Nếu bạn đang làm việc với hoặc sử dụng WordPress, thì bạn nên luôn nghĩ về bảo mật trang web của mình. WordPress không an toàn hơn hoặc kém hơn bất kỳ nền tảng nào khác, nhưng số lượng người dùng, plugin và tiện ích bổ sung của bên thứ ba khiến nó trở thành mục tiêu chung của những kẻ tấn công. Tuy nhiên, đừng lo lắng, có một số bước cơ bản bạn có thể thực hiện để giữ an toàn cho trang web của mình (ngay cả khi bạn không hiểu biết nhiều về công nghệ)!
Không sử dụng ‘admin’ làm tên người dùng
- Hầu hết các cuộc tấn công và ‘hack’ WordPress không thực hiện bất cứ điều gì phức tạp hơn là cố gắng và cưỡng bức chúng vào khu vực quản trị của bạn bằng cách đoán mật khẩu của bạn. Điều đó dễ dàng hơn nhiều cho họ nếu họ cũng không phải đoán tên người dùng quản trị của bạn! Việc tránh sử dụng các từ phổ biến (như admin) cho tên người dùng của bạn có thể khiến các cuộc tấn công brute-force kém hiệu quả hơn nhiều.
- Nếu bạn đang làm việc với một trang web cũ hơn đã có người dùng ‘quản trị viên’, có thể đã đến lúc xóa tài khoản đó và chuyển bất kỳ nội dung nào hoặc quyền truy cập sang tên người dùng an toàn hơn!
Sử dụng mật khẩu phức tạp
Luôn sử dụng mật khẩu và đặt mật khẩu phức tạp để có được một mật khẩu mạnh
Mật khẩu mạnh là mật khẩu nên có tối thiểu 8 ký tự, kết hợp giữa chữ cái (hoa và thường), chữ số và các ký tự đặc biệt, ví dụ: !@#$%^&*().
Tùy thuộc vào mức độ an toàn mà bạn muốn cho mật khẩu của bạn, bạn nên đặt một mật khẩu dài (20 ký tự là tốt nhất.
Xem thêm Quản trị Password, bảo mật Password
Thêm xác thực hai yếu tố
Ngay cả khi bạn không sử dụng ‘admin’ và có một mật khẩu mạnh, được tạo ngẫu nhiên, các cuộc tấn công brute-force vẫn có thể là một vấn đề. Tuy nhiên, đừng lo lắng, xác thực hai yếu tố có thể giúp bảo vệ trang web của bạn.
Nguyên tắc là, thay vì chỉ nhập chi tiết đăng nhập, bạn cũng cần xác nhận rằng bạn là chính mình bằng cách nhập mã một lần từ một thiết bị khác mà bạn sở hữu (thường thông qua một ứng dụng trên điện thoại của bạn). Điều đó khó hơn nhiều để những kẻ tấn công làm giả!
Hai plugin phổ biến để xử lý xác thực trong WordPress là Google Authenticator và Rublon Plugin (có cách tiếp cận hơi khác). Chỉ cần đảm bảo rằng bạn không bị mất mã dự phòng, nếu không tài khoản của bạn có thể bị khóa.
Xem thêm Plugin bảo mật tốt nhất cho WordPress
Thực hiện các nguyên tắc ít đặc quyền nhất
Khái niệm về Least Privileged rất đơn giản. Chỉ cấp quyền cho:
- những người cần nó,
- khi họ cần và
- chỉ trong thời gian họ cần.
Nếu ai đó yêu cầu quyền truy cập quản trị viên tạm thời để thay đổi cấu hình, hãy cấp quyền đó, nhưng sau đó xóa nó khi hoàn thành nhiệm vụ. Tin tốt là bạn không phải làm gì nhiều ở đây, ngoài việc áp dụng các phương pháp hay nhất.
Trái ngược với suy nghĩ thông thường, không phải mọi người dùng truy cập phiên bản WordPress của bạn đều cần được phân loại dưới vai trò quản trị viên . Chỉ định mọi người vào các vai trò thích hợp và bạn sẽ giảm đáng kể rủi ro bảo mật của mình.
