Bảo vệ website WordPress bạn luôn an toàn

Sau khi hoàn hiện một blog WordPress, ngoài việc tiến hành tối ưu hóa công cụ tìm kiếm và lên kế hoạch phát triển nội dung, thì chúng ta còn một việc nữa rất quan trọng trong quá trình tồn tại của một website, đó là bảo mật website.

Khi làm website thì ai cũng phải trải qua các giai đoạn này để củng cố kinh nghiệm, nhưng điều đó không có nghĩa là cứ để như vậy cho website bị tấn công, mà bạn có thể bảo mật website tốt hơn để hạn chế tối đa cơ hội tấn công.

Sau đây là 13 cách cơ bản để bạn bảo vệ Website của mình.

1. Không nên sử dụng tài khoản tên ADMIN

Mặc định user đăng nhập WordPress sẽ là admin, nhưng bạn hãy thay đổi nó, vì để user admin rất dễ bị dò.

2. Sử dụng mật khẩu phức tạp

Bạn hãy hiểu đơn giản mật khẩu như ổ khoá nhà của bạn vậy. Bạn đặt quá đơn giản thì kẻ trộm vào nhà bạn rất dễ dàng. Chính vì thể bạn hãy đặt mật khẩu có độ phức tạp cao, để đảm bảo web luôn anh toàn.

Làm trong lĩnh vực này nhiều năm. Mình gặp thường xuyên và khá nhiều bạn đặt mật khẩu dạng ( 123456, 12345678, 123, 12345678a …) Và sau đó web bị hack hết dữ liệu, kẻ xấu cài mã độc vào và âm thầm phá hoại website của bạn.

Tốt hơn hết hãy đặt mật khẩu phức tạp bao gồm (Chữ Hoa + Chữ Thường + Số + Ký tự đặc biệt)

VD: O8u02t*tEcQ$, fK3$054eG@C^

• Tạo mật khẩu ngẫu nhiên tại đây

3. Cập nhật WordPress lên bản mới nhất

Là một webmaster (quản trị web) thì bạn hãy cập nhật lên bản mới nhất khi được WordPress thông báo. Các bản mới sẽ vá các lỗ hổng bảo mật ở bản cũ vả cải thiện tính năng. Do đó bạn cứ cập nhật lên mới nhất nhé.

Ở các bạn WordPress mới bạn có thể bật tự động cập nhật. Hoặc bạn thêm đoạn mã sau vào file wp-config.php để tự động cập nhật.

define('WP_AUTO_UPDATE_CORE', true);

4. Chọn nhà cung cấp Server Hosting uy tín

Việc chọn Hosting rất quan trọng, hosting giúp website vận hành tốt, và tất nhiên việc bảo mật phải đặt lên hàng đầu, vì đâu biết rằng Website bạn rất nhiều thông tin quan trọng.

Hiện tại ở Việt Nam có rất nhiều nhà cung cấp dịch vụ Server Hosting, rất khó để bạn lựa chọn và mình có sẵn một bài viết Top các nhà hosting tốt nhất năm 2022. Mời các bạn xem qua và lựa chọn

• TOP 10 hosting tốt nhất 2022

5. Phân quyền, bảo vệ file và thư mục

File .htaccess được dùng để cấu hình cho các liên kết WordPress được hoạt động. Không có các lệnh đúng trong .htaccess bạn sẽ gặp rất nhiều lỗi 404.

Rất nhiều người không biết .htaccess có thể tăng tính bảo mật website WordPress. Ví dụ, với .htaccess, bạn có chặn truy cập hoặc vô hiệu việc thực thi PHP trên một thư mục được chỉ định. Bên dưới là cách giúp bạn làm thế nào để dùng .htaccess để tăng tính bảo mật của WordPress.

• Chặn truy cập đến wp-admin

Đoạn mã bên dưới giúp bạn chặn truy cập vào WordPress Administrator và chỉ cho phép một số địa chỉ IPs được chỉ định ở mục allow:

Lưu ý: Thay xx.xx.xx.xx bằng IP mà bạn cho phép. Để xác định IP bạn có thể vào trang viewip.info để kiểm tra.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx
</LIMIT>

• Tắt khả năng thực thi PHP trong thư mục được chỉ định

Kẻ tấn công thích upload các scripts độc hại lên thư mục WordPress. Mặc định thư mục này được dùng để chứa file đa phương tiện. Vì vậy nó không nên được dùng để chứa file PHP. Bạn có thể dễ dàng vô hiệu chức năng thực thi PHP bằng cách tạo một file .htaccess trong thư mục /wp-content/uploads/ với các lệnh như sau:

<Files *.php>
deny from all
</Files>

• Bảo vệ WordPress file wp-config.php

wp-config.php file chứa các cài đặt WordPress cốt lõi và thông tin chi tiết MySQL databases. Vì vậy đây là một file WordPress quan trọng nhất, cũng là file chính mà hacker thường nhắm tới để tấn công WordPress. Tuy nhiên, bạn có thể dễ dàng bảo vệ file này bằng lệnh sau trong .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

6. Hạn chế và sử dụng Plugin

• Tuyệt đối không sử dụng Themes và Plugins nulled

Nếu bạn đang có ý định hoặc đã và đang sử dụng các bản nulled (crack) thì tốt hơn hết bạn hãy gở nó ra ngay nhé. Vì biết đâu các bản nulled này khi bạn cài vào sẽ được “khuyến mãi” thêm mã độc trong đó. Với web production thì chắc hẵn bạn không muốn điều này xảy ra.

• Xóa bớt Themes và Plugins không dùng tới hoặc đã lỗi thời

Dọn dẹp site WordPress của bạn và xóa những plugins hoặc themes không sử dụng cũng là một cách tốt để bảo mật cho WordPress. Hacker có thể quét những themes và plugins lỗi thời (kể cả plugin chính thức của WordPress) để truy cập vào trang Dashboard và upload phần mềm độc hại lên server của bạn. Bằng cách xóa plugins và themes bạn đã ngừng sử dụng (hoặc quên cập nhật) từ lâu, bạn đã giảm nguy cơ bị tấn công và giúp WordPress Site của bạn trở nên bảo mật hơn.

7. Thay đổi URL đăng nhập

Đường dẫn đăng nhập vào admin WordPress sẽ là https://my-domain/wp-admin. Tuy nhiên mình khuyên các bạn hãy thay đổi nó để tăng cương bảo mật hơn.

Bạn có thể thay đổi trong code, tuy nhiên nếu bạn không tự tin về code thì cách đơn giản là sử dụng Plugin để hỗ trợ việc này như iThemes Security hoặc WPS Hide Login

8. Tắt chức năng File Editing mặc định của WordPress

Như các bạn đã biết, WordPress mặc định đã cho phép chúng ta có thể chỉnh sửa file ở trong phần quản trị admin. Mặc dù rất tiện lợi, nhưng nó cũng là con dao 2 lưỡi gây hại nếu hacker đang tìm cách tấn công chúng ta.

Nếu hacker có quyền truy cập vào trong trang quản trị dashboard của bạn, điều đầu tiên hắn nghĩ tới sẽ là File Editors, nhiều người dùng WordPress đã tắt hoàn toàn chức năng này ngay từ khi cài đặt để tăng tính bảo mật WordPress files. Bằng cách là thêm vào trong file cấu hình wp-config.php đoạn code dưới đây:

define( 'DISALLOW_FILE_EDIT', true );

9. Thay đổi prefix table

Mở tệp wp-config.php của bạn nằm trong thư mục gốc WordPress của bạn. Bạn sẽ thấy dòng prefix từ wp_. Đây là mặc định của WordPress và bạn hãy đổi nó đi để an toàn hơn.

Nếu bạn chưa biết cách thay đổi hãy xem bài viết sau để thay đổi.

• Hướng dẫn thay đổi Prefix trên phpMyAdmin

$table_prefix = 'wpdtq_';

10. Trang bị SSL cho website

SSL là cái không thể thiếu khi bạn thiết lập website. Hầu hết các Control Panel hay kịch bản script được cài trên Server Hosting đều có sẵn SSL miễn phí. Nếu bạn đang tìm kiếm cách cài hãy xem qua trang Caissl.com nhé. Website chia sẽ về SSL

11. Kiểm tra dữ liệu trước khi upload lên hosting

Bước này khá quan trọng, nếu file bạn vị nhiễm virus, shell thì khi upload file lên hosting đồng nghĩa với virus sẽ theo lên luôn. Vì vậy bạn nên tập thói quen kiểm tra cẩn thận các file trước khi upload lên hosting. Nếu không có kinh nghiệp bạn có thể sử dụng qua công cụ virustotal để scan.

12. Scan virus định kỳ

Bạn nên lựa chọn nhà đăng ký Hosting mà được trang bị sẵn ứng dụng scan mã độc như cpguard, Imunify360 để tốt hơn.

Ngoài ra bạn có thể trang bị Plugin có tên Wordence để scan mã độc và bảo vể website tốt hơn.

13. Sao lưu dữ liệu định kỳ

Đây là bước rất quan trọng, việc backup định kỳ giúp bạn có thể bảo vệ toàn bộ website tại thời điểm đó, phòng trướng hợp xấu xãy ra. Mặc định nhà cung cấp luôn backup giúp bạn, tuy nhiên bạn cần backup riêng cho mình 1 vài bản theo tuần hoặc tháng.