Sau khi hoàn thiện 1 website wordpress, ngoài việc tối ưu website và lên kế hoạch phát triển nội dung thì chúng ta còn một khâu rất quan trọng trong quá trình tồn tại của một website đó là bảo mật website wordpress. Việc bắt buộc phải làm là thiết lập bảo mật an toàn cho toàn bộ site. Vì để tiết kiệm thời gian và không ảnh hưởng đến các hoạt động thương mại, giới thiệu, trao đổi thông tin diễn ra trên website. Trong bài viết này Én Web sẽ bật mí cho các bạn 12 phương pháp bảo mật website wordpress.
Bảo mật website wordpress là gì?
Bảo mật website wordpress là một khái niệm khá trừu tượng. Mỗi website có một server riêng hay còn gọi là máy chủ và được kết nối với nhau qua một địa chỉ IP riêng, được mã hóa và đảm bảo an toàn.
Tuy nhiên, bạn không muốn một ngày nào đó web của mình bị kẻ xấu tất công, bạn cũng không muốn có lỗ hổng nào dẫn tới việc bạn mất website bao lâu xây dựng thì khi đó bạn cần bảo mật website wordpress.
Một website có thể vận hành tốt, trơn tru được thì cần nhà quản trị thường xuyên phải thực hiện bảo mật website wordpress, tránh bất kì các tác động xấu nào làm ảnh hưởng đến website, ở bất kì thời điểm nào.
Xem thêm: Thiết kế web Đà Nẵng giá rẻ
Tại sao phải bảo mật website wordpress
Dân gian có câu “phòng bệnh hơn chữa bệnh”vì thế sẽ chẳng có doanh nghiệp nào ngồi đợi website bị tấn công rồi mới đi bảo mật website wordpress.
Dù nếu đó là website họ cho rằng không có quá nhiều dữ liệu quan trọng hay đang sử dụng công nghệ hàng đầu thì việc bị hacker “sờ gáy” vẫn là điều không thể tránh khỏi.
Tránh mất nội dung quan trọng của website
Khi bạn thiết lập bảo mật website wordpress thì tránh được sự cố mất hết toàn bộ hình ảnh, nội dung, video, file type và các loại nội dung khác. Khi bị mất rồi bạn khó có thể khôi phục lại được, do đó hãy phòng từ trường hợp này trước nhé.
Xem thêm: Mua Hosting giá rẻ uy tín ở đâu Đà Nẵng?
Tránh mất thời gian khắc phục
Khi gặp sự cố, khắc phục là một trong những nổi sợ nhất của dân quản trị web vì chúng rất phức tạp và mất nhiều thời gian. Do đó việc bảo mật website wordpress càng cẩn thận thì bạn càng giảm thiểu nhiều rủi ro trong tương lai.
Không ảnh hưởng đến SEO và SEM
- Khi website bạn nhiễm virut google sẽ chặn không cho quảng cáo Google Ads, GDN, Google Shopping hay các loại quảng cáo trên Youtube.
- Ngoài ra thứ hạng từ khóa trên google sẽ bị rớt đến chống mặt.
Bảo mật tránh các hacker đánh cắp dữ liệu khách hàng
Khách hàng là một trong những tài sản lớn nhất của doanh nghiệp của bạn, vì vậy đừng để mất rồi mới đi tìm lại, hãy bảo vệ website của mình bằng các cách bảo mật website wordpress trước các đối thủ nhé.
Việc kinh doanh và thương mại diễn ra bình thường không gián đoạn
Việc bảo mật website wordpress giúp khách hàng truy cập dễ dàng từ các nguồn vào website mà không bị ảnh hưởng đến việc bán hàng online, kiếm tiền tiếp thị affiliate, hay giới thiệu sản phẩm, bài viết hướng dẫn chia sẽ khác…
12 Kỹ thuật bảo mật website wordpress tránh tấn công hacker
1.Thiết lập mật khẩu phức tạp
- Bước 1: Đầu tiên bạn đăng nhập vào trang quản trị website wordpress với đường dẫn doamin/wp-admin
- Bước 2: Bạn vào mục thành viên, chọn đúng user cần cập nhật. Click vào chỉnh sửa và di chuyển tới mục Mật khẩu mới, bấm vào nút tạo mật khẩu. WordPress sẽ gợi ý cho bạn 1 chuỗi ký tự mã hóa phức tạp bạn có thể sử dụng hoặc tạo mật khẩu riêng theo ý mình nhé mục đích là để bảo mật website wordpress.
