính năng sao lưu của hPanel.

Tôi không khuyên bạn nên lưu trữ các bản sao lưu trang web trên máy tính cá nhân. Thay vào đó, hãy sử dụng các ứng dụng lưu trữ như Google Drive. Nhưng nếu bạn quyết định làm như vậy, cách tốt nhất là lưu trữ nó ở ít nhất ba vị trí, chẳng hạn như máy tính, ổ flash USB và bộ nhớ ngoài như Dropbox.

3.3. Giới hạn số lần đăng nhập

WordPress cho phép người dùng thực hiện số lần thử đăng nhập không giới hạn trên trang web. Thật không may, tin tặc có thể đột nhập vào khu vực quản trị WordPress của bạn bằng cách sử dụng nhiều tổ hợp mật khẩu khác nhau cho đến khi chúng tìm được mật khẩu phù hợp.

Vì vậy, bạn nên hạn chế các lần đăng nhập để ngăn chặn các cuộc tấn công như vậy trên trang web. Hạn chế các lần thử không thành công cũng giúp giám sát mọi hoạt động đáng ngờ trên trang web của bạn.

Hầu hết người dùng chỉ cần một lần thử hoặc một vài lần thử không thành công, vì vậy bạn nên nghi ngờ bất kỳ địa chỉ IP đáng ngờ nào đạt đến giới hạn lần thử.

Một cách để hạn chế số lần đăng nhập nhằm tăng cường bảo mật cho WordPress là sử dụng plugin. Có rất nhiều lựa chọn tuyệt vời có sẵn, chẳng hạn như:

• Giới hạn số lần đăng nhập lại – định cấu hình số lần đăng nhập không thành công cho các địa chỉ IP cụ thể, thêm người dùng vào danh sách an toàn hoặc chặn họ hoàn toàn và thông báo cho người dùng trang web về thời gian khóa còn lại.
• Trình đăng nhập – cung cấp các tính năng bảo mật đăng nhập như 2FA, reCAPTCHA và các câu hỏi thử thách đăng nhập.
• Hạn chế số lần đăng nhập của BestWebSoft – tự động chặn các địa chỉ IP đạt đến giới hạn số lần đăng nhập và thêm chúng vào danh sách từ chối.

Một trong những rủi ro khi triển khai biện pháp bảo mật WordPress này là khiến người dùng hợp pháp bị khóa khỏi quản trị viên WordPress. Tuy nhiên, bạn không nên lo lắng về điều đó, vì có nhiều cách để khôi phục tài khoản WordPress bị khóa.

3.4. Thay đổi URL trang đăng nhập WordPress

Để tiến thêm một bước nhằm bảo vệ trang web của bạn khỏi các cuộc tấn công vũ phu, hãy xem xét việc thay đổi URL của trang đăng nhập.

Tất cả các trang web WordPress đều có cùng một URL đăng nhập mặc định –   Đăng nhập để xem liên kết. Sử dụng URL đăng nhập mặc định giúp tin tặc dễ dàng nhắm mục tiêu trang đăng nhập của bạn.

Các plugin như Ẩn đăng nhập WPS và Thay đổi đăng nhập wp-admin cho phép cài đặt URL đăng nhập tùy chỉnh.

Nếu bạn sử dụng plugin Ẩn đăng nhập WPS, đây là các bước để thay đổi URL trang đăng nhập WordPress của bạn:

• Trên bảng điều khiển của bạn, đi tới Cài đặt -> WPS Ẩn đăng nhập.
• Điền vào trường URL đăng nhập bằng URL đăng nhập tùy chỉnh của bạn.
• Nhấp vào nút Lưu thay đổi để kết thúc quá trình.

3.5. Tự động đăng xuất người dùng nhàn rỗi

Nhiều người dùng quên đăng xuất khỏi trang web và để các phiên của họ chạy. Do đó, cho phép người khác sử dụng cùng một thiết bị truy cập vào tài khoản người dùng của họ và có khả năng khai thác dữ liệu bí mật. Điều này đặc biệt áp dụng cho những người dùng sử dụng máy tính công cộng trong quán cà phê internet hoặc thư viện công cộng.

