Hướng dẫn cài đặt và sử dụng plugin IThemes Security Pro

Ngày nay, cùng với sự ra đời của nhiều website với giao diện đẹp mắt, thu hút tích hợp nhiều tính năng tiện ích để tăng trải nghiệm người dùng và thúc đẩy quyết định mua sản phẩm của khách hàng.

Sự phát triển của website cũng dẫn đến nhiều vấn đề mà doanh nghiệp quan tâm trong đó có bảo mật website. Bạn đang cần một plugin để bảo mật cho trang website của mình. Qua bài viết này Én sẽ hướng dẫn các bạn cách cài đặt và sử dụng plugin ithemes security.

Plugin ithemes security là gì?

Plugin ithemes security là plugin giúp bảo mật website sử dụng mã nguồn mở WordPress với mục đích hạn chế các lỗ hổng bảo mật, hạn chế bị hacker tấn công làm hại đến website.

Plugin ithemes security có cả bản không lấy tiền và trả tiền ( plugin ithemes security pro ), đối với bản không lấy tiền đã giảm được đông đảo vết hổng mấu chốt, bản plugin ithemes security pro ( 56$ / năm ) sẽ có thêm vài ba phiên bản bảo mật tăng thêm & hỗ trợ hiệu quả hơn.

Đối với những blog nhỏ chưa ai nhòm ngó đến thì dùng bản free là đủ , nhưng với các blog lớn có rất nhiều traffic, đã ra kiếm ra nhiều tiền từ blog hoặc trang web tổ chức thì nên dùng bản plugin ithemes security pro cho khả quan nhất.

Chức năng bảo mật của plugin ithemes security

– plugin ithemes security tự động cấm khách hàng hoài nghi : những khách hàng cố ý đăng nhập nhiều lần, dùng tên admin để đăng nhập, lần tìm mật khẩu rất nhiều. .
– Mật khẩu mạnh : đề nghị toàn bộ khách hàng trên blog phải dùng mật khẩu mạnh.
– Tự động backup thông tin theo thường xuyên và gởi về thư điện tử.
– Tham dự hệ thống phòng thủ trang web khỏi các ip xấu , tự động chặn các ip xấu mà các trang mạng khác đã từng gặp .
– Khóa không cho chỉnh sửa tập tin ở wordpress, muốn chỉnh sửa phải dùng cách khác .
– Khóa bảng điều khiển wordpress theo lịch trình (chẳng hạn trong vòng từ 1h tới 6h sáng) .
– Khởi động danh mục đen những user bị khóa nhiều lần.
– Giám soát lịch sử sửa đổi luật đất đai tập tin : giúp nhân diện điều để tân trang lúc trang web bị hack.
– Thông mail thư điện tử khi phát giác mọi việc bảo mật
– Phân quyền user : giúp tùy chỉnh hoặc giới hạn quyền user vào các vai trò wordpress.
– Phát hiện các trang 404 hay những truy cập thường xuyên vào trang 404.
– Tự động redirect các truy cập từ http về https
– Hạn chế khách hàng truy cập các tệp tin mấu chốt eadme. html, readme. txt, wp-config. php, install. php, wp-includes và . htaccess, cấm cản truy cập thư mục directory browsing.
– Kiểm soát các truy cập với truy vấn url dài, url mang đậm thành phần lạ .
– Ngăn cản comment spam
– Hạn chế tấn công qua xml-rpc ( nên bật )
– Chặn bố cáo lỗi lúc đăng nhập không thành công ( tránh tin tặc biết lý do login thất bại ) .
– Quét các phần mềm nguy hiểm tự động ( bản pro )
– Đồng ý quản trị viên cấp quyền cho khách hàng truy cập website trong một giai đoạn khăng khăng ( pro ) .
– Recaptcha : xác minh làm rõ khách hàng thật bằng mã capcha lúc đăng nhập hoặc gởi comment( pro ) .
– Lắp đặt nhập và xuất thông tin đã lắp đặt ở security lên các trang mạng khác ( pro ) .
– Bảo mật 2 lớp lúc đăng nhập ( pro )
– Điều tra khách hàng trên website để phát hiện các lỗi lỗ hở bảo mật ( pro ) .
Quan sát lịch sử đăng nhập của các khách hàng.
– Quản lý bản các phần mềm , tiện nghi trên trang web giúp phát hiện các phần cổ lỗ để cải tạo ngay ( pro ) .
– Đồng ý đăng nhập không nhất thiết mật khẩu ( pro ) .

