Hướng dẫn bảo mật WordPress cơ bản từng bước

Tác giả Network Engineer, T.M.Hai 25, 2020, 02:01:12 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Hướng dẫn bảo mật WordPress cơ bản từng bước


1. Giới thiệu.

Bảo mật WordPress là một chủ đề có tầm quan trọng lớn đối với mọi chủ sở hữu trang web. Google đưa ra danh sách đen hơn 10.000 trang web mỗi ngày vì phần mềm độc hại và khoảng 50.000 trang web lừa đảo mỗi tuần.

Nếu bạn nghiêm túc về trang web của mình, thì bạn cần chú ý đến các phương pháp hay nhất về bảo mật WordPress. Trong hướng dẫn này, mình sẽ chia sẻ tất cả các mẹo bảo mật WordPress hàng đầu để giúp bạn bảo vệ trang web của mình khỏi tin tặc và phần mềm độc hại.

Mặc dù phần mềm cốt lõi của WordPress rất an toàn và được hàng trăm nhà phát triển kiểm tra thường xuyên, nhưng có rất nhiều điều có thể được thực hiện để giữ an toàn cho trang web của bạn.


Mình có một số bước có thể thực hiện mà bạn có thể thực hiện để bảo vệ trang web của mình khỏi các lỗ hổng bảo mật.

Để giúp bạn dễ dàng hơn, mình đã tạo một bảng nội dung để giúp bạn dễ dàng điều hướng thông qua hướng dẫn bảo mật WordPress cuối cùng của mình.

2. Tại sao bảo mật trang web lại quan trọng?

Trang web WordPress bị tấn công có thể gây thiệt hại nghiêm trọng đến doanh thu và danh tiếng doanh nghiệp của bạn. Tin tặc có thể đánh cắp thông tin người dùng, mật khẩu, cài đặt phần mềm độc hại và thậm chí có thể phân phối phần mềm độc hại cho người dùng của bạn.

Tệ hơn nữa, bạn có thể thấy mình trả ransomware cho tin tặc chỉ để lấy lại quyền truy cập vào trang web của bạn.

Vào tháng 3 năm 2016, Google đã báo cáo rằng hơn 50 triệu người dùng trang web đã được cảnh báo về việc trang web họ đang truy cập có thể chứa phần mềm độc hại hoặc ăn cắp thông tin.

Hơn nữa, Google đưa ra danh sách đen khoảng 20.000 trang web chứa phần mềm độc hại và khoảng 50.000 trang web lừa đảo mỗi tuần.

Nếu trang web của bạn là một doanh nghiệp, thì bạn cần phải chú ý thêm đến bảo mật WordPress của mình.

Tương tự như cách chủ sở hữu doanh nghiệp có trách nhiệm bảo vệ tòa nhà cửa hàng thực của họ, với tư cách là chủ sở hữu doanh nghiệp trực tuyến, bạn có trách nhiệm bảo vệ trang web doanh nghiệp của mình.

3. Cập nhật WordPress.

WordPress là một phần mềm mã nguồn mở thường xuyên được bảo trì và cập nhật. Theo mặc định, WordPress tự động cài đặt các bản cập nhật nhỏ. Đối với các bản phát hành chính, bạn cần bắt đầu cập nhật theo cách thủ công.

WordPress cũng đi kèm với hàng nghìn plugin và giao diện mà bạn có thể cài đặt trên trang web của mình. Các plugin và giao diện này được duy trì bởi các nhà phát triển bên thứ ba, họ cũng thường xuyên phát hành các bản cập nhật.

Các bản cập nhật WordPress này rất quan trọng đối với sự bảo mật và ổn định của trang web WordPress của bạn. Bạn cần đảm bảo rằng lõi, plugin và giao diện WordPress của bạn được cập nhật.