Do đó, điều quan trọng là phải định cấu hình trang web WordPress của bạn để tự động đăng xuất người dùng không hoạt động. Hầu hết các trang web ngân hàng sử dụng kỹ thuật này để ngăn khách truy cập trái phép truy cập vào trang web của họ, đảm bảo rằng dữ liệu của khách hàng của họ được an toàn.

Sử dụng plugin bảo mật WordPress như Đăng xuất không hoạt động là một trong những cách dễ nhất để tự động đăng xuất tài khoản người dùng nhàn rỗi. Ngoài việc chấm dứt người dùng nhàn rỗi, plugin này cũng có thể gửi thông báo tùy chỉnh để cảnh báo người dùng nhàn rỗi rằng phiên trang web của họ sẽ sớm kết thúc.

3.6. Theo dõi hoạt động của người dùng

Xác định bất kỳ hành động không mong muốn hoặc độc hại nào khiến trang web của bạn gặp nguy hiểm bằng cách theo dõi các hoạt động trong khu vực quản trị của bạn.

Chúng tôi đề xuất phương pháp này cho những người có nhiều người dùng hoặc tác giả truy cập trang web WordPress của họ. Đó là bởi vì người dùng có thể thay đổi cài đặt mà họ không nên làm, chẳng hạn như thay đổi giao diện hoặc định cấu hình plugin.

Bằng cách theo dõi các hoạt động của họ, bạn sẽ biết ai chịu trách nhiệm cho những thay đổi không mong muốn đó và nếu một người không được ủy quyền đã xâm phạm trang web WordPress của bạn.

Cách dễ nhất để theo dõi hoạt động của người dùng là sử dụng plugin WordPress, chẳng hạn như:

• Nhật ký hoạt động WP – theo dõi các thay đổi trên nhiều khu vực trang web, bao gồm bài đăng, trang, giao diện và plugin. Nó cũng ghi nhật ký các tệp mới được thêm vào, tệp đã xóa và sửa đổi đối với bất kỳ tệp nào.
• Nhật ký hoạt động – theo dõi các hoạt động khác nhau trên bảng quản trị WordPress của bạn và cho phép bạn đặt quy tắc cho thông báo qua email.
• Lịch sử đơn giản – ngoài việc ghi nhật ký hoạt động trên quản trị viên WordPress, nó hỗ trợ nhiều plugin của bên thứ ba như Jetpack, WP Crontrol và Beaver Builder, ghi lại tất cả hoạt động liên quan đến chúng.

3.7. Kiểm tra phần mềm độc hại

Viện AV-TEST đăng ký hơn 450.000 phần mềm độc hại mới và các ứng dụng không mong muốn tiềm ẩn (PUA) mỗi ngày. Một số phần mềm độc hại thậm chí còn có tính chất đa hình, nghĩa là chúng có thể tự sửa đổi để tránh bị bảo mật phát hiện.

Do đó, điều quan trọng là phải thường xuyên quét trang web WordPress của bạn để tìm phần mềm độc hại vì những kẻ tấn công luôn phát triển các loại mối đe dọa mới.

May mắn thay, nhiều plugin quét hack WordPress tuyệt vời có thể quét phần mềm độc hại và cải thiện bảo mật WordPress.

Các chuyên gia của chúng tôi khuyên bạn nên cài đặt các plugin bảo mật này trên trang web của mình:

• Wordfence – một plugin bảo mật WordPress phổ biến với các bản cập nhật chữ ký phần mềm độc hại theo thời gian thực và thông báo cảnh báo cho biết liệu một trang web khác có đưa trang web của bạn vào danh sách chặn vì hoạt động đáng ngờ hay không.
• BulletProof Security – giúp bảo mật trang web WordPress của bạn bằng tính năng đăng xuất phiên không hoạt động, các thư mục plugin ẩn không hiển thị trong phần plugin WordPress và các công cụ sao lưu và khôi phục cơ sở dữ liệu.
• Sucuri Security – một trong những plugin bảo mật tốt nhất trên thị trường, cung cấp nhiều chứng chỉ SSL khác nhau, quét phần mềm độc hại từ xa và các tính năng hành động bảo mật sau hack.

