Bảo mật trang web WordPress
WordPress là Hệ thống Quản lý Nội dung (CMS) phổ biến nhất. Được sử dụng cho hơn 30% các trang web trên Internet.
Và khi trở nên phổ biến. Những tin tặc đã lưu ý và bắt đầu nhắm mục tiêu cụ thể vào các trang web WordPress.
Cho dù trang web của bạn cung cấp loại nội dung nào, bạn cũng không phải là một ngoại lệ.
Nếu bạn không thực hiện các biện pháp phòng ngừa nhất định, bạn có thể bị tấn công. Do đó, bạn cần kiểm tra bảo mật cho trang web của mình.
Trong chủ đề này, chúng tôi sẽ chia sẻ một vài mẹo để giữ an toàn cho trang web WordPress.
Chọn một nhà cung cấp dịch vụ lưu trữ tốt
Cách đơn giản nhất để giữ an toàn cho trang web của bạn là chọn nhà cung cấp dịch vụ lưu trữ web có độ bảo mật cao.
Khi sử dụng một nhà cung cấp dịch vụ lưu trữ giá rẻ. Bạn sẽ có thể tiết kiệm tiền cho dịch vụ lưu trữ trang web của mình.
Tuy nhiên, đừng để bị cám dỗ bởi con đường này. Nó có thể, và thường gây ra những cơn hậu quả nghiêm trọng. Dữ liệu của bạn có thể bị xóa hoàn toàn. URL của bạn có thể bắt đầu chuyển hướng đến một nơi khác.
Tốn nhiều hơn một chút chi phí cho một dịch vụ lưu trữ web có chất lượng. Nghĩa là trang web của bạn cũng nhận được độ bảo mật cao hơn.
Một lợi ích khác là bằng cách sử dụng dịch vụ lưu trữ WordPress tốt. Bạn có thể tăng tốc trang web WordPress của mình một cách đáng kể.
Mặc dù có nhiều công ty lưu trữ web, chúng tôi khuyên bạn nên chọn WPEngine.
Họ cung cấp nhiều tính năng bảo mật, bao gồm quét phần mềm độc hại hàng ngày. Hỗ trợ 24/7.
Không sử dụng chủ đề bị vô hiệu hóa
Các chủ đề cao cấp của WordPress trông chuyên nghiệp. Có nhiều tùy chọn và tùy chỉnh hơn chủ đề miễn phí.
Các chủ đề cao cấp được mã hóa bởi các nhà phát triển và được kiểm tra nhiều lần.
Bạn sẽ đựoc sử dụng tất cả tính năng cao cấp của chủ đề. Được hỗ trợ đầy đủ nếu có vấn đề gì xảy ra trên trang web của bạn. Hầu hết tất cả bạn sẽ nhận được các bản cập nhật chủ đề thường xuyên.
Tuy nhiên, có một số trang web cung cấp các chủ đề bị vô hiệu hóa (Theme nulled) hoặc bị bẻ khóa. Đây là phiên bản bị tấn công của chủ đề cao cấp. Các chủ đề này có được thông qua các phương thức bất hợp pháp.
Chúng cũng rất nguy hiểm cho trang web của bạn. Chúng ẩn chứa mã độc hại, có thể phá hủy trang web và cơ sở dữ liệu của bạn. Hoặc ghi lại thông tin đăng nhập quản trị viên của bạn.
Do đó, tốt nhất là không dùng các chủ đề bị vô hiệu hóa.
Plugins bảo mật WordPress
Việc thường xuyên kiểm tra bảo mật trang web của bạn để tìm phần mềm độc hại là công việc tốn nhiều thời gian và trừ khi bạn thường xuyên cập nhật kiến thức lập trình. Bạn thậm chí có thể không nhận ra rằng mình đang xem một đoạn mã độc hại trong phần mềm.
May mắn thay, những người khác đã nhận ra rằng không phải ai cũng là nhà phát triển và đã đưa ra các plugin bảo mật WordPress.
Một plugin bảo mật chăm sóc bảo mật trang web của bạn. Quét phần mềm độc hại. Giám sát trang web của bạn 24/7 để thường xuyên kiểm tra những gì đang xảy ra.
Sucuri.net là một plugin bảo mật WordPress tuyệt vời.
