Bảo mật WordPress: 16 cách đơn giản bạn cần biết
Source: Bảo mật WordPress: 16 cách đơn giản bạn cần biết
Tăng cường bảo mật cho WordPress là một nhiệm vụ quan trọng không thể xem nhẹ.
Tôi nhớ cách đây nhiều năm khi tôi mới làm quen với WordPress.
Vì tôi là người mới sử dụng WordPress nên hiểu biết của tôi về bảo mật vẫn còn hạn chế. Trên trang web đầu tiên của tôi, tôi không biết cách thay đổi trang đăng nhập. Ngay cả khi tôi vẫn sử dụng tên người dùng quản trị viên.
Trong khi giao diện web bắt mắt vì mình đã bỏ tiền ra mua theme ở tạp chí3
Kết quả tất yếu là trang bị hack với mục tiêu đánh cắp chủ đề.
Hậu quả lúc đó cũng không có gì ghê gớm vì trang web tôi tạo ra là để làm quen với hosting và học WordPress cơ bản.
Giờ đây, tôi đã có được những kiến thức bảo mật nhất định khi bước chân vào công việc viết blog chuyên nghiệp. Và trong bài viết này, tôi đã tổng hợp một số cách đơn giản để bảo mật WordPress.
Biết rằng, không có trang web nào là an toàn tuyệt đối. Nhưng ít nhất khi bạn khóa cửa cẩn thận, nó cũng sẽ tránh được những tên trộm nhòm ngó.
Các cách bảo mật trong bài viết này tôi sẽ sử dụng iThemes Security làm giải pháp. Đây là plugin bảo mật WordPress phổ biến nhất. Bạn nên cài đặt cho trang web của mình.
Đọc thêm: các plugin cần thiết cho WordPress
Hướng dẫn cài đặt và sử dụng plugin bảo mật Wordfence
Tổng hợp các plugin bảo mật WordPress tốt nhất
1. Hạn chế số lần truy cập và chặn IP truy cập sai quá nhiều
Theo mặc định, màn hình đăng nhập WordPress không giới hạn số lần truy cập sai. Chính điều này đã mở đầu cho một cuộc tấn công vũ phu. Trong hình thức tấn công này, tin tặc sử dụng tập lệnh để tạo tổ hợp tên người dùng và mật khẩu và cố gắng đăng nhập cho đến khi khớp.
Để ngăn chặn bạo lực, bạn cần hạn chế số lần đánh. Và tạm thời chặn địa chỉ IP truy cập sai quá nhiều.
Để giải quyết vấn đề này, tôi sử dụng plugin iThemes Security. Sau khi cài đặt, bạn chỉ cần nhấp vào Trang web bảo mật. Phần còn lại iThemes Security sẽ lo.
Hoặc bạn có thể sử dụng plugin Đăng nhập LockDown.
2. Sử dụng Xác minh 2 bước
Thêm xác thực 2 bước vào màn hình đăng nhập là một biện pháp bảo mật WordPress tốt. Khi bất kỳ ai muốn đăng nhập, họ cần một mã bí mật ngoài tên người dùng và mật khẩu.
Bạn có thể tham khảo hướng dẫn cài đặt Google Authenticator để biết cách thêm tính năng này vào trang web của mình.
Vai trò của lưu trữ WordPress
Dịch vụ lưu trữ WordPress bạn đang sử dụng cũng đóng một vai trò quan trọng trong việc đảm bảo an toàn cho trang web của bạn. Một dịch vụ lưu trữ có bảo mật tốt như A2Hosting đã thực hiện nhiều biện pháp hơn để bảo vệ máy chủ của mình trước các cuộc tấn công phổ biến. Đặc biệt cPanel của nó tích hợp Patchman giúp nhanh chóng tìm và vá các lỗ hổng bảo mật trên website của bạn.
3. Thay đổi đường dẫn trang đăng nhập
Theo mặc định, bạn truy cập trang đăng nhập WordPress thông qua URL yourdomain.com/wp-admin hoặc yourdomain.com/wp-login.php.
Đây là URL nổi tiếng mà trang web WordPress thu hút rất nhiều cuộc tấn công bạo lực.
Thay đổi URL trang đăng nhập cũng là một cách đơn giản nhưng không kém phần hiệu quả để bảo mật WordPress. Một lần nữa, bạn sử dụng iThemes Security. Tính năng này bạn phải cấu hình trong phần Cài đặt-> Bảo mật -> Nâng cao, nhấn vào nút Định cấu hình Cài đặt.