Nếu trang web WordPress của bạn bị nhiễm phần mềm độc hại, hãy làm theo các điểm chính sau:

• Đảm bảo luôn truy cập được khu vực wp-admin của bạn, thực hiện quét và loại bỏ phần mềm độc hại.
• Đảm bảo rằng các plugin, giao diện và phần mềm lõi WordPress của bạn được cập nhật.
• Kiểm tra các lỗ hổng trong cơ sở dữ liệu của bạn để xem plugin hoặc giao diện của bạn có được liệt kê ở đó là rủi ro hay không.

4. Cách bảo mật WordPress mà không cần sử dụng plugin

Cũng có thể tăng cường bảo mật trang web của bạn mà không cần sử dụng plugin. Hầu hết các tác vụ này sẽ liên quan đến việc điều chỉnh mã trang web của bạn, nhưng bạn không cần phải lo lắng – chúng tôi sẽ chỉ cho bạn cách thực hiện từng bước.

4.1. Vô hiệu hóa báo cáo lỗi PHP

Báo cáo lỗi PHP hiển thị thông tin đầy đủ về cấu trúc tệp và đường dẫn trang web của bạn, làm cho nó trở thành một tính năng tuyệt vời để theo dõi các tập lệnh PHP của trang web của bạn.

Tuy nhiên, hiển thị các lỗ hổng của trang web của bạn trên phần phụ trợ là một lỗ hổng bảo mật nghiêm trọng của WordPress.

Ví dụ: nếu nó hiển thị một plugin cụ thể có thông báo lỗi xuất hiện, tội phạm mạng có thể sử dụng các lỗ hổng của plugin đó.

Có hai cách để tắt báo cáo lỗi PHP – thông qua tệp PHP hoặc bảng điều khiển của tài khoản lưu trữ của bạn.

Sửa đổi tệp PHP

Thực hiện theo các bước sau để sửa đổi tệp PHP của bạn:

• Mở tệp wp-config.php trên trang web của bạn bằng ứng dụng khách FTP chẳng hạn như FileZilla hoặc Trình quản lý tệp của nhà cung cấp dịch vụ lưu trữ của bạn.
• Thêm đoạn mã sau vào tệp. Đảm bảo thêm nó trước bất kỳ lệnh PHP nào khác.

error_reporting(0);
@ini_set('display_errors', 0);

• Nhấp vào Lưu để áp dụng thay đổi.

Thay đổi cài đặt PHP bằng Bảng điều khiển

Nếu bạn không muốn viết mã, hãy tắt báo cáo lỗi PHP thông qua bảng điều khiển của nhà cung cấp dịch vụ lưu trữ của bạn. Đây là cách thực hiện thông qua hPanel :

• Từ bảng điều khiển hPanel của bạn, điều hướng đến phần Nâng cao. Sau đó, nhấp vào Cấu hình PHP.
• Chuyển đến tab Tùy chọn PHP, bỏ chọn tùy chọn displayErrors.

• Nhấp vào Lưu.

4.2. Di chuyển sang Máy chủ web an toàn hơn

Nhiều biện pháp bảo mật WordPress sẽ không thành vấn đề nếu môi trường lưu trữ dễ bị tấn công mạng. Nhà cung cấp dịch vụ lưu trữ của bạn phải đảm bảo một không gian an toàn cho tất cả dữ liệu và tệp trang web của bạn trên máy chủ của họ, vì vậy, điều quan trọng là phải chọn nhà cung cấp có mức độ bảo mật tuyệt vời.

