Các phương pháp bảo mật WordPress của bạn

WordPress là hệ thống quản lý nội dung (CMS) phổ biến nhất thế giới, với 43,2% tổng số trang web chạy trên source của nó. Vì sự phổ biến của nó đã thu hút tất cả các loại tội phạm mạng khai thác các lỗ hổng bảo mật của nền tảng này.

Điều này không có nghĩa là WordPress có hệ thống bảo mật kém – vi phạm bảo mật cũng có thể xảy ra do người dùng thiếu nhận thức về bảo mật. Vì vậy, tốt nhất bạn nên áp dụng các biện pháp bảo mật đề phòng trước khi website của bạn trở thành mục tiêu của hacker.

Chúng tôi sẽ thảo luận về các phương pháp để cải thiện bảo mật WordPress và bảo vệ trang web của bạn khỏi các cuộc tấn công mạng khác nhau. Bài viết sẽ bao gồm các mẹo và thực tiễn tốt nhất – có hoặc không có plugin WordPress. Một số phương pháp cũng có thể áp dụng cho các nền tảng khác ngoài WordPress.

Các phương pháp chung tốt nhất để cải thiện bảo mật trang web

Trong phần này, chúng tôi sẽ đề cập đến sáu mẹo bảo mật chung của WordPress không yêu cầu kiến ​​thức kỹ thuật nâng cao và đầu tư rủi ro cao. Ngay cả người mới bắt đầu cũng có thể thực hiện những tác vụ đơn giản này, như cập nhật phần mềm WordPress và xóa các chủ đề không sử dụng.

1. Cập nhật phiên bản WordPress thường xuyên

WordPress phát hành bản cập nhật phần mềm thường xuyên để cải thiện hiệu suất và bảo mật. Những cập nhật này cũng bảo vệ trang web của bạn khỏi các mối đe dọa trên mạng.

Cập nhật phiên bản WordPress của bạn là một trong những cách đơn giản nhất để cải thiện bảo mật WordPress. Tuy nhiên, gần 50% trang web WordPress đang chạy trên phiên bản WordPress cũ hơn, khiến chúng dễ bị tấn công hơn.

Để kiểm tra xem bạn có phiên bản WordPress mới nhất hay không, hãy đăng nhập vào khu vực quản trị WordPress của bạn và điều hướng đến Bảng điều khiển → Cập nhật trên bảng menu bên trái. Nếu thông báo cho thấy phiên bản của bạn chưa cập nhật, chúng tôi khuyên bạn nên cập nhật phiên bản đó càng sớm càng tốt.

Hãy theo dõi ngày phát hành bản cập nhật trong tương lai để đảm bảo trang web của bạn không chạy phiên bản WordPress lỗi thời.

Chúng tôi cũng khuyên bạn nên cập nhật các chủ đề và plugin được cài đặt trên trang WordPress của bạn . Các chủ đề và plugin lỗi thời có thể xung đột với phần mềm cốt lõi WordPress mới được cập nhật, gây ra lỗi và dễ bị đe dọa về bảo mật.

Hãy làm theo các bước sau để loại bỏ các chủ đề và plugin lỗi thời:

1. Điều hướng đến bảng quản trị WordPress của bạn và đi tới Bảng điều khiển → Cập nhật.
2. Cuộn xuống phần Plugin và Chủ đề , đồng thời kiểm tra danh sách các chủ đề và plugin sẵn sàng để cập nhật. Lưu ý rằng chúng có thể được cập nhật tất cả cùng một lúc hoặc riêng biệt.
3. Nhấp vào Cập nhật plugin.

Lưu ý: Việc bật cập nhật tự động sẽ giúp giảm bớt khối lượng công việc của bạn nhưng nó có thể làm hỏng trang web của bạn do không tương thích với các plugin hoặc chủ đề cũ hơn. Nếu bạn bật tùy chọn này, hãy đảm bảo rằng trang web của bạn được sao lưu thường xuyên để bạn có thể restore dữ liệu về phiên bản trước trong trường hợp xảy ra lỗi.

2. Sử dụng thông tin xác thực đăng nhập của quản trị viên WP an toàn

Một trong những lỗi phổ biến nhất mà người dùng mắc phải là sử dụng tên người dùng dễ đoán, chẳng hạn như “test”, “admin” hoặc “administrator”. Điều này khiến trang web của bạn có nguy cơ bị tấn công brute force cao hơn. Hơn nữa, hacker cũng sử dụng kiểu tấn công này để nhắm mục tiêu vào các trang WordPress không có mật khẩu mạnh.

Do đó, chúng tôi khuyên bạn nên tạo tên người dùng và mật khẩu duy nhất và phức tạp hơn.

Ngoài ra, hãy làm theo các bước sau để tạo tài khoản quản trị viên WordPress mới với tên người dùng mới:

1. Từ Bảng điều khiển WordPress của bạn, điều hướng đến Thành viên → Thêm mới.
2. Tạo một người dùng mới và gán vai trò Quản trị viên cho người đó . Thêm mật khẩu và nhấn nút Thêm người dùng mới sau khi hoàn tất.

Mật khẩu càng dài – càng an toàn. Tuy nhiên, mật khẩu mạnh không nhất thiết phải dài và phức tạp – hãy sử dụng các ký hiệu và số đặc biệt thay vì các chữ cái quen thuộc. Ví dụ: 57#gDn@.! thay vì Vietnam! dễ nhớ và khó bẻ khóa hơn. Ngoài ra, hãy sử dụng mẫu từ đơn thay vì các từ thực tế, như vhthdnepq. Ngoài ra, hãy trộn cả hai thứ này để tạo mật khẩu mạnh hơn.

