Thủ Thuật Kinh Nghiệm

Các phương pháp bảo mật WordPress

Các phương pháp bảo mật WordPress

Bảo mật website nói chung, hay bảo mật WordPress nói riêng là một vấn đề rất quan trọng mà bạn cần phải làm sớm, làm thường xuyên, song song với xây dựng nội dung và SEO cho website. Bởi rất có thể một ngày nào đó, bạn ngủ dậy và website với bao tâm huyết, công sức biến mất, bị hack, chèn mã độc… Cảm giác lúc đó thật tồi tệ mà bạn không muốn trải nghiệm. Vậy hãy thực hiện những phương pháp bảo mật WordPress ngay hôm nay để blog của bạn được an toàn hơn, tránh được những rủi ro trước những nguy cơ tấn công mạng luôn rình rập.

  • Luôn cập nhật bản mới nhất cho WordPress, Plugins và Themes
  • Sử dụng mật khẩu mạnh
  • Hạn chế số lần đăng nhập
  • Đổi địa chỉ trang quản trị
  • Phân quyền cho file/folder
  • Backup thường xuyên
  • Một số plugins bảo mật WordPress
    • Better WP Security
    • WordFence Security
    • Bulletproof Security
    • 6Scan Security

Luôn cập nhật bản mới nhất cho WordPress, Plugins và Themes

Thời gian vừa qua mình giúp một vài bạn tối ưu website WordPress và thấy hầu như các bạn đó không cập nhật phiên bản mới nhất cho WordPress hay những plugins đang dùng trong blog. Chính điều này gây nên những nguy cơ bảo mật cho website của bạn. Hãy truy cập vào trang quản trị website của bạn và xem có thông báo cập nhật nào hay không, nếu có, hãy đừng ngại giành một vài phút update WordPress, Plugins hay Theme, bởi phiên bản mới được đưa ra nhằm fix những lỗi (trong đó có lỗi bảo mật), nâng cấp tính năng, hiệu suất…. Bạn cũng đặc biệt chú ý, không dùng những plugin – themes dạng null được chia sẻ rộng rãi trên mạng, , bởi rất có thể chúng đã được chèn mã độc (mình đã gặp 1 trường hợp của 1 người bạn như thế). Nếu có thể, hãy mua những plugin – themes mình ưa thích hoặc thay thế bằng những bản free có chức năng tương tự.

Sử dụng mật khẩu mạnh

Theo thống kê thì rất nhiều người sử dụng những mật khẩu kiểu 123456, password hay lấy ngày sinh, ngày kỷ niệm làm mật khẩu. Thêm nữa, có nhiều người lưu hết mật khẩu vào 1 file TXT, lưu vào email…(mình đã gặp trường hợp này trong số bạn bè). Hay có người dùng một mật khẩu cho tất cả các tài khoản. Bạn có nằm trong số những trường hợp kia không? http://www.ngoctu.net/wordpress/themes/tao-genesis-child-theme-voi-starter-theme-mien-phi.htmlĐiều này cực kỳ nguy hiểm, bởi hacker có thể phá vỡ những mật khẩu đơn giản rất nhanh chóng và hậu quả thế nào thì bạn tự biết. Theo khuyến cáo từ nhiều chuyên gia bảo mật, hãy sử dụng mật khẩu đủ mạnh cho các tài khoản của bạn. Mật khẩu mạnh là mật khẩu có chiều dài từ 8 ký tự trở lên, bao gồm chữ cái viết HOA, viết thường, số, và các ký tự đặc biệt như @, $, % (… Và không nên dùng một mật khẩu cho tất cả các tài khoản. Nếu khó nhớ, hãy sử dụng trình quản lý mật khẩu như LastPass để lưu trữ và quản lý. Ngoài ra, bạn không nên đặt tài khoản quản trị là admin, bởi đây là mặc định của WordPress, ai cũng biết. Và nếu đã lỡ đặt như thế lúc cài đặt WordPress thì plugin Better WP Security sẽ giúp bạn đổi rất dễ dàng tại Security -> Dashboard. bao-mat-wordpress-doi-tai-khoan-admin Bạn chỉ cần click vào Click here to rename admin và nhập username quản trị mới tại trang kế tiếp, nhấn Change Admin Username để hoàn tất bao-mat-wordpress-doi-tai-khoan-admin-bang-better-wp-security