Nếu bạn cho rằng công ty lưu trữ web hiện tại của mình không đủ an toàn, đã đến lúc chuyển trang web WordPress của bạn sang một nền tảng lưu trữ mới. Đây là những gì bạn cần xem xét khi tìm kiếm một máy chủ lưu trữ web an toàn:

• Loại lưu trữ web – loại lưu trữ chia sẻ và lưu trữ WordPress có xu hướng dễ bị tấn công mạng hơn các loại lưu trữ khác do chia sẻ tài nguyên. Chọn một máy chủ web cũng cung cấp VPS hoặc máy chủ lưu trữ dành riêng để cách ly tài nguyên của bạn.
• Bảo mật – một nhà cung cấp dịch vụ lưu trữ tốt giám sát mạng của mình để tìm hoạt động đáng ngờ và cập nhật định kỳ phần mềm và phần cứng máy chủ. Họ cũng cần có bảo mật máy chủ và bảo vệ chống lại tất cả các loại tấn công mạng.
• Tính năng – bất kể loại lưu trữ nào, việc có các công cụ bảo mật và sao lưu tự động để ngăn chặn phần mềm độc hại là tính năng bắt buộc phải có để bảo vệ trang web WordPress của bạn. Trong trường hợp xấu nhất, bạn sẽ có thể sử dụng nó để khôi phục một trang web bị xâm nhập.
• Hỗ trợ – việc chọn một công ty lưu trữ có nhóm hỗ trợ 24/7 với kiến thức kỹ thuật xuất sắc là điều cần thiết. Họ sẽ giúp bạn bảo vệ dữ liệu của mình và giải quyết mọi vấn đề kỹ thuật và an toàn có thể xảy ra.

Dịch vụ lưu trữ WordPress của các nhà cung cấp dịch vụ web shared hosting đều cung cấp các tài nguyên và tính năng cần thiết để bảo vệ trang web WordPress của bạn, chẳng hạn như tường lửa ứng dụng web và trình quét phần mềm độc hại như Monarx, Imunify AV. Chúng tôi cũng cung cấp các máy chủ riêng ảo và dịch vụ lưu trữ đám mây nếu bạn muốn tách biệt tài nguyên.

4.3. Tắt chỉnh sửa tệp

WordPress có trình chỉnh sửa tệp tích hợp giúp chỉnh sửa tệp WordPress PHP dễ dàng. Tuy nhiên, tính năng này có thể trở thành vấn đề nếu tin tặc giành quyền kiểm soát nó.

Vì lý do này, một số người dùng WordPress muốn tắt tính năng này. Thêm dòng mã sau vào tệp wp-config.php để tắt chỉnh sửa tệp:

define('DISALLOW_FILE_EDIT', true);
Nếu bạn muốn bật lại tính năng này trên trang web WordPress của mình, chỉ cần xóa mã trước đó khỏi wp-config.php bằng ứng dụng khách FTP hoặc Trình quản lý tệp của nhà cung cấp dịch vụ lưu trữ của bạn.

4.4. Hạn chế quyền truy cập bằng tệp.htaccess

Tệp.htaccess đảm bảo rằng các liên kết WordPress hoạt động bình thường. Nếu không có tệp này khai báo đúng quy tắc, bạn sẽ gặp nhiều lỗi 404 Not Found trên trang web của mình.

Hơn nữa,.htaccess có thể chặn quyền truy cập từ các IP cụ thể, hạn chế quyền truy cập vào chỉ một IP và vô hiệu hóa việc thực thi PHP trên các thư mục cụ thể. Dưới đây chúng tôi sẽ chỉ cho bạn cách sử dụng.htaccess để tăng cường bảo mật cho WordPress của bạn.

Quan trọng: Luôn sao lưu tệp.htaccess hiện có của bạn trước khi thực hiện bất kỳ thay đổi nào đối với tệp. Điều này có thể giúp bạn khôi phục lại trang web của mình một cách dễ dàng nếu có sự cố xảy ra.

