18 mẹo bảo mật website WordPress đầy đủ nhất qua 5 phần với ví dụ, phân tích và hình ảnh cụ thể sẽ giúp hạn chế 99% nguy cơ website của bạn bị hack – securitybox.vn.
I. Bảo mật trang login và ngăn chặn các hành vi xâm phạm
1. Thiết lập khóa trang web và cấm người dùng:
– Bạn có thể cài đặt plugin bảo mật iThemes (một trong những plugin giúp bảo mật wordpress tốt nhất hiện nay) để tăng tính bảo mật trong trang login. Việc thiết lập tính năng khóa trang web và cấm người dùng không truy cập được nữa sẽ bảo mật tuyệt đối website wordpress của bạn.
– Plugin iThemes này cho phép chặn, cấm người dùng nếu có 1 ai đó cố gắng đăng nhập, thử nhiều mật khẩu. Và khi có hành động bất thường này xảy ra lập tức người quản trị web wordpress đó sẽ nhận được thông báo qua email.
– Điều hay ho mà SecurityBox thấy ở đây chính là việc bạn có thể hoàn toàn tự set up chế độ bảo mật riêng – tức là tự cài đặt hạn chế số lần người dùng login ví dụ như 3,4 lần và nếu cố đăng nhập lần thứ 5 thì sẽ bị cấm địa chỉ IP đang cố tình đó.
– ĐÁNG CHÚ Ý: việc quản lý file wp-config.php trong wordpress là việc quan trọng nhất trong wordpress.
Xem cách bảo vệ file wp-config.php tại đây: Bảo mật website wordpress
2. Không quên xác thực 2 lớp – 2 factor authentication
– Hầu hết những diễn đàn, website bảo mật cao và wordpress đều yêu cầu xác thực 2 lớp khi bạn đăng ký làm thành viên và có thể là đăng nhập. Admin wordpress có thể tăng tính bảo mật cho website của mình bằng cách đưa ra những câu hỏi bí mật hoặc bắt người dùng nhấp vào những hình ảnh đúng yêu cầu, giải phép tính, nhập mã bí mật…
– Với SecurityBox, plugin WP Authenticator đã bảo mật website wordpress của mình chỉ trong vài đúp click chuột
3. Login bằng Email giúp tăng cường bảo mật cho web
– Theo mặc định, bạn sẽ đăng nhập bằng tên của mình hoặc số điện thoại. Nhưng việc sử dụng một Email ID thay vì một cái tên thông thường sẽ bảo mật an toàn hơn rất nhiều khi login website.
– Tại sao sử dụng email đăng nhập an toàn hơn ? Lý do đơn giản là tên người dùng, số điện thoại dễ đoán và mò được, còn với email ID thì không. Hơn nữa, bất kỳ tài khoản người dùng nào trong wordpress cũng được tạo từ một địa chỉ email DUY NHẤT. Điều này giúp bảo mật thông tin người dùng, website 1 cách tuyệt đối
– plugin WP Email Login sẽ hoạt động ngay sau khi kích hoạt và bạn không cần phải cấu hình gì cả. Cách kiếm tra: Bạn chỉ cần đăng xuất khỏi trang web, sau đó đăng nhập lại, nhưng lần này hãy nhớ sử dụng email mà bạn đã tạo để login
4. Đổi URL đăng nhập
– Một trong các cách bảo mật website wordpress mà người dùng ít biết chính là đổi địa chỉ url đăng nhập. Theo mặc định, trang login wordpress có thể truy cập dễ dàng qua địa chỉ: wp-login.php hoặc wp-admin + URL chính của trang web. ví dụ như: securitybox.vn/wp-admin/ chẳng hạn.
– Hacker phản ứng sau khi nhìn thấy địa chỉ login này: Nếu nhìn thấy url đăng nhập dạng như trên, hacker có thể đăng nhập vào GWDb (Guess Work Database, ví dụ: tên người dùng: admin và mật khẩu: P @ ssword …)
– Giải pháp: Để nâng cấp bảo mật wordpress toàn tập (to secure website wordpress), bạn cần phải thay đổi địa chỉ URL đăng nhập ngay.
– Plugin hỗ trợ: iThems Security sẽ giúp bạn loại bỏ tới 99% các cuộc tấn công của tin tặc
+ Ví dụ cách thay đổi địa chỉ URL trong phần login như sau:
– Thay đổi wp-login.php thành một cái gì đó độc đáo. Chẳng hạn: My_new_login ; / wp-admin / thành My_new_admin ; /wp-login.php?action=register thành My_new_registeration
5. Không quên sử dụng MẬT KHẨU MẠNH:
– Khá nhiều người vẫn sử dụng mật khẩu đơn giản như: 123456, 12345678, 1234567890… hay no password, khongcopass. Việc tạo mật khẩu đơn giản như thế này chính là cơ hội mở cửa cho các tin tặc lợi dụng tấn công. SecurityBox khuyến cáo: Bạn cần kiểm tra thay đổi mật khẩu ngay nếu bạn để mật khẩu như trên hoặc quá đơn giản.
