1900 0366         info@vdo.com.vn

Phương pháp bảo mật WordPress hiệu quả

WordPress đang tỏ ra là một hệ quản trị nội dung hiệu quả và được nhiều nhà phát triển web tin dùng bởi sự thân thiện của nó với người dùng cũng như sự tối ưu, hiệu quả trong quá trình SEO. Để giúp cho các webmaster có thêm kiến thức để vận hành website hiệu quả, tránh tình trạng mất mát dữ liệu (hack) không đáng có sau đây mình sẽ chia sẻ với bạn phương pháp bảo mật cho WordPress hiệu quả. Cùng đón xem và áp dụng với website của chính mình.

1. Ngăn chặn truy cập vào thư mục wp-admin

Đổi địa chỉ truy cập trang quản trị

Hầu hết các trang web bằng WordPress hiện nay vẫn để đường dẫn đăng nhập là domain/wp-admin. Bởi WordPress quá phổ biến trở thành ối tượng tấn công hàng đầu. Và một khi có thông tin đăng nhập thì việc xâm nhập và website là điều đơn giản, và hiện nay có rất nhiều Script hỗ trợ việc đăng nhập tự động theo một dữ liệu định sẵn thông qua địa chỉ phổ biến này.

Vì vậy, việc cần làm trước tiên sau quy trình thiết kế web là đổi địa chỉ truy cập trang quản trị website. Lời khuyên: bạn có thể sử dụng iThemes Security để tăng cường bảo vệ cho blog, WordPress. Có chỗ trong đó cho phép bạn sửa đổi đường dẫn và trang quản trị thành tên bất kỳ mà bạn muốn dựa vào địa chỉ có sẵn này.

Cách sửa như sau: Sau khi cài xong bạn vào phần Security -> Settings -> Hide Login Erea và sửa lại đường dẫn vào trang quản trị, trang đăng nhập và trang đăng kí theo ý bạn.

Đổi địa chỉ truy cập trang quản trị

Đổi địa chỉ truy cập trang quản trị

http://ithietkeweb.net/wp-content/uploads/2014/10/chinh-sua-duong-dan-trang-quan-tri-wp-admin
Chú ý: Sau khi thực hiện việc đổi đường dẫn truy nhập mà không vào được trang admin thì hãy CHMOD lại file .htaccess lại thành 777 và vào lại nhấn nút Svae Change một lần nữa sau đó vào CHMOD lại một lần nữa thành 644.

Chặn dò mật khẩu Brute Force Attack

Một phương thức tấn công vô cùng phổ hiến mà các Hacker sử dụng hiện nay là hằng ngày họ thu thập hàng trăm website sử dụng CMS WordPress mới. Sau đó tiến hành đăng nhập theo đường dẫn trang quản trị với user/password là admin/123456. Cách tấn công này được gọi là Brute Force Attack.

Vì vây, sẽ rất nguy hiểm nếu chức năng tự động đăng nhập sau một số lần đăng nhập thất bại. Bạn cần tắt ngay chức năng này trong trang quản trị bằng cách sử dụng ngay iThemes Security. Hoặc bạn có thể sử dụng Plugin Login Security Solutions.

Đặt mật khẩu(password) phức tạp và không đặt tên đăng nhập là admin

Một số webmaster quen sử dụng tên đăng nhập mặc định của wordpress là Admin. Đây là điều cực kỳ nguy hiểm, như trình bày ở trên, Hacker có thể scan dò mật khẩu bằng việc đăng nhập theo user là admin hoặc administrator. Vì vậy, khuyến khích không nên sử dụng tên đăng nhập dạng này. Bạn nên thay đổi lại tên đăng nhập bằng cách sử dụng chức năng đổi tên đăng nhập của iThemes Security.

Mật khẩu đăng nhập phải có độ dài mạnh, có chứa ký tự đặc biệt không liên quan tới thông tin cá nhân, thường xuyên thay đổi mật khẩu.

>> Xem thêm: Cách tạo phân trang tự động cho bài viết WordPress khi nội dung quá dài

2. Hosting

Hacker xâm nhập website, Blog WordPress của bạn đầu tiên qua việc lợi dụng kẽ hở các website khác cùng dùng chung một server. Khi một server bị ấn công thì bạn sẽ không thể biết Hacker sẽ tấn công vào hosting nào. Chính vì vậy bạn nên sử dụng hosting chất lượng và bảo mật tốt.

Một trong số những địa chỉ cung cấp hosting tốt nhất mà bạn nên sử dung đó là hosting của Interserver hoặc A2Hosting để nâng cao khả năng bảo mật cho website.

Nếu website blog của bạn có lượng traffic khủng con số cao thì lời khuyên là bạn nên thay thế việc sử dụng hosting bằng việc sử dụng Sever như vậy sẽ tối ưu bảo mật hơn và cũng có thêm nhều tài nguyên để sử dụng. Bởi Shared Hosting ngay cả A2Hosting không phải lúc nào cũng an toàn tốt nhất.

3. Tạo lớp bảo vệ mật khẩu cho trang quản trị

Bằng cách sử dụng chức năng Password Protect Directoris có trong CpanelX của các Hosting hiện nay để tạo thêm một lớp đăng nhập quản trị tăng thêm độ an toàn cho trang quản trị.

Sau khi đăng nhập vào CpanelX các bạn chọn chức năng Password Protect Directoris, tiếp chọn thư mục wp-admin và tạo tên đăng nhập cũng như password cho lớp đăng nhập.