Trong màn hình cấu hình, nhập đường dẫn bạn muốn vào hộp Đăng nhập Slug.
4. Sử dụng mật khẩu khó nhớ
Đặt một mật khẩu mạnh và cực kỳ khó nhớ là cách để ngăn trang web WordPress của bạn bị tấn công. Nếu bạn không biết cách tạo mật khẩu với độ khó cao, hãy sử dụng công cụ tạo mật khẩu này.
Một công cụ tạo mật khẩu tốt hơn mà bạn nên sử dụng: secure-password-Creator. Công cụ này có giao diện tiếng Việt nên sẽ dễ dàng sử dụng hơn.
5. Sử dụng SSL để mã hóa dữ liệu
Sử dụng SSL cũng là một cách đảm bảo an toàn cho thông tin truyền giữa trình duyệt và máy chủ. Như bạn đã biết, SSL mã hóa thông tin khi bạn đăng nhập trước khi gửi đến máy chủ.
Vì vậy, nếu tin tặc cố gắng đánh chặn thông tin, họ sẽ không hiểu.
Lấy chứng chỉ SSL không quá khó. Các công ty lưu trữ đều cung cấp dịch vụ SSL. Một số công ty lưu trữ cũng cung cấp SSL miễn phí, chẳng hạn như Hawkhost cung cấp Let’s Encrypt SSL miễn phí.
Ngoài bảo mật, Google cũng ưu tiên các trang sử dụng SSL trong xếp hạng. Nói cách khác, chuyển sang SSL giúp trang web của bạn nhận được nhiều lưu lượng truy cập hơn nhờ thứ hạng cao hơn.
Tìm hiểu thêm: Hướng dẫn cài đặt SSL cho WordPress
6. Thêm người dùng có mật khẩu mạnh
Nếu bạn có một trang web nhiều tác giả, sẽ có nhiều người truy cập trang quản trị của bạn hơn.
Điều này làm cho trang web của bạn rất dễ bị tấn công nếu người dùng khác không chú ý đến bảo mật. Ví dụ thông tin đăng nhập của họ rất đơn giản và dễ bị hack.
Để ngăn chặn tình huống xấu như vậy, bạn nên sử dụng plugin Force Strong Password. Khi cài đặt plugin nó sẽ kiểm tra độ mạnh của mật khẩu.
7. Thay đổi quản trị viên tên người dùng
Trước đây, tên người dùng WordPress mặc định là quản trị viên. Vì vậy, nhiệm vụ của hacker chỉ là tìm mật khẩu.
May mắn thay, WordPress hiện yêu cầu bạn chọn tên người dùng khi cài đặt WordPress. Nếu tên người dùng của bạn là quản trị viên, vui lòng thay đổi cách tôi đưa ra trong bài viết này.
Bên cạnh đó, bạn nên cấu hình iThemes Security để chặn quản trị tên đăng nhập IP. Chắc chắn, kiểu đăng nhập này không có chủ đích tốt.
Trong phần cấu hình của Local Brute Force Protection, hãy chọn tùy chọn “Tự động cấm người dùng “quản trị viên”“.
8. Theo dõi các thay đổi của tệp
Theo dõi thay đổi tệp giúp bạn biết liệu trang web của bạn có bị tấn công hay không. Bởi vì một khi ai đó đột nhập vào trang web của bạn, họ thường thay đổi tệp.
Khi đó, nếu bạn kích hoạt tính năng giám sát tệp, bạn sẽ nhận được email thông báo về các thay đổi của tệp.
iThemes Security hỗ trợ tính năng này nhưng không được kích hoạt. Để kích hoạt tính năng này, chỉ cần nhấp vào nút ‘Cho phép‘ bên trong Phát hiện thay đổi tệp.
9. Thay đổi tiền tố cho tên bảng trong cơ sở dữ liệu
Như bạn đã biết, theo mặc định, tên của các bảng trong cơ sở dữ liệu WordPress bắt đầu bằng wp_. Việc sử dụng tiền tố mặc định như vậy làm cho cơ sở dữ liệu rất dễ bị tấn công SQL Injection.
