15 thủ thuật bảo mật wordpress tốt nhất

Việc lập ra một blog hay một website không hề khó khăn trong thời điểm này. Nhưng sau khi đã thực hiện các việc như phát triển nội dung, tối ưu hóa công cụ tìm kiếm thì bước tiếp theo phải làm đó chính là sử dụng những biện pháp để bảo vệ thành quả của mình khỏi những bọn hacker.

WordPress là một mã nguồn mở, được phát triển trên cơ sở hợp tác của cộng đồng những người viết code trên toàn thế giới, chính vì thế mà nó luôn có những lỗ hổng nhất định, đồng thời khi lỗ hổng được phát hiện thì nó nhanh chóng được vá lại bằng các bản cập nhật.

Nhưng một website luôn tồn tại ở một môi trường nào đó, và kết hợp với nhiều phần mềm của bên thứ ba nào, và đó luôn tiềm ẩn những lỗ hổng của các phần mềm được cài đặt trên website.

Bao mat wordpress

Đa số các Hacker đều sử dụng một công cụ tự động cho phép tìm kiếm hàng ngàn các website chứa các lỗ hổng, và đó chính là lý do khiến website của bạn bị tấn công cho dù website của bạn không phải là phổ biến.

Và Sau khi tham khảo các cách bảo mật cho wordpress, mình rút ra một số kiến thức để giúp bảo mật website wordpress một cách tốt nhất như sau.

1. Chọn máy chủ uy tín

Hiện nay có rất nhiều những dịch vụ cung cấp Hosting với giá thành rẻ, sở dĩ giá rẻ có nhiều nguyên nhân và chủ yếu là do máy chủ có cấu hình yếu, khả năng bảo mật kém, và giới hạn một số ứng dụng phần mềm bảo mật.

Các cuộc tấn công hầu hết đều nhằm vào máy chủ, và nếu máy chủ lưu trữ web của bạn bị tấn công thì mọi thành phương pháp bảo mật thực hiện trên các website đều trở nên vô nghĩa. Và đương nhiên máy chủ không thuộc quyền quản lý của bạn chính vì thế bạn cũng không thể làm được gì, lúc đó bạn chỉ biết ngời chờ cho đến khi máy chủ của bạn được khắc phục.

Lời khuyên của mình là lựa chọn máy chủ lưu trữ website của những đơn vị uy tín, và họ luôn có những giải pháp tốt nhất để bảo vệ máy chủ của mình.

2. Sử dụng  Premium Themes & Plugins (Theme và Plugin bản quyền)

Plugin luôn là một phần để tăng cường sức mạnh cho blog wordpress, tuy nhiên nó lại tiềm ẩn nhưng lỗ hổng nhất định, đặc biệt là những Plugin không được cập nhật thường xuyên.

Hầu hết các Theme và Plugin bản quyền luôn luôn kiểm tra, phát triển theo thời gian, đồng thời nó thường xuyên cập nhật các bản vá lỗi một khi họ tìm ra những lỗ hổng nào đó.

Nếu bạn không phải là các chuyên gia về bảo mật Plugin thì cũng có thể sử dụng các Plugin Premium cũng là một cách giảm thiểu các cuộc tấn công vào các lỗ hổng ở Plugin.

Bạn có thể sử dụng Plugin bảo mật như wordfence hoặc iTheme Security. Ngoài ra bạn có thể kiểm tra theme hoặc Plugin có chứa các script độc hại qua trang web https://sitecheck.sucuri.net/

liên quan: các plugin nên dùng cho wordpress

3. Sử dụng Mật khẩu mạnh và thay đổi tên đăng nhập

WordPress mặc định tên đăng nhập là admin, nhiều người luôn có một thói quen không thay đổi tên đăng nhập, và với tên này người hacker sẽ dễ dàng đoán ra nó. Đó cũng là một lý do khiến website của bạn trở nên mất an toàn.

Lời khuyên của tôi là bạn nên thay đổi tên đăng nhập sẽ giúp website an toàn hơn.

Tương tự như tên đăng nhập thì mật khẩu cũng thường dễ tìm ra nếu như bạn đặt một số mật khẩu đơn giản, một trong các mật khẩu dễ dò ra nhất mà không cần phải dùng phần mềm đó là

1. 123456

2. matkhau

3. 12345

4. 12345678

5. qwerty

Thông thường mọi người đều có thể thử đoán tên đăng nhập là admin và mật khẩu là 123456.

Các mật khẩu tốt nhất là một sự pha trộn giữa ký tự Viết Hoa và số, kết hợp thêm một số kỹ tự đặc biệt.

