Cách bảo mật Web dùng nền tảng WordPress

Bảo mật blog WordPress là điều thiết yếu bạn phải làm sau khi cài đặt trên Hosting, Server của mình. Không nên để cho hacker lẻn vào WordPress và đánh cắp thông tin hoặc phá hủy dữ liệu . Dành vài giờ để bảo mật WordPress và bạn sẽ tiết kiệm được vô số thời gian khi phải đối mặt với các cuộc tấn công liên tục. Hướng dẫn này, TekZone.vn sẽ chỉ ra nhiều cách bảo mật WordPress để giữ an toàn cho dữ liệu và thông tin .

1. Sử dụng All-in-One Security Plugin

Để đơn giản hóa mọi thứ, hãy bắt đầu với plugin bảo mật WordPress xử lý nhiều tác vụ ở một nơi. Một trong những lựa chọn tốt nhất là Plugin All-In-One Security (AIOS) . Với xếp hạng 5 sao ấn tượng trên hơn một triệu lượt cài đặt, thật đáng để thêm vào trang web . Ngoài ra, nhiều tính năng hoàn toàn miễn phí.

Plugin có tác dụng như sau:

• Dừng các cuộc tấn công Brute force
• Cho phép xác thực hai yếu tố
• Ẩn trang đăng nhập khỏi bot
• Buộc đăng xuất đối với những người dùng muốn luôn đăng nhập
• Giúp cải thiện độ mạnh của mật khẩu
• Cải thiện WordPress Salts (một phần của quy trình băm để mã hóa mật khẩu) bằng cách thêm 64 ký tự mới, thay đổi hàng tuần
• Thêm bảo vệ tường lửa
• Bao gồm bảo vệ phần mềm độc hại (chỉ cao cấp)
• Giảm bình luận spam

Đây chỉ là một phần nhỏ của những gì được bao gồm. Việc thiết lập mọi thứ có thể mất chút thời gian, nhưng quản lý một plugin sẽ tốt hơn nhiều plugin.

2. Ngăn chặn kiểu tấn công Brute Force

Hacker có thể dễ dàng bẻ khóa mật khẩu đăng nhập và thông tin đăng nhập bằng các cuộc tấn công Brute Force. Để ngăn điều đó xảy ra, hãy cài đặt plugin  Login Lockdown  . Plugin này ghi lại địa chỉ IP và dấu thời gian của mỗi lần đăng nhập WordPress không thành công. Khi phát hiện một số lần thử thất bại nhất định, nó sẽ vô hiệu hóa chức năng đăng nhập cho tất cả các yêu cầu trong phạm vi đó.

Nó cũng bổ sung thêm hai tính năng tiện dụng khác: xác thực hai yếu tố và CAPTCHA. Những điều này cũng làm giảm đáng kể kiểu tấn công Brute Force.

3. Sử dụng mật khẩu mạnh

Đảm bảo bạn sử dụng mật khẩu mạnh để người khác khó đoán được. Sử dụng kết hợp các chữ số, ký tự đặc biệt và chữ hoa/thường để tạo mật khẩu . Bạn cũng có thể sử dụng trình kiểm tra mật khẩu trên WordPress 2.5 trở lên để kiểm tra độ mạnh mật khẩu của mình.

Sử dụng phần mềm quản lý mật khẩu để tạo mật khẩu hoàn toàn ngẫu nhiên và an toàn là một lựa chọn khác. Ngay cả khi bạn không lưu trữ mật khẩu, đây vẫn là những công cụ tốt nhất để tạo mật khẩu duy nhất cho trang web .

4. Bảo vệ thư mục WP-Admin

Thư mục “wp-admin” chứa tất cả thông tin quan trọng về trang web và là nơi cuối cùng bạn muốn cấp quyền truy cập cho người khác. Cách dễ nhất để bảo vệ nó là thêm một mật khẩu bổ sung. Ngay cả khi hacker truy cập vào trang web bằng thông tin xác thực của người dùng, chúng vẫn phải tìm ra thông tin xác thực thư mục  wp-admin . Đến thời điểm này, bạn có thể đã biết về hành vi vi phạm và có thể thay đổi mật khẩu của người dùng bị tấn công cũng như mật khẩu wp-admin để tăng cường bảo mật.

Có nhiều cách để làm điều này. Đầu tiên phụ thuộc vào máy chủ web . Nhiều người cung cấp cPanel. Các bước có thể thay đổi một chút tùy theo máy chủ.