Nếu bạn cần trợ giúp tạo mật khẩu mạnh, hãy sử dụng các công cụ trực tuyến như LastPass và 1Password . Bạn cũng có thể sử dụng dịch vụ quản lý mật khẩu của họ để lưu trữ mật khẩu mạnh một cách an toàn. Bằng cách đó, bạn không cần phải ghi nhớ chúng.

Sau khi tạo tên người dùng quản trị viên WordPress mới, bạn sẽ cần xóa tên người dùng quản trị viên cũ của mình. Dưới đây là các bước để làm như vậy:

1. Đăng nhập bằng thông tin đăng nhập người dùng WordPress mới tạo của bạn.
2. Điều hướng đến Thành viên → Tất cả người dùng.
3. Chọn tài khoản quản trị cũ mà bạn muốn xóa. Thay đổi trình đơn thả xuống Hành động hàng loạt thành Xóa và nhấp vào Áp dụng.

Để giữ an toàn cho trang web của bạn, điều quan trọng là phải kiểm tra mạng trước khi đăng nhập. Nếu bạn vô tình kết nối với Hotspot Honeypot, một mạng do tin tặc điều hành, bạn có nguy cơ bị rò rỉ thông tin đăng nhập cho nhà điều hành.

Ngay cả các mạng công cộng như WiFi của thư viện trường học cũng có thể không an toàn như vẻ ngoài của nó. Tin tặc có thể chặn kết nối của bạn và đánh cắp dữ liệu không được mã hóa, bao gồm cả thông tin đăng nhập.

Vì lý do đó, chúng tôi khuyên bạn nên sử dụng VPN khi kết nối với mạng công cộng. Nó cung cấp một lớp mã hóa cho kết nối, khiến việc chặn dữ liệu và bảo vệ các hoạt động trực tuyến của bạn trở nên khó khăn hơn.

3. Thiết lập Safelist và Blocklist cho trang quản trị

Việc bật tính năng khóa URL sẽ bảo vệ trang đăng nhập của bạn khỏi các địa chỉ IP trái phép và các cuộc tấn công vũ phu. Để làm được điều đó, bạn cần có dịch vụ tường lửa ứng dụng web (WAF) như Cloudflare hoặc Sucuri.

Sử dụng Cloudflare, có thể định cấu hình zone lockdown rule. Nó chỉ định các URL bạn muốn khóa và dải IP được phép truy cập các URL này. Bất kỳ ai ngoài phạm vi IP được chỉ định sẽ không thể truy cập chúng.

Sucuri có tính năng tương tự gọi là URL path blacklist. Đầu tiên bạn thêm URL trang đăng nhập vào danh sách chặn để không ai có thể truy cập được. Sau đó, bạn liệt kê các địa chỉ IP được ủy quyền an toàn để truy cập trang đăng nhập.

Ngoài ra, hãy hạn chế quyền truy cập vào trang đăng nhập của bạn bằng cách định cấu hình tệp .htaccess trên trang web của bạn . Điều hướng đến thư mục gốc của bạn để truy cập tập tin.

Việc thêm quy tắc này vào .htaccess của bạn sẽ giới hạn quyền truy cập vào wp-login.php của bạn chỉ ở một IP. Do đó, những kẻ tấn công sẽ không thể truy cập trang đăng nhập của bạn từ các vị trí khác.

# Block IPs for login Apache 2.2
<files /wp-login.php>
order deny,allow
allow from MYIP
allow from MYIP2
deny from all
</files>
# Block IPS for login Apache 2.4
<Files "wp-login.php">
Require all denied
</Files>

Quy tắc này nên được đặt sau câu lệnh #BEGIN WordPress và #END WordPress , như hình bên dưới.

Quy tắc này áp dụng ngay cả khi bạn không có IP tĩnh vì bạn có thể hạn chế thông tin đăng nhập vào phạm vi chung của ISP.

Bạn cũng có thể sử dụng quy tắc này để hạn chế các URL được xác thực khác, chẳng hạn như /wp-admin.

Lưu ý rằng danh sách chặn chỉ có hiệu quả đối với các mối đe dọa đã biết. Tin tặc có thể thiết kế phần mềm độc hại đặc biệt để tránh bị phát hiện bởi các công cụ sử dụng hệ thống danh sách chặn. Mặc dù danh sách an toàn cung cấp khả năng bảo mật mạnh mẽ hơn nhưng việc triển khai cũng có thể phức tạp hơn, đặc biệt nếu bạn muốn bên thứ ba thực hiện việc đó – họ sẽ cần thông tin về tất cả các ứng dụng bạn sử dụng.

4. Sử dụng các chủ đề WordPress đáng tin cậy

Các Theme nulled WordPress là phiên bản trái phép của các chủ đề cao cấp ban đầu. Trong hầu hết các trường hợp, những chủ đề này được bán với giá thấp hơn để thu hút người dùng. Tuy nhiên, chúng thường có nhiều vấn đề về bảo mật.

Vì các theme nulled được phân phối bất hợp pháp nên người dùng của chúng không nhận được bất kỳ sự hỗ trợ nào từ nhà phát triển. Điều này có nghĩa là nếu trang web của bạn có bất kỳ vấn đề nào, bạn sẽ phải tìm ra cách khắc phục chúng và tự bảo mật trang web WordPress của mình.

Để tránh trở thành mục tiêu của hacker, chúng tôi khuyên bạn nên chọn chủ đề WordPress từ kho lưu trữ chính thức hoặc nhà phát triển đáng tin cậy. Ngoài ra, hãy kiểm tra các chủ đề của bên thứ ba trên các thị trường chủ đề chính thức như ThemeForest, nơi có hàng nghìn chủ đề cao cấp.

5. Cài đặt chứng chỉ SSL

Lớp cổng bảo mật (SSL) là giao thức truyền dữ liệu mã hóa dữ liệu trao đổi giữa trang web và khách truy cập, khiến kẻ tấn công khó lấy cắp thông tin quan trọng hơn.

