8 mẹo giúp tăng bảo mật wordpress

Bạn thường xuyên gặp phải vấn đề bảo mật khi sử dụng WordPress, bài hôm nay mình xin gợi ý một số vấn đề lỗ hổng bảo mật và cách khắc phục cho website WordPress của bạn.

Nguyên nhân hầu hết là do mã độc tấn công, hack bots làm chậm website và tìm lỗi hổng đề chèn mã độc. Hacker sẽ nhắm vào những blog phổ biến và mục đích chính của họ là kiểm soát trang web kiếm tiền hàng đầu, đôi khi để giải trí và hầu hết thời gian để đòi tiền chuộc.

Các mẹo bảo mật cơ bản bây giờ có thể giúp bạn bảo mật WordPress từ các tập lệnh tấn công quy mô nhỏ. Tuy nhiên, để giải quyết các cuộc tấn công của các tin tặc này, bạn cần phải thông minh hơn và làm theo một số mẹo bảo mật nâng cao cho WordPress.

8 Mẹo chuyên nghiệp để kiểm xoát bảo mật WordPress

1. Thay đổi đường dẫn đăng nhập

URL đăng nhập của WordPress là nơi lý tưởng cho hacker tấn công. Cũng giống như bạn sẽ cần phải đăng nhập vào bảng điều khiển WP của bạn để thực hiện một số thay đổi hoặc cập nhật, một hacker cũng yêu cầu quyền truy cập quản trị tương tự để có thể kiểm soát trang web WP của bạn. Do đó, bạn cần thay đổi URL đăng nhập mặc định, “wp-login.php” thành một tên khác.

Loại bỏ mọi liên kết đăng nhập trên blog mà bạn để trên website, có thể bạn đã cài đặt theme mặc định mà quên không sửa lại.

Nếu bạn có nhiều tác giả trên blog của mình, người đóng góp thường xuyên, thì bạn luôn có thể chia sẻ URL đăng nhập riêng với họ để được bảo vệ nâng cao.

Bằng cách này, sẽ rất khó khăn cho bất kỳ chương trình hacker nào lẻn vào trang web WordPress của bạn vì chúng được thiết kế cho các thiết lập mặc định của WordPress và quan trọng nhất là nó sẽ đảm bảo an toàn cho trang web của bạn khỏi các tập lệnh độc hại hoặc tấn công bot.

Nếu bạn sử dụng plugin WordPress iThemes Security (trước đây là Better WP Security), bạn sẽ có thể thay đổi URL đăng nhập một cách dễ dàng.

2. Ẩn tên đăng nhập

Để bảo mật WordPress, điều quan trọng tiếp theo là giấu tên người dùng (username) WP của bạn! Nó sẽ đảm bảo rằng các tin tặc không có quyền truy cập vào thông tin xác thực người dùng phù hợp để truy cập quản trị khi bạn đã ẩn tên người dùng.

Làm thế nào để ẩn Username trên WordPress?

Như bạn đã biết, mỗi bài đăng được xuất bản trên blog WordPress được gán cho tác giả. Theo mặc định, WordPress chọn tên người dùng của tác giả để tạo URL tác giả chẳng hạn như: http://www.blogname.com/?author=1

Vì vậy, để ẩn tên người dùng của bạn trên URL tác giả, bạn phải thay đổi các cài đặt này cơ sở dữ liệu.

• Bước 1: Đăng nhập vào cpanel của hosting.
• Bước 2: Truy cập phpMyAdmin và chọn tên database.
• Bước 3: Từ database mở bảng wp_users
• Bước 4: Bạn sẽ thấy danh sách người dùng và mỗi user có thông tin user_login và user_nicename giống nhau.
• Bước 5: Chỉ đơn giản đổi tên cột user_nicename khác với user_login là ok.
• Bước 6: Nhấn nút Save để cập nhật

Như vậy là bạn đã thay đổi thành công URL tác giả sao cho không ai có thể theo dõi tên người dùng của bạn thông qua http://www.blogname.com/?author=1

3. Thay đổi quyền của tệp

Lưu ý rằng mọi tệp và thư mục trên máy tính của bạn hoặc máy chủ lưu trữ có thể có quyền dựa trên đặc quyền của người dùng. Các quyền của người dùng này yêu cầu mở một thư mục hoặc một tệp, được chia thành ba quyền: Đọc, Viết và Thực thi.