4. Giới hạn số lần đăng nhập

Hầu hết các cuộc tấn công đều nhắm vào các trang đăng nhập, và các hacker sử dụng phần mềm tự động đăng nhập liên tục vào trang quản trị, mỗi lần như thế sẽ tiêu tốn rất nhiều bộ nhớ máy chủ và làm cho website có thể bị tê liệt.

Và để phòng tránh điều này chúng ta sử dụng công cụ hạn chế số lần đăng nhập, nếu như ai đó liên tục sử dụng các tên đăng nhập và mật khẩu để nhằm truy cập vào dữ liệu websie thì nó sẽ bị chặn lại. Để làm được điều này trong wordpress có một số Plugin như Login LockdownBrute Frorce là tốt nhất. các plugin này đều có giao diện tương tự nhau và dễ dàng sử dụng chúng.

Tất cả các Plugin này về cơ bản đều được hoạt động dưới dạng theo dõi các địa chỉ IP mà đã cố gắng nhiều lần đăng  nhập thất bại, và từ đó không cho phép các địa chỉ IP đó vào trang đăng nhập nữa. Đồng thời các Plugin sẽ thực thi các mật khẩu mạnh và được chủ sở hữu uy quyền thường xuyên thay đổi mật khẩu.

5. Xác thực đăng nhập

Có thể nói rằng khi bạn tạo ra hai bước đăng nhập bằng cách thêm một bước xác thực rằng đó không phải là bot truy cập cũng coi như việc bảo mật của bạn được tăng lên gấp đôi rồi.

 

Hiện nay có hai cách để làm được điều này. Một là đăng nhập vào cần phải có xác thực thông qua tin nhắn trên điện thoại di động. Google Authenticator là một Plugin dựa trên ứng dụng cài trên Android, Iphone, Blackberry cung cấp cho bạn mã xác thực để bạn có thể đăng nhập thành công vào wordpress.

Nếu bạn không muốn phiền hà khi sử dụng mã xác nhận qua điện thoại thì cũng có thể tạo thêm một mã xác thực bằng capcha thông qua Plugin Login No Captcha reCAPTCHA để ngăn chương trình tự động đăng nhập

 Liên quan: Bảo vệ mật khẩu WordPress với Google Authenticator

6. Thay đổi URL đăng nhập

Các phần trên chúng ta đã thảo luận về việc hạn chế đăng nhập, xác thực trước khi đăng nhập và sử dụng mật khẩu mạnh để bảo mật wordpress. Giờ chúng ta cần thêm một phương thức đơn giản những cũng rất hiệu quả để bảo mật đó chính là thay đổi đường dẫn đăng nhập.

Wps Hide Login là một Plugin sẽ giúp bạn làm điều này, các plugin tương tự như thế này không thay đổi điều gì hết, chỉ đơn giản nó làm cho đường dẫn đăng nhập không phải là wp-admin nữa mà là wp-login chẳng hạn.

Một lựa chọn thay thế gồm hai Plugin khác là Protect Your Adminrename wp login

7. Thêm khóa bảo mật wp (WordPress security keys)

WordPress sử dụng cookie để xác định danh tính người dùng đang đăng nhập và để ghi lại những bình luận và thay đổi từ Dash wp. Những cookie này có chứa thông tin đăng nhập và xác thực của bạn. Các mật khẩu được mã hóa theo một công thức toán học phức tạp làm cho nó khó đọc và không thể đọc được nếu như không có sự trợ giúp của các phần mềm. Và khi một ai đó sử dụng phần mềm theo đúng trình tự và chuyên nghiệp thì nó sẽ quay ngược lại và đọc được các mật khẩu của bạn.

Để khắc phục nhược điểm này chúng ta cần một lớp bảo mật xoay quanh cookie với WordPress Security Keys. Đây là một tập hợp các biến ngẫu nhiên để cải thiện thông tin của cookie người dùng. Có 4 keys cụ thể là Auth_key, Secure_Auth_Key, Logged_In_Key và Nonce_Key.

Một mật khẩu không được mã hóa hoặc mật khẩu đơn giản như 12345 sẽ dễ dàng bị dò thấy nếu như người nào đó tái tạo lại các cookie và xác thực. Nhưng cách mã hóa WordPress Security Keys sẽ làm cho điều này trở nên khó khăn hơn nhiều.

Vậy làm thế nào để thêm khóa bảo mật wp?

Bước 1. Mở tập tin wp-config.php

Bước 2. Tìm kiếm  “authentication unique keys and salts”.