Xem thêm 10 công cụ kiểm tra bảo mật ứng dụng di động tốt nhất năm 2021
Ẩn wp-config.php và .htaccess
Của bạn wp-config.php và .htaccess tệp rất quan trọng đối với bảo mật WordPress của bạn. Chúng thường chứa thông tin đăng nhập hệ thống của bạn và tiết lộ thông tin về cấu trúc và cấu hình trang web của bạn. Đảm bảo rằng những kẻ tấn công không thể truy cập vào chúng là rất quan trọng.
Việc ẩn các tệp này tương đối dễ thực hiện, nhưng nếu làm sai có thể khiến trang web của bạn không thể truy cập được. Hãy sao lưu và tiến hành một cách thận trọng. Yoast SEO cho WordPress làm cho quá trình này dễ dàng hơn cho bạn. Chỉ cần đi tới “Công cụ> Trình chỉnh sửa tệp” để chỉnh sửa của bạn.htaccess
Các bài viết khác:
Để bảo mật WordPress tốt hơn, bạn sẽ cần thêm cái này vào .htaccess tệp của mình để bảo vệ wp-config.php:
<Files .htaccess> order allow,deny deny from all </Files>
Điều đó sẽ ngăn không cho tệp bị truy cập. Mã tương tự có thể được sử dụng cho .htaccess chính tệp của bạn :
<Files .htaccess> order allow,deny deny from all </Files>
Sử dụng khóa bảo mật WordPress để xác thực
‘Authentication keys’ và ‘salts’ về cơ bản là một tập hợp các biến ngẫu nhiên, duy nhất cho trang web của bạn, giúp cải thiện tính bảo mật (mã hóa) của thông tin trong cookie.
Tệp của bạn wp-config.php có một khu vực dành riêng để bạn có thể cung cấp các biến của riêng mình.
Xem thêm Một số plugin wordpress cải thiện hiệu suất và phân tích cho website
Tắt chỉnh sửa tệp
Nếu tin tặc xâm nhập, cách dễ nhất để chúng thay đổi tệp của bạn là truy cập “Appearance> Editor” trong WordPress. Để cải thiện bảo mật WordPress của bạn, bạn có thể tắt tính năng chỉnh sửa các tệp này thông qua trình chỉnh sửa đó. Một lần nữa, bạn có thể thực hiện việc này từ trong wp-config.php tệp của mình bằng cách thêm dòng mã này:
define('DISALLOW_FILE_EDIT', true);Ẩn thông tin đăng nhập của bạn và giới hạn số lần đăng nhập
Các cuộc tấn công bạo lực thường nhắm vào biểu mẫu đăng nhập của bạn. Vì vậy, việc thay đổi nơi tồn tại có thể khiến kẻ tấn công khó xâm nhập hơn. Plugin All in One WP Security & Firewall có tùy chọn chỉ cần thay đổi URL mặc định (từ /wp-admin/) thành một thứ gì đó an toàn hơn.
Bên cạnh đó, bạn cũng có thể giới hạn số lần đăng nhập từ một địa chỉ IP nhất định. Có một số plugin WordPress để giúp bạn bảo vệ biểu mẫu đăng nhập của mình khỏi các địa chỉ IP gây ra vô số lần đăng nhập theo cách của bạn.
Hãy chọn lọc với XML-RPC
XML-RPC là một giao diện chương trình ứng dụng (API) đã xuất hiện được một thời gian. Nó được sử dụng bởi một số plugin và chủ đề, vì vậy chúng tôi lưu ý những người ít kỹ thuật hơn cần lưu ý đến cách họ triển khai mẹo tăng cường cụ thể này.
