Chào bạn, lúc này tất cả chúng ta sẽ bàn về đề tài bảo mật website wordpress. Đây thật sự là 1 vấn đề luôn khiến Phú đau đầu mỗi khi nghĩ về nó. 

Khi bạn mới tạo blog với rất ít lưu lượng truy cập (lượt truy cập) thì vấn đề này chẳng là gì. Nhưng khi blog của các bạn đã nhiều lưu lượng truy cập hơn & khởi đầu có những đồng tiền trước tiên. Thì cũng là lúc sẽ có nhiều người dòm ngó hơn & cả hacker nữa. 

Chắc là bạn không mong muốn toàn bộ công sức của mình bỏ ra trong nhiều năm trời để viết blog lại đỗ sông đỗ biển đúng không nào. 

Do vậy, tất cả chúng ta cần giới hạn đến mức thấp nhất nguy cơ có thể xảy ra với blog của mình bằng cách dùng một số hướng dẫn bảo mật wordpress bên dưới nhé. 

3 Thành phần dễ bị hacked nhất wordpress 

Sẽ có rất là nhiều phương pháp để hack một website wordpress, không những thế sẽ có 3 thành phần mà hacker thường hướng tới nhất này là.

   1. Host – Dịch vụ lưu trữ dữ liệu website 

Sử dụng một dịch vụ host chất lượng thấp với hệ thống bảo mật không được tốt sẽ dễ bị tấn công hơn. 

   2. Cài theme wordpress không an toàn

Sử dụng theme không an toàn hoặc theme nulled có chứa mã độc (virus) mà bạn chẳng hề biết. Nếu bạn không giỏi về kỹ thuật thì chắc nịch sẽ chẳng thể biết theme mà bạn đang dùng có chứa mã độc hay không.

   3. Cài plugin wordpress không an toàn

Download & setup plugin Free không rõ nguồn gốc.

Vì vậy, chúng ta nên chọn mua & sử dụng theme & plugin của các nhà sản xuất uy tín. Có tên thương hiệu trên thị trường tránh bị dính virus mà bạn chẳng hề hay biết.  

Bảo mật website wordpress bằng Host

Host là nơi lưu toàn bộ files & bài viết website trên đó. Host là thành phần trọng yếu nhất cần được tất cả chúng ta bảo vệ trước tiên. Thế nên bạn cần chọn một dịch vụ phân phối host uy tín để sử dụng. 

Vậy khi sử dụng một host chất lượng thì bạn được gì: 

  • Nhà sản xuất dịch vụ host có nhiệm vụ phải bảo mật cho dịch vụ của họ trước tiên. Họ sẽ liên tục update công nghệ bảo mật mới cho host của họ.  
  • Sẽ luôn có 1 bản sao lưu (back-up) để bạn sử dụng khi cần 
  • Bạn sẽ được một đội bổ trợ kỹ thuật với chuyên môn cao để trợ giúp khắc phục những vấn đề trong tiến trình sử dụng. Điều này rất trọng yếu khi tất cả chúng ta mới làm quen với wordpress. 
  • Cuối cùng là cần phải có ai đó để tất cả chúng ta còn bắt đền khi gặp sự cố chứ.

Đọc qua: Top 3 dịch vụ host chất lượng hiện tại

Một số website hiện tại còn dùng dịch vụ VPS để setup website wordpress. Với VPS thì website sẽ bảo mật hơn nhưng bạn sẽ phải có chút tuyệt kỹ về làm chủ VPS. Còn với host thì việc làm chủ & setup website wordpress là hoàn toàn auto. 

Bảo mật website wordpress bằng Theme

   1. Sử dụng theme bản quyền

Điều trọng yếu trước tiên tất cả chúng ta cần cảnh báo khi dùng theme wordpress này là nên sử dụng theme bản quyền (bản trả phí) từ chính nhà sản xuất theme. Khi sử dụng theme bản quyền thì bạn sẽ an tâm hơn về vấn đề bảo mật cũng như việc được cập nhật thường xuyên khi có chức năng mới hay biến đổi từ wordpress. 

