Quảng cáo Siêu Tốc - Banner

[6 BƯỚC] Bảo mật website wordpress chi tiết nhất 2018

Trung bình mỗi tuần, Google liệt kê khoảng 20 nghìn trang web có chứa phần mềm độc hại và hơn 50 nghìn trang lừa đảo, vậy nên sử dụng nền tảng nào để xây dựng website là an toàn nhất? Câu trả lời là không tồn tại nền tảng nào có độ an toàn tuyệt đối. Kể cả đối với Wordpress, mã nguồn mở được kiểm tra thường xuyên bởi hàng trăm nhà phát triển trên khắp thế giới, vẫn có rất nhiều thứ có thể làm “đóng băng” website

Tôi tin rằng bảo mật không chỉ là vấn đề về cách loại bỏ rủi ro, nó cũng là cách giảm thiểu rủi ro. Chính vì vậy, bảo mật website Wordpress là một chủ đề cực kì quan trọng đối với mọi chủ sở hữu, quản trị viên website. Nếu thực sự muốn phát triển trang web của mình một cách nghiêm túc, bạn cần cập nhật, nghiên cứu kĩ những phương pháp bảo mật wordpress mới nhất hiện nay

Là chủ sở hữu trang web, có rất nhiều thứ bạn có thể làm để cải thiện độ bảo mật, ngay cả khi bạn không hiểu biết nhiều về công nghệ. Trong hướng dẫn này, tôi sẽ chia sẻ tất cả các bước hỗ trợ bảo mật website hàng đầu hiện nay để giúp bạn bảo vệ trang web của mình khỏi tin tặc và phần mềm độc hại.

bảo mật wordpress an toàn bằng những thủ thuật hiệu quả nhất

Hướng dẫn các bước để bảo mật website Wordpress hiệu quả nhất

1.Những bước bảo mật Wordpress căn bản nhất

1.1Cập nhật phần mềm thường xuyên

WordPress là một phần mềm mã nguồn mở thường xuyên được bảo trì và cập nhật, theo thiết lập mặc định, Wordpress sẽ tự động update đối với những cập nhật nhỏ, nhưng đối với những bản cập nhật quan trọng, bạn phải thực hiện theo cách thủ công, rất nhiều người dùng nghĩ rằng nền tảng tự động cập nhật, nên không quan tâm nhiều đến những bản cập nhật thủ công, trong khi đó là yếu tố nâng cao bảo mật cực kì quan trọng

Wordpress cũng sở hữu hàng nghìn plugin, chủ đề mà bạn có thể cài đặt trên trang của mình, các plugin, chủ đề này được nhà phát triển bên thứ ba thường xuyên phát hành cập nhật, đặc biệt đối với các plugin bảo mật cho wordpress. Tất cả những cập nhật trong phần này đều rất quan trọng để đảm bảo an toàn và giúp website hoạt động ổn định.

1.2 Sử dụng mật khẩu bảo mật cao và phân quyền người dùng

Khá nhiều trường hợp website bị hack thông qua việc đánh cắp mật khẩu, bạn có thể hạn chế tối đa rủi ro và đảm bảo bảo mật wordpress bằng cách sử dụng mật khẩu bảo mật cao cho website Wordpress của mình, không chỉ đối với trang quản trị website, mà còn cho tài khoản FTP, database, tài khoản host và cả địa chỉ email chuyên nghiệp nữa

Một cách khác để giảm rủi ro là hạn chế cung cấp quyền truy cập tài khoản quản trị cho người khác, trong trường hợp phải làm việc với một nhóm lớn hoặc tác giả khách mời, hãy đảm bảo rằng bạn đã hiểu vai trò và quyền hạn của mỗi vai trò trước khi thêm người dùng mới vào website của mình.

bảo mật wordpress bằng cách cập nhật nền tảng thường xuyên

Theo dõi update thường xuyên là cách dễ dàng nhất để nâng cao độ bảo mật website

1.3 Vai trò của Hosting đối với bảo mật wordpress

Dịch vụ lưu trữ trang web giữ vai trò cực kì quan trọng trong việc bảo mật cho wordpress, về cơ bản, bạn đang chia sẻ tài nguyên máy chủ với nhiều người dùng khác, điều này tạo nên nguy cơ lây nhiễm chéo, hay nói khác hơn là hacker có thể sử dụng trang web lân cận để tấn công trang của bạn

Các nhà cung cấp dịch vụ host chất lượng cao như Bluehost hoặc Bigdaddy sẽ luôn có biện pháp bổ sung để bảo vệ máy chủ của họ khỏi những mối đe dọa chung. Chính vì vậy, việc lựa chọn dịch vụ host uy tín là yếu tố cơ bản nhất trước khi bắt đầu website, nó cũng tương tự việc bạn bỏ thời gian để xây dựng cấu trúc ngôi nhà vững chắc trước khi đưa nội thất vào đó vậy.