Họ cung cấp kiểm tra hoạt động bảo mật. Giám sát tính toàn vẹn các tệp. Quét phần mềm độc hại từ xa. Giám sát danh sách đen. Tăng cường bảo mật hiệu quả. Thông báo bảo mật và thậm chí cả tường lửa cho trang web (có trả phí).
Mật khẩu mạnh
Mật khẩu là một phần rất quan trọng trong bảo mật trang web và rất tiếc thường bị bỏ qua.
Nếu bạn đang sử dụng mật khẩu giống như: 123456, abc123, password. Bạn cần phải thay đổi mật khẩu của mình ngay lập tức.
Mặc dù mật khẩu này có thể dễ nhớ nhưng cũng cực kỳ dễ đoán.
Người dùng nâng cao có thể dễ dàng bẻ khóa mật khẩu của bạn và truy cập mà không gặp nhiều khó khăn.
Điều quan trọng là bạn phải sử dụng mật khẩu phức tạp. Hoặc tốt hơn là mật khẩu được tạo tự động với nhiều số, kết hợp chữ cái vô nghĩa và các ký tự đặc biệt như % hoặc ^.
Làm thế nào để vô hiệu hóa chỉnh sửa tệp
Khi bạn thiết lập trang web WordPress của mình, có một chức năng chỉnh sửa mã trong bảng điều khiển cho phép bạn chỉnh sửa chủ đề và plugin của mình.
Nó có thể được truy cập bằng cách đi tới Giao diện > Trình chỉnh sửa. Một cách khác bạn có thể tìm thấy trình chỉnh sửa plugin là vào trong Plugins > Editor.
Khi trang web của bạn hoạt động, chúng tôi khuyên bạn nên tắt tính năng này. Nếu bất kỳ tin tặc nào giành được quyền truy cập vào bảng điều khiển quản trị WordPress của bạn, họ có thể đưa mã độc hại tinh vi vào chủ đề và plugin của bạn.
Thông thường, mã sẽ rất tinh vi, bạn có thể không nhận thấy bất kỳ điều gì sai sót cho đến khi quá muộn.
Để tắt khả năng chỉnh sửa plugin và tệp chủ đề, chỉ cần dán đoạn mã sau vào tệp wp-config.php của bạn.
define(‘DISALLOW_FILE_EDIT’, true);
Chứng chỉ SSL
Ngày nay, Single Sockets Layer (SSL), đều cần thiết cho tất cả các trang web.
Ban đầu, SSL được sử dụng để đảm bảo an toàn cho các trang web giao dịch, chẳng hạn như xử lý các khoản thanh toán.
Ngày nay, Google đã nhận ra tầm quan trọng của nó và ưu tiên hiển thị các trang web có chứng chỉ SSL trong kết quả tìm kiếm của nó.
SSL là bắt buộc đối với bất kỳ trang web nào xử lý thông tin nhạy cảm, như mật khẩu hoặc thông tin thẻ tín dụng.
Nếu không có chứng chỉ SSL, tất cả dữ liệu giữa trình duyệt web và máy chủ web của bạn sẽ được gửi ở dạng văn bản thuần túy.
Và tin tặc có thể đọc được dữ liệu này. Bằng cách sử dụng SSL, thông tin nhạy cảm sẽ được mã hóa trước khi được chuyển giữa trình duyệt và máy chủ, khiến việc đọc trở nên khó khăn hơn và làm cho trang web của bạn an toàn hơn.
Đối với các trang web chấp nhận thông tin nhạy cảm, giá SSL trung bình là khoảng
70 − 199$ mỗi năm. Nếu bạn không chứa bất kỳ thông tin nhạy cảm nào, bạn không cần phải trả tiền cho chứng chỉ SSL.
Hầu hết mọi công ty lưu trữ đều cung cấp chứng chỉ SSL Let’s Encrypt miễn phí mà bạn có thể cài đặt trên trang web của mình.
Thay đổi URL đăng nhập wp–admin của bạn
Theo mặc định, để đăng nhập vào WordPress, địa chỉ là “yoursite.com/wp-admin”.
Bằng cách để nó làm mặc định, bạn có thể bị nhắm mục tiêu cho một cuộc tấn công brute-force để bẻ khóa kết hợp tên người dùng/mật khẩu của bạn.