Đăng nhập vào phần cPanel trên trang web . Máy chủ web sẽ có hướng dẫn về cách thực hiện việc này.

Cuộn xuống “Bảo mật” và chọn “Thư mục bảo vệ bằng mật khẩu”.

Chọn “Quyền riêng tư của thư mục”.

Chọn thư mục bạn muốn bảo vệ bằng mật khẩu và làm theo lời nhắc. Thường có một hướng dẫn đi sâu hơn vào cách bảo vệ thư mục tốt nhất bằng phương pháp này.

Phương pháp thứ hai là thủ công và thường không được khuyến khích, vì nếu không thực hiện đúng, bạn có thể bị khóa khỏi trang web của mình.

Tạo một file văn bản bằng trình soạn thảo văn bản yêu thích và đặt tên là “.htaccess”

Thêm phần sau vào file nhưng thay đổi đường dẫn AuthUserFile đến nơi bạn sẽ tải file mật khẩu lên (trong bước tiếp theo) và thay đổi “yourusername” thành tên người dùng .

AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername

Tạo một file văn bản khác có tên “.htpasswd”

Sử dụng trình tạo htpasswd để tạo nội dung file. Hosting Canada, web2generators và AskApache  đều có các trình tạo dễ sử dụng. Sau khi bạn điền vào trình tạo, hãy sao chép văn bản bạn được cung cấp vào file .htpasswd bạn đã tạo.

Sao chép cả hai file vào thư mục wp-admin và bạn đã hoàn tất.

5. Xóa thông tin phiên bản WordPress

Nhiều chủ đề WordPress bao gồm thông tin phiên bản WordPress trong thẻ meta. Hacker có thể nhanh chóng nắm được thông tin này và lên kế hoạch tấn công cụ thể nhắm vào lỗ hổng bảo mật của phiên bản đó.

Để xóa thông tin phiên bản WordPress:

• Đăng nhập vào bảng điều khiển WordPress .
• Đi tới “Design -> Theme Editor”.
• Hãy tìm tập tin “Header” ở bên phải.
• Hãy tìm dòng mã sau:

<meta name="generator" content="WordPress versionnumber"/>

Xóa dòng này và nhấn “Update file”.

Bạn cũng có thể sử dụng plugin bảo mật WordPress, chẳng hạn như  Sucuri Security , để ẩn thông tin này.

6. Ẩn thư mục plugin

Nếu bạn truy cập URL trang web của mình: https://yourwebsite.com/wp-content/plugins và bạn có thể xem toàn bộ danh sách các plugin bạn đã sử dụng thì trang web WordPress không an toàn lắm. Bạn có thể dễ dàng ẩn trang này bằng cách tải lên một “index.html” trống vào thư mục plugin.

Mở trình soạn thảo văn bản . Lưu tài liệu trống dưới dạng “index.html.”

Tải “index.html” lên thư mục “/wp-content/plugins” bằng chương trình FTP.

7. Thay đổi tên đăng nhập

Tên người dùng mặc định là “administrator”. Một cách đơn giản để bảo mật WordPress là thay đổi điều này. Nếu không, hacker đã biết một nửa thông tin đăng nhập .

• Đăng nhập vào bảng điều khiển WordPress và chọn “Users”.
• Chọn “Người dùng mới”.

Đặt vai trò thành “Administrator” và gửi lời mời đến tài khoản email mong muốn. Sau khi lời mời được chấp nhận, bạn có thể đăng nhập, tạo mật khẩu và trở thành tài khoản administrator mới.

• Sau khi người dùng mới được thiết lập, hãy quay lại “Users”.
• Tìm tài khoản “administrator” và xóa nó.
• Chọn “Attribute all posts and links to” và chọn tên người dùng .
• Nhấn “Xác nhận xóa.”

8. Nâng cấp lên phiên bản mới nhất

WordPress, cùng với các chủ đề và plugin, nhận được các bản cập nhật thường xuyên. Điều này bổ sung các tính năng mới, giải quyết các lỗi và sửa các lỗ hổng bảo mật. Phần cuối cùng là quan trọng nhất. Nếu hacker nhận ra bạn có phiên bản cũ hơn có lỗi bảo mật, chúng sẽ khai thác lỗ hổng ngay lập tức.

