Các bước bảo mật WordPress Site

Bảo mật WordPress, dù bạn có cập nhật mới WordPress bạn vẫn phải đối mặt khá nhiều vấn đề để cải thiện bảo mật cho website WordPress. Trong bài viết này mình sẽ nói về những điều quan trọng để giúp bạn tăng bảo mật WordPress một cách tốt nhất.

Bản thân WordPress có cung cấp một danh sách những thứ bạn cần làm để tăng tính bảo mật. Tất nhiên, mình cũng sẽ nhắc lại những phương cách đó trong bài viết này. Cá nhân mình thích đọc một hướng dẫn chi tiết và định hướng cụ thể, chính vì lý do này mình quyết định viết bài này về vấn đề bảo mật trong WordPress.

Chúng tôi gợi ý bạn sao lưu lại website trước khi thực hiện các thiết lập dưới đây.

1 Không dùng tên đăng nhập admin

Bạn nên đổi tên user ‘admin’, điều này sẽ hạn chế hacker tấn công khi họ truy cập vào URL wp-admin / wp-login , sử dụng tên đăng nhập ‘admin’ và các mật khẩu ngẫu nhiên, kiểu tấn công này gọi là Brute Force attacks.

Hàng ngày có rất nhiều cuộc tấn công tự động vào website sử dụng Brute Force attack, xóa tên người dùng ‘admin’ hoặc ‘administrator’ thực sự sẽ giúp bạn tránh nhiều rủi ro. Làm cho hacker khó đoán username.

Cách đơn giản, để thay đổi tên truy cập ‘admin’ bạn có thể tạo user mới bằng cách vào Users > New User và thiết lập quyền Administrator. Sau đó, xóa user ‘admin’ là xong. Đừng lo lắng về bài viết hoặc trang , admin user sẽ gán lại giúp bạn. WordPress sẽ hỏi bạn “Những nội dung nào tạo bởi người dùng nào” và cho bạn lựa chọn để xóa tất cả nội dung ra khỏi blog hoặc gán chúng vào user mới.

2. Sử dụng mật khẩu khó đoán

Hãy nhớ rằng luôn đặt mật khẩu dài, phức tạp (có chứa ký tự đặc biệt), và duy nhất. Một số công cụ trợ giúp bạn tạo mật khẩu ngẫu nhiên như 1Password và LastPass. Chỉ cần nhập độ dài mật khẩu nó sẽ tự động tạo ra cho bạn.

3. Thêm 2 bước xác nhận (Two-Factor Authentication)

Cho dù bạn không sử dụng tên đăng nhập ‘admin’ và sử dụng mật khẩu mạnh, Brute Force attacks cũng có thể tìm ra và làm tổn hại tới website của bạn. Hãy nghĩ về thiết lập 2 bước xác nhận nó sẽ giúp bạn làm giảm và chặn các cuộc tấn công thành công.

Oh, mình xin giải thích rõ hơn , 2 bước xác nhận là để đăng nhập thành công vào quản trị WordPress bạn phải trải qua 2 form xác nhận. Ngày nay , nó là tiêu chuẩn để tăng tính bảo mật cho backend. Bạn đã từng sử dụng 2 bước xác minh trong Google, Paypal…

Có một plugin bạn có thể tích hợp tính năng này đó là Google Authenticator. Một cách tiếp cận khác nhưng với cùng một nguyên lý là plugin Rublon.

4. Sử dụng các nguyên tắc tối thiểu

Team WordPress.org có bài viết hướng dẫn về thiết lập vai trò và quyền quản trị (Roles & Capabilities). Bạn cần đọc nó ngay!

Nếu một ai đó yêu cầu quản trị viên cho phép họ truy cập vào cấu hình, hãy thiết lập quyền cho họ nhưng bạn cần xóa đi sau khi họ đã hoàn thành công việc.

Ngược lại không phải người dùng nào cũng yêu cầu quyền quản trị, bạn có thể thiết lập vai trò riêng như quản trị nội dung,..và gán quyền cho người dùng. Bạn sẽ hoàn toàn giảm thiểu được rủi ro.

5. Ẩn wp-config.php và .htaccess

Hãy thận trọng, nếu sự thay đổi của bạn gây ra lỗi có thể website không truy cập được. Hãy chắc chắn tạo 1 bản sao lưu chúng, trước khi tiến hành sửa nội dung.