Lưu ý: Mật khẩu nên dài trên 30 ký tự có chữ số, ký tự đặt biệt, có chữ hoa và chữ thường. Không nên lấy ngày sinh nhật hoặc mật khẩu đã sử dụng cho các dịch vụ online khác.
2. Tắt tính năng cho phép chỉnh sửa file, thư mục
Khi một người có được tài khoản quản trị website WordPress của bạn họ có thể thay đổi bất kì tệp tin nào kể cả Plugin và Theme.
Do đó để ngăn chặn việc chỉnh sửa tệp tin này cần phải chặn các user để không có bất kì ai can thiệp được kể cả tin tặc có quyền admin.
Để thực hiện công việc này, hãy thêm phần sau vào tệp wp-config.php (ở cuối):
define(‘DISALLOW_FILE_EDIT’, true);
3. Cài đặt chứng chỉ SSL
Để cài đặt chứng chỉ SSL hay giao thức https cho WordPress trong việc bảo mật website wordpress bạn có thể di chuyển vào trong Cpanel của hosting. Hoặc có thể liên hệ Én Web để được hỗ trợ cài đặt SSL.
Chúng ta di chuyển đến phần Security -> SSL/TLS
Chọn vào Install and magage SSL for your site
Xem thêm: Mua tên miền giá ưu đãi tại Én Web
Bạn chọn autofill by domain để ứng dụng tự cài đặt nhé.
Cuối cùng bạn vào file wp-config.php và thêm dòng code này vào cuối file. Nhưng nằm trên dòng require_once( ABSPATH . ‘wp-settings.php’ );
define(‘WP_HOME’,’https://example.com’);
define(‘WP_SITEURL’,’https://example.com’);
Bạn chỉ việc thay đổi example.com thành tên miền của mình vậy là xong phần cài chứng chỉ bảo mật SSL cho WordPress.
4.Cài đặt plugin bảo mật iThemes Security Pro
Cách cài đặt plugin để bảo mật website wordpress
Bạn vào phần Plugin: Tải và cài đặt plugin iThemes Security Pro lên sau đó kích hoạt lên để sử dụng.
Thiết lập quan trọng trong plugin iThemes Security Pro
Nguồn: Kênh Văn Thế Web
404 Detection
- Chức năng này sẽ gửi thông báo khi thành viên truy cập vào trang 404. Tất cả các lỗi sẽ được ghi vào trang “Nhật ký”. Bạn có thể đặt số lượng lưu log cho tính năng này.
- Bất kì các nghi ngờ truy cập lỗi 404 nào website đều thông báo về email của bạn. Do đó cần phải cân nhắc trước khi sử dụng để tránh tốn khá nhiều tài nguyên hosting của bạn nhé!
Away Mode
Đây là tính năng giúp bạn khóa trang quản trị trong thời gian nhất định. Rất hữu ích cho website có 1 admin và bạn có thể tùy chọn khóa trang quản trị lúc bạn đang ngủ, không làm việc chẳng hạn.
Tính năng này sẽ giúp khóa các thời gian mà bạn không vào trang quản trị, việc này giúp hạn chế rủi ro tấn công hacker vào các giờ ít người vào để bảo mật website wordpress một cách hiệu quả nhất. Tính năng vô cùng tuyệt vời nếu website bạn chỉ có 1 người làm quản trị viên. Nên thiết lập thời gian vào ban đêm đến mờ sáng nếu bạn ở Việt Nam: 23h – 05h là hiệu quả nhất.
- Enable away mode : Bật chức năng Away Mode.
- Type of Restriction : Loại từ chối, nếu bạn truy cập vào website mỗi ngày thì chọn Daily.
- Start Time: – Thời gian bắt đầu “mở cổng” trang admin.
- End Time : Thời gian đóng cổng trang admin.
Xem ngay: Rank Math SEO là gì?
5. Cập nhật phiên bản wordpress và plugin mới nhất.
Để bảo mật website wordpress thì việc cập nhật bản wordpress lên phiên bản mới nhất rất quan trọng. Vì sao cập nhật lại quan trọng như vậy:
- Bản cập nhật mới giúp vá các lỗ hỏng bảo mật mà phiên bản cũ chưa có.
- Cập nhật các tính năng mới hiệu quả hơn trong quá trình sử dụng, thiết kế, viết bài…
- Cải thiện tốc độ tải trang tốt hơn phiên bản trước.
Để cập nhật bản wordpress mới nhất. Bạn vào phần Dashboard bấm vào nút update now để nâng cấp lên bản mới nhất. Trường hợp bản nâng cấp không tương thích với plugin hoặc theme đang sử dụng có thể hạ xuống bản thấp hơn dùng plugin Downgrade cho tiện nhé!