Lên lịch một ngày mỗi tháng để thực hiện cập nhật. Mặc dù bạn có thể không có bản cập nhật mới cho mọi thứ, nhưng hãy thực hiện cập nhật những gì có sẵn. Điều này bao gồm cài đặt WordPress cốt lõi . Đó là một cách đơn giản để bảo mật WordPress nhưng mang lại hiệu quả cao.

Trước khi thực hiện bất kỳ cập nhật quan trọng nào, hãy tạo bản sao lưu hoàn chỉnh cho trang web để đề phòng.

9. Thực hiện quét bảo mật thường xuyên

Mọi cài đặt WordPress đều cần một plugin bảo mật. Bảo mật tất cả trong một (AIOS) và Bảo mật Sucuri, mà chúng tôi đã đề cập, là những lựa chọn tốt nhất. Bạn cũng có thể thử cách sau:

• Wordfence Security
• iThemes Security
• Jetpack Protect
• SecuPress Free

10. Sao lưu trang WordPress

Cho dù trang web có an toàn đến đâu, bạn vẫn muốn chuẩn bị cho điều tồi tệ nhất. Cài đặt plugin sao lưu WordPress và lên lịch sao lưu cơ sở dữ liệu hàng ngày.

Bạn có nhiều lựa chọn, nhưng một số tùy chọn hàng đầu bao gồm:

• Jetpack VaultPress Backup
• UpdraftPlus
• BackupBuddy
• BlogVault
• All-In-One WP Migration

11. Xác định đặc quyền người dùng

Nếu có nhiều tác giả cho blog , bạn có thể cài đặt plugin Phần mềm chỉnh sửa vai trò người dùng để xác định khả năng cho từng nhóm người dùng. Điều này sẽ cung cấp cho bạn, chủ sở hữu blog, khả năng kiểm soát những gì người dùng có thể và không thể làm trong blog.

12. Nâng cấp lên SSL

Nếu bạn chưa có chứng chỉ SSL thì bây giờ là lúc để có được một chứng chỉ. Lớp cổng bảo mật (SSL) là giao thức mã hóa nội dung được gửi giữa người dùng và trang web. Nhiều máy chủ web cung cấp chứng chỉ SSL miễn phí hoặc chi phí thấp và cực kỳ dễ cài đặt. Những điều này đặc biệt quan trọng nếu người dùng đăng nhập vào trang web hoặc mua hàng. Ngoài ra, Google thích các trang web có chứng chỉ SSL hơn.

Nguồn hình ảnh: Pexels

Let’s Encrypt là tổ chức giúp bảo mật Web bằng cách cung cấp chứng chỉ SSL miễn phí. Hãy xem danh sách các tùy chọn SSL miễn phí khác của chúng tôi . Bạn cũng có thể nhận chứng chỉ SSL trả phí từ:

• Comodo SSL Store
• GlobalSign
• DigiCert
• The SSL Store

13. Vô hiệu hóa chỉnh sửa tập tin

Bạn có thể chỉnh sửa plugin và mã chủ đề trực tiếp từ khu vực quản trị trên trang web của mình. Hãy tưởng tượng nếu ai đó bắt đầu mày mò mã mà không có sự cho phép . Để tránh những bất ngờ khó chịu, hãy tắt tính năng chỉnh sửa tập tin.

Mặc dù bạn có thể sử dụng plugin như Sucuri, nhưng bạn cũng có thể thêm một vài dòng mã vào file “wp-config.php” của mình.

Xác định vị trí file “wp-config.php” trong thư mục gốc của trang web . Bạn có thể sử dụng bất kỳ ứng dụng FTP Client nào bạn muốn truy cập các file của mình.

Tải xuống file và mở nó trong trình soạn thảo văn bản yêu thích , chẳng hạn như Notepad.

Thêm phần sau vào mã:

// Disable file edit
define( 'DISALLOW_FILE_EDIT', true );

Thay thế file “wp-config.php” hiện có bằng phiên bản mới để tắt tính năng chỉnh sửa file.

14. Sử dụng xác thực hai yếu tố

Ngay cả khi hacker có quyền truy cập vào thông tin đăng nhập của người dùng, xác thực hai yếu tố (2FA) có nghĩa là hacker vẫn cần quyền truy cập vào mật khẩu khác. Trong trường hợp này, mã thường sẽ được gửi đến điện thoại của người dùng. Bạn có thể sử dụng các plugin bảo mật, chẳng hạn như các plugin được đề cập trước đó trong bài đăng này hoặc plugin 2FA chuyên dụng, chẳng hạn như  miniOrange Google Authenticator hoặc WP 2FA .