Bước 3: Sử dụng các Keys  tự động phát hiện công cụ trực tuyến

Bước 4: Sao chép và ghi đè lên các Keys trong wp-config.php

Bước 5: Lưu lại

Lưu ý: Mỗi khi bạn thay đổi khóa bảo mật này thì bạn sẽ phải đăng xuất và đăng nhập lại theo đúng tên của bạn một lần nữa, đây là công cụ trực tuyến và bạn có thể thay đổi lặp đi lặp lại trong vòng vài tháng  hoặc lâu hơn. Nếu như bạn khong nhớ làm việc này thì có thể sử dụng plugin  iThemes Security, sau khi cài đặt nó sẽ cung cấp các công cụ cần thiết như trên từ Dash wp, và họ cũng sẽ gửi cho bạn một lời nhắc nhở mỗi tháng để thay đổi khóa bảo mật của bạn.

8. Bảo vệ thư mục wp bằng mật khẩu.

Bất kỳ máy chủ nào cũng điều thực hiện điều này từ cPanel, trong cPanel bạn mở Security -> Password Protect Directories. Bạn sẽ thấy một danh sách các thư mục trong trang web của bạn và việc làm cần thiết đầu tiên là bảo mật thư mục wp-admin.

Tuy nhiên mỗi lần đăng nhập vào hostting thì có thêm một bước xác nhận tài khoản và mật khẩu ( Lưu ý: tài khoản và mật khẩu này sẽ không giống với tài khoản và mật khẩu do nhà cung cấp gửi cho bạn mà bạn phải tạo mới).

Bằng cách này bạn cũng sẽ có thêm một lớp bảo về cho những phần quan trọng trong website của bạn.

9. Bảo vệ thư mục và tập tin thông qua CHMOD

Khi bạn mới đưa code web của mình lên hosting thì mặc định các quyền truy cập và thay đổi là bình thường, và để bảo mật các file trên host bằng cách đơn giản là chúng ta không cho phép thay đổi nội dung bên trong từng file.

Để làm điều này rất đơn giản, tất cả các thư mục chúng ta set CHMOD  là 644 và các file là 444. Khi làm điều này tất cả các thay đổi trong các tệp tin sẽ không được lưu lại.

10. Sử dụng .htaccess Bảo vệ WordPress

Tập tin .htaccess có rất nhiều tính năng bảo mật rất hữu ích mà tôi có thể liệt kê ra dưới đây để các bạn có thể tham khảo.

1.      Bảo vệ cho các tập tin .htaccess trong wordpress.

2.      Bảo vệ tập tin wp-config.php trong wordpress.

3.      Cho phép hạn chế tập tin theo dạng extension

4.      Giới hạn kích thước tập tin tải lên trong wordpress

5.      Vô hiệu hoa danh sách thư mục trong wordpress

6.      Cho phép chặn một IP hoặc một dải IP

7.      Cho phép bạn cấu hình chuyên nghiệp tìm kiếm các trang lỗi tùy chỉnh cho wordpress

Còn nhiều tính năng khác nữa mà các bạn có thể bổ xung thêm cho mình, tuy nhiên kiến thức hạn hẹp mình cũng chỉ có thể cung cấp một số tính năng đó mà thôi.

Trong khuôn khổ bài này mình hướng dẫn các bạn bảo mật wordpress bằng file .htaccess bằng một số phương pháp cũng dựa trên các tính năng như trên.

Đầu tiên để bảo vệ tệp tin wp-config.php chúng ta sử dụng cú pháp, bằng cách này sẽ ngăn chặn không cho phép truy cập vào tập tin này.

order allow,deny

deny from all

Ngăn chặn không cho phép truy cập tập tin .htaccess bằng đoạn mã

order allow,deny

deny from all

Các wp-includes chứa các tệp tin không cần thiết cho người sử dụng, nó chưa các tập tin để chạy wordpress và vì thế chúng ta cần bảo vệ nó bằng cách thêm một đoạn mã vào tập tin .htaccess như sau:

Chỉ khóa tập tin includes

RewriteEngine On

RewriteBase /

RewriteRule ^ wp-admin / includes / – [F, L]

! RewriteRule ^ wp-includes / – [S = 3]

RewriteRule ^ wp-includes / [^ /] + \ php $ -. [F, L]

RewriteRule ^ wp-includes / js / TinyMCE / langs /.+ php \ -. [F, L]

RewriteRule ^ wp-includes / theme-compat / – [F, L]

Ngoài ra còn có thêm ngăn chặn địa chỉ ip đăng nhập trang web của bạn, tuy nhiên bằng những lệnh trên thì trang web của bạn đã an toàn hơn rất nhiều rồi.