6. Thay đổi đường dẫn đăng nhập vào wp-admin sử dụng plugin itheme security
Hide Backend: Ẩn trang đăng nhập bằng cách thay đổi link và ngăn truy cập vào wp-login.php hoặc wp-admin.
Bước 1: Bạn di chuyển vào plugin itheme, bấm vào mục advance(6) -> Hide Backend
Bước 2: Bạn chọn chế độ Enable the hide Backend in feature
Bước 3: Login slug: Nhập 1 đường dẫn bất kì bạn muốn
Bước 4: Nhập đường dẫn muốn trỏ về khi người dùng cố tình truy cập vào đường dẫn wp-admin. Như vậy là đã hoàn thành xong phần đổi đường dẫn đăng nhập wordpress admin rồi!
7. Thiết lập đăng nhập 2 lớp từ google authorization
Two-Factor Authentication:
Đây là tính năng xác thực hai lớp làm tăng đáng kể tính bảo mật của tài khoản người dùng WordPress của bạn bằng cách yêu cầu thông tin bổ sung ngoài tên người dùng và mật khẩu của bạn để đăng nhập để tăng độ bảo mật website wordpress
Cách thiết lập đăng nhập 2 lớp
- Authentication Methods Available to Users: Đây là tính năng bật các phương thức xác nhận mật khẩu 2 lớp lên bao gồm: Email, ứng dụng authorization.
- User Type Protection: Lựa chọn tài khoản để bảo vệ, bạn chỉ nên thực hiện với các tài khoản có quyền quản trị
- Disable Forced Two-Factor Authentication for Certain Users: Vô hiệu hóa xác thực hai lớp cho một số người dùng nhất định
- Allow Remembering Device: Cho phép nhớ thông tin thiết bị, các bạn không nên bật vì sẽ dễ dàng bị lấy cấp thông tin
Cách xác thực đăng nhập
Trường hợp 1: Nếu sử dụng tính năng gmail sau khi đăng nhập vào hệ thống sẽ gửi cho bạn mail mã code bảo mật.
Lưu ý: Nhớ cài stmpt gmail. Nếu không email thông báo sẽ không vào hộp thư đến của email hoặc sẽ vào spam
Trường hợp 2: Nếu dùng ứng dụng trên điện thoại. Bạn vui lòng cài app Google Authenticator để thực hiện nhé.
Bước 1: Mở ứng dụng lên bấm vào dấu (+) chọn quét mã, lúc này bạn mở mã code trên website lên quét và kết nối nhé. Lần sau trở đi, khi đăng nhập google sẽ hiển thị 1 mã mới bạn nhập vào xác nhận đăng nhập.
Xem ngay: Hướng dẫn cài đặt và sử dụng Plugin Media Cleaner Pro
8. Gỡ bảo hiển thị phiên bản wordpress
Mặc định thì khi cài WordPress vào. Website sẽ tự động thêm số version hiện tại của nó vào header của chủ đề. Nó sẽ hiện thị công khai trong phần html.
Thông tin này dễ bị hacker biết được phiên bản bao nhiêu, biết lỗ hỏng của phiên bản đó thì tin tặc tấn công rất dễ dàng. Vì vậy bảo mật website wordpress được an toàn bạn phải ẩn đi luôn nhé. Thực hiện đơn giản bằng cách sau.
Bạn vào mục giao diện, sửa giao diện tìm đến function.php bấm vào chỉnh sửa và thêm đoạn code này vào cuối cùng. Sau đó lưu và kiểm tra lại nếu không còn xuất hiện nữa là được.
remove_action( ‘wp_head’, ‘wp_generator’ );
9. Vô hiệu hóa XML-RPC
- XML-RPC: Đây là tính năng của WordPress để giúp truyền tải dữ liệu, với HTTP làm công cụ truyền và XML làm công cụ mã hóa.
- Trước đây internet tốc độ truy cập chậm nên ứng dụng công nghệ này để truyền tải dữ liệu trên website.Tuy nhiên các công đoạn viết và đăng các bài lên website tốn nhiều thời gian.
- Vấn đề lớn nhất của XML-RPC là bảo mật. Chúng không tới từ bản thân XML-RPC, mà từ file xmlrpc.php bị dùng làm phương pháp tấn công brute force lên chính bản thân website chứa nó.