4. Mật khẩu mạnh và quyền người dùng.

Các nỗ lực hack WordPress phổ biến nhất sử dụng mật khẩu bị đánh cắp. Bạn có thể làm điều đó trở nên khó khăn bằng cách sử dụng mật khẩu mạnh hơn dành riêng cho trang web của bạn. Không chỉ cho khu vực quản trị WordPress, mà còn cho tài khoản FTP, cơ sở dữ liệu, tài khoản lưu trữ WordPress và địa chỉ email tùy chỉnh của bạn sử dụng tên miền trang web của bạn.

Nhiều người mới bắt đầu không thích sử dụng mật khẩu mạnh vì chúng khó nhớ. Điều tốt là bạn không cần phải nhớ mật khẩu nữa. Bạn có thể sử dụng trình quản lý mật khẩu. Xem hướng dẫn của mình về cách quản lý mật khẩu WordPress .

Một cách khác để giảm rủi ro là không cấp cho bất kỳ ai quyền truy cập vào tài khoản quản trị viên WordPress của bạn trừ khi bạn hoàn toàn phải làm vậy . Nếu bạn có một nhóm lớn hoặc tác giả khách mời, hãy đảm bảo rằng bạn hiểu vai trò và khả năng của người dùng trong WordPress trước khi bạn thêm tài khoản người dùng và tác giả mới vào trang web WordPress của mình.


5. Vai trò của nhà cung cấp lưu trữ WordPress.

Dịch vụ lưu trữ WordPress của bạn đóng vai trò quan trọng nhất trong việc bảo mật trang web WordPress của bạn. Một nhà cung cấp dịch vụ lưu trữ chia sẻ tốt như Bluehost hoặc Siteground thực hiện các biện pháp bổ sung để bảo vệ máy chủ của họ trước các mối đe dọa phổ biến.

Đây là cách một công ty lưu trữ web tốt hoạt động trong nền để bảo vệ các trang web và dữ liệu của bạn.

  • Họ liên tục theo dõi mạng của mình để tìm hoạt động đáng ngờ.
  • Tất cả các công ty lưu trữ tốt đều có sẵn các công cụ để ngăn chặn các cuộc tấn công DDOS quy mô lớn.
  • Họ luôn cập nhật phần mềm và phần cứng máy chủ của mình để ngăn chặn tin tặc khai thác lỗ hổng bảo mật đã biết trong phiên bản cũ.
  • Họ đã sẵn sàng triển khai các kế hoạch khôi phục thảm họa và tai nạn cho phép họ bảo vệ dữ liệu của bạn trong trường hợp xảy ra tai nạn lớn.

Trên gói lưu trữ được chia sẻ, bạn chia sẻ tài nguyên máy chủ với nhiều khách hàng khác. Điều này mở ra nguy cơ lây nhiễm chéo trang web trong đó tin tặc có thể sử dụng một trang web lân cận để tấn công trang web của bạn.

Sử dụng dịch vụ lưu trữ WordPress được quản lý cung cấp một nền tảng an toàn hơn cho trang web của bạn. Các công ty lưu trữ WordPress được quản lý cung cấp các bản sao lưu tự động, cập nhật WordPress tự động và các cấu hình bảo mật nâng cao hơn để bảo vệ trang web của bạn

Mình đề xuất WPEngine là nhà cung cấp dịch vụ lưu trữ WordPress được quản lý ưa thích của mình. Họ cũng là nhà cung cấp phổ biến nhất trong ngành.

6. Bảo mật WordPress trong các bước đơn giản.

Mình biết rằng cải thiện bảo mật WordPress có thể là một suy nghĩ đáng sợ đối với người mới bắt đầu. Đặc biệt nếu bạn không rành về công nghệ.

Mình đã giúp hàng nghìn người dùng WordPress tăng cường bảo mật WordPress của họ.

Mình sẽ chỉ cho bạn cách bạn có thể cải thiện bảo mật WordPress của mình chỉ với một vài cú nhấp chuột.

Nếu bạn có thể trỏ và nhấp, bạn có thể làm được điều này.

7. Cài đặt giải pháp sao lưu WordPress.

Bản sao lưu là cách bảo vệ đầu tiên của bạn chống lại bất kỳ cuộc tấn công nào của WordPress. Hãy nhớ rằng, không có gì là an toàn 100%. Nếu các trang web của chính phủ có thể bị tấn công, thì trang web của bạn cũng vậy.

