Phương pháp bảo mật website WordPress 2023

Tháng Sáu 21, 2021

Sau khi hoàn thiện 1 website wordpress, ngoài việc tối ưu website và lên kế hoạch phát triển nội dung thì chúng ta còn một khâu rất quan trọng trong quá trình tồn tại của một website đó là bảo mật website wordpress. Việc bắt buộc phải làm là thiết lập bảo mật an toàn cho toàn bộ site. Vì để tiết kiệm thời gian và không ảnh hưởng đến các hoạt động thương mại, giới thiệu, trao đổi thông tin diễn ra trên website. Trong bài viết này Én Web sẽ bật mí cho các bạn 12 phương pháp bảo mật website wordpress.

Bảo mật website wordpress là gì?

Bảo mật website wordpress là một khái niệm khá trừu tượng. Mỗi website có một server riêng hay còn gọi là máy chủ và được kết nối với nhau qua một địa chỉ IP riêng, được mã hóa và đảm bảo an toàn.

Tuy nhiên, bạn không muốn một ngày nào đó web của mình bị kẻ xấu tất công, bạn cũng không muốn có lỗ hổng nào dẫn tới việc bạn mất website bao lâu xây dựng thì khi đó bạn cần bảo mật website wordpress.

Một website có thể vận hành tốt, trơn tru được thì cần nhà quản trị thường xuyên phải thực hiện bảo mật website wordpress, tránh bất kì các tác động xấu nào làm ảnh hưởng đến website, ở bất kì thời điểm nào.

Xem thêm: Thiết kế web Đà Nẵng giá rẻ

Tại sao phải bảo mật website wordpress

Dân gian có câu “phòng bệnh hơn chữa bệnh”vì thế sẽ chẳng có doanh nghiệp nào ngồi đợi website bị tấn công rồi mới đi bảo mật website wordpress.

Dù nếu đó là website họ cho rằng không có quá nhiều dữ liệu quan trọng hay đang sử dụng công nghệ hàng đầu thì việc bị hacker “sờ gáy” vẫn là điều không thể tránh khỏi.

Tránh mất nội dung quan trọng của website

Khi bạn thiết lập bảo mật website wordpress thì tránh được sự cố mất hết toàn bộ hình ảnh, nội dung, video, file type và các loại nội dung khác. Khi bị mất rồi bạn khó có thể khôi phục lại được, do đó hãy phòng từ trường hợp này trước nhé.

Xem thêm: Mua Hosting giá rẻ uy tín ở đâu Đà Nẵng?

Tránh mất thời gian khắc phục

Khi gặp sự cố, khắc phục là một trong những nổi sợ nhất của dân quản trị web vì chúng rất phức tạp và mất nhiều thời gian. Do đó việc bảo mật website wordpress càng cẩn thận thì bạn càng giảm thiểu nhiều rủi ro trong tương lai.

Không ảnh hưởng đến SEO và SEM

Khi website bạn nhiễm virut google sẽ chặn không cho quảng cáo Google Ads, GDN, Google Shopping hay các loại quảng cáo trên Youtube.
Ngoài ra thứ hạng từ khóa trên google sẽ bị rớt đến chống mặt.

Bảo mật tránh các hacker đánh cắp dữ liệu khách hàng

Khách hàng là một trong những tài sản lớn nhất của doanh nghiệp của bạn, vì vậy đừng để mất rồi mới đi tìm lại, hãy bảo vệ website của mình bằng các cách bảo mật website wordpress trước các đối thủ nhé.

Việc kinh doanh và thương mại diễn ra bình thường không gián đoạn

Việc bảo mật website wordpress giúp khách hàng truy cập dễ dàng từ các nguồn vào website mà không bị ảnh hưởng đến việc bán hàng online, kiếm tiền tiếp thị affiliate, hay giới thiệu sản phẩm, bài viết hướng dẫn chia sẽ khác…

12 Kỹ thuật bảo mật website wordpress tránh tấn công hacker

1.Thiết lập mật khẩu phức tạp

Bước 1: Đầu tiên bạn đăng nhập vào trang quản trị website wordpress với đường dẫn doamin/wp-admin
Bước 2: Bạn vào mục thành viên, chọn đúng user cần cập nhật. Click vào chỉnh sửa và di chuyển tới mục Mật khẩu mới, bấm vào nút tạo mật khẩu. WordPress sẽ gợi ý cho bạn 1 chuỗi ký tự mã hóa phức tạp bạn có thể sử dụng hoặc tạo mật khẩu riêng theo ý mình nhé mục đích là để bảo mật website wordpress.

