Hướng Dẫn Bảo Mật WordPress Toàn Tập – Từng Bước Một

Chủ đề bảo mật website luôn là một trong những vấn đề đau đầu với quản trị viên.

Mỗi tuần, Google đều liệt kê khoảng 20.000 website có chứa malware và khoảng 50.000 là phishing (những website lừa đảo).

Đặc biệt với WordPress, nền tảng chiếm đến 34 % trên internet sẽ là miếng mồi ngon cho hacker .

Mặc dù WordPress khá an toàn, luôn tung ra các bản update liên tục.

Nhưng không có nghĩa là nó bất khả chiến bại, vẫn có rất nhiều cách để hacker tiến công .
Việc của tất cả chúng ta là ngăn ngừa giảm thiểu thiệt hại nhất hoàn toàn có thể cho website .
Nào tất cả chúng ta cùng mở màn nhé !

Những điều cơ bản cần biết về bảo mật WordPress

Chúng ta sẽ cùng đi khám phá cơ bản về bảo mật WordPress .
Và một số ít quan tâm rất quan trọng để giúp bảo vệ website một cách bảo đảm an toàn .
Mà bất kỳ ai cũng cần nắm vững khi khởi đầu sử dụng WordPress

Tại sao bảo mật website lại quan trọng đến vậy?

Trang web của bạn đang chạy thông thường và bổng nhiên bị dính virus .
Nếu bạn là người chưa khi nào gặp trường hợp này, sẽ rất khó khăn vất vả cho bạn .
Đặc biệt là với bạn bè tay ngang ko phải dân kỹ thuật .
Hackers đánh cắp thông tin người dùng, mật khẩu, thiết lập ứng dụng ô nhiễm …
Và thậm chí còn phân tán ứng dụng đọc hại cho người dùng của bạn .

Nhiều hacker còn bắt nạn nhân chi trả muốn khoản tiền, gần đây nhất đó là virus wanny cry

Trong tháng 3 năm 2016, Google chỉ ra rằng có hơn 50 triệu cảnh báo về website người dùng truy cập có thể chứa mã độc.

Hơn nữa, Google cũng liệt kê khoảng 20.000 website có chứa mã độc và 50.000 trang lừa đảo mỗi tuần.

Một số lượng không hề nhỏ đúng không nào, rất hoàn toàn có thể nạn nhân tiếp sẽ là bạn .
Nếu là một doanh nghiệp, thì càng nên chăm sóc đến yếu tố bảo mật WordPress .
Không chỉ vì uy tín và nghĩa vụ và trách nhiệm của bạn, nó còn tác động ảnh hưởng trực tiếp đến lệch giá của bạn .

Luôn update phiên bản mới nhất

WordPress là một nền tảng mã nguổn mở luôn được update liên tục .
Với mặc định, WordPress tự động hóa thiết lập những bản update nhỏ .
Đối với những bản update lớn, bạn cần update bằng cách thủ công bằng tay .
WordPress cũng đi kèm với hàng nghìn plugin và theme mà bạn hoàn toàn có thể setup vào website của mình .
Những plugin và theme này được cung ứng bới bên tăng trưởng thứ 3 và tiếp tục được họ update .
Chúng hoàn toàn có thể là những bản vá lỗi bảo mật, cho nên vì thế đừng bỏ lỡ và hãy update ngay nhé .
WordPress có lưu lại lịch sử dân tộc từng phiên bản và cụ thể những đổi khác tại đây

Đặt mật khẩu mạnh và phân quyền user

Một trong những thủ pháp tiến công thông dụng nhất là “ đánh căp mật khẩu ” .

Rất nhiều anh em đặt user và pass rất dễ đoán kiểu admin 123456.

Hãy đặt một mật khẩu độc nhất vô nhị có không thiếu từ vần âm, số và ký tự đặc biệt quan trọng .

Ví dụ

: “W):9’Q_uE$`&6w_k”, “Ck(=)C5C[]ZN&A,4”
: “ W ) : 9 ’ Q_uE USD ` và 6 w_k ”, “ Ck ( = ) C5C [ ] ZN&A, 4 ”Nếu không nghĩ ra được đồng đội hoàn toàn có thể vào passwordsgenerator.net để tạo ra nhé .Không chỉ với user admin đăng nhập vào khu vực quản trị, mà còn cả thông tin tài khoản hosting, user và password databse …
Tất nhiên là việc sử dụng mật khẩu mạnh rất khó nhớ, và nhiều người không thích điều này .
Nhưng hiện có rất nhiều cách, đó là sử dụng ứng dụng quản trị mật khẩu …
Tiếp theo là hãy chắc như đinh chỉ mình bạn ( hoặc người tin cậy ) mới được phân quyền admin .
Nếu bạn đang có website nhiều tác giả, hãy phân quyền user thật cẩn trọng nhé .