Nếu các bạn muốn sở một một website chuẩn seo, đầy đủ tính năng và trải nghiệm người dùng tốt với mức giá phải chăng, hay giá rẻ. Hãy liên hệ ngay với Web Siêu Tốc . VN để đăng ký ngay gói dịch vụ thiết kế website giá rẻ chất lượng cao nhé

2. Cách bảo mật website không cần sử dụng code

2.1 Thường xuyên sao lưu website

Sao lưu là biện pháp phòng thủ đầu tiên giúp bạn chống lại bất kì cuộc tấn công nào trên website Wordpress, hãy nhớ rằng, không có nền tảng hay kĩ thuật nào giúp bảo mật 100%, nếu trang web của chính phủ có thể bị tấn công thì website của bạn cũng không thể thoát khỏi nguy cơ đó. Trong trường hợp này, sao lưu cho phép bạn nhanh chóng khôi phục trang web của mình nếu có xảy ra sự cố

Có rất nhiều cách khác nhau để thực hiện sao lưu, từ phương pháp thủ công, thao tác trực tiếp trên tài khoản host, cho đến sử dụng Plugin miễn phí hoặc có phí, tích hợp trên trang quản trị. Điều quan trọng nhất là bạn phải biết được cách sao lưu thủ công từ tài khoản host về máy tính cá nhân để đề phòng trường hợp không truy cập được trang quản trị, đồng thời kết hợp sử dụng một số dịch vụ lưu trữ đám mây như Amazon, Dropbox, Google Drive…

Không nhất định lúc nào cũng phải sao lưu thủ công, việc sử dụng plugin hỗ trợ cho phép chủ website sao lưu tự động theo định kì cố định để bảo mật Wordpress, một số plugin phổ biến có thể kể đến như VaultPress hoặc BackupBuddy…Giúp quản trị viên sao lưu mà không cần kiến thức chuyên sâu về kĩ thuật.

bảo mật wordpress bằng cách sao lưu dữ liệu

Backup giúp bạn dễ dàng khôi phục website về trạng thái ban đầu nếu lỡ bị tấn công

2.2 Cài đặt plugin bảo mật cho wordpress

Sau khi thực hiện sao lưu, bước kế tiếp cần thực hiện là thiết lập hệ thống giám sát, theo dõi mọi hoạt động diễn ra trên website, bao gồm giám sát tập tin toàn vẹn (file integrity monitoring- FIM), giám sát đăng nhập không thành công (Nếu có tìm hiểu về IT, các bạn sẽ biết về khái niệm Brute Force Attack, hình thức dò mật khẩu bằng dữ liệu riêng của hacker, do đó, nếu xuất hiện trường hợp đăng nhập không thành công quá nhiều lần, bạn nên có biện pháp đề phòng), quét phần mềm độc hại…

Một trong những plugin bảo mật cho wordpress miễn phí tốt nhất hiện nay là Sucuri Security, bạn có thể cài đặt bình thường như những plugin khác, không có thiết lập nào quá phức tạp. Sau khi active plugin thành công, bạn có thể truy cập menu của Sucuri. Ở giao diện chính, chỉ cần chọn Generate API key để tạo khóa giám sát miễn phí, sau đó, bạn có thể sử dụng hầu hết những tính năng đã được giới thiệu ở trên.

bảo mật wordpress bằng cách cài đặt plugin bảo mật

Sucuri là một trong những plugin bao mat cho wordpress hiệu quả nhất với rất nhiều chức năng đa dạng

3. Kĩ thuật bảo mật Wordpress nâng cao

3.1 Thay đổi tên người dùng “admin” mặc định

Trong suốt thời gian trước đây, username để đăng nhập trang quản trị Wordpress đều được mặc định là “admin”, không khó nhận ra tên người dùng chiếm đến 50% thông tin xác thực đăng nhập, hay nói khác hơn là hacker đã biết chính xác 50% thông tin, tất cả những gì cần làm là sử dụng Brute Force Attack để dò mật khẩu, đây là lí do chính làm các website dễ dàng bị tấn công

Rất may, Wordpress đã khắc phục được lỗ hổng này, hiện nay, bạn có thể chủ động chọn tên người dùng tùy chỉnh trong bước cài đặt ban đầu, đây là điều cần đặc biệt quan tâm khi tạo tài khoản để nâng cao độ bảo mật website. Bởi vì theo thiết lập mặc định, Wordpress không cho phép thay đổi tên người dùng, nên nếu bạn lỡ sử dụng username là “User”, thì có ba phương pháp có thể áp dụng để giải quyết vấn đề:

+ Cấp quyền cho một tài khoản quản trị mới và xóa tài khoản người dùng cũ

+ Sử dụng plugin Username Changer

+ Cập nhật tên người dùng từ phpMyAdmin trên tài khoản Host.