Hướng dẫn cài đặt và sử dụng plugin ithemes security

Bước 1:Truy cập vào mục Plugin chọn Add New/ tìm kiếm iThemes Security để cài đặt và kích hoạt plugin ithemes security.

Tải và cài đặt plugin ithemes security
Tải và cài đặt plugin ithemes security

Xem thêm: Rank Math SEO là gì?

Sau khi bấm cài đặt và kích hoạt xong sẽ sang bước thứ 2.

Bước 2: Cấu hình plugin ithemes security

(1) Security Check

Tại giao diện quản trị bấm vào menu Security, tích chọn như sau để đồng ý bật các chức năng cần thiết (lưu ý chỉ là bật tạm thôi, bạn có thể tùy chỉnh lại ngay sau đó).

  • Banned Users: cấm người dùng nghi ngờ
  • Database Backups: backup dữ liệu
  • Local Brute Force Protection: cấm các user cố tình đăng nhập nhiều lần
  • Network Brute Force Protection: tham gia mạng lưới báo cáo các ip xấu
  • Strong Passwords: bắt buộc mật khẩu mạnh
  • WordPress Tweaks: tùy chỉnh nâng cao với WordPress
Đồng ý để ithemes security chặn ip
Đồng ý để plugin ithemes security chặn ip

Khi vừa bấm vào security site, plugin có khả năng sẽ phát giác ra một vài vấn đề, nếu có bạn bấm đồng thuận xử lí để tiếp tục nhé. chẳng hạn mình được đề nghị bật chức năng chuyển toàn thể các truy cập từ http sang https ( nếu web của bạn đang dùng https thì chắc sẽ có đề nghị tương đồng ) .

Redirect http to https
Redirect http to https

Sau khi cấu hình xong bước cơ bản, sẽ hiện ra màn hình Dashboard với từng chức năng để bạn tùy chỉnh tắt/bật theo ý muốn.

Dashboard ithemes security
Dashboard plugin ithemes security

(2) Global Settings

Đây là cài đặt cơ bản nhưng được sử dụng ở hầu hết các tính năng trên plugin ithemes security

  • Write to Files: nên để mặc định là có tích chọn để cho phép iTheme Security ghi vào wp-config.php và .htaccess.
  • Host Lockout Message, User Lockout Message, Community Lockout Message: nội dung thông báo cho máy chủ hoặc người dùng bị khóa, bạn có thể để nguyên hoặc tùy chỉnh lại.
  • Blacklist Repeat Offender, Blacklist Threshold, Blacklist Lookback Period, Lockout Period: để kích hoạt danh sách đen, tùy chỉnh số lần bị khóa máy là bao nhiêu sẽ bị vào danh sách đen, thời gian khóa mỗi lần là bao nhiêu, bạn có thể tùy chỉnh lại hoặc để nguyên như mình.
  • Lockout White List: thêm địa chỉ IP của mình vào để tránh bị khóa nhầm, bạn có thể tìm địa chỉ IP của mình theo hướng dẫn của họ tại đây: https://www.iptrackeronline.com/ithemes.php, hoặc nhanh nhất là bấm vào “Add my current IP to the White List” để thêm ngay lập tức IP họ đã tìm thấy giúp mình rồi.
  • Manage iThemes Security: chọn nhóm người dùng nào được phép cài đặt/ cấu hình iThemes Security, để mặc định thì tất cả Admin (quản trị viên) sẽ được thao tác.
  • Log Type: chọn loại tập tin/ dữ liệu muốn được iThemes Security backup, bạn có thể chọn mình dữ liệu Database hoặc chỉ Tập tin hoặc cả 2.
  • Days to Keep File Logs: số thời gian lưu lịch sử thay đổi tập tin (trong trường hợp bạn kích hoạt chức năng theo dõi lịch sử thay đổi của tập tin)

(3) Notification Center

Phần cài đặt thông báo về email của Quản trị viên khi plugin ithemes security phát hiện ra các vấn đề đáng nghi, phần này có thể để nguyên, không cần cài đặt thêm gì.

(4) User Groups

Phần này để cài đặt, tùy chọn lại quyền hạn cho các loại user trên website của bạn, có thể giữ nguyên hoặc muốn thêm bớt quyền nếu muốn.

user group ithemes security
user group plugin ithemes security

Xem ngay: Phương pháp bảo mật website WordPress

(5) 404 Detection

Giúp phát hiện các lỗi 404 và ngăn chặn các người dùng truy cập trang 404 nhiều lần trong 1 khoảng thời gian để khóa lại, tránh các trường hợp dò lỗ hổng. Bạn có thể bấm vào kích hoạt hoặc không.