Bản sao lưu cho phép bạn nhanh chóng khôi phục trang web WordPress của mình trong trường hợp có điều gì đó xấu xảy ra.

Có rất nhiều plugin sao lưu WordPress miễn phí và trả phí mà bạn có thể sử dụng. Điều quan trọng nhất bạn cần biết khi nói đến sao lưu là bạn phải thường xuyên lưu các bản sao lưu toàn trang vào một vị trí từ xa (không phải tài khoản lưu trữ của bạn).

Mình khuyên bạn nên lưu trữ nó trên một dịch vụ đám mây như Amazon, Dropbox hoặc các đám mây riêng như Stash.

Dựa trên tần suất bạn cập nhật trang web của mình, cài đặt lý tưởng có thể là một lần một ngày hoặc sao lưu theo thời gian thực.


Rất may điều này có thể được thực hiện dễ dàng bằng cách sử dụng các plugin như VaultPress hoặc UpdraftPlus. Chúng đều đáng tin cậy và quan trọng nhất là dễ sử dụng.

8. Plugin bảo mật WordPress tốt nhất.

Sau khi sao lưu, điều tiếp theo chúng ta cần làm là thiết lập một hệ thống kiểm tra và giám sát để theo dõi mọi thứ xảy ra trên trang web của bạn.

Điều này bao gồm giám sát tính toàn vẹn của tệp, cố gắng đăng nhập không thành công, quét phần mềm độc hại, v.v.

Rất may, tất cả điều này có thể được giải quyết bởi plugin bảo mật WordPress miễn phí tốt nhất, Sucuri Scanner.

Bạn cần cài đặt và kích hoạt plugin Sucuri Security miễn phí. Để biết thêm chi tiết, vui lòng xem hướng dẫn từng bước của mình về cách cài đặt plugin WordPress.

Sau khi kích hoạt, bạn cần truy cập menu Sucuri trong quản trị viên WordPress của mình. Điều đầu tiên bạn sẽ được yêu cầu làm là Tạo khóa API miễn phí. Điều này cho phép ghi nhật ký kiểm tra, kiểm tra tính toàn vẹn, cảnh báo qua email và các tính năng quan trọng khác.


Điều tiếp theo, bạn cần làm là nhấp vào tab 'Làm cứng' từ menu cài đặt. Xem qua mọi tùy chọn và nhấp vào nút "Áp dụng Làm cứng".


Các tùy chọn này giúp bạn khóa các khu vực chính mà tin tặc thường sử dụng trong các cuộc tấn công của họ. Tùy chọn tăng cường duy nhất là nâng cấp trả phí là Tường lửa ứng dụng web mà mình sẽ giải thích trong bước tiếp theo, vì vậy hãy bỏ qua nó ngay bây giờ.

Mình cũng đã đề cập đến rất nhiều tùy chọn "Làm cứng" sau này trong bài viết này cho những ai muốn thực hiện mà không cần sử dụng plugin hoặc những tùy chọn yêu cầu các bước bổ sung như "Thay đổi tiền tố cơ sở dữ liệu" hoặc "Thay đổi tên người dùng quản trị".

Sau phần cứng, cài đặt plugin mặc định đủ tốt cho hầu hết các trang web và không cần bất kỳ thay đổi nào. Điều duy nhất mình khuyên bạn nên tùy chỉnh là 'Cảnh báo qua Email'.

Cài đặt cảnh báo mặc định có thể làm lộn xộn hộp thư đến của bạn với các email. Mình khuyên bạn nên nhận cảnh báo cho các hành động chính như thay đổi trong plugin, đăng ký người dùng mới, v.v. Bạn có thể cấu hình cảnh báo bằng cách đi tới Cài đặt Sucuri »Cảnh báo.