Hầu hết các thư mục trên hệ thống WordPress của bạn đều chưa bảo mật với chmod thư mục trên hosting là 777 , cho phép bất kỳ ai có quyền truy cập của người dùng đều có thể đọc, viết và thực hiện các thư mục đó.

Để bảo vệ thư mục WordPress như vậy, bạn nên gán 755 hoặc 750 theo đề xuất của WordPress.org cho tất cả các thư mục này. Ngoài ra, đặt các tệp của bạn thành 640 hoặc 644 và quan trọng nhất là gán tệp wp-config.php với quyền 600.

Làm thế nào để thay đổi quyền truy cập tập tin cho các tập tin và thư mục?

• Bước 1: Sử dụng trình FTP của bạn để truy cập máy chủ lưu trữ trang web WordPress của bạn.
• Bước 2: Truy cập thư mục public_html.
• Bước 3: Nhấn chuột phải vào tệp và thư mục, chọn File Permissions. Bạn sẽ thấy xuất hiện hình sau:
  
• Bước 4: Nhập quyền và nhấn “OK”

Bạn đã thay đổi thành công quyền truy cập tệp và đã thêm một lớp bảo mật trên trang web WP của bạn rồi.

Không cho phép truy cập tệp hoặc thư mục

Bạn cũng có thể bảo mật trang web WordPress của bạn từ những người lén lút, những người sẽ sử dụng công cụ thám hiểm để duyệt qua các tệp và thư mục của bạn một cách không cần thiết. Do đó, nó được khuyến khích để ngăn chặn họ duyệt các thư mục của bạn.

Chỉ cần thêm dòng sau vào tệp .htaccess của bạn để hạn chế mọi người duyệt các thư mục quan trọng của bạn:

Options -Indexes

Bây giờ, bạn đã vô hiệu hoá thành công việc duyệt thư mục trên trang web WordPress của bạn.

5. Không cho phép chỉ mục thư mục WordPress sử dụng Robots.txt

Robots.txt là một tệp mặc định trên máy chủ của bạn hoạt động như một hướng dẫn cho tất cả các loại chương trình thu thập thông tin. Những chương trình này sẽ bị hạn chế khi chúng không được phép thu thập dữ liệu bất kỳ tệp và thư mục nào được đề cập trên Robots.txt

Chủ yếu được sử dụng cho mục đích SEO, để cho Google và các công cụ tìm kiếm khác thu thập thông tin các trang có liên quan trên trang web trong khi bỏ qua các tệp hoặc thư mục không cần thiết khác không liên quan đến thứ hạng công cụ tìm kiếm.

Tuy nhiên, robots.txt cũng có thể đảm bảo rằng các tập lệnh hoặc bot thu thập thông tin, ngoài các công cụ tìm kiếm, hoàn toàn bị hạn chế thu thập dữ liệu vào các mục nhạy cảm như theme hoặc thư mục plugin trên trang web WordPress của bạn.

User-agent: *
Disallow: /wp-admin/
Disallow: /wp-includes/
Disallow: /wp-content/plugins/
Disallow: /wp-content/themes/

Các cài đặt này sẽ đảm bảo rằng không có bot nào có thể thông qua thư mục “wp-admin”, “wp-includes” hoặc “wp-content / plugins” và “wp-content / themes” và truy cập dữ liệu quan trọng về trang web của bạn.

6. Xóa tùy chọn Đặt lại Mật khẩu Trong Đăng nhập WordPress

Loại bỏ tùy chọn đặt lại mật khẩu là một trong những mẹo bảo mật nâng cao tốt nhất cho WordPress. Điều gì sẽ xảy ra nếu email của bạn bị tấn công? Chúng tôi có thể thử đặt lại mật khẩu WordPress của bạn sau khi biết tên người dùng hoặc email của bạn.