Ngoài ra, chứng chỉ SSL còn thúc đẩy tối ưu hóa công cụ tìm kiếm (SEO) của trang WordPress , giúp trang web có được nhiều khách truy cập hơn.

Các trang web được cài đặt chứng chỉ SSL sẽ sử dụng HTTPS thay vì HTTP, do đó rất dễ nhận dạng chúng.Hầu hết các công ty cung cấp dịch vụ lưu trữ đều bao gồm SSL trong gói của mình.

Khi bạn đã cài đặt chứng chỉ SSL trên tài khoản lưu trữ của mình, hãy kích hoạt nó trên trang web WordPress của bạn.

Các plugin như SSL thực sự đơn giản hoặc SSL Insecure Content Fixer có thể xử lý các khía cạnh kỹ thuật và kích hoạt SSL chỉ bằng vài cú nhấp chuột. Phiên bản cao cấp của SSL thực sự đơn giản có thể kích hoạt các tiêu đề Bảo mật truyền tải nghiêm ngặt HTTP để thực thi việc sử dụng HTTPS khi truy cập trang web.

Sau khi hoàn tất, hãy thay đổi URL trang web của bạn từ HTTP sang HTTPS. Để làm như vậy, hãy điều hướng đến Cài đặt → Tổng quan và tìm trường Địa chỉ trang web (URL) để thay đổi URL của nó.

6. Xóa các plugin và chủ đề WordPress không sử dụng

Việc giữ các plugin và chủ đề không được sử dụng trên trang web có thể gây hại, đặc biệt nếu các plugin và chủ đề chưa được cập nhật. Các plugin và chủ đề lỗi thời làm tăng nguy cơ bị tấn công mạng vì tin tặc có thể sử dụng chúng để truy cập vào trang web của bạn.

Thực hiện theo các bước sau để xóa plugin WordPress không sử dụng:

1. Điều hướng đến Plugin → Plugin đã cài đặt .
2. Bạn sẽ thấy danh sách tất cả các plugin đã cài đặt. Nhấp vào Xóa dưới tên của plugin.

Lưu ý rằng nút xóa sẽ chỉ khả dụng sau khi tắt plugin.

Trong khi đó, đây là các bước để xóa một chủ đề không sử dụng:

1. Từ bảng điều khiển quản trị viên WordPress của bạn, đi tới Giao diện → Chủ đề .
2. Bấm vào chủ đề bạn muốn xóa.
3. Một cửa sổ bật lên sẽ xuất hiện, hiển thị chi tiết về chủ đề. Nhấp vào nút Xóa ở góc dưới bên phải.

Khi xóa plugin hoặc chủ đề WordPress phổ biến khỏi bảng điều khiển WordPress, bạn có thể không có tùy chọn sử dụng trình gỡ cài đặt tùy chỉnh, nơi bạn có thể chọn xóa hoàn toàn tất cả dữ liệu liên quan đến plugin hoặc chủ đề đó. Trong trường hợp này, bạn sẽ cần thực hiện việc đó thông qua ứng dụng khách FTP bằng cách truy cập cơ sở dữ liệu của mình và xóa các mục nhập plugin hoặc chủ đề theo cách thủ công.

Cách sử dụng plugin bảo mật WordPress

Phương pháp tiếp theo để cải thiện bảo mật WordPress là sử dụng plugin WordPress.

Đó là một cách thuận tiện để bảo vệ trang web của bạn, nhưng hãy nhớ không cài đặt tất cả các plugin này cùng một lúc mà không cân nhắc thêm vì quá nhiều plugin có thể làm chậm trang web của bạn.

Đầu tiên, hãy xác định nhu cầu của bạn để lựa chọn những plugin hiệu quả nhất cho website của mình.

1. Kích hoạt xác thực hai yếu tố cho WP-Admin

Kích hoạt xác thực hai yếu tố (2FA) để củng cố quá trình đăng nhập trên trang web WordPress của bạn. Phương thức xác thực này thêm lớp bảo mật WordPress thứ hai vào trang đăng nhập vì nó yêu cầu bạn nhập một mã duy nhất để hoàn tất quá trình đăng nhập.

Mã chỉ có sẵn cho bạn qua tin nhắn văn bản hoặc ứng dụng xác thực của bên thứ ba.

Để áp dụng 2FA trên trang web WordPress của bạn, hãy cài đặt plugin bảo mật đăng nhập như Wordfence Login Security. Ngoài ra, bạn sẽ cần cài đặt ứng dụng xác thực của bên thứ ba như Google Authenticator trên điện thoại di động của mình.

Sau khi bạn đã cài đặt plugin và ứng dụng xác thực, hãy làm theo các bước sau để bật xác thực hai yếu tố:

1. Chuyển đến trang plugin trên quản trị viên WordPress của bạn. Nếu bạn đang sử dụng Bảo mật đăng nhập Wordfence, hãy điều hướng đến menu Login Security trên bảng menu bên trái.
2. Mở tab Two-Factor Authentication.

3. Sử dụng ứng dụng trên điện thoại di động của bạn để quét mã QR hoặc nhập mã kích hoạt.
4. Nhập mã được tạo trên ứng dụng điện thoại di động của bạn vào trường có sẵn trong phần mã khôi phục.
5. Nhấp vào nút ACTIVATE để hoàn tất thiết lập.

Ngoài ra, hãy tải xuống mã khôi phục được cung cấp trong trường hợp bạn mất quyền truy cập vào thiết bị chứa ứng dụng xác thực.

2. Sao lưu WordPress thường xuyên

Thường xuyên tạo bản sao lưu trang web WordPress là một nhiệm vụ giảm thiểu quan trọng vì nó sẽ giúp bạn khôi phục trang web của mình sau các sự cố, chẳng hạn như tấn công mạng hoặc thiệt hại vật lý đối với trung tâm dữ liệu. Tệp sao lưu phải bao gồm toàn bộ tệp cài đặt WordPress của bạn, như cơ sở dữ liệu của bạn và các tệp cốt lõi của WordPress.