Plugin bảo mật WordPress này rất mạnh mẽ, vì vậy hãy duyệt qua tất cả các tab và cài đặt để xem tất cả những gì nó làm như quét phần mềm độc hại, nhật ký kiểm tra, theo dõi đăng nhập không thành công, v.v.

9. Bật tường lửa ứng dụng web (WAF)

Cách dễ nhất để bảo vệ trang web của bạn và tự tin về bảo mật WordPress của bạn là sử dụng tường lửa ứng dụng web (WAF).

Tường lửa của trang web chặn tất cả lưu lượng độc hại trước khi nó đến được trang web của bạn.

Tường lửa Trang web Cấp DNS - Những tường lửa này định tuyến lưu lượng truy cập trang web của bạn thông qua các máy chủ proxy đám mây của chúng. Điều này cho phép họ chỉ gửi lưu lượng truy cập chính hãng đến máy chủ web của bạn.

Tường lửa cấp ứng dụng - Các plugin tường lửa này kiểm tra lưu lượng khi nó đến máy chủ của bạn nhưng trước khi tải hầu hết các tập lệnh WordPress. Phương pháp này không hiệu quả như tường lửa cấp DNS trong việc giảm tải máy chủ.

Để tìm hiểu thêm, hãy xem danh sách các plugin tường lửa WordPress tốt nhất của mình.


Mình sử dụng và đề xuất Sucuri làm tường lửa ứng dụng web tốt nhất cho WordPress. Bạn có thể đọc về cách Sucuri đã giúp mình chặn 450.000 cuộc tấn công WordPress trong một tháng.


Phần tốt nhất về tường lửa của Sucuri là nó cũng đi kèm với đảm bảo xóa phần mềm độc hại và loại bỏ danh sách đen. Về cơ bản nếu bạn bị tấn công dưới sự theo dõi của họ, họ đảm bảo rằng họ sẽ sửa chữa trang web của bạn, bất kể bạn có bao nhiêu trang.

Đây là một chế độ bảo hành khá mạnh mẽ vì việc sửa chữa các trang web bị tấn công rất tốn kém. Các chuyên gia bảo mật thường tính phí 250 đô la mỗi giờ. Trong khi đó, bạn có thể nhận toàn bộ ngăn xếp bảo mật Sucuri với $ 199 mỗi năm.

Sucuri không phải là nhà cung cấp tường lửa cấp DNS duy nhất hiện có. Đối thủ cạnh tranh phổ biến khác là Cloudflare.

10. Di chuyển trang web WordPress của bạn sang SSL / HTTPS

SSL (Lớp cổng bảo mật) là một giao thức mã hóa việc truyền dữ liệu giữa trang web của bạn và trình duyệt của người dùng. Mã hóa này khiến ai đó khó đánh hơi và lấy cắp thông tin hơn.


Khi bạn bật SSL, trang web của bạn sẽ sử dụng HTTPS thay vì HTTP, bạn cũng sẽ thấy dấu hiệu ổ khóa bên cạnh địa chỉ trang web của mình trong trình duyệt.

Chứng chỉ SSL thường được cấp bởi các tổ chức phát hành chứng chỉ và giá của chúng bắt đầu từ 80 đô la đến hàng trăm đô la mỗi năm. Do chi phí tăng thêm, hầu hết chủ sở hữu trang web đã chọn tiếp tục sử dụng giao thức không an toàn.

Để khắc phục điều này, một tổ chức phi lợi nhuận có tên Let's Encrypt đã quyết định cung cấp Chứng chỉ SSL miễn phí cho chủ sở hữu trang web. Dự án của họ được hỗ trợ bởi Google Chrome, Facebook, Mozilla và nhiều công ty khác.

Giờ đây, việc bắt đầu sử dụng SSL cho tất cả các trang web WordPress của bạn trở nên dễ dàng hơn bao giờ hết. Nhiều công ty lưu trữ hiện đang cung cấp chứng chỉ SSL miễn phí cho trang web WordPress của bạn .

