Làm thế nào để bảo mật WordPress ?
Sau khi hoàn hiện một website WordPress. Ngoài việc tiến hành tối ưu hóa chuẩn SEO cho bộ máy tìm kiếm và lên kế hoạch phát triển nội dung content. Thì các bạn còn một khâu nữa rất quan trọng trong quá trình tồn tại của một website WordPress, đó là bảo mật website WordPress.
Hãy thử hình dung rằng vào một ngày nào đó website WordPress của bạn xuất hiện thông báo với màn hình tối thui dạng như: Alo Alo Die by H.A.C.K … vv. Chúng ta phải làm sao, chẳng nhẽ công sức xây dựng website WordPress bấy lâu nay bỏ bể?
Khi làm website WordPress thì ai cũng phải trải qua các giai đoạn này để củng cố kinh nghiệm. Nhưng điều đó không có nghĩa là cứ để như vậy cho website bị tấn công. Mà bạn có thể bảo mật website WordPress tốt hơn để hạn chế tối đa cơ hội tấn công.
Về các cách bảo mật website WordPress chia sẻ bên dưới là một trong rất nhiều cách bảo mật WordPress toàn tập mới nhất năm 2020 dựa trên kinh nghiệm lập trình của nhantam cũng như kiến thức của rất nhiều lập trình viên WordPress đã chia sẻ trên internet.
Bạn cần biết?
WordPress là nền tảng quản trị nội dung website được sử dụng rộng rãi, phổ biến trong rất nhiều các CSM làm website & có cộng đồng sử dụng cũng như support lớn nhất thế giới. Nó chạy trên tới 4.5% của toàn bộ website trên thế giới Internet và đã được cài hơn 76.5 triệu lần. Thật không may là mặc dù phổ biến như vậy. Theo thông từ báo cáo hack của Securi, một công ty chuyên về bảo mật. WordPress là CMS dễ bị hack nhất trên thế giới. Nhưng đừng hốt hoảng nhé các bạn, nếu thực hiện đúng cách. Bạn sẽ gia cố lớp bảo mật WordPress lên tầm cao mới. Hãy theo dõi các ví dụ cũng như các hướng dẫn thực tế bên dưới. Đó là các biện pháp hữu hiệu nhất nhằm tăng cường bảo mật trong WordPress.
Hướng dẫn bảo mật WordPress toàn tập mới nhất 2020
I. Cập nhật wordpress thường xuyên
Bước đầu tiên và cũng là bước quan trọng nhất trong tất cả các bước bảo mật WordPress. Nếu muốn website sạch và không có malware bạn cần giữ cho WordPress luôn được cập nhật. Mặc dù chắc ai cũng biết điều này, nhưng thực tế chỉ có 22% bản cài WordPress chạy với phiên bản mới nhất trên thế giới. Tức là có tới 78% website không an toàn, chẳng trách WordPress bị nói là CMS dễ bị hack nhất!
WordPress có thiết lập tự động cập nhật từ bản 3.7, tuy nhiên, nó chỉ hiệu quả với các cập nhật bảo mật nhỏ. Vì vậy, các cập nhật chính nên được làm thủ công.
II. Thay đổi đường dẫn và thông tin đăng nhập
Trong quá trình cài đặt, WordPress thường tạo hai URL đăng nhập mặc định. Tôi chắc rằng bạn đã quen thuộc với ít nhất một trong hai đường dẫn này :
wp-admin.php
wp-login.php
Điều này xảy ra trong mỗi lần cài đặt WordPress. Do các URL đăng nhập mặc định này là một nguy cơ tiềm ẩn về bảo mật. Đáng ngạc nhiên là WordPress không cung cấp cho người dùng tùy chọn thay đổi URL đăng nhập, bạn có nghĩ vậy không?