Hạn chế số lần đăng nhập

bảo mật wordpress - hạn chế số lần đăng nhập Để tránh hình thức tấn công Brute-Force Attack (tấn công bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ra mật khẩu đúng), ta nên hạn chế số lần đăng nhập sai vào hệ thống. Và WordPress có khá nhiều plugin giúp bạn thực hiện công việc này, tiêu biểu như Limit Login Attempts, Login Security Solutions, Login Lockdown hay Better WP Security. Những plugin này đều có chức năng khóa đăng nhập khi đăng nhập sai quá số lần quy định.

Đổi địa chỉ trang quản trị

WordPress mặc định đường dẫn tới trang quản trị là wp-admin, điều này giúp các hacker dễ dàng xác định địa chỉ đăng nhập sau khi họ có trong tay thông tin tài khoản của bạn, hay sử dụng những scripts tự động dò quét username/password rất tinh vi. Do vậy, bạn nên đổi đường dẫn mặc đinh đăng nhập vào trang quản trị cho WordPress nhờ plugin Better WP Security. Plugin này rất hữu ích, đơn giản, dễ sử dụng, gồm rất nhiều chức năng giúp website WordPress của bạn được bảo mật hơn. Sau khi cài đặt Better WP Security, bạn vào Security => Hide Backend và thay đổi URL cho trang quản trị, trang đăng nhập và đăng ký tài khoản. Bảo mật WordPress - thay đổi đường dẫn trang quản trị

Phân quyền cho file/folder

Theo mặc định, CHMOD của file là 664 và của folder là 775. Tuy nhiên, có một vài file quan trọng chúng ta cần lưu tâm. Ví dụ, file wp-config.php lưu giữ thông tin đăng nhập vào CSDL của website, và bạn cũng ít khi chỉnh sửa file này, nên hãy CHMOD là 444 cho file này, có nghĩa tất cả nhóm người dùng chỉ có quyền đọc mà không có quyền sửa đổi, kể cả chủ sở hữu. (hoặc hạn chế quyền chặt chẽ hơn là CHMOD 400 cho wp-config.php và CHMOD 404 cho .htaccess) Nếu muốn thay đổi gì trong wp-config.php, bạn CHMOD sang 664, và khi thay đổi xong, nhớ CHMOD lại nhé. Ngoài ra, file .htaccess bạn cũng nên CHMOD tương tự.

Backup thường xuyên

Backup thường xuyên không giúp hạn chế khả năng bị tấn công trên WordPress mà nó giúp ta giảm mức độ thiệt hại của những đợt tấn công xuống thấp nhất. Dù có bị tấn công, mất hết dữ liệu nhưng bạn đã backup trước đó, thì việc khôi phục site hoàn toàn nhanh chóng. Và WordPress có rất nhiều plugin từ miễn phí tới trả phí giúp bạn backup dữ liệu thường xuyên, tự động. Các plugin backup miễn phí tiêu biểu như:

  1. WordPress Backup To Dropbox – cái tên đã nói lên tất cả, plugin này sẽ giúp bạn backup tự động theo lịch cho website và gửi file backup lên dropbox.
  2. UpdraftPlus – Gồm cả backup và restore rất tiện lợi, hỗ trợ backup lên S3, Dropbox, Google Drive, FTP, SFTP, Email…
  3. XCloner – cũng tương tự như UpdraftPlus, hỗ trợ cả backup và restore website.

Nếu bạn có đủ kinh phí, nên sử dụng những plugin hay dịch vụ trả phí như BackupBuddy, VaultPress. Hoặc bạn có thể sử dụng chức năng backup trong cPanel của host đang dùng.