Nếu bạn cho phép người dùng đăng ký tài khoản, bạn cũng có thể nhận được rất nhiều đăng ký spam.
Để ngăn chặn điều này, bạn có thể thay đổi URL đăng nhập quản trị hoặc thêm câu hỏi bảo mật vào trang đăng ký và đăng nhập.
Thủ thuật WordPress 1
Bạn có thể bảo vệ thêm trang đăng nhập của mình bằng cách thêm plugin xác thực 2 yếu tố vào WordPress của mình.
Khi bạn cố gắng đăng nhập, bạn sẽ cần cung cấp xác thực bổ sung để có quyền truy cập vào trang web của mình, ví dụ: đó có thể là mật khẩu của bạn và email (hoặc văn bản).
Đây là một tính năng bảo mật nâng cao để ngăn chặn tin tặc truy cập vào trang web của bạn.
Thủ thuật WordPress 2
Bạn cũng có thể kiểm tra xem IP nào có nhiều lần đăng nhập thất bại nhất, sau đó bạn có thể chặn các địa chỉ IP đó.
Giới hạn đăng nhập thất bại nhiều lần
Mặc định, WordPress không hạn chế số lần đăng nhập thất bại.
Mặc dù điều này có thể hữu ích nếu bạn thường xuyên quên các chữ cái viết hoa, nhưng nó cũng có thể dẫn đến các cuộc tấn công brute-force.
Bằng cách giới hạn số lần đăng nhập, người dùng có thể thử một số lần giới hạn cho đến khi chúng bị chặn tạm thời.
Điều này hạn chế khả năng bạn thực hiện một cuộc tấn công brute-force vì tin tặc bị khóa trước khi họ có thể hoàn thành cuộc tấn công của mình.
Bạn có thể kích hoạt chức năng này một cách dễ dàng với một plugin giới hạn số lần đăng nhập WordPress. Sau khi đã cài đặt plugin, bạn có thể thay đổi số lần đăng nhập thông qua Cài đặt > Giới hạn số lần thử đăng nhập.
Ẩn các tệp wp-config.php và .htaccess
Mặc dù đây là một bước nâng cao để cải thiện bảo mật cho trang web của bạn, nhưng nếu bạn nghiêm túc về bảo mật của mình, bạn nên ẩn các tệp .htaccess và wp-config.php của trang web để ngăn chặn tin tặc truy cập chúng.
Chúng tôi thực sự khuyên các nhà phát triển có kinh nghiệm thực hiện tùy chọn này. Trước tiên, bạn phải thực hiện sao lưu trang web của mình, sau đó mới tiến hành.
Bất kỳ sai sót nào cũng có thể khiến trang web của bạn không thể truy cập được.
Để ẩn các tệp, sau khi sao lưu, có hai điều bạn cần làm:
Đầu tiên, truy cập tệp wp-config.php của bạn và thêm mã sau,
<Files wp-config.php>
order allow, deny
deny from all
</Files>
Trong một phương pháp tương tự, bạn sẽ thêm mã sau vào tệp .htaccess của mình,
<Files .htaccess>
order allow, deny
deny from all
</Files>
Mặc dù quá trình này rất dễ dàng, nhưng hãy đảm bảo là bạn có bản sao lưu trước khi bắt đầu. Trong trường hợp có bất kỳ điều gì sai sót bạn cũng có thể khôi phục lại từ bản sao lưu.
Cập nhật các phiên bản WordPress
Luôn cập nhật WordPress của bạn là một phương pháp hay để giữ an toàn cho trang web của bạn.
Với mỗi bản cập nhật, các nhà phát triển thực hiện một vài thay đổi, thường bao gồm các bản cập nhật cho các tính năng bảo mật.
Bằng cách luôn cập nhật phiên bản mới nhất, trang web của bạn có thể tránh bị tấn công bởi các lỗ hổng chưa được cập nhật bởi các tin tặc. Họ có thể lợi dụng những lỗ hổng này để giành quyền truy cập vào trang web của bạn.
Theo mặc định, WordPress tự động tải xuống các bản cập nhật nhỏ. Tuy nhiên, đối với các bản cập nhật lớn, bạn sẽ cần cập nhật trực tiếp từ bảng điều khiển quản trị WordPress của mình.
Xem thêm các bài học về WordPress.