Vô hiệu hóa thực thi PHP trong các thư mục cụ thể

Tin tặc thường tải các tập lệnh backdoor lên thư mục Tải lên. Theo mặc định, thư mục này chỉ lưu trữ các tệp phương tiện đã tải lên, do đó, nó không được chứa bất kỳ tệp PHP nào.

Để bảo mật trang web WordPress của bạn, hãy tắt thực thi PHP trong thư mục bằng cách tạo tệp.htaccess mới trong /wp-content/uploads/ với các quy tắc sau:

<Files *.php>
deny from all
</Files>
Bảo vệ tệp wp-config.php

Tệp wp-config.php trong thư mục gốc chứa các cài đặt cốt lõi của WordPress và chi tiết cơ sở dữ liệu MySQL. Do đó, tệp thường là mục tiêu chính của tin tặc.

Bảo vệ tệp này và giữ an toàn cho WordPress bằng cách triển khai các quy tắc.htaccess sau:

<files wp-config.php>
order allow,deny
deny from all
</files>
4.5. Thay đổi tiền tố cơ sở dữ liệu WordPress mặc định

Cơ sở dữ liệu WordPress giữ và lưu trữ tất cả thông tin quan trọng cần thiết để trang web của bạn hoạt động. Do đó, tin tặc thường nhắm mục tiêu vào cơ sở dữ liệu bằng các cuộc tấn công SQL injection. Kỹ thuật này đưa mã có hại vào cơ sở dữ liệu và có thể bỏ qua các biện pháp bảo mật của WordPress và truy xuất nội dung cơ sở dữ liệu.

Hơn 50% các cuộc tấn công mạng bao gồm SQL injection, khiến nó trở thành một trong những mối đe dọa lớn nhất. Tin tặc thực hiện cuộc tấn công này vì nhiều người dùng quên thay đổi tiền tố cơ sở dữ liệu mặc định wp_.

Hãy xem xét hai phương pháp mà bạn có thể triển khai để bảo vệ cơ sở dữ liệu WordPress của mình khỏi các cuộc tấn công SQL injection.

Quan trọng: Trước khi tiếp tục, hãy đảm bảo sao lưu cơ sở dữ liệu MySQL của bạn.

Thay đổi tiền tố bảng

• Từ bảng điều khiển hPanel của bạn, điều hướng đến Trình quản lý tệp và mở tệp wp-config.php. Ngoài ra, hãy sử dụng ứng dụng khách FTP để truy cập tệp.
• Tìm kiếm giá trị $table_prefix trong mã.

• Thay thế tiền tố cơ sở dữ liệu WordPress mặc định wp_ bằng tiền tố mới. Sử dụng kết hợp các chữ cái và số để tạo tiền tố duy nhất cho trang web.

• Nhấp vào Lưu & Đóng.
• Quay trở lại bảng điều khiển hPanel, đi tới phần Cơ sở dữ liệu và nhấp vào phpMyAdmin. Sau đó, mở cơ sở dữ liệu của trang web bằng cách nhấp vào Enter phpMyAdmin.

• Nếu bạn có nhiều cơ sở dữ liệu, hãy tìm tên cơ sở dữ liệu trong tệp wp-config.php. Hãy tìm khối mã sau:

// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define( 'DB_NAME', 'MySQL Database' );

• Từ bảng điều khiển phpMyAdmin, điều hướng đến tab SQL ở thanh menu trên cùng.

• Nhập truy vấn sau vào trình chỉnh sửa truy vấn SQL để thay đổi tiền tố cơ sở dữ liệu WordPress của bạn:

RENAME table `wp_tablename` TO `wp_1secure1_tablename`;

• Hãy nhớ thay đổi wp_tablename bằng tên bảng hiện tại của bạn và wp_1secure1_tablename bằng tiền tố và tên bảng mới. Lặp lại dòng mã này dựa trên số lượng bảng bạn muốn đổi tên và chọn Đi.