Vâng, ngay cả khi WordPress không cho phép bạn thay đổi đường dẫn đăng nhập theo mặc định. Chúng ta vẫn có thể thay đổi đường dẫn đăng nhập. Nếu bạn đã từng tự hỏi làm thế nào để thay đổi các URL mặc định, hãy đọc tiếp, trong bài viết này tôi sẽ hướng dẫn bạn
Hãy dùng những Plugin sau nhé các bạn:
III. Kích hoạt bảo mật 2 lớp
Cài đặt bảo mật 2 lớp cho WordPress với plugin Google Authenticator
Bước 1: Cài đặt plugin Google Authenticator theo 1 trong những cách mà mình đã nói trong bài hướng dẫn cài đặt plugin cho WordPress.
Bước 2: Sau khi cài đặt xong bạn truy cập menu Thành viên -> Hồ sơ của bạn và kéo xuống phần Google Authenticator Settings
Ở đây bạn sẽ có các mục cài đặt như sau:
- Active: Tích vào để kích hoạt bảo mật 2 lớp với plugin Google Authenticator
- Relaxed mode: Tích vào để thay đổi thời gian mã có hiệu lực. Phần này theo mình nên bỏ trống
- Description: Nhập vào mô tả để bạn biết mã nào dành cho web của bạn trên ứng dụng Google Authenticator trên điện thoại.
- Secret: Bạn có thể lấy mã secret để nhập thủ công trên ứng dụng hoặc click vào Show/Hide QR code để hiện mã QR code để quét bằng camera cho nhanh.
- Enable App password: Kích hoạt mật khẩu cho ứng dụng. Ở đây mình bỏ qua còn bạn có thể tự tìm hiểu thêm.
IV. Tắt báo cáo lỗi PHP Error
Báo cáo lỗi PHP error cần được bật nếu bạn đang lập trình website và muốn mọi thứ chạy trơn tru. Tuy nhiên, hiển thị lỗi cho tất cả mọi người xem là hoàn toàn không nên, đặc biệt là khi bạn đang cần bảo mật cho WordPress.
Bạn không cần phải là lập trình viên để làm việc này trên WordPress. Nhiều nhà cung cấp hosting như Hostinger cho phép tắt báo cáo lỗi trong trang quản trị. Nếu không có, chỉ cần thêm dòng sau vào file wp-config.php. Bạn có thể dùng FTP client hoặc Quản lý File trong control panel để sửa file wp-config.php.
error_reporting(0);
@ini_set(‘display_errors’, 0);Vậy là xong rồi đấy các bạn. Tiếp thôi nào :))
V. Không dùng WordPress Themes null
Hãy nhớ – “Phô mát miễn phí ở trong bẫy chuột”. Chúng ta cũng có thể áp dụng câu nói đó cho nulled WordPress themes và plugins.
Có hàng ngàn nulled plugins và themes trôi nổi trên Internet. Người dùng có thể download chúng tại một số trang Warez hoặc Torrent site miễn phí. Nhưng họ không biết rằng hầu hết trong số chúng đều chứa mã độc, thậm chí trớ trêu thay là chúng nằm trong cả những plugin bảo mật WordPress, nhẹ hơn là SEO links của hacker mũ đen sẽ khiến website của bạn không bao giờ lên top nỗi. Nếu cài những bản này lên hosting, tức là website WordPress của bạn đang hoàn toàn không an toàn, và đang phơi nhiễm trước những lỗ hổng mà hacker đã tạo ra từ bên trong.
Ngừng dùng nulled plugins và themes ngay hôm nay là một trong các cách tốt nhất để bảo mật website WordPress. Nó không những vi phạm bản quyền mà còn ảnh hướng lớn đến tính bảo mật WordPress. Bạn có thể phải thanh toán nhiều tiền hơn cho lập trình viên để dọn dẹp website của bạn so với việc bỏ tiền ra mua theme hay plugin cần thiết.
VI. Quét WordPress để loại bỏ malware độc hại
Hackers thường dùng các lỗ hổng của themes hoặc plugin để cài mã độc lên WordPress. Vì vậy, việc quét blog của bạn thường xuyên là rất quan trọng. Có rất nhiều plugin bảo mật WordPress tốt hiện nay. WordFence nổi bật nhất. Nó cho phép scan thủ công và tư động với nhiều thiết lập khác nhau. Bạn có thểm thậm chí restore files được chỉnh sửa và đã nhiễm mã độc với chỉ một vài cú click chuột. MIễn phí và mã nguồn mở, thực tế chỉ vậy thôi đã đủ để bạn cài ngay rồi phải không? Còn chờ gì nữa.