Mặc dù có chức năng nhưng việc vô hiệu hóa có thể phải trả giá. Đây là lý do tại sao chúng tôi không khuyên bạn nên tắt mọi thứ, nhưng hãy chọn lọc hơn về cách thức và những gì bạn cho phép truy cập nó. Trong WordPress, nếu bạn sử dụng Jetpack, bạn sẽ phải cẩn thận hơn với Các cuộc tấn công khuếch đại Brute Force chống lại WordPress XMLRPC
Hosting & bảo mật WordPress
Ngay cả khi bạn tỉ mỉ khi nói đến bảo mật của trang web của mình, nếu nó được lưu trữ bởi một công ty không tỉ mỉ như vậy, bạn cũng có thể đã không làm gì cả.
Nếu kẻ tấn công có thể truy cập vào dịch vụ lưu trữ trang web của bạn, chúng có thể kiểm soát hoàn toàn mọi thứ. Điều đó có nghĩa nó thực sự quan trọng là bạn chọn (hoặc di chuyển đến) một máy chủ mà có lưu trữ nghiêm túc. Các tùy chọn lưu trữ rẻ hơn thường không đi kèm với bảo mật hoặc sao lưu tốt, hoặc có thể không cung cấp hỗ trợ để giúp bạn dọn dẹp một trang web bị tấn công.
Những dịch vụ hosting giá rẻ và chi phí thấp đặc biệt mang lại những rủi ro lớn, với hệ thống bảo mật kém, các hacker có thể tiến hành các cuộc tấn công local, hoặc leo thang đặc quyền,… thông qua các website bảo mật kém khác trên VPS. Vì vậy để có thể sử dụng ổn định, theo chúng tôi các bạn nên nghiêm túc trong việc chi tiêu vào việc sử dụng dịch vụ hosting hàng đầu.
Luôn cập nhật
Luôn cập nhật là một điều quan trọng để thực hiện, nhưng chúng tôi nhận ra rằng điều này có thể khó khăn như thế nào đối với chủ sở hữu trang web hàng ngày. Các trang web của chúng tôi là những thực thể phức tạp. Họ có nhiều điều khác nhau xảy ra tại bất kỳ thời điểm nào. Và đôi khi rất khó để áp dụng các thay đổi một cách nhanh chóng. Đó là lý do tại sao khi các website bị lỗi thời trong phiên bản cập nhật. Cả trong plugin và phần mềm cốt lõi của họ. Thật không may, điều này làm cho họ đặc biệt dễ bị tổn thương trước các hành vi khai thác đã biết.
Việc luôn cập nhật về theme, plugin, và các thành phần core trong CMS là một phần quan trọng trong quy trình xây dựng website
Xem thêm Lưu ý về bảo mật website
Đặt nhiều lớp bảo mật hơn
Các giải pháp bảo mật tốt nhất ngăn không cho kẻ tấn công vào bất cứ đâu gần trang web của bạn. Đó là lý do tại sao chúng tôi khuyên hầu hết các trang web chạy một số loại plugin tường lửa WordPress . Các plugin này tìm kiếm những kẻ tấn công đã biết và các kiểu tấn công phổ biến và ngăn chặn chúng trước khi chúng có cơ hội xâm phạm trang web của bạn.
Cũng đáng xem xét rằng nhiều Hệ thống cung cấp nội dung hiện bao gồm chức năng tường lửa; kết hợp tối ưu hóa hiệu suất với bảo vệ. Đặc biệt, Cloudflare làm rất tốt việc chặn ‘lưu lượng truy cập xấu’ và thậm chí còn có các quy tắc và bản quét được phát triển đặc biệt để bảo vệ các trang web WordPress.
Các plugin & Theme bảo mật tốt nhất
Các plugin bảo mật của WordPress rất phổ biến đối với người dùng của nền tảng và chúng có thể khá hữu ích. Đồng thời, không phải trang web nào cũng cần chúng. Trong một số trường hợp, việc sử dụng plugin bảo mật được mã hóa kém có thể làm chậm trang web của bạn hoặc thêm một loạt tính năng bạn không cần. Câu hỏi là: “Tôi có cần một plugin bảo mật WordPress không?”