11. Thay đổi tiền tố Prefix bảng wp_

Mặc định khi cài đặt wordpress database thì mỗi tiền tố đều  bắt đầu bằng wp_. Và việc thay đổi tiền tố này bằng một tiền tố khác hoàn toan tự nhiên sẽ gây khó khăn hơn cho hacker xâm nhập vào web

Trong file wp-config.ph bạn tìm đến dòng $Table_prefix=’wp_’ và thay đổi nó thành một một dạng ngẫu nhiên khác chẳng hạn như $Table_prefix=’qwer’

Bây giờ mỗi một bảng như wp_post, wp_user,… nó sẽ chuyển thành qwer_post, qwer_user

12.  Sử dụng Plugin bảo mật wordpress – Wordfence / iThemes Security / Sucuri

Nếu như các phương pháp trên bạn không yêu thích nó thì bạn có thể thực hiện biện pháp bảo mật bằng cách sử dụng các Plugin, hiện nay có 3 plugin bảo mật tốt nhất cho wordpress đó là wordfence, iTheme Security và Plugin Sucuri.

Liên quan:

Các Plugin bảo mật wordpress tốt nhất

Cấu hình Wordfence security để bảo mật wordpress

Hầu hết các Plugin đều dễ dàng cải đặt và các bạn cũng có thể dễ dàng cấu hình chúng.

13 . Liên tục cập nhật các phiên bản mới của wordpress.

Như đã nói ở phần đầu, wordpress luôn có những lỗ hổng nhất định và khi phát hiện ra và khắc phục bằng các bản cập nhật để vá những lỗ hổng đó.

Có rất nhiều người không muôn cập nhật lên phiên bản mới do một lý do nào đó. Tuy nhiên lời khuyên của tôi là hãy cập nhật lên các phiên bản mới hơn khi có. Không chỉ cập nhật theme lên phiên bản mới và ngay cả các Plugin cũng cần phải cập nhật khi có phiên bản mới. Đơn giản vì phiên bản mới sẽ vá những lỗi của của phiên bản cũ.

Kích  hoạt tính năng tự động cập nhật:

Để có thể tự động cập nhật cho Theme và Plugin chúng ta cần thay đổi liên tục wp_auto_update_core. Muốn làm được điều này chúng ta cần can thiệp vào file wp-config.php.

define ('WP_AUTO_UPDATE_CORE', true);

Điều này cho phép wordpress tự động cập nhật khi có phiên bản mới.

Đối với Plugin chúng ta sử dụng

add_filter ('auto_update_plugin', '__return_true');

Đối với Theme

add_filter ('auto_update_theme', '__return_true');

Ngoài ra bạn cũng có thể sử dụng Plugin Easy update manager để xử lý cập nhật.

14. Bảo mật wordpress bằng tường lửa (fire wall)

Nếu như các phương pháp trên bạn vẫn chưa yên tâm thì có thể sử dụng thêm tính năng bảo vệ wordpress bằng tưởng lửa.

Ưu điểm của bảo mật bằng tưởng lửa:

– Giảm thiểu các cuộc tấn công DDoS

– Bảo vệ chống lại lỗ hổng phần mềm

– Ngăn chặn tấn công thông qua SQL

Để đơn giản tôi tư vấn bạn sử dụng Plugin Ninja firewall .

15 . Back Up! Back Up! Back Up! Liên tục Back Up

Sau khi đã thực hiện tất cả các phương pháp cần thiết để bảo mật wordpress rồi. Một việc làm cần thiết để phòng tranh mọi tấn công đó chính là thường xuyên back up lại dữ liệu.

Nếu như không may web của bạn bị tấn công thì bao nhiêu công sức của bạn có thể bị “đi tong”. và để tranh mọi thiệt hại có thể xảy ra, lời khuyên của tôi dành cho bạn chính là thường xuyên back up lại dữ liệu.

Hầu hết các nhà cung cấp hosting đều thường xuyên backup lại toàn bộ các website trên máy chủ đó, tuy nhiên để chủ động chúng ta nên tự làm việc này.

Trong wordpress có một Plugin làm việc này tốt nhấ đó là UpdraftPlus Backup and Restoration . Với các tính năng backup và được lưu trữ tại nhiều trang lưu trữ như Google Drive, Amazone S3, Dropbox, Rackspace Cloud hoặc thông qua FTP, SFTP và Email thì có lẽ đây là một Plugin  hoạt động tốt nhất trong lĩnh vực này.

Lựa chọn thay thế BackUp Buddy, VaultPress.

Kết luận:

Trên đây là 15 cách bảo mật wordpress hiệu quả nhất mà tôi đã sưu tầm được, hy vọng các bạn có thể áp dụng vào để sử dụng bảo mật website của bạn tốt nhất, Tôi nghĩ rằng chỉ cần sử dụng một vài cách trên thì website của bạn đã có thể an toàn hơn rất nhiều rồi.

Còn nhiều cách khác mà tôi chưa tìm hiểu đến, hy vọng các bạn quan tâm và bổ xung thêm vào bộ sưu tập của tôi thông qua bình luận bên dưới.

Bình luận

Thư điện tử của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *