fbpx

Hướng dẫn bảo mật WordPress 2021

Bảo mật WordPress là một vấn đề quan trọng không thể thiếu khi xây dựng website. Google đã thống kê có hơn 10.000 website liệt vào blacklist mỗi ngày vì phần mềm độc hại và khoảng 50.000 website lừa đảo mỗi tuần.

Nếu bạn có một cái nhìn nghiêm túc về website của mình, thì bạn cần biết đến các phương pháp để bảo vệ website của mình. Trong bài viết này chúng tôi sẽ chia sẻ cho bạn một số kinh nghiệm trong vấn đề bảo mật website, giúp website của bạn khỏi tin tặc và mã độc.

Cập nhật WordPress

WordPress là một phần mềm mã nguồn mở được bảo trì và cập nhật thường xuyên. Theo mặc định, WordPress sẽ tự động cài đặt các bản cập nhật nhỏ. Đối với các bản phát hành chính, bạn cần cập nhật theo cách thủ công.

WordPress cũng đi kèm với thư viện hàng nghìn plugin và chủ đề mà bạn có thể cài đặt trên trang web của mình. Các plugin và chủ đề này được duy trì bởi các nhà phát triển bên thứ ba, họ cũng thường xuyên phát hành các bản cập nhật.

Các bản cập nhật WordPress này rất quan trọng đối với sự bảo mật và ổn định của trang web WordPress của bạn. Bạn cần đảm bảo rằng mã nguồn, plugin và chủ đề WordPress của bạn được cập nhật thường xuyên.

Thay đổi mật khẩu

Cách hack WordPress phổ biến nhất là đánh cắp mật khẩu. Bạn cần phải tăng cường bảo mật bằng việc thay đổi độ phức tạp của mật khẩu. Không chỉ cho khu vực quản trị WordPress, mà còn cho các tài khoản FTP, cơ sở dữ liệu, tài khoản lưu trữ WordPress và các địa chỉ email tùy chỉnh sử dụng tên miền trang web của bạn.

Nhiều người dùng khi mới sử dụng không thích sử dụng mật khẩu mạnh vì chúng khó nhớ. Điều tốt là bạn không cần phải nhớ mật khẩu nữa. Bạn có thể sử dụng trình quản lý mật khẩu được chia sẻ rộng rãi trên internet.

Một cách khác để giảm rủi ro là không cung cấp cho bất kỳ ai quyền truy cập vào tài khoản quản trị viên WordPress của bạn trừ khi bạn hoàn toàn phải làm vậy . Nếu bạn có một nhóm lớn hoặc tác giả khách mời, hãy đảm bảo rằng bạn hiểu vai trò và phân quyền cho người dùng trong WordPress trước khi bạn thêm tài khoản người dùng và tác giả mới vào trang web WordPress của mình.

Chọn nhà cung cấp dịch vụ Managed WordPress Hosting uy tín

Chọn một nhà cung cấp Hosting cho mã nguồn WordPress của bạn đóng vai trò quan trọng nhất trong việc bảo vệ an toàn cho website của bạn. Một nhà cung cấp dịch vụ lưu trữ chia sẻ tốt như Shost, một nơi đáng tin cậy để bạn gửi gắm website.

Các lý do dưới đây để bạn quyết định chọn Shost làm nơi lưu trữ cho website WordPress:

  • Máy chủ tốc độ cao, được tối ưu riêng cho mã nguồn WordPress.
  • Hệ thống được trang bị tường lửa có khả năng chống DDOS quy mô lớn.
  • Đội ngũ hỗ trợ chuyên nghiệp luôn sẵn sàng hỗ trợ 24/7.
  • Mã nguồn, Plugin, giao diện luôn được cập nhật mới thường xuyên.

Thường xuyên thực hiện sao lưu website

Thường xuyên sao lưu website là cách bảo vệ đầu tiên của bạn chống lại bất kỳ cuộc tấn công nào vào website WordPress của bạn. Hãy nhớ rằng, không có gì là an toàn 100%, các website của chính phủ còn có thể bị tấn công, thì website của bạn cũng vậy.

Bản sao lưu cho phép bạn nhanh chóng khôi phục website WordPress của mình trong trường hợp phát sinh những vấn đề xấu nhất.

Có rất nhiều plugin hỗ trợ cho việc sao lưu website WordPress miễn phí hoặc trả phí mà bạn có thể sử dụng. Điều quan trọng nhất bạn cần biết khi nói đến sao lưu là bạn phải thường xuyên lưu các bản sao lưu toàn bộ website vào một vị trí từ xa (không phải trên chính hosting mà bạn đang sử dụng).

Cài đặt plugin hỗ trợ tăng cường bảo mật cho website WordPress

iThemes Security là một plugin được khuyên dùng nhiều nhất hiện nay bao gồm bản miễn phí và trả phí, với nhiều tính năng có thể giúp bạn khỏi những đăng nhập trái phép, tấn công dò mật khẩu, bruteforce…Thay vì đăng nhập vào trang quản trị bằng đường dẫn mặc wp-admin hoặc admin, plugin này có thể hỗ trợ bạn thay đổi bằng một đường dẫn khác ví dụ: https://yourdomain.com/duong-dan-dang-nhap.

Ngoài ra, còn có một plugin khác có tên Wordfence có thể hỗ trợ bạn trong việc tăng cường bảo mật cho website, theo dõi các hoạt động đăng nhập hợp lệ và trái phép, hỗ trợ quét mã độc cho website…những tính năng cơ bản đều được tích hợp trong phiên bản miễn phí, trong trường hợp bạn có nhu cầu với những tính năng cao cấp hơn bạn có thể chuyển sang bản trả phí.

Thay đổi tài khoản mặc định “admin”

Theo thói quen và để dễ nhớ, người dùng thường sẽ đặt tên đăng nhập mặc định “admin”, điều này khiến cho các đối tượng xấu dễ dàng thực hiện các cuộc tấn công để dò ra mật khẩu đăng nhập của bạn.

Hãy thay đổi thói quen đó ngay hôm nay bằng việc thay đổi tên đăng nhập mặc định “admin”. Có rất nhiều cách để thay đổi tài khoản “admin”, dưới đây là một số cách giúp bạn thay đổi:

  1. Tạo một tài khoản quản trị mới và có quyền hạn tương đương với “admin”, sau đó xóa tài khoản “admin”.
  2. Sử dụng plugin thay đổi Tên người dùng (iThemes Security).
  3. Cập nhật tên người dùng từ PHPMyAdmin.

Trên đây là một vài mẹo cơ bản giúp bạn bảo mật website WordPress an toàn trong các cuộc tấn công quy mô lớn. Còn rất nhiều phương pháp khác sẽ được chúng tôi đề xuất đến các bạn trong những bài viết tới. Hãy theo dõi Shost để có thêm nhiều thông tin hữu ích.