 Tạo lớp bảo vệ mật khẩu cho trang quản trị

Tạo lớp bảo vệ mật khẩu cho trang quản trị

Sau đó nhấn chọn Add/modify authorized user. Tiếp tục gõ tên folder cần bảo vệ vào, ở đây là wp-admin sau đó tích vào ô Password Protect Directoris và nhấn Save để hoàn tất quá trình. Sau nay, mỗi khi đăng nhập vào trang quản trị bạn sẽ phải trải qua hai lần đăng nhập là đăng nhập lớp bảo vệ trước sau đó mới đăng nhập vào trang quản trị bình thường.
Tuy nhiên, một số Hosting có thể không hỗ trợ chức năng này bạn có thể sử dụng Plugin htaccess password protect dành cho WordPress.

4. Phân quyền cho file/thư mục trên hosting bằng lệnh CHMOD

File đầu tiên mà bạn nên bảo vệ đó là wp-config.php. Nếu như bạn ít sử dụng đến file này hãy đưa nó về chế độ chỉ đọc với bất kỳ đối tượng nào kể cả chủ sỡ hữu bằng cách CHMOD cho nó về giá trị 444. Nếu khi bạn muốn chỉnh sửa hãy đưa nó về giá trị 644, còn ở giá trị 444 bạn chỉ có thể đọc mà không thể chỉnh sửa. Các file còn lại bạn CHMOD cho nó với giá trị 644 và 755 cho cac folder.

Nếu như gặp khó khăn trong việc CHMOD thì lời khuyên là bạn có thể sử dụng Plugin File Permission & Size Check dành riêng cho WordPress, nó sẽ hỗ trợ bạn trong việc CHMOD, theo dõi các tập tin, thư mục trong trang quản trị WordPress.

5. Backup/ Sao lưu Cơ sở dữ liệu

Công việc này không giúp bạn chống lại khả năng thâm nhập tấn công của hacker mà nó giúp bạn giảm thiểu thiệt hại sau các đợt tấn công. Tức là mồ hôi công sức upload dữ liệu của bạn không trôi hết xuống sông xuống biển mà nó vẫn có thể vớt lại và sử dụng. Sau khi bị tấn công có thể dữ liệu của bạn sẽ bị mất hết, nhưng việc backup sao lưu dữ liệu thường xuyên có thể giúp bạn hồi phục lại website sau khi tiến hành can thiệp vào cơ sở dữ liệu.

WordPress có khá nhiều công cụ giúp bạn backup sao lưu cơ sở dữ liệu nhưng OSVN khuyên các bạn nên sử dụng Plugin WP Backup là plugin backup tốt và ổn định nhất hiện nay. Sử dụng WP Backup bạn có thể cài đặt chức năng tự động Backup dữ liệu website và gửi dữ liệu lên Google Drive.

6. Sử dụng một số Plugin bảo mật cho Website

Như đã trình bày ở trên về Plugin iTheme Security, Plugin này khá đa dạng chức năng hỗ trợ bảo mật tốt nên đây là Plugin đề xuất đầu để bảo mật WordPress không thể bỏ qua.

Sử dụng một số Plugin bảo mật cho Website

Sử dụng một số Plugin bảo mật cho Website

Plugin thứ hai đó là Bulletproof Security. Đây là Plugin sẽ hỗ trợ bạn ngăn ngừa và hạn chế các cuộc tấn công bằng các phương thức XSS, RFI, CRLF, CSRF, Base64, Code Injection và SQL Injection bằng cách nó sẽ tối ưu bảo mật cho các file và thư mục nhạy cảm. Sau khi cài đặt nó sẽ tự động tối ưu bảo mật giúp bạn, nhưng nếu có chút kiến thức về bảo mật bạn hãy tự customize cho riêng bạn.

Plugin cuối cùng mà VDO muốn đề cập đến đó là 6Scan Security. Nếu bạn đang lo lắng website của bạn đang có một mã độc nào đó, hãy tiến hành cài đặt Plugin này. Nó sẽ tự động quét toàn bộ mã nguồn website của bạn và loại bỏ những mã độc đó. Đặc biệt, 6Scan Security còn giúp vá lại một số lỗi bảo mật mà hacker có thể tấn công thông qua các lỗi đó.

7. Xóa Plugin không cần thiết hoặc ẩn Plugin

Hiện tượng sau khi cài một số Plugin không hoạt động có thể là do bị xung đột với Plugin đang hoạt động trên website. Quá nhiều Plugin không cần thiết cũng là một trong những nguyên nhân khiến cho website bạn bị tấn công. Bởi đôi khi có một số Plugin sẽ khai thác thông tin từ website của bạn. Hãy kiểm tra những Plugin không cần thiết và deactive những Plugin đó hoặc xóa bỏ nó khỏi trang quản trị. Hãy cân nhắc tìm hiểu kỹ càng trước khi cài một Plugin chứ không thể thấy nó là cài.

8. Cập nhật phiên bản WordPress/ Plugin mới nhất.

Nếu như bạn đang sử dụng phiên bản cũ của WordPress hãy tiến hành nâng cấp lên phiên bản gần như mới nhất. Trong trang quản trị luôn hiển thị dòng thông báo Update nếu như bạn đang sử dụng phiên bản cũ. Để tặng sự an toàn cho website WordPress hãy tiến hành nâng cấp tranh hacker sử dụng những kẻ hở bug để xâm nhập trái phép vào website của bạn. Ngoài ra, với Plugin cũng tương tự khi có phiên bản mới nhất hãy tiến hành nâng cấp mặc bộ áo mới hơn cho nó

Kết luận

Thiết kế website bằng wordpress đang được nhiều nhà phát triển web ưu tiên sử dụng nên việc bảo mật là điều cần thiết. Đó là những phương pháp mà chúng tôi muốn chia sẻ với bạn. Nhưng nếu bạn có những phương pháp khác tối ưu hơn hãy chia sẻ với chúng tôi để chúng ta cùng nghiên cứu và tham khảo.

Chúc các bạn thành công!

Hotline tư vấn miễn phí