Vì vậy, tôi khuyên bạn nên thay đổi nó. Bạn có thể thay đổi nó khi cài đặt WordPress.
Nếu bạn đã cài đặt nó, bạn có thể thay đổi nó nhờ vào plugin iThemes Security. Hãy nhớ sao lưu dữ liệu của bạn khi thực hiện thay đổi.
Cách thay đổi:
Trong phần Nâng cao của iThemes Security, bạn truy cập vào phần cấu hình có tên “Thay đổi tiền tố bảng cơ sở dữ liệu“. Sau đó làm theo hướng dẫn
10. Sao lưu cơ sở dữ liệu thường xuyên
Cho dù một trang web được bảo mật đến đâu thì nó cũng không phải là một pháo đài bất khả xâm phạm. Các trang web lớn của chính phủ cũng bị tin tặc phá hoại chứ đừng nói đến một trang web nhỏ.
Do đó, bạn nên sao lưu trang web WordPress của mình một cách thường xuyên.
Có rất nhiều giải pháp cho bạn lựa chọn. Nếu chưa có tiền, bạn có thể chọn UpdraftPlus. Nó giúp bạn sao lưu tự động. Và bạn có thể thiết lập lưu trữ trên một dịch vụ đám mây như DropBox. Nhìn chung nó đáp ứng nhu cầu sao lưu cơ bản.
Và nếu ngân sách dồi dào, bạn có thể sử dụng các dịch vụ như BackupBuddy, VaultPress
11. Tạo mật khẩu mạnh cho cơ sở dữ liệu
Cũng giống như mật khẩu cho trang đăng nhập trong màn hình quản trị, hãy sử dụng mật khẩu mạnh cho cơ sở dữ liệu.
Ngay sau khi bạn cài đặt WordPress, bạn nên tận dụng lợi thế của mật khẩu được tạo cho bạn. Mật khẩu này rất mạnh.
Nếu bạn vẫn có mật khẩu yếu, hãy sử dụng công cụ tạo mật khẩu để có được mật khẩu tốt nhất.
12. Cập nhật WordPress thường xuyên
Một số người thường có thói quen lười cập nhật WordPress, theme và plugin. Điều này vô tình tạo ra lỗ hổng bảo mật cho hacker lợi dụng.
Cập nhật WordPress, chủ đề và plugin thường xuyên. Nó giúp trang web của bạn chạy ổn định và an toàn hơn
13. Tắt chỉnh sửa tệp
WordPress có một trình soạn thảo giúp bạn chỉnh sửa trực tiếp mã plugin và chủ đề. Bạn có thể tìm thấy nó tại Hình thức -> Trình chỉnh sửa.
Tính năng này giúp bạn dễ dàng chỉnh sửa mã mà không cần sử dụng quyền truy cập FTP vào máy chủ.
Nhưng nó cũng có thể tạo ra nguy cơ bảo mật khi hacker có quyền truy cập vào trang quản trị. Vì vậy, bạn nên tắt nó đi. Nếu có bất kỳ điều gì cần sửa, hãy sử dụng FTP hoặc Trình quản lý tệp để truy cập vào máy chủ, sau đó sửa nó ở đó. Rốt cuộc, một khi trang web được thiết lập và chạy, bạn hiếm khi chỉnh sửa mã.
Để khóa trình chỉnh sửa này, bạn sử dụng iThemes Security. Bạn nhập Bảo mật -> Cài đặt -> Chỉnh sửa WordPress. Đảm bảo rằng bạn đã đánh dấu vào ô Tắt trình chỉnh sửa tệp.
14. Ngăn chặn việc thực thi các tệp php trong thư mục tải lên
Vui lòng chặn thực thi tệp php trong thư mục tải lên để ngăn kẻ xấu cố tình tải lên các tập lệnh nguy hiểm trong thư mục này.
Để làm điều này, bạn vào Bảo mật -> Cài đặt. Bật Chỉnh sửa hệ thống nếu chưa được bật. Sau đó, bạn đánh dấu vào tùy chọn Tắt PHP trong Tải lên. Nhớ nhấp vào Lưu Cài đặt để lưu cài đặt.
15. Bảo vệ thư mục Quản trị viên WordPress (wp-admin) bằng mật khẩu
Thông thường, khi ai đó truy cập vào trang wp-admin (yourdomain.com/wp-admin), màn hình yêu cầu tên người dùng và mật khẩu sẽ xuất hiện.
