Tổng hợp các phương pháp bảo mật cho website WordPress (P2)

WordPress là CMS được sử dụng khá phổ biến hiện nay, bởi tính đơn giản trong quản trị, tính linh hoạt, hỗ trợ SEO tốt và hoàn toàn miễn phí. Cũng chính vì WordPress đang ngày càng phổ biến mà nguy cơ bị tấn công cũng tăng theo, do đó, bảo mật cho website WordPress càng trở nên quan trọng hơn bao giờ hết. Bài viết này sẽ tổng hợp và chia sẻ 8 phương pháp bảo mật hiệu quả, giảm thiểu nguy cơ và rủi ro cho WordPress !

Tổng hợp các phương pháp bảo mật cho website WordPress (P1)

Bảo mật website nói chung, hay bảo mật WordPress nói riêng là một vấn đề rất quan trọng mà bạn cần phải làm sớm, làm thường xuyên, song song với xây dựng nội dung và SEO cho website. Bởi rất có thể một ngày nào đó, bạn ngủ dậy và website với bao tâm huyết, công sức biến mất, bị hack, chèn mã độc… Cảm giác lúc đó thật tồi tệ mà bạn không muốn trải nghiệm.

 8 phương pháp bảo mật cho website WordPress (P2)

1) Bảo vệ tài khoản quản trị website WordPress

Đây là vấn việc cơ bản nhất và cũng quan trọng nhất cần làm để đảm bảo an toàn, bảo mật cho website của bạn. Nếu chẳng may hacker đăng nhập thành công vào trang quản trị của bạn thì hacker đã có toàn quyền đối quản lý với website, bao gồm thay đổi nội dung, mã nguồn, cài đặt mã độc,… Vì vậy, hãy bảo vệ tài khoản quản trị website của bạn:

– Không bao giờ sử dụng tên đăng nhập (username) là “admin” hay “administrator”=> tránh các cuộc oanh tạc qua Brute force. Tên đăng nhập này thường được tạo ra từ khi cài đặt WordPress, nếu muốn thay đổi bạn phải tác động vào cơ sở dữ liệu hoặc dùng các plugin miễn phí.

– Sử dụng mật khẩu mạnh: Bạn nên bỏ thói quen sử dụng mật khẩu chỉ toàn số, thậm chí dùng ngày sinh, số chứng minh thư làm mật khẩu vì  nó rất đơn giản để đoán ra. Hãy dùng mật khẩu bao gồm cả số, chữ, ký tự đặc biệt và mật khẩu nên dài hơn 10 ký tự. Làm sao để nhớ được các mật khẩu phức tạp đó?! thường thì bạn nên tự đặt ra quy tắc nào đó để chỉ mình bạn biết thôi!

Sử dụng mật khẩu mạnh

2) Bảo mật cho trang quản trị website WordPress

WordPress mặc định đường dẫn tới trang quản trị là wp-admin, điều này giúp các hacker dễ dàng xác định địa chỉ đăng nhập sau khi họ có trong tay thông tin tài khoản của bạn, hay sử dụng những scripts tự động dò quét username/password rất tinh vi. Do vậy, bạn nên đổi đường dẫn mặc đinh đăng nhập vào trang quản trị cho WordPress.

Có nhiều cách để làm việc này, nhưng đơn giản nhất vẫn là sử dụng plugin Better WP Security. Sau khi cài đặt Better WP Security, bạn vào Security => Hide Backend và thay đổi URL cho trang quản trị, trang đăng nhập và đăng ký tài khoản.

Bảo mật cho trang quản trị

 – Ngoài ra, có thể hạn chế số lần đăng nhập (không thành công) vào trang quản trị, chỉ cho phép đăng nhập từ một số IP nhất định… Để làm việc này, các bạn nên sử dụng các plugin miễn phí cho đơn giản, như Limit Login Attempts, Login Security SolutionsLogin Lockdown hay Better WP Security… hoặc nếu bạn muốn tự thực hiện bằng tay thì chỉ cần thêm đoạn mã sau vào file .HTACCESS là xong:

order deny, allow

allow from a.b.c.d. #your static ip

deny from all

  • Nên đổi tên bảng trong database của website: Thường thì prefix mặc định của WordPress là “wp_”, bạn nên đổi thành một tên khác => hạn chế hacker tấn công qua SQL Injection.