Điều tuyệt vời về WordPress là bạn không yêu cầu plugin bảo mật để làm “cứng” trang web của mình. Bạn có thể triển khai nhiều tính năng mà các plugin này cung cấp theo cách thủ công. Đồng thời, giải pháp bảo mật tất cả trong một có thể tiện lợi hơn nhiều
Hầu hết người dùng WordPress có xu hướng áp dụng các chủ đề và plugin vào trang web của họ theo ý muốn. Chúng tôi khuyên bạn nên lưu ý đến việc thử nghiệm các chủ đề hoặc plugin khác nhau, đặc biệt nếu bạn không sử dụng máy chủ thử nghiệm. Hầu hết các plugin và nhiều chủ đề đều miễn phí và trừ khi nhà phát triển có một mô hình kinh doanh vững chắc để đi kèm với các tặng phẩm miễn phí này, bảo mật có thể không được ưu tiên cao nhất trong quá trình phát triển. Nói cách khác, nếu một nhà phát triển đang duy trì một plugin chỉ vì nó rất thú vị , thì rất có thể họ đã không dành thời gian để kiểm tra bảo mật thích hợp.
Xem thêm Các plugin backup tốt nhất wordpress
Cách chọn đúng plugin
Plugin WordPress là một chương trình của bên thứ ba bổ sung chức năng cho trang web của bạn. Trong khi các chủ đề có thể điều chỉnh giao diện của một trang, các plugin cung cấp các tính năng thực tế. Do đó, chúng có thể có tác động đáng kể đến trải nghiệm của khách truy cập.
Do các plugin có xu hướng chuyên biệt, chúng cho phép bạn quản lý trải nghiệm toàn trang với một số chương trình khác nhau. Ví dụ: giả sử bạn muốn thiết lập một cửa hàng trực tuyến an toàn một cách dễ dàng. Bạn có thể sử dụng plugin Jetpack để bảo mật, WooCommerce cho cửa hàng và Elementor để xây dựng và tùy chỉnh mặt tiền cửa hàng.
Các plugin cũng có thể ảnh hưởng đến trải nghiệm back-end của bạn. Ví dụ: bạn có thể thấy rằng bạn thích các công cụ có trọng tâm là thân thiện với người dùng. Số lượng phần mềm tuyệt đối có sẵn có nghĩa là bạn có thể tìm thấy một phần mềm phù hợp với nhu cầu của mình.
Tuy nhiên, bạn có thể có quá nhiều điều tốt. Sử dụng quá nhiều plugin có thể làm chậm trang web của bạn. Do đó, bạn sẽ muốn xem xét các lựa chọn của mình một cách cẩn thận để giúp tối đa hóa hiệu suất trong khi giảm thiểu các vấn đề tiềm ẩn.
Một cách tiếp cận có phương pháp cũng có thể giúp bạn tìm thấy những ứng cử viên chất lượng cao nhất, đặc biệt nếu bạn đang tìm kiếm trong một danh mục phổ biến và cần so sánh các công cụ. Thực hiện một số nghiên cứu nhỏ có thể giúp bạn dễ dàng hơn trong việc chọn các plugin phù hợp trong lần thử đầu tiên.
Các plugin miễn phí và theme có thể là một khả năng dễ bị tổn thương. Khi thêm một plugin (hoặc chủ đề cho vấn đề đó), hãy luôn kiểm tra xếp hạng của plugin đó trên WordPress.org . Hãy nhớ rằng một xếp hạng 5 sao sẽ không cho bạn biết bất cứ điều gì, vì vậy hãy luôn kiểm tra số lượng xếp hạng. Tùy thuộc vào thị trường ngách, một plugin sẽ có thể nhận được nhiều đánh giá. Nếu nhiều người nghĩ rằng một plugin là tuyệt vời và dành thời gian để đánh giá nó, bạn cũng có thể cảm thấy yên tâm hơn khi sử dụng nó.