See also  Bật mí top 10 cách tăng lượt theo dõi trên Shopee hiệu quả, an toàn

Một cảnh báo nữa là chúng ta nên chọn những nhà sản xuất theme có tên thương hiệu với nhiều năm lớn mạnh theme wordpress. Vì họ có nhiều kinh nghiệm trong việc tối ưu theme của họ. 

Không nên dùng theme nulled vì bạn sẽ không biết theme này có chứa mã độc hoặc virus hay không. Chắc là bạn không mong muốn một ngày đẹp trời nào đó, website bỗng nhiên gặp vấn đề & bạn chẳng thể log in trên trang quản trị wordpress được nữa.

  • Đọc qua: Top Theme SEO chất lượng giành riêng cho wordpress

   2. Cập nhật theme thường xuyên

Việc thứ 2 bạn cần làm này là luôn cập nhật theme đang sử dụng lên phiên bản tiên tiến nhất. Thông thường khi wordpress có thay cải cách hoặc cập nhật lên phiên bản cao hơn thì bắt buộc theme của các bạn đang dùng cũng cần phải được cập nhật để tương thích với wordpress. 

Lấy chẳng hạn: Phú đang sử dụng theme shapeshift của Thrive Theme thì họ rất thường xuyên cập nhật thêm chức năng của họ. 

   3. Xóa theme không dùng đến

Khi bạn setup theme mới cho website wordpress thì theme bây giờ bạn đang dùng sẽ dư ra. WordPress sẽ không auto xóa theme này đi mà nó sẽ dùng nó như một theme đề phòng. 

Điều bất trắc là hacker có thể tấn công vào các theme này & phát tán virus. Thế nên, còn nếu như không thật sự thiết yếu thì chúng ta nên xóa toàn bộ theme này đi. 

Để xóa các theme không dùng đến bạn vào Appearance => Theme. Sau đó chọn theme cần xoá. 

   4. Tắt chức năng Edit theme & plugin 

Để an toàn hơn cho website wordpress, chúng ta nên tắt chức năng Edit theme & plugin của wordpress đi. Vì 2 thành phần này rất đơn giản bị tấn công & phát tán mã độc.

Phú đang dùng plugin A2 Optimized for wordpress để vô hiệu hoá chức năng này.

Sau khoảng thời gian setup plugin, bạn vào A2 Optimized & kéo xuống phần Lock Editing of Plugins and Themes from the WP Admin rồi chọn Enable nó lên. 

Bảo mật website wordpress bằng Plugin 

   1. Cài plugin bảo mật cho wordpress 

Plugin bảo mật trên website giống như software kiểm soát virus thuộc máy tính vậy. 

Hiện giờ có rất là nhiều plugin bảo mật trên thị trường. Ngoài ra nổi hàng đầu Phú thấy có Wordfence Security & Sucuri Security. 

Phú đang dùng plugin Sucuri Security cho blog của mình & thấy rất ổn định. Có một chức năng mình cực kỳ thích ở Sucuri Security này là khi có ai đó log in trên trang wordpress admin thì nó sẽ auto gửi nhắc nhở về tin nhắn hộp thư online cho mình biết. 

Hình bên dưới là chẳng hạn cho ai đó đã log in sai vào blog của mình 

email thông báo của sucuri security

Không những thế, nếu bạn đang dùng host của A2 host giống Phú thì mặc định bạn sẽ được setup plugin A2 Optimized for wordpress. Plugin này sẽ bổ sung thêm rất là nhiều chức năng bảo mật cho website wordpress như: 

  • Block Unauthorized XML-RPC Requests: khoá chức năng XML-RPC cho phép connect từ xa tới WordPress mà không qua các lớp đăng nhập thông thường
  • Deny Direct Access to Configuration Files and Phản hồi Form: Không cho căn thiệp vào file cấu hình & bình luận form
  • Lock Editing of Plugins and Themes from the WP Admin: khoá chức năng Edit file theme & plugin trên WP admin
See also  10 Mẹo Tăng Follow TikTok Dễ Làm Nhất 2020

   2. Cài Plugin biến đổi đường dẫn đăng nhập wordpress dashboard 

Mặc định wordpress sẽ dùng đường dẫn tenmiencuaban.com/admin để log in trên trang wordpress dashboard của website. 