Cập nhật giá trị tiền tố trong bảng

Tùy thuộc vào số lượng plugin WordPress được cài đặt trên trang web của bạn, bạn có thể cần cập nhật một số giá trị trong cơ sở dữ liệu theo cách thủ công. Thực hiện việc này bằng cách chạy các truy vấn SQL riêng biệt trên các bảng có khả năng chứa các giá trị có tiền tố wp_ – các truy vấn này bao gồm các tùy chọn và bảng usermeta.

Sử dụng mã bên dưới để lọc tất cả các giá trị có chứa tiền tố sau:

SELECT * FROM `wp_1secure1_tablename` WHERE `field_name` LIKE '%wp_%'
wp_1secure1_tablename chứa tên bảng mà bạn muốn thực hiện truy vấn. Trong khi đó, field_name đại diện cho tên của trường/cột nơi các giá trị có tiền tố wp_ có nhiều khả năng xuất hiện nhất.

Dưới đây là cách thay đổi giá trị tiền tố theo cách thủ công:

• Từ bảng điều khiển phpMyAdmin, điều hướng đến một bảng có giá trị tiền tố mà bạn muốn cập nhật. Ví dụ: mở wp_1secure1_usermeta.

• Điều hướng đến tab SQL ở thanh menu trên cùng.

• Nhập mã ở trên vào trình chỉnh sửa truy vấn SQL để lọc các giá trị có chứa wp_ và nhấp vào Bắt đầu. Đảm bảo sửa đổi thông tin theo tên trường và bảng thực tế của bạn.

• Kết quả lọc sẽ hiện ra. Nhấp vào nút Chỉnh sửa bên cạnh trường được nhắm mục tiêu.

• Thay đổi giá trị tiền tố và nhấp vào Go. Thực hiện các bước 4 và 5 cho tất cả các giá trị được lọc.

• Lặp lại từ bước 1 cho các bảng còn lại trong cơ sở dữ liệu để cập nhật tất cả các giá trị bằng tiền tố wp_.

4.6. Vô hiệu hóa XML-RPC

XML-RPC là một tính năng của WordPress để truy cập và xuất bản nội dung qua thiết bị di động, bật tính năng theo dõi và pingback cũng như sử dụng plugin Jetpack trên trang web WordPress của bạn.

Tuy nhiên, XML-RPC có một số điểm yếu mà tin tặc có thể khai thác. Tính năng này cho phép họ thực hiện nhiều lần đăng nhập mà không bị phần mềm bảo mật phát hiện, khiến trang web của bạn dễ bị tấn công vũ phu.

Tin tặc cũng có thể lợi dụng chức năng pingback của XML-RPC để thực hiện các cuộc tấn công DDoS. Nó cho phép kẻ tấn công gửi pingback tới hàng nghìn trang web cùng một lúc, điều này có thể làm sập các trang được nhắm mục tiêu.

Để xác định xem XML-RPC có được bật hay không, hãy chạy trang web của bạn thông qua dịch vụ xác thực XML-RPC và xem liệu bạn có nhận được thông báo thành công hay không. Điều này có nghĩa là chức năng XML-RPC đang chạy.

Bạn có thể tắt chức năng XML-RPC bằng cách sử dụng plugin hoặc thủ công.

Vô hiệu hóa XML-RPC bằng Plugin

Sử dụng plugin là cách nhanh hơn và đơn giản hơn để chặn tính năng XML-RPC trên trang web của bạn. Chúng tôi khuyên bạn nên sử dụng plugin Vô hiệu hóa Pingback XML-RPC. Nó sẽ tự động tắt một số chức năng của XML-RPC, ngăn chặn tin tặc thực hiện các cuộc tấn công sử dụng lỗ hổng bảo mật WordPress này.

Vô hiệu hóa XML-RPC theo cách thủ công

Một cách khác để dừng tất cả các yêu cầu XML-RPC sắp tới là thực hiện thủ công. Định vị tệp.htaccess trong thư mục gốc của bạn và dán đoạn mã sau:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
 deny from all
 allow from 000.00.000.000
</Files>
Để cho phép XML-RPC truy cập vào một IP cụ thể, hãy thay thế 000.00.000.000 bằng địa chỉ IP hoặc xóa hoàn toàn dòng mã.