Với WordPress, việc sao lưu trang web có thể được thực hiện bằng cách sử dụng plugin như All-in-One WP Migration. Thực hiện theo các bước sau để tạo tệp sao lưu với plugin này:

1. Cài đặt và kích hoạt plugin.
2. Điều hướng đến menu All-in-One WP Migration ở bảng menu bên trái.
3. Chọn Backup.
4. Nhấp vào Creat Backup.
5. Khi bản sao lưu được tạo, nó sẽ xuất hiện trong danh sách trên trang Backup.
6. Tải xuống và lưu bản sao lưu vào bộ lưu trữ. Để làm như vậy, hãy đi tớiAll-in-One WP Migration → Export.
7. Nhấp vào menu thả xuống EXPORT TO, chọn File. Điều này sẽ tạo ra một bản sao lưu cho trang web của bạn.
8. Sau khi quá trình hoàn tất, hãy nhấp vào liên kết tải xuống và lưu bản sao lưu trang web của bạn vào bộ lưu trữ an toàn được chỉ định, tốt nhất không phải là một vị trí trên cùng máy chủ với trang web của bạn. Điều này là do các bản sao lưu được lưu trữ trên máy chủ web của bạn có thể truy cập công khai, khiến nó dễ bị tấn công.

Trong trường hợp xảy ra sự cố, bạn có thể khôi phục trang WordPress của mình bằng plugin All-in-One WP Migration.

3. Giới hạn số lần đăng nhập

WordPress cho phép người dùng thực hiện số lần đăng nhập không giới hạn trên trang web. Thật không may, tin tặc có thể đột nhập vào khu vực quản trị WordPress của bạn bằng cách sử dụng nhiều kết hợp mật khẩu khác nhau cho đến khi chúng tìm thấy đúng mật khẩu.

Vì vậy, bạn nên hạn chế các nỗ lực đăng nhập để ngăn chặn các cuộc tấn công như vậy vào trang web. Hạn chế các lần thử thất bại cũng giúp giám sát mọi hoạt động đáng ngờ trên trang web của bạn.

Hầu hết người dùng chỉ cần một lần thử hoặc một vài lần thử không thành công, vì vậy bạn nên nghi ngờ bất kỳ địa chỉ IP đáng ngờ nào đã đạt đến giới hạn lần thử.

Một cách để hạn chế số lần đăng nhập nhằm tăng cường bảo mật WordPress là sử dụng plugin. Có rất nhiều lựa chọn tuyệt vời có sẵn, chẳng hạn như:

• Limit Login Attempts Reloaded: định cấu hình số lần thử không thành công đối với các địa chỉ IP cụ thể, thêm người dùng vào danh sách an toàn hoặc chặn họ hoàn toàn và thông báo cho người dùng trang web về thời gian khóa còn lại.
• Loginizer: cung cấp các tính năng bảo mật đăng nhập như 2FA, reCAPTCHA và các câu hỏi thử thách đăng nhập.
• Limit Attempts by BestWebSoft: tự động chặn các địa chỉ IP đạt đến giới hạn số lần thử đăng nhập và thêm chúng vào danh sách từ chối.

4. Thay đổi URL trang đăng nhập WordPress

Để tiến thêm một bước nhằm bảo vệ trang web của bạn khỏi các cuộc tấn công vũ phu, hãy xem xét việc thay đổi URL của trang đăng nhập.

Tất cả các trang web WordPress đều có cùng một URL đăng nhập mặc định: yourdomain.com/wp-admin. Việc sử dụng URL đăng nhập mặc định giúp hacker dễ dàng nhắm mục tiêu vào trang đăng nhập của bạn.

Các plugin như WPS Hide Login và Change wp-admin Login cho phép cài đặt URL đăng nhập tùy chỉnh.

Nếu bạn sử dụng plugin WPS Hide Đăng nhập, đây là các bước để thay đổi URL trang đăng nhập WordPress của bạn:

1. Trên bảng điều khiển của bạn, đi tới Cài đặt → WPS Hide Login.
2. Điền vào trường URL đăng nhập bằng URL đăng nhập tùy chỉnh của bạn.
3. Nhấp vào nút Lưu thay đổi để hoàn thành.

5. Tự động đăng xuất người dùng nhàn rỗi

Nhiều người dùng quên đăng xuất khỏi trang web và để phiên đăng nhập của họ đang hoạt động. Do đó, cho phép người khác sử dụng cùng một thiết bị truy cập vào tài khoản người dùng của họ và có khả năng khai thác dữ liệu bí mật. Điều này đặc biệt áp dụng cho những người dùng sử dụng máy tính công cộng trong quán cà phê internet hoặc thư viện công cộng.

Do đó, điều quan trọng là phải định cấu hình trang web WordPress của bạn để tự động đăng xuất những người dùng không hoạt động. Hầu hết các trang web ngân hàng đều sử dụng kỹ thuật này để ngăn chặn những khách truy cập trái phép truy cập vào trang web của họ, đảm bảo rằng dữ liệu của khách hàng được an toàn.

Sử dụng plugin bảo mật WordPress như Inactive Logout là một trong những cách dễ nhất để tự động đăng xuất tài khoản người dùng nhàn rỗi. Ngoài việc chấm dứt người dùng nhàn rỗi, plugin này cũng có thể gửi tin nhắn tùy chỉnh để cảnh báo người dùng nhàn rỗi rằng phiên trang web của họ sẽ sớm kết thúc.

6. Giám sát hoạt động của người dùng

Xác định mọi hành động không mong muốn hoặc độc hại khiến trang web của bạn gặp nguy hiểm bằng cách theo dõi các hoạt động trong khu vực quản trị của bạn.