Nếu công ty lưu trữ của bạn không cung cấp một cái, thì bạn có thể mua một cái từ   Đăng nhập để xem liên kết. Họ có giao dịch SSL tốt nhất và đáng tin cậy nhất trên thị trường. Nó đi kèm với bảo hành bảo mật $ 10.000 và con dấu bảo mật TrustLogo.

11. Bảo mật WordPress cho người dùng DIY.

Nếu bạn làm mọi thứ mà mình đã đề cập cho đến nay, thì bạn đang ở trong tình trạng khá tốt.

Nhưng như mọi khi, bạn có thể làm nhiều điều hơn nữa để tăng cường bảo mật cho WordPress của mình.

Một số bước này có thể yêu cầu kiến thức về mã hóa.

12. Thay đổi tên người dùng "quản trị viên" mặc định.

Ngày xưa, tên người dùng quản trị WordPress mặc định là "admin". Vì tên người dùng chiếm một nửa thông tin xác thực đăng nhập, điều này khiến tin tặc dễ dàng thực hiện các cuộc tấn công Brute Force hơn.

Rất may, WordPress đã thay đổi điều này và bây giờ yêu cầu bạn chọn tên người dùng tùy chỉnh tại thời điểm cài đặt WordPress.

Tuy nhiên, một số trình cài đặt WordPress bằng 1 cú nhấp chuột, vẫn đặt tên người dùng quản trị viên mặc định thành "admin". Nếu bạn nhận thấy trường hợp đó xảy ra, thì có lẽ bạn nên chuyển dịch vụ lưu trữ web của mình.

Vì WordPress không cho phép bạn thay đổi tên người dùng theo mặc định, nên có ba phương pháp bạn có thể sử dụng để thay đổi tên người dùng.

Tạo tên người dùng quản trị mới và xóa tên người dùng cũ.
Sử dụng plugin Thay đổi tên người dùng
Cập nhật tên người dùng từ phpMyAdmin

Lưu ý: mình đang nói về tên người dùng được gọi là "quản trị viên", không phải vai trò quản trị viên.

13. Tắt chỉnh sửa tệp.

WordPress đi kèm với một trình chỉnh sửa mã tích hợp cho phép bạn chỉnh sửa các tệp giao diện và plugin ngay từ khu vực quản trị WordPress của bạn. Nếu dùng sai, tính năng này có thể là một rủi ro bảo mật, đó là lý do tại sao mình khuyên bạn nên tắt nó đi.


Bạn có thể dễ dàng thực hiện việc này bằng cách thêm mã sau vào tệp wp-config.php của mình.
 
Mã nguồn [Chọn]
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Ngoài ra, bạn có thể làm điều này với 1 cú nhấp chuột bằng cách sử dụng tính năng Làm cứng trong plugin Sucuri miễn phí mà mình đã đề cập ở trên.

14. Tắt thực thi tệp PHP trong một số thư mục WordPress.

Một cách khác để tăng cường bảo mật cho WordPress của bạn là tắt thực thi tệp PHP trong các thư mục không cần thiết như /wp-content/uploads/.

Bạn có thể thực hiện việc này bằng cách mở một trình soạn thảo văn bản như Notepad và dán mã này:

Mã nguồn [Chọn]
<Files *.php>
deny from all
</Files>

Tiếp theo, bạn cần lưu tệp này dưới dạng .htaccess và tải nó lên / wp-content / uploads / folder trên trang web của bạn bằng ứng dụng FTP.

Để được giải thích chi tiết hơn, hãy xem hướng dẫn của mình về cách tắt thực thi PHP trong một số thư mục WordPress nhất định.

Ngoài ra, bạn có thể làm điều này với 1 cú nhấp chuột bằng cách sử dụng tính năng Làm cứng trong plugin Sucuri miễn phí mà mình đã đề cập ở trên.

15. Hạn chế nỗ lực đăng nhập.

Theo mặc định, WordPress cho phép người dùng cố gắng đăng nhập bao nhiêu lần tùy thích. Điều này khiến trang web WordPress của bạn dễ bị tấn công Brute Force. Tin tặc cố gắng bẻ khóa mật khẩu bằng cách cố gắng đăng nhập bằng nhiều cách kết hợp khác nhau.