Vai trò của WordPress Hosting

Hosting cũng là một yếu tố rất quan trọng trong yếu tố bảo mật .
Bình thường với người dùng cơ bản sẽ hay chọn những gói shared hosting .
Loại hosting này bạn sẽ phải san sẻ tài nguyên với nhiều người khác .
Điều đó khiến mang lại rất nhiều rủi tiềm tàng như lây nhiễm chéo .
tin tặc hoàn toàn có thể sử dụng những site sử dụng cùng dịch vụ shared hosting để tiến công .
Trước ĐK những gói này bạn nên xem xét kỹ những lao lý, và dịch vụ bảo mật bên họ :

• Có backup thường xuyên không?
• Khi bị nhiễm mã độc thì được xử lý như thế nào?
• Có được hỗ trợ về kỹ thuật không?

Một số dịch vụ Managed WordPress Hosting tốt thường có :

• Tự động backup,
• Tự động cập nhật phiên bản mới nhất của WordPress,
• Và còn nhiều tuy chọn nâng cao để bảo mật WordPress website của bạn.

Nhưng giá thường sẽ cao hơn với gói shared hosting .
Còn nếu bạn muốn tự quản lý trọn vẹn từ A -> Z trên server của mình thì VPS sẽ là lựa chọn cho bạn .

• Mức giá đa dạng tùy vào cấu hình
• Bạn sẽ tự quản lý cài đặt server mình muốn
• Không cần chia sẻ tài nguyên với ai

Đổi lại thì việc setup và quản trị sẽ phức tạp và khó khăn vất vả hơn .
Mọi yếu tố sẽ do bạn quyết định hành động, từ việc backup, bảo mật …

Bảo mật WordPress với vài bước đơn giản

Chúng ta đều biết cài thiện bảo mật WordPress là một điều gì đó rất kinh điển với những người mới dùng. Đặc biệt nếu bạn không phải dân công nghệ tiên tiến. Nhưng đừng lo ngại bạn không có một mình, tôi ở đây để giúp bạn .
Tôi đã giúp rất nhiều người dùng WordPress giải quyết và xử lý những yếu tố bảo mật WordPress của họ .
Và trong bài viết này tôi sẽ hướng dẫn bạn làm thế nào để cải tổ bảo mật WordPress chỉ với click ( không cần sử dụng code )

1. Sao Lưu Cơ Sở Dữ Liệu

Backup là bước bảo mật tiên phong chống lại bất kể cuộc tiến công nào. Hãy nhớ rằng, không có gì là 100 % bảo đảm an toàn. Những website cơ quan chính phủ còn bị tiến công, thì bạn cũng vậy .
Backup được cho phép bạn nhanh gọn khôi phục trang WordPress với một số ít thứ tồi tệ xảy ra .
Có rất nhiều WordPress backup plugin không tính tiền và trả phí mà bạn hoàn toàn có thể chọn. Điều quan trọng là bạn cần hiểu khi nào nói đến backup có nghĩa là bạn cần phải tiếp tục sao lưu hàng loạt website sang một điểm khác ( không phải trên hosting account ) .
Tôi khuyên bạn tàng trữ nó trên một dịch vụ đám mây như : Amazon, Dropbox, hay một đám mây cá thể như Stash .
Dựa trên mức độ tiếp tục trang update website của bạn, thiết lập lý tưởng là hàng ngày hoặc sao lưu theo thời hạn thực .
Rất may là thuận tiện thực thi điều bằng cách sử dụng plugin như VaultPress or BackupBuddy. Cả 2 đều rất đáng tin dùng và đều quan trọng là thuận tiện sử dụng ( không cần code )

2. Sử Dụng Plugin Bảo Mật WordPress Tốt Nhất

Sau khi backups, điều tiếp theo bạn cần chăm sóc đó là setup một mạng lưới hệ thống theo dõi và kiểm tra mọi thứ xảy ra trên website của mình .
Điều này gồm có giám sát thực trạng của file, cảnh báo nhắc nhở truy vấn trái phép, quét ứng dụng ô nhiễm .. v …
May mắn là toàn bộ những gì bạn cần làm là setup Sucuri Security plugin không tính tiền. Để biết thêm nhiều thông tin cụ thể cách thiết lập plugin … ..