Chúng tôi khuyên dùng phương pháp này cho những người có nhiều người dùng hoặc tác giả truy cập trang web WordPress của họ. Đó là vì người dùng có thể thay đổi các cài đặt không nên như thay đổi chủ đề hoặc định cấu hình plugin.

Bằng cách theo dõi hoạt động của họ, bạn sẽ biết ai chịu trách nhiệm cho những thay đổi không mong muốn đó và liệu một người không được ủy quyền có vi phạm trang web WordPress của bạn hay không.

Cách dễ nhất để theo dõi hoạt động của người dùng là sử dụng plugin WordPress, chẳng hạn như:

• WP Activity Log: theo dõi các thay đổi trên nhiều khu vực trang web, bao gồm bài đăng, trang, chủ đề và plugin. Nó cũng ghi lại các tệp mới được thêm vào, các tệp đã xóa và sửa đổi bất kỳ tệp nào.
• Activity Log:giám sát các hoạt động khác nhau trên bảng quản trị WordPress của bạn và cho phép bạn đặt quy tắc cho thông báo qua email.
• Simple History: ngoài việc ghi nhật ký hoạt động trên quản trị viên WordPress, nó còn hỗ trợ nhiều plugin của bên thứ ba như Jetpack , WP Crontrol và Beaver Builder , ghi lại tất cả hoạt động liên quan đến chúng.

7. Kiểm tra phần mềm độc hại

Viện AV-TEST đăng ký hơn 450.000 phần mềm độc hại mới và các ứng dụng không mong muốn (PUA) mỗi ngày. Một số phần mềm độc hại thậm chí còn có tính chất đa hình , nghĩa là chúng có thể tự sửa đổi để tránh bị phát hiện về mặt bảo mật.

Do đó, điều quan trọng là phải thường xuyên quét trang web WordPress của bạn để tìm phần mềm độc hại vì những kẻ tấn công luôn phát triển các loại mối đe dọa mới.

May mắn thay, nhiều plugin quét phần mềm độc hại tuyệt vời của WordPress có thể kiểm tra phần mềm độc hại và cải thiện bảo mật WordPress.

Các chuyên gia của chúng tôi khuyên bạn nên cài đặt các plugin bảo mật này trên trang web của mình:

• Wordfence – một plugin bảo mật WordPress phổ biến với các bản cập nhật chữ ký phần mềm độc hại theo thời gian thực và thông báo cảnh báo cho biết liệu trang web khác có đưa trang web của bạn vào danh sách chặn vì hoạt động đáng ngờ hay không.
• BulletProof Security – giúp bảo mật trang web WordPress của bạn bằng tính năng đăng xuất phiên nhàn rỗi, các thư mục plugin ẩn không hiển thị trong phần plugin WordPress cũng như các công cụ sao lưu và khôi phục cơ sở dữ liệu.
• Sucuri Security – một trong những plugin bảo mật tốt nhất trên thị trường, cung cấp nhiều chứng chỉ SSL khác nhau, quét phần mềm độc hại từ xa và các tính năng hành động bảo mật sau hack.

7. Kiểm tra phần mềm độc hại

Viện AV-TEST đăng ký hơn 450.000 phần mềm độc hại mới và các ứng dụng không mong muốn (PUA) mỗi ngày. Một số phần mềm độc hại thậm chí còn có tính chất đa hình, nghĩa là chúng có thể tự sửa đổi để tránh bị phát hiện về mặt bảo mật.

Do đó, điều quan trọng là phải thường xuyên quét trang web WordPress của bạn để tìm phần mềm độc hại vì những kẻ tấn công luôn phát triển các loại mối đe dọa mới.

May mắn thay, nhiều plugin quét phần mềm độc hại của WordPress có thể kiểm tra phần mềm độc hại và cải thiện bảo mật WordPress.

Chúng tôi khuyên bạn nên cài đặt các plugin bảo mật này trên trang web của mình:

• Wordfence: một plugin bảo mật WordPress phổ biến với các bản cập nhật chữ ký phần mềm độc hại theo thời gian thực và thông báo cảnh báo cho biết liệu trang web khác có đưa trang web của bạn vào danh sách chặn vì hoạt động đáng ngờ hay không.
• BulletProof Security: giúp bảo mật trang web WordPress của bạn bằng tính năng đăng xuất phiên nhàn rỗi, các thư mục plugin ẩn không hiển thị trong phần plugin WordPress cũng như các công cụ sao lưu và khôi phục cơ sở dữ liệu.
• Sucuri Security: một trong những plugin bảo mật tốt nhất trên thị trường, cung cấp nhiều chứng chỉ SSL khác nhau, quét phần mềm độc hại từ xa và các tính năng hành động bảo mật sau hack.

Nếu trang web WordPress của bạn bị nhiễm phần mềm độc hại, hãy làm theo những điểm chính sau:
1. Đảm bảo luôn có thể truy cập khu vực wp-admin của bạn, thực hiện quét và loại bỏ phần mềm độc hại.
2. Đảm bảo rằng plugin, chủ đề và phần mềm cốt lõi WordPress của bạn được cập nhật.
3. Kiểm tra các lỗ hổng trong cơ sở dữ liệu của bạn để xem liệu plugin hoặc chủ đề của bạn có bị liệt vào danh sách rủi ro hay không.

Cách bảo mật WordPress mà không cần sử dụng plugin

Cũng có thể tăng cường bảo mật trang web của bạn mà không cần sử dụng plugin. Hầu hết các tác vụ này sẽ liên quan đến việc điều chỉnh mã trang web của bạn, nhưng không cần phải lo lắng – chúng tôi sẽ hướng dẫn bạn cách thực hiện từng bước.