– Tốt nhất, hãy sử dụng mật khẩu có cả chữ hoa và chữ thường, số và ký tự đặc biệt, tránh sử dụng số điện thoại cá nhân nhé.
II. BẢO MẬT TRANG QUẢN TRỊ ADMIN
Chuyên gia bảo mật Bùi Quang Minh của SecurityBox nhấn mạnh: Bảng điều khiển trang quản trị là phần được hacker nhòm ngó nhất vì khi hack được bảng điều khiển Dashboard sẽ đạt được nhiều mong muốn nhất của chúng.
6. Bảo vệ thư mục wp-admin (secure wp-admin directory wordpress):
– Thư mục wp-admin được ví như trái tim của bất kỳ website wordpress nào. Vì thế, nếu phần này bị tấn công, bị xâm chiếm thì coi như website của bạn hỏng hoàn toàn.
>> Giải pháp: Bảo vệ bằng mật khẩu trong thư mục wp-admin. Bằng cách sử dụng plugin có tên: AskApache Password Protect , Admin có thể truy cập vào dashboard bằng cách gửi 2 mật khẩu. Một mật khẩu bảo vệ trang login và một mật khẩu bảo vệ khu vực quản trị WordPress. Nếu người dùng trang web được yêu cầu truy cập vào một số phần cụ thể của wp-admin, bạn có thể bỏ chặn những phần đó và khóa phần kia lại. Plugin AskApache Password Protect này sẽ tự động tạo ra một tập tin .htpasswd, mã hóa mật khẩu và cấu hình quyền của tập tin và tăng cường bảo mật cao cho wordpress.
7. Mã hóa dữ liệu bằng SSL
SSL (Secure Socket Layer) là một bức tiến giúp bảo vệ bảng quảng trị. Các hacker sẽ cảm thấy khó khăn khi cố tình kết nối, phá độ bảo mật của website wordpress vì đã có SSL đảm bảo truyền dữ liệu an toàn giữa các trình duyệt của người dùng và máy chủ.
– Lợi thế cho Seoer khi website có chứng chỉ bảo mật SSL sẽ làm tăng thứ hạng tìm kiếm keyword trên Google. Bởi Google hiểu website của bạn đang bảo người dùng tốt hơn với những site khác nên sẽ ưu tiên hơn trên bảng thứ hạng.
8. Sử dụng plugin Force Strong passwords khi dùng blog wordpress
– Nhằm tăng độ Bảo mật wordpress khi có nhiều tác giả viết bài, bạn nên cài plugin này. Đây là một biện pháp phòng ngừa,tăng thêm bảo mật nữa cho trang wordpress
9. Điều hướng các files
– Nếu bạn muốn thêm một số tính năng bảo mật cho wordpress thì bạn có thẻ điều khiển sự thay đổi các tệp, file bằng plugin Acunetix WP Security, Wordfence, or again, iThemes Security
III. Bảo mật cơ sở dữ liệu cho wordpress
10. Thay đổi WordPress database table prefix
– Nếu như bạn thông thạo về code và đã cài wordpress thì có thể bạn đã quen với tiền tố wp-table được sử dụng trong database của WordPress.
– Chắc hẳn bạn không quên lỗ hổng bảo mật website – SQL injection. Hãy thay đổi wp- thành một số ví dụ như: mywp-, wpnew-
– Để hỗ trợ bảo mật database wordpress bạn có thể sử dụng plugins: WP-DBManager hoặc iThemes Security. Và nhớ sao lưu dữ liệu website trước khi thực hiện bất kể điều gì với dữ liệu. Nó giống như việc bạn photo CMTND trước khi nộp đơn xin việc tại chỗ làm vậy.
11.Sao lưu dữ liệu, site một cách thường xuyên
– Việc sao lưu dữ liệu giúp bạn bảo mật được tài sản website của mình trước khi một ngày dông tố nhất có thể xảy ra.
– SecurityBox chia sẻ, bạn có thể sử dụng VaultPress ( giúp sao lưu và bảo mật dữ liệu website wordpress cực kỳ nhanh, tốt). Cho dù bất kể điều gì xấu, SecurityBox đều có thể khôi phục lại được toàn bộ dữ liệu. Mặt khác, VaultPress sẽ rà quét các lỗ hổng, malware trong site của bạn và cảnh báo ngay khi có lỗi.
– Và điều không thể không chính là thiết lập mật khẩu mạng cho database
IV. Thiết lập bảo mật Hosting website wordpress
Có một thực tế rằng, hầu hết các công ty đều có sử dụng dịch vụ bảo mật hosting wordpress. Vậy làm thế nào để nâng cao bảo mật hosting cho wordpress ?