Lưu ý: Mật khẩu nên dài trên 30 ký tự có chữ số, ký tự đặt biệt, có chữ hoa và chữ thường. Không nên lấy ngày sinh nhật hoặc mật khẩu đã sử dụng cho các dịch vụ online khác.

2. Tắt tính năng cho phép chỉnh sửa file, thư mục

Khi một người có được tài khoản quản trị website WordPress của bạn họ có thể thay đổi bất kì tệp tin nào kể cả Plugin và Theme.

Do đó để ngăn chặn việc chỉnh sửa tệp tin này cần phải chặn các user để không có bất kì ai can thiệp được kể cả tin tặc có quyền admin.

Để thực hiện công việc này, hãy thêm phần sau vào tệp wp-config.php (ở cuối):

define(‘DISALLOW_FILE_EDIT’, true);

3. Cài đặt chứng chỉ SSL

Để cài đặt chứng chỉ SSL hay giao thức https cho WordPress trong việc bảo mật website wordpress bạn có thể di chuyển vào trong Cpanel của hosting. Hoặc có thể liên hệ Én Web để được hỗ trợ cài đặt SSL.

Chúng ta di chuyển đến phần Security -> SSL/TLS

Chọn vào Install and magage SSL for your site

Xem thêm: Mua tên miền giá ưu đãi tại Én Web

Bạn chọn autofill by domain để ứng dụng tự cài đặt nhé.

Cuối cùng bạn vào file wp-config.php và thêm dòng code này vào cuối file. Nhưng nằm trên dòng require_once( ABSPATH . ‘wp-settings.php’ );

define(‘WP_HOME’,’https://example.com’);
define(‘WP_SITEURL’,’https://example.com’);

Bạn chỉ việc thay đổi example.com thành tên miền của mình vậy là xong phần cài chứng chỉ bảo mật SSL cho WordPress.

4.Cài đặt plugin bảo mật iThemes Security Pro

Cách cài đặt plugin để bảo mật website wordpress

Tải Itheme Security Pro

Bạn vào phần Plugin: Tải và cài đặt plugin iThemes Security Pro lên sau đó kích hoạt lên để sử dụng.

Thiết lập quan trọng trong plugin iThemes Security Pro

Nguồn: Kênh Văn Thế Web

404 Detection

Chức năng này sẽ gửi thông báo khi thành viên truy cập vào trang 404. Tất cả các lỗi sẽ được ghi vào trang “Nhật ký”. Bạn có thể đặt số lượng lưu log cho tính năng này.
Bất kì các nghi ngờ truy cập lỗi 404 nào website đều thông báo về email của bạn. Do đó cần phải cân nhắc trước khi sử dụng để tránh tốn khá nhiều tài nguyên hosting của bạn nhé!

Away Mode

Đây là tính năng giúp bạn khóa trang quản trị trong thời gian nhất định. Rất hữu ích cho website có 1 admin và bạn có thể tùy chọn khóa trang quản trị lúc bạn đang ngủ, không làm việc chẳng hạn.

Tính năng này sẽ giúp khóa các thời gian mà bạn không vào trang quản trị, việc này giúp hạn chế rủi ro tấn công hacker vào các giờ ít người vào để bảo mật website wordpress một cách hiệu quả nhất. Tính năng vô cùng tuyệt vời nếu website bạn chỉ có 1 người làm quản trị viên. Nên thiết lập thời gian vào ban đêm đến mờ sáng nếu bạn ở Việt Nam: 23h – 05h là hiệu quả nhất.

Enable away mode : Bật chức năng Away Mode.
Type of Restriction : Loại từ chối, nếu bạn truy cập vào website mỗi ngày thì chọn Daily.
Start Time: – Thời gian bắt đầu “mở cổng” trang admin.
End Time : Thời gian đóng cổng trang admin.

Thiết lập đăng nhập admin thời gian cụ thể

Xem ngay: Rank Math SEO là gì?

5. Cập nhật phiên bản wordpress và plugin mới nhất.

Để bảo mật website wordpress thì việc cập nhật bản wordpress lên phiên bản mới nhất rất quan trọng. Vì sao cập nhật lại quan trọng như vậy:

Bản cập nhật mới giúp vá các lỗ hỏng bảo mật mà phiên bản cũ chưa có.
Cập nhật các tính năng mới hiệu quả hơn trong quá trình sử dụng, thiết kế, viết bài…
Cải thiện tốc độ tải trang tốt hơn phiên bản trước.