1. Tắt báo cáo lỗi PHP

Báo cáo lỗi PHP hiển thị thông tin đầy đủ về đường dẫn và cấu trúc tệp trên trang web của bạn, khiến đây trở thành một tính năng tuyệt vời để theo dõi các tập lệnh PHP trên trang web của bạn.

Tuy nhiên, việc hiển thị các lỗ hổng trang web của bạn trên phần phụ trợ là một lỗ hổng bảo mật nghiêm trọng của WordPress.

Ví dụ: nếu nó hiển thị một plugin cụ thể có thông báo lỗi xuất hiện, tội phạm mạng có thể sử dụng các lỗ hổng của plugin đó.

Hãy làm theo các bước sau để sửa đổi tệp PHP của bạn:

1. Mở tệp wp-config.php trên trang web của bạn bằng ứng dụng khách FTP như FileZilla hoặc File Manager của nhà cung cấp dịch vụ lưu trữ của bạn .

2. Thêm đoạn mã sau vào tệp. Đảm bảo thêm nó trước bất kỳ lệnh PHP nào khác.

error_reporting(0);
@ini_set(‘display_errors’, 0);

3. Nhấp vào Save để áp dụng thay đổi.

2. Di chuyển sang máy chủ web an toàn hơn

Nhiều biện pháp bảo mật WordPress sẽ không thành vấn đề nếu môi trường lưu trữ dễ bị tấn công mạng. Nhà cung cấp dịch vụ lưu trữ của bạn phải đảm bảo một không gian an toàn cho tất cả dữ liệu và tệp trang web của bạn trên máy chủ của họ, vì vậy điều quan trọng là phải chọn một không gian có mức độ bảo mật tuyệt vời.

Nếu bạn cho rằng công ty lưu trữ web hiện tại của mình không đủ an toàn, đã đến lúc di chuyển trang web WordPress của bạn sang nền tảng lưu trữ mới. Đây là những gì bạn cần cân nhắc khi tìm kiếm một máy chủ web an toàn :

• Loại lưu trữ web: loại lưu trữ chia sẻ và lưu trữ WordPress có xu hướng dễ bị tấn công mạng hơn các loại lưu trữ khác do chia sẻ tài nguyên. Chọn một máy chủ web cũng cung cấp dịch vụ VPS hoặc dịch vụ lưu trữ chuyên dụng để tách biệt tài nguyên của bạn.
• Bảo mật: nhà cung cấp dịch vụ lưu trữ tốt giám sát mạng của mình để phát hiện hoạt động đáng ngờ và cập nhật định kỳ phần mềm và phần cứng máy chủ. Họ cũng cần có bảo mật và bảo vệ máy chủ trước mọi loại tấn công mạng.
• Tính năng: bất kể loại lưu trữ nào, việc có các công cụ bảo mật và sao lưu tự động để ngăn chặn phần mềm độc hại là tính năng bắt buộc phải có để bảo vệ trang web WordPress của bạn. Trong trường hợp xấu nhất, bạn sẽ có thể sử dụng nó để khôi phục một trang web bị xâm nhập.
• Hỗ trợ: lựa chọn một công ty lưu trữ có đội ngũ hỗ trợ 24/7 với kiến ​​thức kỹ thuật xuất sắc là điều cần thiết. Họ sẽ giúp bạn bảo vệ dữ liệu của mình và giải quyết mọi vấn đề về kỹ thuật và an toàn có thể xảy ra.

3. Tắt chỉnh sửa tập tin

WordPress có trình chỉnh sửa tệp tích hợp giúp chỉnh sửa tệp WordPress PHP dễ dàng. Tuy nhiên, tính năng này có thể trở thành vấn đề nếu tin tặc giành quyền kiểm soát nó.

Vì lý do này, một số người dùng WordPress thích tắt tính năng này. Thêm dòng mã sau vào tệp wp-config.php để tắt tính năng chỉnh sửa tệp:

define( 'DISALLOW_FILE_EDIT', true );

Nếu bạn muốn bật lại tính năng này trên trang WordPress của mình, chỉ cần xóa mã trước đó khỏi wp-config.php bằng ứng dụng khách FTP hoặc Trình quản lý tệp của nhà cung cấp dịch vụ lưu trữ của bạn.

4. Hạn chế quyền truy cập bằng tệp .htaccess

Tệp .htaccess đảm bảo rằng các liên kết WordPress hoạt động bình thường. Nếu không có tệp này khai báo các quy tắc chính xác, bạn sẽ gặp nhiều lỗi 404 Not Found trên trang web của mình.

Hơn nữa, .htaccess có thể chặn quyền truy cập từ các IP cụ thể, hạn chế quyền truy cập vào chỉ một IP và vô hiệu hóa việc thực thi PHP trên các thư mục cụ thể. Dưới đây chúng tôi sẽ chỉ cho bạn cách sử dụng .htaccess để tăng cường bảo mật WordPress của bạn.

Quan trọng! Luôn sao lưu tệp .htaccess hiện có của bạn trước khi thực hiện bất kỳ thay đổi nào đối với tệp đó. Điều này có thể giúp bạn khôi phục trang web của mình một cách dễ dàng nếu có sự cố xảy ra.

Vô hiệu hóa thực thi PHP trong các thư mục cụ thể

Tin tặc thường tải các tập lệnh cửa hậu lên thư mục Tải lên . Theo mặc định, thư mục này chỉ lưu trữ các tệp phương tiện đã tải lên, vì vậy nó không chứa bất kỳ tệp PHP nào.

Để bảo mật trang WordPress của bạn, hãy vô hiệu hóa việc thực thi PHP trong thư mục bằng cách tạo tệp .htaccess mới trong /wp-content/uploads/ với các quy tắc sau:

<Files *.php>
deny from all
</Files>

Bảo vệ tệp wp-config.php

Tệp wp-config.php trong thư mục gốc chứa các cài đặt cốt lõi của WordPress và chi tiết cơ sở dữ liệu MySQL. Vì vậy, tập tin thường là mục tiêu chính của hacker.