Điều này có thể dễ dàng khắc phục bằng cách hạn chế các lần đăng nhập thất bại mà người dùng có thể thực hiện. Nếu bạn đang sử dụng tường lửa ứng dụng web được đề cập trước đó, thì điều này sẽ tự động được xử lý.

Tuy nhiên, nếu bạn chưa có thiết lập tường lửa, hãy tiến hành các bước bên dưới.

Đầu tiên, bạn cần cài đặt và kích hoạt plugin Login LockDown. Để biết thêm chi tiết, hãy xem hướng dẫn từng bước của mình về cách cài đặt plugin WordPress.

Sau khi kích hoạt, hãy truy cập Cài đặt »Đăng nhập trang LockDown để thiết lập plugin.


Để có hướng dẫn chi tiết, hãy xem hướng dẫn của mình về cách thức và lý do bạn nên hạn chế các lần đăng nhập trong WordPress.

16. Thêm xác thực hai yếu tố.

Kỹ thuật xác thực hai yếu tố yêu cầu người dùng đăng nhập bằng phương pháp xác thực hai bước. Bước đầu tiên là tên người dùng và mật khẩu và bước thứ hai yêu cầu bạn xác thực bằng một thiết bị hoặc ứng dụng riêng biệt.

Hầu hết các trang web trực tuyến hàng đầu như Google, Facebook, Twitter, đều cho phép bạn kích hoạt nó cho các tài khoản của mình. Bạn cũng có thể thêm chức năng tương tự vào trang WordPress của mình.

Trước tiên, bạn cần cài đặt và kích hoạt plugin Xác thực Hai yếu tố. Sau khi kích hoạt, bạn cần nhấp vào liên kết 'Two Factor Auth' trong thanh bên quản trị WordPress.


Tiếp theo, bạn cần cài đặt và mở ứng dụng xác thực trên điện thoại của mình. Có một số trong số chúng có sẵn như Google Authenticator, Authy và LastPass Authenticator.

Mình khuyên bạn nên sử dụng LastPass Authenticator hoặc Authy vì cả hai đều cho phép bạn sao lưu tài khoản của mình lên đám mây. Điều này rất hữu ích trong trường hợp điện thoại của bạn bị mất, cài lại hoặc bạn mua điện thoại mới. Tất cả thông tin đăng nhập tài khoản của bạn sẽ dễ dàng được khôi phục.

Mình sẽ sử dụng LastPass Authenticator cho hướng dẫn. Tuy nhiên, hướng dẫn tương tự nhau đối với tất cả các ứng dụng xác thực. Mở ứng dụng trình xác thực của bạn, sau đó nhấp vào nút Thêm.


Bạn sẽ được hỏi xem bạn muốn quét trang web theo cách thủ công hay quét mã vạch. Chọn tùy chọn quét mã vạch và sau đó trỏ máy ảnh của điện thoại vào mã QR được hiển thị trên trang cài đặt của plugin.

Đó là tất cả, ứng dụng xác thực của bạn bây giờ sẽ lưu nó. Lần tới khi đăng nhập vào trang web của mình, bạn sẽ được yêu cầu nhập mã xác thực hai yếu tố sau khi nhập mật khẩu.


Chỉ cần mở ứng dụng xác thực trên điện thoại của bạn và nhập mã bạn thấy trên đó.

17. Thay đổi tiền tố cơ sở dữ liệu WordPress.

Theo mặc định, WordPress sử dụng wp_ làm tiền tố cho tất cả các bảng trong cơ sở dữ liệu WordPress của bạn. Nếu trang web WordPress của bạn đang sử dụng tiền tố cơ sở dữ liệu mặc định, thì tin tặc sẽ dễ dàng đoán được tên bảng của bạn là gì. Đây là lý do tại sao mình khuyên bạn nên thay đổi nó.