3.2 Tắt tính năng chỉnh sửa tập tin

Về mặc định, giao diện quản trị của Wordpress được tích hợp sẵn trình chỉnh sửa code, cho phép bất kì ai đăng nhập được vào trang quản trị đều có thể chỉnh sửa, tải hoặc xóa plugin, theme, như chúng ta vẫn thường thực hiện, điều này giúp Wordpress trở thành một trong những nền tảng trực quan, dễ sử dụng nhất. Tuy nhiên, nếu tài khoản rơi vào tay kẻ xấu, thì chính điểm mạnh lại trở thành một lỗ hổng bảo mật Wordpress nghiêm trọng, đó là lí do chúng tôi khuyên bạn nên tắt tính năng này

Cách thực hiện rất đơn giản, bạn chỉ cần dán đoạn mã dưới đây vào tập tin wp-config.php thông qua tài khoản host

// Disallow file edit

define( 'DISALLOW_FILE_EDIT', true );

Ngoài ra, nếu có cài đặt plugin Sucuri mà tôi đã giới thiệu ở phần trên, chúng ta có thể dễ dàng thao tác chỉ với một cú click chuột.

bảo mật wordpress bằng cách hạn chế quyền chỉnh sửa code trên trang quản trị

Theo mặc định, Wordpress cho phép người dùng chỉnh sửa code trực tiếp trên trang quản trị

3.3 Vô hiệu hóa thực thi tập tin PHP ở một số thư mục Wordpress cụ thể

Một cách khác để tăng cường bảo mật Wordpress là vô hiệu hóa việc thực thi tập tin PHP ở những thư mục không cần thiết, ví dụ như /wp-content/uploads/. Chúng ta có thể thực hiện một cách đơn giản bằng cách mở notepad và dán đoạn mã dưới đây vào:

bảo mật wordpress bằng cách vô hiệu hóa tập tin PHP

Đoạn mã vô hiệu hóa thực thi tập tin PHP ở những thư mục không cần thiết


Kế tiếp, save tên tập tin là .htaccess và upload lên folder /wp-content/uploads/ trên tài khoản host bằng cách sử dụng phần mềm FTP

Ngoài ra, bạn cũng có thể sử dụng Plugin Sucuri để thực hiện thao tác một cách đơn giản.

3.4 Hạn chế số lần đăng nhập tài khoản

Theo mặc định, Wordpress cho phép người dùng đăng nhập bao nhiêu lần tùy thích, hay nói cách khác, nếu bạn lỡ quên mật khẩu, có thể thử hàng trăm pass có thể nghĩ ra trong đầu để đăng nhập. Điều này như đã nói, là cơ sở để hacker dễ dàng tấn công website bằng phần mềm chuyên dụng

Lỗ hổng bảo mật này có thể dễ dàng khắc phục bằng cách giới hạn số lần đăng nhập thất bại cho mỗi tài khoản người dùng, để thực hiện điều này, bạn có thể cài đặt Firewall hoặc cài đặt plugin chuyên dụng Login LockDown. Sau khi active plugin, bạn hãy truy cập Settings » Login LockDown để thực hiện cài đặt tài khoản.

3.5 Bảo mật Website bằng cách thay đổi tiền tố trong Database

Theo mặc định, Wordpress sử dụng wp_ làm tiền tố cho tất cả các bảng trong cơ sở dữ liệu của người dùng, nếu website của bạn đang sử dụng tiền tố database mặc định, hacker sẽ rất dễ đoán ra tên các bảng, đó là lí do tôi khuyên bạn nên thay đổi nó, đây là một kĩ thuật phức tạp cần thực hiện khá nhiều bước, tôi sẽ hướng dẫn trong một bài viết chuyên sâu hơn. Tuy nhiên, cần lưu ý rằng kĩ thuật này có thể gây ảnh hưởng trực tiếp đến hoạt động của website nếu thực hiện không đúng cách, vì vậy, dù bạn tham khảo ở bất cứ nguồn nào, cũng phải tìm hiểu kĩ và chỉ khuyến khích đối với người có khả năng hiểu code khá tốt.