Bảo vệ tệp này và giữ an toàn cho WordPress bằng cách triển khai các quy tắc .htaccess sau:

<files wp-config.php>
order allow,deny
deny from all
</files>

Quan trọng! Trước khi tiếp tục, hãy đảm bảo sao lưu cơ sở dữ liệu MySQL của bạn.

Thay đổi tiền tố bảng

1. Từ bảng điều khiển cPanel của bạn, hãy điều hướng đến Trình quản lý tệp và mở tệp wp-config.php. Ngoài ra, hãy sử dụng ứng dụng khách FTP để truy cập tệp.

2. Tìm dòng code $table_prefix.

3. Thay thế tiền tố cơ sở dữ liệu WordPress mặc định wp_ bằng tiền tố mới. Sử dụng kết hợp các chữ cái và số để tạo tiền tố duy nhất cho trang web.

4. Nhấp vào Save.

5. Quay trở lại bảng điều khiển cPanel, đi tới phần Cơ sở dữ liệu và nhấp vào phpMyAdmin.  Sau đó, mở cơ sở dữ liệu của trang web bằng cách nhấp vào Enter phpMyAdmin.6. Nếu bạn có nhiều cơ sở dữ liệu, hãy tìm tên cơ sở dữ liệu trong tệp wp-config.php. Hãy tìm khối mã sau:

// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define( 'DB_NAME', 'MySQL Database' );

7. Cuộn xuống phía dưới và nhấp vào nút Checkall

8.Nhấp vào With selected: một menu sổ xuống nhấp chọnReplace table prefix

9. Nhập tiền tố hiện tại cùng với tiền tố mới và chọn Continue

Cập nhật giá trị tiền tố trong bảng

Tùy thuộc vào số lượng plugin WordPress được cài đặt trên trang web của bạn, bạn có thể cần cập nhật một số giá trị trong cơ sở dữ liệu theo cách thủ công. Thực hiện việc này bằng cách chạy các truy vấn SQL riêng biệt trên các bảng có khả năng có các giá trị với tiền tố wp_  chúng bao gồm các tùy chọn và bảng usermeta .

Sử dụng mã bên dưới để lọc tất cả các giá trị có chứa tiền tố sau:

SELECT * FROM `wp_1secure1_tablename` WHERE `field_name` LIKE '%wp_%'

wp_1secure1_tablename chứa tên bảng mà bạn muốn thực hiện truy vấn. Trong khi đó, field_name đại diện cho tên của trường/cột nơi các giá trị có tiền tố wp_ rất có thể xuất hiện.

Đây là cách thay đổi giá trị tiền tố theo cách thủ công:

1. Từ bảng điều khiển phpMyAdmin, điều hướng đến bảng có giá trị tiền tố mà bạn muốn cập nhật. Ví dụ: mở wp_1secure1_usermeta

2. Điều hướng đến tab SQL ở thanh menu trên cùng

3. Nhập mã ở trên vào trình soạn thảo truy vấn SQL để lọc các giá trị chứa wp_ và nhấp vào Go. Hãy đảm bảo sửa đổi thông tin theo tên bảng và trường thực tế của bạn

4. Kết quả lọc sẽ hiện ra. Nhấp vào nút Edit bên cạnh trường được nhắm mục tiêu.

5. Thay đổi giá trị tiền tố và nhấp vào Go. Thực hiện bước 4 và 5 cho tất cả các giá trị đã lọc

6. Lặp lại từ bước 1 cho các bảng còn lại trong cơ sở dữ liệu để cập nhật tất cả các giá trị bằng tiền tố wp_

6. Tắt XML-RPC

XML-RPC là một tính năng của WordPress để truy cập và xuất bản nội dung qua thiết bị di động, cho phép theo dõi và pingback cũng như sử dụng plugin Jetpack trên trang web WordPress của bạn.

Tuy nhiên, XML-RPC có một số điểm yếu mà tin tặc có thể khai thác. Tính năng này cho phép họ thực hiện nhiều lần đăng nhập mà không bị phần mềm bảo mật phát hiện, khiến trang web của bạn dễ bị tấn công vũ phu.

Tin tặc cũng có thể lợi dụng chức năng pingback XML-RPC để thực hiện các cuộc tấn công DDoS. Nó cho phép kẻ tấn công gửi pingback tới hàng nghìn trang web cùng một lúc, điều này có thể làm sập các trang web được nhắm mục tiêu.

Để xác định xem XML-RPC có được bật hay không, hãy chạy trang web của bạn thông qua dịch vụ xác thực XML-RPC và xem liệu bạn có nhận được thông báo thành công hay không. Điều này có nghĩa là hàm XML-RPC đang chạy.

Bạn có thể tắt chức năng XML-RPC bằng cách sử dụng plugin hoặc theo cách thủ công.

Vô hiệu hóa XML-RPC bằng plugin

Sử dụng plugin là cách nhanh hơn và đơn giản hơn để chặn tính năng XML-RPC trên trang web của bạn. Chúng tôi khuyên bạn nên sử dụng plugin Disable XML-RPC Pingback. Nó sẽ tự động tắt một số chức năng XML-RPC, ngăn chặn tin tặc thực hiện các cuộc tấn công bằng cách sử dụng lỗ hổng bảo mật WordPress này.

Vô hiệu hóa XML-RPC theo cách thủ công

Một cách khác để dừng tất cả các yêu cầu XML-RPC đến là thực hiện thủ công. Xác định vị trí tệp .htaccess trong thư mục gốc của bạn và dán đoạn mã sau:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 000.00.000.000
</Files>

Để cho phép một IP cụ thể truy cập vào XML-RPC, hãy thay thế 000.00.000.000 bằng địa chỉ IP đó hoặc xóa hoàn toàn dòng code.