Nếu chọn Enable lên bạn có thể bấm vào để cấu hình số lượng lỗi 404 trong khoảng thời gian bao nhiêu, đồng thời điền các file/ page không cần quét.

Chặn user khi truy cập trang 404
Chặn user khi truy cập trang 404 plugin ithemes security

(6) Away Mode

Khóa bảng điều khiển của WordPress theo lịch trình,khi kích hoạt bạn có thể khóa màn hình Dashoard của WordPress trong khoảng thời gian mà bạn không làm việc để giảm thiểu rủi ro. Ví dụ trong khoảng từ 1h đến 5h sáng bạn không làm gì thì khóa lại.

(7) Banned Users

Nơi giúp bạn khóa các máy chủ hoặc ip người dùng không muốn cho họ truy cập vào trang web của bạn.

  • Default Blacklist: tích chọn vào Enable HackRepair.com’s blacklist feature để Kích hoạt tính năng danh sách đen của HackRepair.com – người được cho là chuyên gia sửa chữa hack hàng đầu thế giới ????
  • Ban Hosts: list các ip máy chủ cần chặn
  • Ban User Agents: ip người dùng cần chặn
Khóa user và máy chủ
Khóa user và máy chủ plugin ithemes security

Xem ngay: Hướng dẫn cài đặt và sử dụng plugin WordFence Security

(8) Database Backups

Cấu hình backup dữ liệu bằng plugin ithemes security, nếu bạn chưa có sử dụng phương pháp backup nào thì nên bật lên để backup dữ liệu định kỳ nhé, hoặc bật lên làm phương án dự phòng.

  • Backup Full Database: để sao lưu toàn bộ dữ liệu
  • Backup Method: phương pháp sao lưu, chỉ gửi email hoặc vừa lưu máy chủ vừa gửi email, hoặc chỉ lưu máy chủ
  • Backups to Retain: số bản backup được lưu lại trên máy chủ, cũ hơn sẽ bị xóa, nếu để là 0 thì sẽ lưu toàn bộ.
  • Compress Backup Files: có nén zip hay không.
  • Exclude Tables: chọn bảng cần sao lưu và bảng nào không cần sao lưu
  • Schedule Database Backups: kích hoạt lịch trình sao lưu theo ngày

(9) File Change Detection

Dùng để phát hiện sự thay đổi của các tập tin, ngay cả khi bảo mật tốt nhất thì tình huống xấu vẫn có thể xảy ra, biện pháp lúc này là cần biết được tập tin nào đã bị thay đổi để khoanh vùng xử lý, đây là chức năng đáp ứng điều đó cho bạn nhờ plugin ithemes security.

  • Files and Folders List: danh sách tập tin và thư mục cần theo dõi, tích vào để bỏ cái nào bạn không cần theo dõi.
  • Ignore File Types: các tập tin sẽ bỏ qua không theo dõi, bạn có thể điền thêm vào mỗi cái 1 dòng.

(10) Local Brute Force Protection

Giúp khóa các user cố tình dò đoán mật khẩu để đăng nhập nhiều lần, tại đây bạn có thể khóa user theo cấu hình như số lần đăng nhập cho máy chủ, số lần đăng nhập tối đa cho người dùng, chặn người nào cố tình đăng nhập bằng tên “admin”.

(11) Network Brute Force Protection

Kích hoạt để tham gia mạng lưới các website báo cáo và bảo vệ chống lại các thành phần xấu. Khi kích hoạt plugin ithemes security sẽ khóa ngay lập tức các user/ip xấu mà mạng lưới các website khác đã gặp phải. Và tương tự nếu bạn gặp ip/user xấu thì sẽ khai báo để các website khác ngăn chặn kịp thời.

(12) Password Requirements

Tích chọn kích hoạt để yêu cầu bắt buộc nhập mật khẩu mạnh đối với tất cả tài khoản trên website bạn.

(13) SSL

Nên kích hoạt news website bạn đang dùng HTTPS để mặc định redirect toàn bộ truy cập từ http sang https đảm bảo an toàn, bảo mật dữ liệu.