Để cập nhật bản wordpress mới nhất. Bạn vào phần Dashboard bấm vào nút update now để nâng cấp lên bản mới nhất. Trường hợp bản nâng cấp không tương thích với plugin hoặc theme đang sử dụng có thể hạ xuống bản thấp hơn dùng plugin Downgrade cho tiện nhé!

6. Thay đổi đường dẫn đăng nhập vào wp-admin sử dụng plugin itheme security

Hide Backend: Ẩn trang đăng nhập bằng cách thay đổi link và ngăn truy cập vào wp-login.php hoặc wp-admin.

Bước 1: Bạn di chuyển vào plugin itheme, bấm vào mục advance(6) -> Hide Backend

Bước 2: Bạn chọn chế độ Enable the hide Backend in feature

Bước 3: Login slug: Nhập 1 đường dẫn bất kì bạn muốn

Bước 4: Nhập đường dẫn muốn trỏ về khi người dùng cố tình truy cập vào đường dẫn wp-admin. Như vậy là đã hoàn thành xong phần đổi đường dẫn đăng nhập wordpress admin rồi!

7. Thiết lập đăng nhập 2 lớp từ google authorization

Two-Factor Authentication:

Đây là tính năng xác thực hai lớp làm tăng đáng kể tính bảo mật của tài khoản người dùng WordPress của bạn bằng cách yêu cầu thông tin bổ sung ngoài tên người dùng và mật khẩu của bạn để đăng nhập để tăng độ bảo mật website wordpress

Cách thiết lập đăng nhập 2 lớp

Authentication Methods Available to Users: Đây là tính năng bật các phương thức xác nhận mật khẩu 2 lớp lên bao gồm: Email, ứng dụng authorization.
User Type Protection: Lựa chọn tài khoản để bảo vệ, bạn chỉ nên thực hiện với các tài khoản có quyền quản trị
Disable Forced Two-Factor Authentication for Certain Users: Vô hiệu hóa xác thực hai lớp cho một số người dùng nhất định
Allow Remembering Device: Cho phép nhớ thông tin thiết bị, các bạn không nên bật vì sẽ dễ dàng bị lấy cấp thông tin

Cách xác thực đăng nhập

Trường hợp 1: Nếu sử dụng tính năng gmail sau khi đăng nhập vào hệ thống sẽ gửi cho bạn mail mã code bảo mật.

Lưu ý: Nhớ cài stmpt gmail. Nếu không email thông báo sẽ không vào hộp thư đến của email hoặc sẽ vào spam

Trường hợp 2: Nếu dùng ứng dụng trên điện thoại. Bạn vui lòng cài app Google Authenticator để thực hiện nhé.

Bước 1: Mở ứng dụng lên bấm vào dấu (+) chọn quét mã, lúc này bạn mở mã code trên website lên quét và kết nối nhé. Lần sau trở đi, khi đăng nhập google sẽ hiển thị 1 mã mới bạn nhập vào xác nhận đăng nhập.

Xem ngay: Hướng dẫn cài đặt và sử dụng Plugin Media Cleaner Pro

8. Gỡ bảo hiển thị phiên bản wordpress

Mặc định thì khi cài WordPress vào. Website sẽ tự động thêm số version hiện tại của nó vào header của chủ đề. Nó sẽ hiện thị công khai trong phần html.

WordPress mặc định sẽ hiển thị ra phiên bản trong meta name dễ bị tin tặc tấn công

Thông tin này dễ bị hacker biết được phiên bản bao nhiêu, biết lỗ hỏng của phiên bản đó thì tin tặc tấn công rất dễ dàng. Vì vậy bảo mật website wordpress được an toàn bạn phải ẩn đi luôn nhé. Thực hiện đơn giản bằng cách sau.

Bạn vào mục giao diện, sửa giao diện tìm đến function.php bấm vào chỉnh sửa và thêm đoạn code này vào cuối cùng. Sau đó lưu và kiểm tra lại nếu không còn xuất hiện nữa là được.

remove_action( ‘wp_head’, ‘wp_generator’ );

9. Vô hiệu hóa XML-RPC

XML-RPC: Đây là tính năng của WordPress để giúp truyền tải dữ liệu, với HTTP làm công cụ truyền và XML làm công cụ mã hóa.
Trước đây internet tốc độ truy cập chậm nên ứng dụng công nghệ này để truyền tải dữ liệu trên website.Tuy nhiên các công đoạn viết và đăng các bài lên website tốn nhiều thời gian.
Vấn đề lớn nhất của XML-RPC là bảo mật. Chúng không tới từ bản thân XML-RPC, mà từ file xmlrpc.php bị dùng làm phương pháp tấn công brute force lên chính bản thân website chứa nó.
Dĩ nhiên, bạn có thể tự bảo mật website wordpress bằng cách tạo một mật khẩu cực mạnh, và dùng thêm plugin WordPress bảo mật để bảo mật website wordpress. Nhưng cách tốt nhất là cứ vô hiệu hẵn nó đi.