7. Ẩn phiên bản WordPress

Hacker có thể xâm nhập vào trang web của bạn dễ dàng hơn nếu chúng biết bạn đang chạy phiên bản WordPress nào. Họ có thể sử dụng lỗ hổng của phiên bản đó để tấn công trang web của bạn, đặc biệt nếu đó là phiên bản WordPress cũ hơn.

May mắn thay, bạn có thể ẩn thông tin khỏi trang web của mình bằng Trình chỉnh sửa chủ đề WordPress. Thực hiện theo các bước để làm như vậy:

1. Từ bảng điều khiển WordPress của bạn, điều hướng đến Giao diện → File Theme Editor.

2. Chọn chủ đề hiện tại của bạn và chọn tệp tin functions.php.

3. Để xóa số phiên bản khỏi tiêu đề và nguồn cấp dữ liệu RSS, hãy dán đoạn mã sau vào tệp tin functions.php:

function vntips_remove_version() {
return '';
} add_filter('the_generator', 'vntips_remove_version');

4. Thẻ meta trình tạo WordPress cũng hiển thị số phiên bản WordPress. Thêm dòng này để thoát khỏi nó:

Remove_action ( 'wp_head' , 'wp_generator' ) ;

5. Nhấp vào Cập nhật tập tin để lưu các thay đổi.

8. Chặn liên kết nóng

Liên kết nóng là thuật ngữ được sử dụng khi ai đó copy nội dung trang web của bạn, thường là hình ảnh lên trang web của họ. Mỗi khi mọi người truy cập một trang web có liên kết nóng đến nội dung của bạn, nó sẽ sử dụng hết tài nguyên máy chủ web của bạn, làm chậm trang web của bạn.

Để xem nội dung của bạn có được liên kết nóng hay không, hãy nhập truy vấn sau vào Google Hình ảnh, thay thế yourwebsite.com bằng tên miền của bạn :

inurl:yourwebsite.com -site:yourwebsite.com

Để ngăn chặn liên kết nóng, hãy sử dụng ứng dụng khách FTP, plugin bảo mật WordPress, CDN hoặc chỉnh sửa cài đặt của bảng điều khiển.

9. Quản lý quyền truy cập tệp

Ngăn chặn hacker truy cập vào tài khoản quản trị viên của bạn bằng cách xác định người dùng nào có thể đọc, viết hoặc thực thi các tệp hoặc thư mục WordPress của bạn.

Bạn có thể sử dụng Trình quản lý tệp, ứng dụng khách FTP của máy chủ web hoặc thông qua dòng lệnh để quản lý quyền truy cập tệp và thư mục .

Nói chung, các quyền được đặt theo mặc định, có thể khác nhau tùy thuộc vào các tệp hoặc thư mục khác nhau. Cụ thể đối với thư mục wp-admin và file wp-config, đảm bảo chỉ cho phép Owner có thể ghi.

Tại sao bạn cần bảo mật một trang web WordPress?

Nếu trang web WordPress của bạn bị hack, bạn có nguy cơ mất dữ liệu, tài sản và quan trọng là uy tín. Hơn nữa, những vấn đề bảo mật này có thể gây nguy hiểm cho dữ liệu cá nhân và thông tin thanh toán của khách hàng.

Chi phí thiệt hại do tội phạm mạng có thể lên tới 10,5 nghìn tỷ USD mỗi năm vào năm 2025. Chắc chắn bạn không muốn trở thành mục tiêu của hacker và góp phần vào điều đó.

Dựa trên Cơ sở dữ liệu lỗ hổng WPScan, đây là một số loại lỗ hổng bảo mật WordPress phổ biến nhất:

• Cross-site request forgery ( CSRF ) – buộc người dùng thực hiện các hành động không mong muốn trong một ứng dụng web đáng tin cậy.
• Tấn công từ chối dịch vụ ( DDoS ) – vô hiệu hóa các dịch vụ trực tuyến bằng cách làm tràn ngập chúng với các kết nối không mong muốn, do đó khiến một trang web không thể truy cập được.
• Bỏ qua xác thực – cho phép tin tặc truy cập vào tài nguyên trang web của bạn mà không cần xác minh tính xác thực của chúng.
• SQL injection ( SQLi ) – buộc hệ thống thực thi các truy vấn SQL độc hại và thao túng dữ liệu trong cơ sở dữ liệu.
• Cross-site scripting ( XSS ) – tiêm mã độc hại để biến trang web thành nơi vận chuyển phần mềm độc hại.
• Local file inclusion ( LFI ) – buộc trang web xử lý các tệp độc hại được đặt trên máy chủ web.

Tổng kết

Các cuộc tấn công mạng có thể xảy ra dưới nhiều hình thức khác nhau, từ thực thi các truy vấn SQL độc hại đến tấn công DDoS. Đặc biệt, các trang web WordPress là mục tiêu phổ biến của tin tặc do tính phổ biến của CMS. Vì vậy, chủ sở hữu trang web WordPress phải biết cách bảo mật trang web của mình.

Tuy nhiên, bảo mật một trang web WordPress không phải là nhiệm vụ một lần. Bạn cần liên tục đánh giá lại nó vì các cuộc tấn công mạng ngày càng phát triển. Rủi ro sẽ luôn tồn tại nhưng bạn có thể áp dụng các biện pháp bảo mật WordPress để giảm thiểu những rủi ro đó.

Chúng tôi hy vọng bài viết này đã giúp bạn hiểu tầm quan trọng của các biện pháp bảo mật WordPress và cách triển khai chúng. Vui lòng để lại nhận xét nếu bạn có bất kỳ câu hỏi nào hoặc có thêm mẹo bảo mật WordPress.