4.7. Ẩn phiên bản WordPress

Tin tặc có thể đột nhập vào trang web của bạn dễ dàng hơn nếu chúng biết bạn đang chạy phiên bản WordPress nào. Họ có thể sử dụng các lỗ hổng của phiên bản đó để tấn công trang web của bạn, đặc biệt nếu đó là phiên bản WordPress cũ hơn.

May mắn thay, có thể ẩn thông tin khỏi trang web của bạn bằng Trình chỉnh sửa giao diện WordPress. Thực hiện theo các bước để làm như vậy:

• Từ bảng điều khiển WordPress của bạn, điều hướng đến Giao diện -> Trình chỉnh sửa giao diện.
• Chọn giao diện hiện tại của bạn và chọn tệp tin.php.

• Để xóa số phiên bản khỏi tiêu đề và nguồn cấp RSS, hãy dán đoạn mã sau vào tệp functions.php :

function dartcreations_remove_version() {
return '';
} add_filter('the_generator', 'dartcreations_remove_version');

• Thẻ meta trình tạo WordPress cũng hiển thị số phiên bản WordPress. Thêm dòng này để thoát khỏi nó:

remove_action('wp_head', 'wp_generator');

• Nhấp vào Cập nhật tệp để lưu các thay đổi.

4.8. Chặn liên kết nóng

Liên kết nóng là thuật ngữ được sử dụng khi ai đó hiển thị nội dung trang web của bạn, thường là ảnh, trên trang web của họ. Mỗi khi mọi người truy cập một trang web có liên kết nóng đến nội dung của bạn, nó sẽ sử dụng hết tài nguyên máy chủ web của bạn, làm chậm trang web của bạn.

Để xem nội dung của bạn có được liên kết nóng hay không, hãy nhập truy vấn sau vào Google Hình ảnh, thay thế   Đăng nhập để xem liên kết bằng tên miền của bạn :

inurl:yourwebsite.com -site:yourwebsite.com
Để ngăn liên kết nóng, hãy sử dụng ứng dụng khách FTP, plugin bảo mật WordPress, CDN hoặc chỉnh sửa cài đặt của bảng điều khiển.

4.9. Quản lý quyền truy cập tệp

Ngăn tin tặc giành quyền truy cập vào tài khoản quản trị viên của bạn bằng cách xác định người dùng nào có thể đọc, viết hoặc thực thi các tệp hoặc thư mục WordPress của bạn.

Bạn có thể sử dụng Trình quản lý tệp, ứng dụng khách FTP của máy chủ web hoặc thông qua dòng lệnh để quản lý quyền đối với tệp và thư mục.

Nói chung, các quyền được đặt theo mặc định, quyền này có thể khác nhau tùy thuộc vào các tệp hoặc thư mục khác nhau. Cụ thể đối với thư mục wp-admin và tệp wp-config, đảm bảo chỉ cho phép Chủ sở hữu ghi nó.


Các cuộc tấn công mạng có thể diễn ra dưới nhiều hình thức khác nhau, từ tiêm phần mềm độc hại đến tấn công DDoS. Đặc biệt, các trang web WordPress là mục tiêu phổ biến của tin tặc do sự phổ biến của CMS. Do đó, chủ sở hữu trang web WordPress phải biết cách bảo mật trang web của họ.

Tuy nhiên, bảo mật một trang web WordPress không phải là nhiệm vụ một lần. Bạn cần liên tục đánh giá lại nó vì các cuộc tấn công mạng không ngừng phát triển. Rủi ro sẽ luôn ở đó, nhưng bạn có thể áp dụng các biện pháp bảo mật WordPress để giảm thiểu những rủi ro đó.

Chúng tôi hy vọng bài viết này đã giúp bạn hiểu tầm quan trọng của các biện pháp bảo mật WordPress và cách triển khai chúng.