- Dĩ nhiên, bạn có thể tự bảo mật website wordpress bằng cách tạo một mật khẩu cực mạnh, và dùng thêm plugin WordPress bảo mật để bảo mật website wordpress. Nhưng cách tốt nhất là cứ vô hiệu hẵn nó đi.
Cách thực hiện: Bạn vào file function trong thư mục theme thêm dòng code này vào là xong.
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>
10.Hạn chế số lần đăng nhập sai
Local Brute Force Protection: Đây là tính năng tuyệt vời của plugin itheme security pro giúp bạn bảo mật website wordpress hạn chế số lần đăng nhập sai.
Max Login Attempts Per Host
Số lần đăng nhập mà người dùng có trước khi máy chủ hoặc máy tính của họ bị khóa khỏi hệ thống.
Nếu bạn đặt là 0 hệ thống sẽ lưu log lại, tuy nhiên sẽ không khóa nếu đăng nhập sai.
Max Login Attempts Per User
- Số lần đăng nhập mà người dùng có trước khi tên người dùng của họ bị khóa khỏi hệ thống.
- Lưu ý rằng điều này khác với máy chủ trong trường hợp kẻ tấn công đang sử dụng nhiều máy tính.
- Ngoài ra, nếu họ đang sử dụng tên đăng nhập của bạn, bạn có thể tự khóa mình.
- Đặt thành 0 để ghi nhật ký các lần đăng nhập xấu cho mỗi người dùng mà không bao giờ khóa người dùng (điều này không được khuyến nghị).
Minutes to Remember Bad Login (check period)
- Đây là mốc thời gian giữa 1 lần đăng nhập xấu.
- Bạn nên để 5 – 10 phút.
Xem thêm: Công ty thiết kế website tại Đà Nẵng
11. Thiết lập bảo mật trên hosting
Bảo mật hosting sẽ giúp hạn chế nhiều việc tin tặc tấn công để bảo mật website wordpress. Thông thường bạn sẽ có 2 cách chính để thiết lập bảo mật an toàn trên hosting cpanel của mình.
Modsecurity
- ModSecurity là một sản phẩm thuộc dự án OWASP, cho phép người dùng cấu hình, tùy chỉnh các phương thức phát hiện tấn công vào web server. Phiên bản ModSecurity hiện tại đã hỗ trợ Apache, Nginx và IIS. Cùng với dự án ModSecurity Core Rule Set thì việc triển khai hệ thống WAF càng dễ dàng hơn cho nhân viên hệ thống cũng như các chuyên viên bảo mật.
- Mod_Security là một module mở rộng cho các chương trình web server như Apache, Nginx, IIS và hoạt động như một firewall tại lớp ứng dụng web. Cùng với sự gia tăng về phương pháp tấn công web thì mod_security cũng đã cập nhật những rule và đưa ra nhiều cách phòng chống trong mã nguồn của chương trình.
Bạn đăng nhập vào cpanel tìm tới phần Security ->chọn ModSecurity
Tiếp theo, Bạn chọn Enable để bật lên
Imunify 360
Imunify 360 là một giải pháp bảo mật tự động để bảo mật website wordpress, được cung cấp bởi AI, thuộc các nhóm phát triển CloudLinux. Kể từ khi phát hành, Imunify 360 đã được cài đặt trên hàng ngàn máy chủ, cung cấp bảo mật website wordpress cho cả nhà cung cấp dịch vụ hosting.
Cách kích hoạt Imunify 360 trên hosting.
Các bạn di chuyển đến phần Imunify 360 . Tiếp theo nhấn vào kill mode để kích hoạt bảo mật tự động nhé.
12. Kiểm tra và xóa bỏ các bình luận spam đính kèm mã độc
Khi xét duyệt bình luận hoặc Pingback và Trackback trong wordpress để bảo mật website wordpress bạn nên kiểm tra xem có bị đính kèm mã độc hoặc link nào đang nghi ngờ không. Nếu có thì xóa hẳn bình luận đó để đảm bảo không bị lay lan virus nhé!
bảo mật website wordpress không khó – nếu chúng ta thực hiện các phương pháp được các chuyên gia bảo mật khuyên dùng, và thường xuyên cập nhật các bản update của WordPress – Themes – Plugins thì có thể tránh được hầu hết các cuộc tấn công phổ biến.
Hi vọng với những phương pháp trên cách bạn sẽ bảo mật website wordpress một cách an toàn và hiệu quả nhất. Nếu có bất kỳ câu hỏi nào về bảo mật website wordpress quý khách hãy liên hệ chúng tôi để được giải đáp thắc mắc kịp thời.