(14) System Tweaks

Tùy chọn nâng cao để tùy chỉnh bảo mật máy chủ hệ thống, mục này ai hiểu thì bật và chỉ nên bật từng cái rồi thử xem web chạy ok thì mới bật tiếp nha

  • System Files: Ngăn chặn truy cập vào các tệp tin quan trọng readme.html, readme.txt, wp-config.php, install.php, wp-includes và .htaccess.
  • Directory Browsing: Ngăn người dùng nhìn thấy danh sách các tệp trong thư mục khi không có tệp chỉ mục.
  • Request Methods: Lọc ra các lượt truy cập với các phương pháp theo dõi hoặc theo dõi yêu cầu.
  • Suspicious Query Strings: Chặn truy cập với cái chuỗi đáng ngờ trong URL
  • Non-English Characters: Lọc các ký tự không phải tiếng Anh từ chuỗi truy vấn. Điều này không nên được sử dụng trên các trang web không phải tiếng Anh.
  • Long URL Strings: Giới hạn số lượng ký tự có thể được gửi trong URL. Tin tặc thường lợi dụng các URL dài để cố gắng đưa thông tin vào cơ sở dữ liệu của bạn.
  • File Writing Permissions: Ngăn chặn các tập lệnh và người dùng có thể ghi vào tệp wp-config.php và tệp .htaccess. Lưu ý rằng trong trường hợp này và nhiều plugin có thể khắc phục được tuy nhiên nó vẫn giúp các tệp an toàn hơn. Bật tính năng này sẽ đặt quyền truy cập tệp UNIX thành 0444 trên các tệp này và tắt nó sẽ đặt quyền thành 0664.
  • PHP in Uploads: Vô hiệu hóa thực thi PHP trong thư mục tải lên. Điều này chặn các yêu cầu tải lên các tệp PHP độc hại trong thư mục tải lên.
  • PHP in Plugins: Vô hiệu hóa thực thi PHP trong thư mục plugin. Điều này chặn các yêu cầu đến các tệp PHP bên trong các thư mục plugin có thể được khai thác trực tiếp.
  • PHP in Themes: Vô hiệu hóa thực thi PHP trong thư mục chủ đề. Điều này chặn các yêu cầu đến các tệp PHP bên trong các thư mục chủ đề có thể được khai thác trực tiếp.

Xem thêm: Thiết kế website Đà Nẵng enweb

(15) WordPress Salts

Tạo các khóa bí mật để giúp tăng cường cho mật khẩu đăng nhập, lưu ý khi kích hoạt chức năng này bạn sẽ bị thoát khỏi trang và phải đăng nhập lại nhé.

(16) WordPress Tweaks

Cài đặt nâng cao giúp xóa bỏ một số thành phần mặc định của hệ thống. Bạn nên quan tâm mấy thứ sau thôi:

  • Comment Spam: tích chọn để lọc comment spam
  • File Editor: ngăn chặn sửa các file trên WordPress, nếu bạn không hay dùng chính trang quản trị để chỉnh sửa code/ html/css thì hãy khóa nó đi, hoặc khóa tạm lại khi nào cần thì mở ra để đảm bảo an toàn.
  • XML-RPC: nên chọn là Disable XML-RPC – XML-RPC nếu bạn sử dụng Jetpack, hoặc WordPress mobile app
  • Multiple Authentication Attempts per XML-RPC Request: chọn Block để ngăn chặn hacker dò đoán mật khẩu hàng loạt.
  • REST API: bạn để mặc định là Restricted Access (recommended). Các WordPress REST API là một phần của WordPress và cung cấp các nhà phát triển với những cách thức mới để quản lý WordPress. Theo mặc định, nó có thể cung cấp quyền truy cập công khai vào thông tin mà bạn cho là riêng tư trên trang web của mình.
  • Login Error Messages: Ngăn chặn thông báo lỗi hiển thị cho người dùng khi thử đăng nhập thất bại. Mục đích để người dùng không biết nguyên nhân đang nhập sai thông tin gì.
  • Force Unique Nickname: Điều này buộc người dùng phải chọn một biệt danh duy nhất khi cập nhật hồ sơ của họ hoặc tạo một tài khoản mới để ngăn bot và kẻ tấn công dễ dàng thu thập tên người dùng đăng nhập của người dùng từ mã trên trang tác giả.
  • Disable Extra User Archives: Vô hiệu hóa trang tác giả của người dùng nếu số bài đăng của họ bằng 0.

Lời kết

Trên đây là toàn bộ hướng dẫn cài đặt và hướng dẫn plugin Ithemes security và plugin Ithemes security pro. Hi vọng qua bài viết này bạn sẽ hiểu và biết cách cấu hình bảo mật cho website của mình một cách tốt nhất. Nếu còn thắc mắc về plugin Ithemes security hãy liên hệ với Én để được giải đáp về plugin ithemes security nhé.

Xem thêm: Hướng dẫn cài đặt và sử dụng Plugin Media Cleaner Pro

Bài viết liên quan