Vui lòng để lại nhận xét nếu bạn có bất kỳ câu hỏi nào hoặc các mẹo bảo mật WordPress khác.

5. Câu hỏi thường gặp

5.1. WordPress có cần tường lửa không ?

Việc thiết lập tường lửa cho trang web là cần thiết vì nó giúp bảo vệ trang web WordPress của bạn khỏi các nỗ lực hack hoặc các hình thức tấn công mạng khác bằng cách chặn lưu lượng truy cập không mong muốn. Vì WordPress không có tường lửa trang web tích hợp, bạn có thể thiết lập nó bằng cách tải xuống plugin như Sucuri.

5.2. WordPress có dễ bị hack không ?

Là một nền tảng, WordPress là một nền tảng bảo mật và an toàn để sử dụng. Bảo mật WordPress không chỉ liên quan đến công nghệ mà còn liên quan đến yếu tố con người. Cho dù nền tảng có an toàn đến đâu, trang web của bạn vẫn có thể dễ dàng bị tấn công nếu bạn không thực hiện các biện pháp bảo mật khác (sử dụng mật khẩu mạnh, v.v.).

5.3. Tại sao WordPress của tôi không an toàn?

Nếu trình duyệt của bạn cho thấy rằng trang web WordPress của bạn không an toàn, điều đó có nghĩa là trang web của bạn không có chứng chỉ SSL hoặc SSL không được định cấu hình chính xác. Cân nhắc cài đặt một hoặc chuyển sang HTTPS để khắc phục sự cố.

5.4. Plugin bảo mật có cần thiết cho WordPress không?

Có, cài đặt plugin bảo mật máy quét hack chẳng hạn như Jetpack và Sucuri có thể giúp bảo vệ trang web của bạn lâu dài. Hãy nhớ chỉ cài đặt những cái cần thiết vì có quá nhiều plugin có thể làm hỏng trang web của bạn.

5.5. Làm cách nào để bảo mật trang web WordPress của tôi mà không cần plugin?

Bắt đầu bằng cách đảm bảo rằng bạn sử dụng máy chủ lưu trữ web an toàn. Sau đó, định cấu hình trang web của bạn để bảo mật WordPress tốt hơn: quản lý quyền truy cập tệp, tắt báo cáo lỗi PHP và XML-RPC, hạn chế quyền truy cập vào wp-config.php và chặn liên kết nóng từ các trang web khác.

5.6. Tại sao WordPress bị hack nhiều như vậy?

Nhiều trang web WordPress bị tấn công vì chủ sở hữu trang web không sử dụng đủ các biện pháp bảo mật. Điều này khiến các trang web có nhiều lỗ hổng khác nhau, mở đường cho những kẻ tấn công tiềm năng. Những kẻ tấn công cũng thường xuyên nhắm mục tiêu vào các trang web do WordPress cung cấp vì nó được sử dụng bởi gần một nửa số trang web hiện có.

5.7. Tại sao trang web WordPress của tôi bị tấn công?

Trang web WordPress của bạn có thể có các lỗ hổng bảo mật như plugin lỗi thời, mật khẩu yếu và quyền truy cập không được bảo vệ vào thư mục wp-admin. Áp dụng bảo trì trang web thường xuyên và sử dụng Danh sách kiểm tra bảo mật WordPress của chúng tôi để đảm bảo bạn đã áp dụng đủ các biện pháp bảo mật cho trang web của mình.

5.8. Plugin bảo mật WordPress tốt nhất là gì?

Chúng tôi khuyên dùng Wordfence hoặc Sucuri là plugin bảo mật WordPress tốt nhất. Cả hai đều giống nhau, cung cấp cho phần mềm độc hại một trình quét WordPress, tường lửa ứng dụng web và giám sát lưu lượng. Sucuri là tuyệt vời nếu bạn có một cửa hàng trực tuyến, nhưng nếu bạn đang tìm kiếm một plugin miễn phí, thì Wordfence.