Cách thực hiện: Bạn vào file function trong thư mục theme thêm dòng code này vào là xong.

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

10.Hạn chế số lần đăng nhập sai

Local Brute Force Protection: Đây là tính năng tuyệt vời của plugin itheme security pro giúp bạn bảo mật website wordpress hạn chế số lần đăng nhập sai.

Max Login Attempts Per Host

Số lần đăng nhập mà người dùng có trước khi máy chủ hoặc máy tính của họ bị khóa khỏi hệ thống.
Nếu bạn đặt là 0 hệ thống sẽ lưu log lại, tuy nhiên sẽ không khóa nếu đăng nhập sai.

Max Login Attempts Per User

Số lần đăng nhập mà người dùng có trước khi tên người dùng của họ bị khóa khỏi hệ thống.
Lưu ý rằng điều này khác với máy chủ trong trường hợp kẻ tấn công đang sử dụng nhiều máy tính.
Ngoài ra, nếu họ đang sử dụng tên đăng nhập của bạn, bạn có thể tự khóa mình.
Đặt thành 0 để ghi nhật ký các lần đăng nhập xấu cho mỗi người dùng mà không bao giờ khóa người dùng (điều này không được khuyến nghị).

Minutes to Remember Bad Login (check period)

Đây là mốc thời gian giữa 1 lần đăng nhập xấu.
Bạn nên để 5 – 10 phút.

Xem thêm: Công ty thiết kế website tại Đà Nẵng

11. Thiết lập bảo mật trên hosting

Bảo mật hosting sẽ giúp hạn chế nhiều việc tin tặc tấn công để bảo mật website wordpress. Thông thường bạn sẽ có 2 cách chính để thiết lập bảo mật an toàn trên hosting cpanel của mình.

Modsecurity

ModSecurity là một sản phẩm thuộc dự án OWASP, cho phép người dùng cấu hình, tùy chỉnh các phương thức phát hiện tấn công vào web server. Phiên bản ModSecurity hiện tại đã hỗ trợ Apache, Nginx và IIS. Cùng với dự án ModSecurity Core Rule Set thì việc triển khai hệ thống WAF càng dễ dàng hơn cho nhân viên hệ thống cũng như các chuyên viên bảo mật.
Mod_Security là một module mở rộng cho các chương trình web server như Apache, Nginx, IIS và hoạt động như một firewall tại lớp ứng dụng web. Cùng với sự gia tăng về phương pháp tấn công web thì mod_security cũng đã cập nhật những rule và đưa ra nhiều cách phòng chống trong mã nguồn của chương trình.

Bạn đăng nhập vào cpanel tìm tới phần Security ->chọn ModSecurity

Tiếp theo, Bạn chọn Enable để bật lên

Imunify 360

Imunify 360 là một giải pháp bảo mật tự động để bảo mật website wordpress, được cung cấp bởi AI, thuộc các nhóm phát triển CloudLinux. Kể từ khi phát hành, Imunify 360 đã được cài đặt trên hàng ngàn máy chủ, cung cấp bảo mật website wordpress cho cả nhà cung cấp dịch vụ hosting.

Cách kích hoạt Imunify 360 trên hosting.

Các bạn di chuyển đến phần Imunify 360 . Tiếp theo nhấn vào kill mode để kích hoạt bảo mật tự động nhé.

Bảo mật Website với Imunify 360 trên hosting

12. Kiểm tra và xóa bỏ các bình luận spam đính kèm mã độc

Khi xét duyệt bình luận hoặc Pingback và Trackback trong wordpress để bảo mật website wordpress bạn nên kiểm tra xem có bị đính kèm mã độc hoặc link nào đang nghi ngờ không. Nếu có thì xóa hẳn bình luận đó để đảm bảo không bị lay lan virus nhé!

bảo mật website wordpress không khó – nếu chúng ta thực hiện các phương pháp được các chuyên gia bảo mật khuyên dùng, và thường xuyên cập nhật các bản update của WordPress – Themes – Plugins thì có thể tránh được hầu hết các cuộc tấn công phổ biến.

Hi vọng với những phương pháp trên cách bạn sẽ bảo mật website wordpress một cách an toàn và hiệu quả nhất. Nếu có bất kỳ câu hỏi nào về bảo mật website wordpress quý khách hãy liên hệ chúng tôi để được giải đáp thắc mắc kịp thời.