Do vậy, để bảo mật hơn tất cả chúng ta cần biến đổi chữ admin thành một tên gọi khác khó phát hiện hơn. 

Để biến đổi đường backlinks URL đăng nhập wordpress bạn cần cài plugin Rename wp-login.php. Sau đó, vào phần setting của plugin & biến đổi đường dẫn có tên Admin thành một tên gọi khác theo ý của các bạn.

  • Khuyến cáo: nên dùng tên đường dẫn backlinks log in wordpress khó

   3. Cài Plugin hạn chế số lần đăng nhập sai

Thông thường hacker sẽ dùng bot để auto điền thông tin & log in trên wordpress dashboard của các bạn. Các con bot này sẽ auto nhập thông tin đăng nhập cho đến khi đúng mới thôi. 

Chính vì vậy để giảm bớt việc này, chúng ta nên cài plugin giới hạn số lần đăng nhập sai trên trang wordpress dashboard có tên Login Lockdown. Plugin này sẽ phát xuất hiện địa chỉ IP nào liên tục log in trên website của các bạn & vô hiệu hoá không cho nó đăng nhập nữa. Thời gian có thể từ 1 giờ đến vài giờ tuỳ theo bạn setup. 

Chúng ta nên dùng kết phù hợp với plugin bảo mật Sucuri Security để nó tiến hành gửi tin nhắn hộp thư online nhắc nhở về account gmail của các bạn mỗi khi có ai đó đăng nhập vào wordpress dashboard.   

   4. Cài plugin ẩn file wp-admin.php

Một phương thức nhỏ để bảo mật website wordpress hơn này là ẩn file wp-admin.php đi. 

Bạn cần cài plugin Easy hide login. Sau đó vào mục setting của plugin để biến đổi đường dẫn URL admin của wordpress theo ý bạn mong muốn. 

Bảo mật website wordpress bằng wordpress

   1. Luôn Cập nhật wordpress lên phiên bản tiên tiến nhất

WordPress luôn nỗ lực hoàn thành & bảo mật hơn nền móng của họ thông qua những bản cập nhật mới. Chính vì vậy, tất cả chúng ta cũng nên cảnh báo & thường xuyên cập nhật wordpress của mình lên phiên bản tiên tiến nhất. 

Hãy thường xuyên vào mục Dashboard => Cập nhật để xem wordpress của các bạn có bản update mới không nhé. 

update wordpress moi nhat

   2. Tắt chức năng Edit Files trong wordpress admin 

Một chức năng bảo mật đặc biệt quan trọng trên wordpress mà ít người dùng mới để mắt đến này là chức năng Edit files trong wordpress admin. 

Mặc định thì chức năng sẽ được kích hoạt để bạn có thể biến đổi file trên wordpress. Ngoài ra nó lại tiềm tàng rủi ro về bảo mật cho website của các bạn. Chính vì vậy, chúng ta nên khoá chức năng đó lại còn nếu như không dùng đến.

Mình thấy một số hướng dẫn tắt chức năng này đi bằng code nhưng mình lại không giỏi code nên mình dùng plugin. Phú đang dùng A2 Optimized for wordpress plugin để tắt chức năng edit files này đi.

Sau khoảng thời gian setup plugin bạn vào A2 Optimized setting, sau đó kéo xuống phần Deny Direct Access to Configuration Files and Phản hồi Form & chọn Enable. 

Deny direct access to configuration files and comment form

Sử dụng tên ID & password đăng nhập khó 

Một điều tối kỵ là sử dụng thông tin dễ dàng để log in trên trang wordpress admin của các bạn. 