Một số plugins bảo mật WordPress

WordPress có rất nhiều plugin giúp bạn tăng cường bảo mật cho Website WordPress, và trong bài viết này mình cũng muốn nêu ra một vào plugins cũng như tính năng chính của chúng để bạn dễ dàng chọn lựa.

Better WP Security

Better WP Security là một plugin hoàn toàn miễn phí nhưng hết sức mạnh mẽ với khá nhiều chức năng giúp bảo mật WordPress như đổi username admin (đã đề cập ở trên), đổi ID tài khoản quản trị, sao lưu dữ liệu hàng ngày, hạn chế đăng nhập, ẩn backends… và còn nhiều tính năng khác. Hiện tại mình đang dùng plugin này để bảo mật cho blog và chưa gặp vấn đề nào cả. Bảo mật WordPress với Better WP Security Cách sử dụng plugin này cũng rất đơn giản, sau khi cài đặt các bạn vào Security -> Dashboard sẽ thấy những mục với màu sắc khác nhau, màu đỏ là cảnh báo cần phải fix ngay, màu cam thì mức độ thấp hơn nhưng cũng cần thay đổi. Dòng nào cảnh báo, bạn click vào đó và thay đổi theo hướng dẫn, được màu xanh lá là tốt nhất.

WordFence Security

Bảo mật WordPress với WordFence Security WordFence Security là một plugin hết sức mạnh mẽ không chỉ quét và dò tìm mã độc, hay các lỗi liên quan tới code trên website của bạn mà còn có chức năng thống kê truy cập theo IP, chặn theo IP rất tốt. Ngoài ra, còn nhiều tính năng bảo mật nâng cao nhưng bạn phải trả tiền với mức phí là 39$/năm. Một nhược điểm của WordFence Security là tiêu tốn rất nhiều tài nguyên hệ thống khi quét và dò tìm mã độc, thậm chí khiến site bạn bị treo. Với những host yếu thì không nên sử dụng plugin này.

Bulletproof Security

Bảo mật WordPress với BulletProof Security BulletProof Security giúp bạn website WordPress của bạn an toàn hơn trước những phương thức tấn công như XSS, RFI, CRLF, CSRF, chèn mã độc Base64, Code Injection, SQL Injection (phương thức tấn công cực kỳ nguy hiểm và rất phổ biến hiện nay)… Plugin này sẽ tự động tối ưu hóa cho website của bạn, hay bạn có thể tùy chỉnh theo ý mình nếu có đủ kiến thức về bảo mật.

6Scan Security

Bảo mật WordPress với 6Scan Security 6Scan Security sẽ quét toàn bộ website của bạn, dò tìm phát hiện các lỗi bảo mật và thông báo cho bạn theo từng cấp độ từ khẩn cấp tới bình thường. Plugin này còn chỉ rõ lỗ hổng đó nằm ở file nào, cách sửa ra sao. Với phiên bản miễn phí, bạn chỉ có thể fix những lỗi này bằng tay, còn nếu muốn sử dụng chức năng Auto Fix (hay nhiều chức năng nâng cao khác) của 6Scan Security, bạn phải trả tiền.

Lời kết

Trên đây là một số phương pháp bảo mật đơn giản, kèm với một vài plugin mạnh mẽ giúp blog, website WordPress của bạn an toàn hơn trước những nguy cơ tấn công luôn rình rập trên mạng. Hi vọng qua bài viết này, bạn có thêm kiến thức trong công tác bảo mật Website, cũng như có cái nhìn, giành sự quan tâm đúng đắn cho việc bảo mật WordPress. Nếu bạn chưa áp dụng phương thức bảo mật nào cho website của mình, hãy làm ngay hôm nay, làm thường xuyên và một điều quan trọng nhất mình muốn nói, hãy backup dữ liệu thường xuyên, backup trước khi thực hiện bất cứ thay đổi nào, dù là cài đặt theme mới, plugin lạ. Và đừng quên comment nếu các bạn có gì vướng mắc nhé. Mình sẽ giải đáp và giúp đỡ các bạn trong phạm vi hiểu biết. Chúc các bạn thành công!

Leave a Reply

Your email address will not be published.