12. Bảo mật file wp-config.php trong wordpress
– Hỡi các bạn yêu wordpress, file wp-config.php là file chứa thông tin quan trọng nhất trong phần cài đặt WordPress, là tệp phải lưu tâm trong thư mục gốc của website. Bạn là một blogger sử dụng wordpress hoặc không phải, thì đều cần bảo mật file wp-config.php
– Bạn có thể tắt chức năng Revisions để tiết kiệm cơ sở dữ liệu và tăng tính bảo mật cho wordpress
13. Nâng cấp bảo mật blog wordpress bằng cách nâng cấp quyền chỉnh sửa tệp
– Nào ! Bạn đã đi được hơn nửa chặng đường rồi đấy, càng về cuối càng có nhiều phần hay mà SecurityBox chia sẻ.
– Nếu người dùng có quyền truy cập phần dashboard của trang quản trị, họ có thể chỉnh sửa bất kỳ file nào, thậm chí cả plugin, themes.
– Tuy nhiên, để ngăn chặn hacker và người khác chỉnh sửa file bạn có thể vào phần Dashboard của wordpress và thêm tệp sau vào cuối file wp-config.php:
define (‘DISALLOW_FILE_EDIT’, true);
14.Kết nối tới máy chủ một cách chính xác
– Khi thiết lập phần cài đặt, hãy kết nối với máy chủ qua SFTP hoặc SSH . Việc kết nối máy chủ theo cách này giúp đảm bảo truyền tải an toàn cho các files.
15.Thiết lập quyền truy cập thư mục – tránh CHMOD
– Việc thay đổi những tệp tin hay quyền truy cập thư mục là một định hướng tốt giúp đảm bảo website wordpress của bạn được bảo mật hơn trong lưu trữ hosting. Hãy thiết lập quyền cho thư mục “755” và các tệp tin “644” để bảo vệ toàn bộ hệ thống tập tin – thư mục, thư mục con và các tệp riêng lẻ.
– Bạn có thể thực hiện việc này thủ công qua File Manager bên trong bảng điều khiển hosting của bạn, hoặc thông qua Terminal (kết nối với SSH) – sử dụng lệnh “chmod”.
– CHMOD có thể rất đang mới lạ với bạn vì kiến thức phần này khá nhiều. Bạn chỉ cần nhớ CHMOD trong thư mục là 777 thôi. Dạo đầu mình cũng 1 số bạn admin khác chưa rõ về bảo mật WordPress cho lắm cũng đã bị lỗi mất thư mục mà không biết lý do gì.
– Thiết lập phân quyền 777, cho phép tối đa tất cả user trên server đều có quyền ghi/xóa/thực thi thư mục và các tập tin bên trong.
– Bạn đang dùng Shared Host, thì cần phải nhớ CHMOD chuẩn nhất là 755 cho thư mục, 644 cho files. Với file wp-config.php thì hãy CHMOD thành 444 hoặc 440 hoặc 400.
16.Tắt danh sách thư mục với .htaccess
– bạn tạo một thư mục có tên “data”, và có thể thấy mọi thứ trong thư mục “data” bằng cách gõ http://www.example.com/data/ trong trình duyệt của bạn
– Bạn có thể ngăn chặn điều này bằng cách thêm dòng mã sau vào tệp tin .htaccess: Options All -Indexes
V. BẢO MẬT CÁC THEMES VÀ PLUGINS TRONG BẢO MẬT WEBSITE WORDPRESS
Hãy cùng SecurityBox bảo mật toàn diện cho website dùng template và plugin wordpress nào !
17. Theo dõi và cập nhật thường xuyên các plugin, themes của WordPress
– Cũng giống như windows, việc update thường xuyên giúp bảo mật máy tính của bạn tốt hơn, thì wordpress cũng vậy. Nếu không cập nhật những themes, plugin của wordpress, bạn có thể gặp rắc rối về vấn đề bảo mật đấy. Và mới cuối tháng 3/2017 vừa rồi, một plugin mang tên WP- Base-SEO đã dẫn lối cho hacker.
Xem chi tiết tại đây: Fake WordPress plugin mở cửa cho các hackers
18.Xóa phiên bản wordpress:
– Tất nhiên việc tìm ra phiên bản wordpress mà bạn đang sử dụng sẽ giúp hacker lần ra dấu vết lỗ hổng dễ dàng hơn rất nhiều và chúng có nhiều time nghiên cứu hơn để công phá.
CUỐI CÙNG
Nếu bạn đang sử dụng themes, plugins, website bằng wordpress hãy kiểm tra và rà soát, cài đặt, thiết lập chế độ bảo mật ngay ! Còn plugin iThemes Security là plugin mà mình thích nhất. Đây là bài viết tâm huyết về các giải pháp, các cách bảo mật website wordpress mà mình muốn chia sẻ đã bấy lâu nay. Cũng mất gần 4 tiếng xiên suốt với bài chia sẻ 2212 chữ này. Hi vọng, bạn sẽ thích bài viết này. Đừng quên chia sẻ bài viết: ” Bảo mật website WordPress” này tới bạn bè của bạn nhé ! Thanks.