Một số plugin bảo mật WordPress tốt khác:
- BulletProof Security – không giống WordFence, BulletProof không quét các files của bạn, mà chỉ cung cấp firewall, bảo mật database, và tương tự. Ưu điểm đặc biệt nhất là nó có thể được cấu hình và cài đặt trong vài cú click.
- Sucuri Security – plugin bảo mật WordPress này sẽ bảo vệ bạn khỏi tấn công DOS, nó sẽ tạo một danh sách đen, quét website của bạn để phát hiện malware và quản lý tường lửa. Nếu phát hiện, nó sẽ thông báo qua email, Google, Norton, McAfee – các blacklist của những bộ máy này sẽ được tích hợp trong plugin này..
VII. Tắt chức năng File Editing
Như bạn biết, WordPress đã xây dựng chỉnh sửa file bên trong nhằm cho chép chỉnh sửa file gốc WordPress. Mặc dù rất tiện lợi, nhưng nó cũng có thể gây hại. Nếu hacker có quyền sử dụng vào trong dashboard của bạn, điều đầu tiên hắn nghĩ tới là FIle Editors, nhiều người dùng WordPress tắt hoàn toàn chức năng này ngay từ khi cài để tăng tính bảo mật WordPress files. Nó có thể được tắt bằng cách sửa file wp-config.php thêm vào dòng code sau:
define( 'DISALLOW_FILE_EDIT', true );Đó là tất cả những gì bạn cần biết để tắt phần mềm chỉnh sửa file trong WordPress.
VIII. Tối ưu file .htaccess
.htaccess file được dùng để khiến các liên kết WordPress hoạt động. Không có các lệnh đúng trong .htaccess file ban sẽ gặp rất nhiều lỗi 404. Rất nhiều người không biết .htaccess có thể tăng tính bảo mật website WordPress.
Ví dụ: với .htaccess, bạn có chặn truy cập hoặc vô hiệu việc thực thi PHP trên một thư mục được chỉ định. Bên dưới là cách giúp bạn làm thế nào để dùng .htaccess để tăng tính bảo mật của WordPress.
1. Chặn truy cập tới trang quản trị WordPress
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,
allowdeny from
allallow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx
</LIMIT>Lưu ý: là bạn cần đổi XX.XX.XX.XXX tới địa chỉ IP của bạn
2. Tắt khả năng thực thi PHP trong thư mục được chỉ định
deny from all
Kẻ tấn công thích upload các scripts độc hại lên thư mục WordPress. Mặc định thư mục này được dùng để chứa file đa phương tiện. Vì vậy nó không nên được dùng để chứa file PHP. Bạn có thể dễ dàng vô hiệu chức năng thực thi PHP bằng cách tạo một file .htaccess trong thư mục /wp-content/uploads/ với các lệnh như trên nhé!
3. Bảo vệ WordPress file wp-config.php
wp-config.php file chứa các cài đặt WordPress cốt lõi và thông tin chi tiết MySQL databases. Vì vậy đây là một file WordPress quan trọng nhất, cũng là file chính mà hacker thường nhắm tới để tấn công WordPress. Tuy nhiên, bạn có thể dễ dàng bảo vệ file này bằng lệnh sau trong .htaccess:
order allow,deny
deny from all
Lời kết
Mặc dù WordPress là một CMS bị hack nhiều nhất trên thế giới. Tuy nhiên, không khó khăn để tăng tính bảo mật WordPress của nó. Trong bài hướng dẫn này chúng tôi đã cung cấp đủ những thủ thuật quan trọng nhất. Để bạn làm theo nhằm giúp website của bạn bảo mật hơn rất nhiều. Và hãy quên đi nỗi lo bị hack để tập trung xây dựng nội dung hơn.
Xem thêm: Dịch vụ cài đặt website WordPress miễn phí tại TP HCM
nhantam
Thiết kế web tại Panpic