Để cải thiện bảo mật, bạn thêm dòng sau trong file .htaccess để bảo vệ file wp-config.php

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Điều này sẽ ngăn không cho truy cập vào wp-config.php, tương tự có thể bảo vệ những file khác:

<Files .htaccess>
order allow,deny
deny from all
</Files>

6. Sử dụng khóa bảo mật

Sử dụng khóa bảo mật Keys và salts sẽ bảo vệ dữ liệu Cookies và mật khẩu giữa trình duyệt người dùng và web server. Khóa xác thực về cơ bản là những biến chứa giá trị chuỗi ngẫu nhiên. Khóa này có vai trò mã hóa thông tin cookie. Để thay đổi khóa bạn sừa file wp-config.php , lấy khóa mới tại https://api.wordpress.org/secret-key/1.1/salt/

7. Vô hiệu tính năng sửa file

Nếu hacker vào được quản trị WordPress, chúng sẽ dễ dàng sửa các file của bạn trong menu Appearance > Editor. Bạn có thể vô hiệu hóa viết file trong admin, mở file wp-config.php và thêm vào dòng sau:

define('DISALLOW_FILE_EDIT', true);

Bạn sẽ vẫn sửa được file thông qua ứng dụng FTP, nhưng không thể sửa được file trong trang quản lý WordPress.

8. Giới hạn số lần đăng nhập

Các lần tấn công sẽ cố gắng truy cập vào trang đăng nhập. Để bảo mật , bạn nên cài plugin All in One WP Security & Firewall, sẽ có tùy chọn thay đổi đường dẫn trang đăng nhập /wp-admin/

Tiếp đó, bạn cũng có thể giới hạn số lần đăng nhập thất bại từ một IP. Có một vài plugin giúp bạn ngăn chặn đăng nhập nếu vượt quá số lần cho phép.

9. Chọn lọc với XML-RPC

XML-RPC là một ứng dụng cung cấp giao diện API. Nó được sử dụng bởi các plugins và theme, hãy thận trọng khi vô hiệu hóa tính năng này. Tuy nhiên nếu website WordPress chỉ là một blog hay không có tính năng cần đến API, tôi khuyến khích vô hiệu hóa nó.

Có một số plugin giúp bạn vô hiệu hóa XML-RPC.

10. Hosting & bảo mật WordPress

Chọn nhà cung cấp hosting tốt, sẽ giúp website wordpress bảo mật tốt hơn. Hầu hết những bài viết về hosting hoặc công ty hosting thường bắt đầu nói về giá rẻ. Những hosting giá rẻ đều không hỗ trợ giúp bạn khôi phục dữ liệu khi site bị tấn công.

Bảo mật wordpress là một những vấn đề bạn nên lưu ý, các nhà cung cấp hosting có đưa ra gói sản phẩm đặc biệt đã tối ưu cho WordPress, như GoDaddy. Họ có tính năng sao lưu, firewall, quyets mã độc, bảo về DDos và cập nhật WordPress thường xuyên.

11. Dữ cập nhật phần mềm

Hãy luôn cập nhật theme & plugin với phiên bản mới nhất, cập nhật WordPress nếu có phiên bản mới.

Các phiên mới sẽ được vá lỗi bảo mật, mà phiên bản cũ thiếu xót.

12. Chọn theme & plugin tốt nhất

Hầu hết các theme & plugin là miễn phí, hãy cài những plugin có đánh giá tốt.

Những plugin và theme miễn phí có thể dễ bị tấn công. Khi thêm mới plugin hoặc theme bạn cần kiểm tra số lượt đánh giá, có nhiều người dùng không. WordPress.org có hiển thị đánh giá sao , tuy nhiên một plugin nếu đạt 5 ngôi sao cũng chưa nói lên điều gì, mà bạn cần biết có bao nhiêu người đánh giá plugin đó. Nếu bạn đã sử dụng plugin và thấy nó thực sự tốt hãy đừng quyên đánh giá nó.

Một điều nữa, nếu một plugin không được cập nhật sau 2 năm, wordpress sẽ hiện thông báo cho bạn biết. Nó không có nghĩa plugin đó không tốt, có thể nó chưa cần cập nhật vẫn hoạt động tốt.

Dựa trên tỷ lệ đánh giá, bạn có thể chọn những plugin có nhiều người dùng như vậy bạn sẽ tìm được hỗ trợ tốt hơn.

Tôi tin qua bài viết về bảo mật WordPress này sẽ cho bạn những việc bạn nên làm để bảo vệ website khỏi những cuộc tấn công phổ thông. Hãy nhớ rằng bảo mật WordPress không quá khó, hãy nghĩ về việc làm khó hacker có thể sửa đổi website của bạn.

Chúc bạn thành công!

Nếu bạn thích bài viết này, hãy ủng hộ chúng tôi bằng cách đăng ký nhận bài viết mới ở bên dưới và đừng quên chia sẻ kiến thức này với bạn bè của bạn nhé. Bạn cũng có thể theo dõi blog này trên Twitter và Facebook