Để ngăn chặn điều này xảy ra bất hợp pháp và làm tăng độ tin cậy của WordPress, bạn có thể xóa tùy chọn đặt lại mật khẩu trong đăng nhập WordPress.

• Bước 1: Truy cập vào quản lý tệp trên cpanel.
• Bước 2: Tìm đến thư mục theme wp-content > themes > your theme
• Bước 3: Nhấp vào thư mục chủ đề của bạn, bạn sẽ có thể xem một số tệp ở bên phải của bạn ở định dạng bảng.
• Bước 4: Mở file functions.php và thêm vào dòng sau:

  function disable_password_reset() { return false; }
  add_filter ( 'allow_password_reset', 'disable_password_reset' );
  

Bây giờ, nếu ai đó cố gắng đặt lại mật khẩu quản trị viên WP của bạn, họ sẽ nhận được thông báo dưới đây

Nếu bạn quên mật khẩu, đừng lo! Chỉ cần đăng nhập vào cPanel và xóa các mã mà bạn đã thêm vào tệp functions.php và lấy mật khẩu mới.

7. Vô hiệu hóa email làm tên người dùng

Với phiên bản WordPress 4.5, có tính năng đăng nhập sử dụng email. Bạn có thể đăng nhập thông qua địa chỉ email được liên kết với tài khoản người dùng.

Do đó, mặc dù thực tế rằng bạn đã thay đổi tên người dùng của bạn, nếu ai đó theo dõi địa chỉ email của bạn, họ vẫn có thể sử dụng tương tự để đăng nhập. Do đó, nên tắt tùy chọn email làm tên người dùng và tăng cường bảo mật cho blog WordPress của bạn.

Để làm điều này, bạn thêm vào dòng sau trong functions.php

remove_filter('authenticate', 'wp_authenticate_email_password', 20);

8. Di chuyển/ẩn wp-config.php

Bạn có biết rằng các cracker có thể dễ dàng xác định vị trí các tập tin wp-config.php có chứa các thiết lập cần thiết như Username, mật khẩu, cơ sở dữ liệu MSQL..? Nếu cấu hình PHP không đúng, họ có thể xem file wp-config.php trên trình duyệt.

Do vậy, bạn nên xem xét di chuyển tệp này sang một thư mục khác. Trước khi di chuyển tệp wp-config.php, hãy đảm bảo rằng bạn đã cài đặt WordPress trong thư mục public_html của trang web của bạn. Đừng thử nếu nó nằm trong thư mục con.

VD: nếu bạn cài đặt tại home/yourblog/public_html/, bạn có thể di chuyển vào thư mục home/yourblog. Tuy nhiên bạn cũng có thể bảo vệ file này bằng cách thêm vào .htaccess với đoạn code sau đây:

<files wp-config.php>
order allow,deny
deny from all
</files>

Lời kết

Khi bạn đi sâu hơn vào WordPress, có những lỗ hổng mới cũng như các giải pháp để chứa những lỗ hổng này để đảm bảo bảo mật WordPress. Tuy nhiên, các chuyên gia luôn đề xuất cập nhật các bản cập nhật WordPress mới để giữ cho trang web hoặc blog của bạn an toàn và bảo mật mọi lúc. Không có gì đảm bảo rằng trang web WordPress của bạn an toàn 100% từ mọi cuộc tấn công phần mềm độc hại.

Bạn nên lên lịch sao lưu thường xuyên trang web WordPress của bạn hàng ngày để ngăn chặn mọi mất mát dữ liệu ngay cả khi bạn mất quyền truy cập vào trang web của mình do một số phần mềm độc hại tấn công.

Tôi hy vọng rằng bạn đã học được một số mẹo bảo mật WordPress nâng cao thông qua bài đăng này. Chúc bạn thành công!

Hãy cho mình biết suy nghĩ của bạn trong phần bình luận bên dưới bài viết này. Hãy theo dõi kênh chia sẻ kiến thức WordPress của Hoangweb trên Twitter và Facebook