Bạn có thể thêm một lớp xác thực bổ sung. Điều này có nghĩa là người dùng phải xác thực hai lần để truy cập vào trang quản trị.
Bằng cách này, việc hack màn hình wp-admin sẽ trở nên khó khăn hơn.
Chúng tôi sử dụng cPanel để làm điều này.
Đầu tiên, bạn Đăng nhập cPanel, kéo xuống phần Bảo mật. Nhấp vào biểu tượng “Thư mục bảo vệ bằng mật khẩu”
Một hộp thoại xuất hiện, chọn web gốc
Trên màn hình tiếp theo, chọn thư mục wp-admin. Cuối cùng, bạn sẽ thấy màn hình sau
Đầu tiên bạn đánh dấu vào tùy chọn “Mật khẩu bảo vệ thư mục này“. Sau đó, bạn tạo một người dùng có quyền truy cập vào thư mục đó.
Như thế là xong.
Bây giờ, khi bạn truy cập vào thư mục wp-admin trong trình duyệt của mình, bạn sẽ thấy một hộp thoại yêu cầu xác thực như bên dưới:
Cách 404 hoặc Quá nhiều chuyển hướng
Nếu bạn gặp lỗi này, hãy mở tệp .htaccess trong thư mục gốc (ví dụ: public_html) và thêm mã sau
ErrorDocument 401 default
Lỗi Ajax trong giao diện người dùng
Nếu sau khi đặt mật khẩu ở trên, người dùng luôn thấy cửa sổ bật lên yêu cầu xác thực khi truy cập trang chủ thì có thể bạn đang gặp lỗi Ajax. Để khắc phục điều này, hãy mở tệp .htaccess trong thư mục / wp-admin (không phải tệp .htaccess trong thư mục gốc). Nếu tệp này không có sẵn, bạn có thể tạo một tệp. Và thêm mã sau
<Files admin-ajax.php> Order allow,deny Allow from all Satisfy any </Files>
Lưu ý: Nếu bạn đã thay đổi đường dẫn trang đăng nhập như tôi đã đề cập ở phần 3 thì không cần thiết phải sử dụng phương pháp bảo mật này.
16. Tắt Tính năng XML-RPC trong WordPress
XML-RPC đã bị tắt từ lâu vì lý do bảo mật. Nhưng kể từ WordPress 3.5, nó được bật theo mặc định.
Một số thông tin thêm về XML-RPC nếu bạn chưa biết
XML-RPC là một kết nối từ xa tới WordPress sử dụng XML để trao đổi dữ liệu qua lại. Thông thường, bạn sử dụng tính năng đăng bài từ các ứng dụng khách như Windows Live Writer hoặc các ứng dụng sử dụng IFTT.
Nhưng bật XML-RPC có nghĩa là bạn đang mở ra cánh cửa cho các cuộc tấn công thô bạo vào trang web của bạn để lấy cắp mật khẩu. Tệ hơn nữa là HTTP Flood Attack (một loại tấn công DDoS). Với hình thức tấn công này, hacker sẽ gửi một lượng lớn yêu cầu làm tê liệt máy chủ.
Vì vậy, tốt nhất bạn nên tắt XML-RPC. Sử dụng một trong các cách sau:
Một. Tắt XML-RPC bằng .htaccess
Chỉ cần mở tệp .htaccess và thêm mã sau
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 123.123.123.123 </Files>
NS. Tắt XML-RPC bằng iThemes Security
Bạn nhập Bảo mật -> Cài đặt -> Tinh chỉnh WordPress và chọn Tắt XML-RPC như bên dưới
Phần kết
Đó là tất cả các cách bảo mật WordPress mà tôi biết.
Như tôi đã nói ở phần đầu, bạn nên cài đặt iThemes Security. Plugin này cung cấp cho trang web WordPress của bạn mức bảo mật cơ bản nhất.
Nếu điều kiện kinh tế cho phép, bạn có thể tham khảo Sucuri Firewall để bảo mật website tốt hơn.
Nếu bạn biết bất kỳ phương pháp bảo mật WordPress tốt nào, hãy cho tôi biết thông qua phần nhận xét bên dưới.
Via: sieucoder.com
from sieucoder.com https://ift.tt/3o7PoS3
via Sieucoder.com
Nhận xét
Đăng nhận xét