Khả năng tương thích của plugin
Có một điều khác bạn muốn kiểm tra. Nếu một plugin không được cập nhật trong hai năm, WordPress sẽ cho bạn biết điều đó. Bây giờ, điều này không nhất thiết có nghĩa là nó là một plugin tồi. Nó cũng có thể có nghĩa là không cần phải cập nhật nó, đơn giản là vì plugin vẫn hoạt động. Xếp hạng sẽ giúp bạn quyết định xem có đúng như vậy không. Và hãy xem khả năng tương thích với phiên bản WordPress hiện tại, cũng được hiển thị trên trang plugin tại wordpress.org. Đã nói rằng, Sucuri thực sự khuyên bạn không nên sử dụng bất kỳ plugin nào chưa được cập nhật trong thời gian dài. Bạn nên nghe lời họ.
Dựa trên xếp hạng và khả năng tương thích, bạn có thể chọn các plugin của mình một cách cẩn thận và đồng thời quan tâm đến bảo mật WordPress của mình.
Đừng quên nhật ký và giám sát
Cho đến nay, chúng ta đã thấy cách bảo mật một trang WordPress. Tuy nhiên, vì bảo mật WordPress không phải là tuyệt đối (các trang web luôn phát triển bằng cách thay đổi chức năng và người dùng) nên có một khía cạnh khác đối với bảo mật WordPress: ghi nhật ký và giám sát. Nhật ký kiểm tra hoặc nhật ký hoạt động là một bản ghi theo thứ tự thời gian về các sự kiện và thay đổi đã xảy ra trên trang web của bạn. Trong nhật ký kiểm tra, bạn có thể tìm thấy thông tin về ai đã đăng nhập vào trang web của bạn, cài đặt hoặc cập nhật plugin, thay đổi nội dung, thay đổi cài đặt của trang web, v.v.
Xem thêm 5 plugin quét lỗ hổng bảo mật tốt nhất của WordPress
Phát hiện các cuộc tấn công trước khi chúng xảy ra
Bằng cách giữ nhật ký kiểm tra trên trang web WordPress của mình, bạn đảm bảo trách nhiệm của người dùng, dễ dàng khắc phục sự cố kỹ thuật và phát hiện các cuộc tấn công trước hoặc khi chúng xảy ra, cho phép bạn thực hiện hành động né tránh để ngăn chặn chúng. Nhật ký kiểm tra cũng được sử dụng cho pháp y, để tìm ra những gì đã xảy ra trong trường hợp không may là hack thành công. Để giữ nhật ký kiểm tra trên trang web WordPress của bạn, bạn cần cài đặt một plugin như Nhật ký kiểm tra bảo mật WP .
Có một số điều khác bạn nên để mắt đến. Ví dụ: nếu bạn sử dụng Sucuri, bạn sẽ nhận được báo cáo lưu lượng truy cập hàng tuần với chi tiết về những gì đã bị chặn và được phép. Bạn có thể học được nhiều điều từ nó, cũng như từ các phân tích và mẫu lưu lượng truy cập trang web của bạn.
Kết luận những suy nghĩ về bảo mật WordPress
Nếu bạn đã làm được điều này trong bài viết này, bạn sẽ không còn lý do gì để không cải thiện bảo mật WordPress cho trang web của mình. Giống như thêm các bài đăng và trang, kiểm tra bảo mật WordPress của bạn nên là một thói quen đối với mọi chủ sở hữu trang web WordPress.
Cũng nên nhớ rằng đây không phải là danh sách đầy đủ những điều bạn có thể làm để bảo mật trang web của mình. Tôi biết rằng một người nên tạo các bản sao lưu thường xuyên để giữ an toàn cho trang web của bạn. Tuy nhiên, tôi tin rằng bài viết này về bảo mật WordPress cung cấp cho bạn một danh sách thực tế về những điều bạn có thể và nên làm để bảo mật ít nhất là lớp bảo vệ đầu tiên của trang web của bạn. Hãy nhớ rằng, bảo mật của WordPress không phải là tuyệt đối và tùy thuộc vào chúng ta để làm cho các tin tặc khó khăn hơn!
Xem thêm Các plugin nên cài cho wordpress đơn giản