Bạn có thể thay đổi tiền tố cơ sở dữ liệu của mình bằng cách làm theo hướng dẫn từng bước của mình về cách thay đổi tiền tố cơ sở dữ liệu WordPress để cải thiện bảo mật.

Lưu ý: Điều này có thể phá vỡ trang web của bạn nếu nó không được thực hiện đúng cách. Chỉ tiếp tục, nếu bạn cảm thấy thoải mái với kỹ năng viết mã của mình.

18. Password Protect Trang đăng nhập và quản trị viên WordPress.

Thông thường, tin tặc có thể yêu cầu thư mục wp-admin và trang đăng nhập của bạn mà không có bất kỳ hạn chế nào. Điều này cho phép họ thử các thủ thuật hack hoặc chạy các cuộc tấn công DDoS.

Bạn có thể thêm mật khẩu bảo vệ bổ sung ở cấp phía máy chủ, điều này sẽ chặn các yêu cầu đó một cách hiệu quả.

Làm theo hướng dẫn từng bước của mình về cách đặt mật khẩu bảo vệ thư mục quản trị viên WordPress (wp-admin) của bạn.

19. Tắt tính năng duyệt và lập chỉ mục thư mục.

Trình duyệt thư mục có thể được tin tặc sử dụng để tìm xem bạn có bất kỳ tệp nào có lỗ hổng đã biết hay không, vì vậy chúng có thể lợi dụng các tệp này để giành quyền truy cập.

Người khác cũng có thể sử dụng duyệt thư mục để xem các tệp của bạn, sao chép hình ảnh, tìm hiểu cấu trúc thư mục của bạn và các thông tin khác. Đây là lý do tại sao bạn nên tắt tính năng lập chỉ mục và duyệt thư mục.


Bạn cần kết nối với trang web của mình bằng FTP hoặc trình quản lý tệp của cPanel. Tiếp theo, tìm tệp .htaccess trong thư mục gốc của trang web của bạn. Nếu bạn không thể thấy nó ở đó, hãy tham khảo hướng dẫn của mình về lý do tại sao bạn không thể thấy tệp .htaccess trong WordPress.

Sau đó, bạn cần thêm dòng sau vào cuối tệp .htaccess:

Mã nguồn [Chọn]
Options -Indexes
Đừng quên lưu và tải tệp .htaccess trở lại trang web của bạn. Để biết thêm về giao diện này, hãy xem bài viết của mình về cách tắt duyệt thư mục trong WordPress.

20. Tắt XML-RPC trong WordPress.

XML-RPC được bật theo mặc định trong WordPress 3.5 vì nó giúp kết nối trang web WordPress của bạn với web và ứng dụng di động.

Do bản chất mạnh mẽ của nó, XML-RPC có thể khuếch đại đáng kể các cuộc tấn công Brute Force.

Ví dụ: theo truyền thống, nếu một tin tặc muốn thử 500 mật khẩu khác nhau trên trang web của bạn, họ sẽ phải thực hiện 500 lần đăng nhập riêng biệt và sẽ bị chặn bởi plugin khóa đăng nhập.

Nhưng với XML-RPC, tin tặc có thể sử dụng hàm system.multicall để thử hàng nghìn mật khẩu với 20 hoặc 50 yêu cầu.

Đây là lý do tại sao nếu bạn không sử dụng XML-RPC, thì mình khuyên bạn nên vô hiệu hóa nó.

Có 3 cách để tắt XML-RPC trong WordPress và mình đã trình bày tất cả chúng trong hướng dẫn từng bước về cách tắt XML-RPC trong WordPress.

Mẹo: Phương thức .htaccess là phương pháp tốt nhất vì nó tốn ít tài nguyên nhất.

Nếu bạn đang sử dụng tường lửa ứng dụng web được đề cập trước đó, thì điều này có thể do tường lửa xử lý.

21. Tự động đăng xuất Người dùng không hoạt động trong WordPress.

Người dùng đã đăng nhập đôi khi có thể rời khỏi màn hình và điều này gây ra rủi ro bảo mật. Ai đó có thể chiếm đoạt phiên của họ, thay đổi mật khẩu hoặc thay đổi tài khoản của họ.

Đây là lý do tại sao nhiều trang ngân hàng và tài chính tự động đăng xuất một người dùng không hoạt động. Bạn cũng có thể triển khai chức năng tương tự trên trang web WordPress của mình.

Bạn sẽ cần cài đặt và kích hoạt plugin Đăng xuất không hoạt động. Sau khi kích hoạt, hãy truy cập trang Cài đặt »Đăng xuất không hoạt động để định cấu hình cài đặt plugin.


Chỉ cần đặt khoảng thời gian và thêm thông báo đăng xuất. Đừng quên nhấp vào nút lưu thay đổi để lưu cài đặt của bạn.

22. Thêm câu hỏi bảo mật vào màn hình đăng nhập WordPress.

Thêm câu hỏi bảo mật vào màn hình đăng nhập WordPress của bạn khiến ai đó thậm chí còn khó truy cập trái phép hơn.

Bạn có thể thêm câu hỏi bảo mật bằng cách cài đặt plugin WP Câu hỏi bảo mật. Khi kích hoạt, bạn cần truy cập trang Cài đặt »Câu hỏi bảo mật để cấu hình cài đặt plugin.


Để có hướng dẫn chi tiết hơn, hãy xem hướng dẫn của mình về cách thêm câu hỏi bảo mật vào màn hình đăng nhập WordPress.

23. Quét WordPress để tìm Malware và Vulnerabilies.

Nếu bạn đã cài đặt plugin bảo mật WordPress, thì các plugin đó sẽ thường xuyên kiểm tra phần mềm độc hại và các dấu hiệu vi phạm bảo mật.

Tuy nhiên, nếu bạn thấy lưu lượng truy cập trang web hoặc thứ hạng tìm kiếm giảm đột ngột , thì bạn có thể tiến hành quét theo cách thủ công. Bạn có thể sử dụng plugin bảo mật WordPress của mình hoặc sử dụng một trong những trình quét bảo mật và phần mềm độc hại này .

Việc chạy các bản quét trực tuyến này khá dễ dàng, bạn chỉ cần nhập URL trang web của mình và trình thu thập thông tin của chúng sẽ đi qua trang web của bạn để tìm phần mềm độc hại và mã độc hại đã biết.


Bây giờ, hãy nhớ rằng hầu hết các trình quét bảo mật WordPress chỉ có thể quét trang web của bạn. Họ không thể xóa phần mềm độc hại hoặc xóa một trang WordPress bị tấn công.

Điều này đưa chúng ta đến phần tiếp theo, dọn dẹp phần mềm độc hại và các trang WordPress bị tấn công.

24. Sửa trang web WordPress bị tấn công.

Nhiều người dùng WordPress không nhận ra tầm quan trọng của việc sao lưu và bảo mật trang web cho đến khi trang web của họ bị tấn công.

Việc dọn dẹp một trang WordPress có thể rất khó khăn và tốn thời gian. Lời khuyên đầu tiên của mình là để một chuyên gia chăm sóc nó.

Tin tặc cài đặt các cửa hậu trên các trang bị ảnh hưởng và nếu các cửa hậu này không được sửa đúng cách, thì trang web của bạn có thể sẽ bị tấn công lần nữa.

Việc cho phép một công ty bảo mật chuyên nghiệp như Sucuri sửa chữa trang web của bạn sẽ đảm bảo rằng trang web của bạn an toàn để sử dụng trở lại. Nó cũng sẽ bảo vệ bạn chống lại bất kỳ cuộc tấn công nào trong tương lai.

Đối với những người dùng thích mạo hiểm và tự làm, mình đã biên soạn hướng dẫn từng bước về cách khắc phục một trang web WordPress bị tấn công.

Đó là tất cả, mình hy vọng bài viết này đã giúp bạn tìm hiểu các phương pháp hay nhất về bảo mật WordPress hàng đầu cũng như khám phá các plugin bảo mật WordPress tốt nhất cho trang web của bạn.