See also  Cách tăng follow TikTok nhanh chóng và hiệu quả trong năm 2021

Tránh dùng các tên dễ đoán hay dãy số dễ nhớ như 123456 cho password wordpress của các bạn. 

Một password tốt bao gồm: chữ thường, chữ IN HOA, số & ký tự đặc biệt (@#$%…). Những số này không nên theo một quy luật rõ ràng nào hết. 

Backup dữ liệu thường xuyên 

Sao lưu dữ liệu là cách an toàn nhất để bạn bảo vệ website của các bạn. Bạn sẽ làm gì nếu website của các bạn bị hack hoặc chẳng thể đăng nhập. 

Bản sao lưu này sẽ giúp bạn khôi phục ngay tức thì website wordpress của mình trước thời điểm xảy ra sự cố. 

Đây thật sự là việc trọng yếu nhất bạn cần phải làm hàng tuần. 

Có 2 phương pháp để bạn back up dữ liệu website: 

  • Bằng cách thủ công: mình không khích lệ vì tốn khá nhiều thời gian nếu website của các bạn có nhiều dữ liệu.
  • Bằng Plugin của wordpress

Bạn cần cài 1 trong 2 plugin này: Backupbuddy hoặc Updraftplus 

Cả 2 plugin điều có chức năng backup auto cho website wordpress. Sau khoảng thời gian setup plugin, bạn có thể setup một lần để nó auto backup hằng ngày, tuần & gửi file về tin nhắn hộp thư online hoặc upload lên account Drive hay Dropbox.

Sử dụng chứng chỉ SSL cho đường dẫn website 

Hiện tại, chủ yếu website đều sử dụng chứng chỉ bảo mật SSL cho website của họ. 

Nếu bạn để mắt thì những website như vậy sẽ có địa chỉ là https thay vì http bình bình. Không những thế, trên đường dẫn URL sẽ có hình cái ổ khoá 

Đường dẫn url có chứng chỉ ssl

Sử dụng PHP phiên bản tiên tiến nhất 

Thông thường một phiên bản PHP sẽ được bổ trợ từ 2-3 năm. Hiện giờ, phiên bản PHP tiên tiến nhất là 7.4  

Một số host chất lượng không đảm bảo vẫn còn dùng các phiên bản PHP cũ lỗi thời với nhiều lỗ hổng bảo mật. Do vậy, để bảo mật website wordpress tốt hơn bạn cần cập nhật PHP lên phiên bản tiên tiến nhất. 

Để kiểm soát, bạn log in trên C-panel trên host của các bạn. Trong mục Phần mềm, bạn chọn Select PHP Version để xem phiên bản PHP mà host của các bạn đang sử dụng nhé. 

a2 hosting select php version

Sử dụng bảo mật 2 lớp 

Trong một nội dung trước đây, Phú có đề cập đến vấn đề bảo mật wordpress bằng cách nhập gift code từ vận dụng Authenticator của Google.

Cách hoạt động của nó là thông thường bạn chỉ cần nhập password một lần để đăng nhập vào wordpress dashboard. Nhưng khi cài chức năng này, wordpress sẽ yêu cầu bạn nhập thêm một gift code được phân phối từ vận dụng Authenticator của Google. Gift code chỉ sử dụng 1 lần duy nhất khi đăng nhập.

Đây thật sự là một chức năng rất trọng yếu để bảo mật website wordpress mà Phú khuyên chúng ta nên làm ngay cho website của mình.     

Bạn xem nội dung hướng dẫn sử dụng bảo mật 2 lớp đó ở giai đoạn này nhé

Lời kết 

Trên đây là những cách căn bản nhất để bảo mật website wordpress mà chúng ta nên thực hiện ngay với website của mình. 

Hãy giới hạn đến mức thấp nhất rủi ro bị tấn công từ bên ngoài. 

Mơ ước nội dung này giúp ích với bạn. Nếu bạn biết cách nào khác để bảo mật hơn hãy chia sẻ quan điểm của các bạn ở phần bình luận bên dưới nhé.