bảo mật wordpress bằng cách thay đổi tiền tố WP

Thiết lập mặc định của tất cả các file Wordpress đều sử dụng tiền tố _wp

Liên quan đến việc cài đặt, tối ưu website các bạn có thể tìm hiểu thêm các thông tin hữu ích sau:

SSH LÀ GÌ ? Cách SSH vào Sever Linux Và Windown từ A-Z chi tiết

Top 4 công Cụ kiểm tra tốc độ website & hosting hoàn hảo nhất 2019

3.6 Tắt XML-RPC trong WordPress

XML-RPC được bật mặc định trong Wordpress 3.5, là một công cụ hỗ trợ kết nối website Wordpress với các ứng dụng web và thiết bị di động khác, tuy nhiên, đây cũng có thể là nguyên nhân làm website của bạn dễ dàng bị tấn công

Ví dụ: Nếu hacker muốn thử 500 mật khẩu khác nhau để xâm nhập trang của bạn, chúng phải thực hiện 500 lần đăng nhập riêng biệt, nghĩa là yêu cầu đăng nhập 500 lần, phương pháp này sẽ bị chặn bởi plugin Login LockDown một cách dễ dàng. Tuy nhiên, nếu website được bật XML-RPC, hacker có thể sử dụng hàm system.multicall để thử hàng nghìn mật khẩu chỉ với 20 – 50 yêu cầu. Đó là lí do nếu không sử dụng XML-RPC, bạn nên tắt ngay nó đi

Bạn có thể dễ dàng thực hiện thao tác này bằng cách mở NotePad, dán đoạn mã dưới đây vào và lưu file dưới tên .htaccess, sau đó tải lên host thông qua phần mềm FTP

bảo mật wordpress bằng cách tắt công cụ hỗ trợ kết nối
Đoạn mã tắt XML-RPC trong Wordpress, bạn có thể tải lên host và xóa đi bất kì lúc nào


Đây được xem là phương pháp hiệu quả nhất để giải quyết vấn đề.

Kết luận

Trên đây là những kĩ thuật bảo mật Wordpress từ cơ bản đến nâng cao mà Quảng Cáo Siêu Tốc muốn chia sẻ đến các bạn để đảm bảo an toàn cho website của bạn, hai phần đầu có thể áp dụng cho bất kì quản trị viên nào, không cần kĩ thuật chuyên sâu về code, phần cuối cùng sẽ yêu cầu hiểu biết về code và thao tác trên tài khoản hosting, bạn cũng phải tìm hiểu cách sử dụng phần mềm FTP để hỗ trợ thao tác, nhưng bất kì phương pháp nào được giới thiệu cũng có thể giúp nâng cao độ bảo mật website. Chúc bạn thành công!

Bạn có những thắc mắc về quảng cáo không biết hỏi ai? Bạn có thể Click vào đăng ký dưới đây!
Chúng tôi sẽ liên hệ lại với bạn để giải đáp những thắc mắc, cũng như tư vấn cho bạn về dịch vụ quảng cáo Online trong ngày!

Đăng ký quảng cáo online
Tham gia bình luận
Banner tuyển dụng
Bài viết cũ hơn
Đăng ký tư vấn

Hỏi Đáp Cùng Chuyên Gia

Các cá nhân, doanh nghiệp, marketer đang sử dụng marketing online để bán hàng và có nhiều thắc mắc nhưng không biết hỏi ai ?

CEO VÕ TUẤN HẢI - Chuyên Gia Marketing

Chuyên Gia Marketing Võ Tuấn Hải

Trên Sóng VTV3, THVL1,THVL2,...

Chuyên gia marketing Võ Tuấn  Hải Trên VTV3

Quảng Cáo Siêu TốcTUYỂN DỤNG

Quảng Cáo Siêu Tốc

DMV Là Đối Tác Chính Thức Của GOOGLE, CỐC CỐC, ZALO,...

Click Để Xem Huy Hiệu Đối Tác Google

Hỗ trợ khách hàng

Tư Vấn Trong Giờ Hành Chính

0904 512 292 (Ms. Quyên)

028.6656 5252 (Ms. Quyên)

028.667 99 326 (Ms. Thư)

028.667 99 324  (Ms. Thư)

Email: doquyen@dmv.com.vn

--<>--

Hotline:

0987 087 034 - 0938 138 160

(Mr.Tuấn Hải)

Email: baogia@dmvgroup.vn