3) Bảo mật cho các file/folder quan trọng

Bảo vệ thư mục wp-admin và các file quan trọng khác như wp-config.php, .htacess,… bằng cách đặt quyền (CHMOD) hoặc phòng vệ bằng mật khẩu 2 lớp (thực hiện trong trang quản trị host – control panel)

– Nếu muốn phân quyền bằng CHMOD, các bạn chỉ cần dùng FTP Client để kết nối đến host (ví dụ, dùng FileZilla Client hoặc CuteFTP), sau đó chọn file hoặc folder muốn set quyền và chọn quyền muốn set, ví dụ: 555: read-only, 775- người có quyền thì được thay đổi còn public user có quyền read,…

– Nếu muốn bảo vệ mật khẩu 2 lớp cho file, folder => các bạn đăng nhập vào trang quản trị host (ví dụ mình đang dùng cPanel) và thao tác như hình bên dưới.

Bảo mật cho các file/folder quan trọng

 

Bảo mật cho các file/folder quan trọng 2

Ngoài ra, có thể cấm edit các file trong admin bằng cách thêm vào file wp-config.php của WordPress đoạn code sau:

define( ‘DISALLOW_FILE_EDIT’, true );

File wp-config.php ở thư mục gốc của WordPress chứa thông tin về database  và các thông tin cấu hình website WordPress khác cần được bảo vệ.  Bạn nên thêm đoạn mã sau vào file .htaccess để bảo vệ,  không cho sửa đổi file  wp-config.php

<files wp-config.php>

order allow,deny

deny from all

</files>

4) Luôn cập nhật phiên bản vá lỗi mới nhất cho WordPress và các plugin

Về mặt kỹ thuật, phiên bản mới nhất của WordPress luôn được cập nhật các bản vá bảo mật, do vậy chúng ta nên update lên bản mới nhất khi có thể. Tương tự các plugin, themes cũng vậy, các bạn nhớ update lên bản mới nhất.

5) Không sử dụng các Plugins và Themes không rõ nguồn gốc

Không ai cho không cái gì cả! câu này thật dễ hiểu nhưng thỉnh thoảng chúng ta vẫn làm ngơ với nó. Các tin tặc cũng chỉ lợi dụng tính ham của rẻ, của chùa của chúng ta. Trước khi chia sẻ miễn phí các plugin, theme premium, có thể tác giả đã tranh thủ chèn vài mã độc vào đó. 

Nếu các bạn buộc phải sử dụng các theme Premium và plugin chia sẻ miễn phí trên mạng thì nhớ quét virus trước khi sử dụng nhé!

6) Thường xuyên sao lưu (backup) cơ sở dữ liệu và mã nguồn website

Backup thường xuyên không giúp hạn chế khả năng bị tấn công trên WordPress mà nó giúp ta giảm mức độ thiệt hại của những đợt tấn công xuống thấp nhất. Dù có bị tấn công, mất hết dữ liệu nhưng bạn đã backup trước đó, thì việc khôi phục site hoàn toàn nhanh chóng.

Có thể sử dụng các plugin miễn phí (backup cả database và source code) như WordPress Backup hoặc backup ngay từ trang quản trị host (control panel).

7) Xóa bỏ thông tin về phiên bản WordPress

“Biết người biết ta, trăm trận trăm thắng !”. Vì vậy, một trong những cách để hạn chế khả năng website bị tấn công, bạn nên ẩn thông tin về phiên bản WordPress của website của bạn.

Nếu bạn xem website của bạn ở chế độ source code sẽ thấy một dòng như sau:

<meta name=”generatorcontent=”WordPress 3.9.1” />

Nhìn vào đây, chúng ta biết được website của bạn đang sử dụng mã nguồn WordPress, phiên bản 3.9.1 => Hãy ẩn thông tin này đi!

Để ẩn thông tin phiên bản WordPress, bạn truy cập vào bảng điều khiển chính của WordPress, chọn Design > Theme Editor. Ở phía bên phải, chúng ta chọn file Header và tìm kiếm dòng mã có dạng như dưới đây:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />

Hãy xóa dòng này và nhấn nút Update File.

Chú ý: Với các phiên bản WordPress mới (từ 2.6 trở đi) thì hệ thống tự động gắn thông tin phiên bản trong phần Wp_head() => để chỉnh sửa, bạn phải mở file general-template.php trong thư mục /wp-includes/ và tìm đến đoạn php bloginfo(’version’) để sửa. Hoặc cách đơn giản hơn là thêm đoạn mã sau vào file functions.php của themes hiện tại.

remove_action(‘wp_head’, ‘wp_generator’);

8) Tắt chế độ debug trong WordPress

Nếu bạn không cần làm gì thì hãy tắt chế độ debug, đơn giản là các hacker chỉ cần biết bạn lỗi gì hiển thị trên màn hình là có thể tìm cách khai thác để tấn công website của bạn. Mặc định thì chế độ debug đã được tắt, nếu không, các bạn có thể tự kiểm tra và tắt chế độ debug trong wordpress bằng cách thêm đoạn mã sau vào file wp-config.php:

define(‘WP_DEBUG’, false);

Chúc các bạn thành công!

Leave a Reply