Để kích hoạt plugin, bạn cần đi đến Sucuri Menu trong bảng điều khiển WordPress

Điều đầu tiên bạn sẽ được yêu cầu làm đó là Tạo một API key miễn phí. Điều này cho phép bạn kiểm duyệt đăng nhập, integrity checking, thông báo email, và những tính năng quan trọng khác.
Điều tiếp theo, bạn cần làm là click vào Hardening tab từ Sucuri Menu. Lướt qua tất cả tùy chọn và click vào nút “Harden”.
Với tùy chọn này giúp bạn khóa lại khu vực trung tâm thường được sử dụng trong các cuộc tấn công. Chỉ với tính năng hardening được cung cấp trong phiên bản trả phí là một Web Application Firewall nơi chúng ta giải thích trong vài bước tiếp theo..
Điều tiên phong bạn sẽ được nhu yếu làm đó là Tạo một API key không tính tiền. Điều này được cho phép bạn kiểm duyệt đăng nhập, integrity checking, thông tin email, và những tính năng quan trọng khác. Điều tiếp theo, bạn cần làm là click vào Hardening tab từ Sucuri Menu. Lướt qua tổng thể tùy chọn và click vào nút “ Harden ”. Với tùy chọn này giúp bạn khóa lại khu vực TT thường được sử dụng trong những cuộc tiến công. Chỉ với tính năng hardening được phân phối trong phiên bản trả phí là một Web Application Firewall nơi tất cả chúng ta lý giải trong vài bước tiếp theo ..Chúng cũng sẽ bàn về tùy chon “ Hardening ” sau bài viết này cho những ai muốn làm điều dó mà không cần sử dụng một plugin hoặc những người nhu yếu bổ trợ thêm những bước như “ Database Prefix change ” hay “ Thay đổi Tên Truy cập Admin ”
Sau phần hardening, phần nhiều thiết lập mặc định của plugin đều rất tốt và không cần đổi khác. Một điều duy nhất tôi khuyên bạn là tùy chỉnh Cảnh báo qua E-Mail .

Các thiết lập cảnh báo mặc định sẽ khiến email box của bạn bị lộn xộn. Chúng tôi khuyên bạn nhận cảnh báo với hoạt động chính như thay đổi plugin, đăng ký người dùng mới,etc. Bạn dễ dãng tùy chình cảnh báo bằng cách đi đến Sucuri Settings » Alerts.

Plugin bảo mật này vô cùng mạnh mẽ, vì vậy bạn có thể lướt qua tất cả các tab và các cài đặt để xem tất cả như: Malware scanning, Audit logs. Failed Login Attempt tracking, v..v…

3. Kích Hoạt Web Applitcation Firewall (WAF)

Plugin bảo mật này vô cùng can đảm và mạnh mẽ, thế cho nên bạn hoàn toàn có thể lướt qua tổng thể những tab và những thiết lập để xem toàn bộ như : Malware scanning, Audit logs. Failed Login Attempt tracking, v .. v …

Cách dễ dàng nhất để bảo vệ website và mang lại cảm giác an toàn về bảo mật WordPress là sử dụng web application firewall (WAF). Tường lữa sẽ ngăn chặn tất cả các lượt truy cập nguy hiểm trước khi nó có thể chạm đến website của bạn.

Tôi đang sử dụng và khuyên bạn cũng nên sử dụng nó như là một bước tường lửa cho trang WordPress của mình.
Tôi đang sử dụngvà khuyên bạn cũng nên sử dụng nó như thể một bước tường lửa cho trang WordPress của mình .Phần tuyệt với nhất về Sucuri’s firewall là đi kèm với tính năng dọn dẹn malware và bảo vệ vô hiệu chúng trong blacklist. Về cơ bản nếu bạn bị tiến công dưới sự giám sát của họ, Sucuri sẽ bảo vệ sẽ sửa lỗi cho website của bạn ( bất kể bao nhiều pages bạn có )

Đây là một lời cam kết rất tự tin bởi vì sửa lỗi một website bị tấn công là rất tốn kém. Một chuyên gia bảo mật thường tính $250 cho một giờ. Trong khi đó bạn sẽ có tất cả giải pháp bảo mật của Sucuri chi với $199/ năm.

⇒ Cài đặt Sucuri để nâng cao bảo mật cho website
Sucuri không phải là nhà cung ứng firewall duy nhất. Đối thủ cạnh tranh đối đầu của họ là Cloudflare .

Một Số Phương Pháp Cải Thiện Bảo Mật WordPress

Nếu bạn đã làm tổng thể những thứ tôi nói ở trên, thì bạn đang có thực trạng bảo mật an ninh khá tốt rồi đấy .
Nhưng vẫn như mọi khi, có nhiều thứ bạn hoàn toàn có thể làm tốt hơn với Bảo Mật WordPress website của mình
Một số bước hoàn toàn có thể sẽ nhu yếu một chú hiểu biết về code .

1. Thay Đổi Tên Truy Cập “admin” Mặc Định

Những phiên bản trước đây, tên truy vấn mặc định của admin là “ admin ”. Biết được tên truy vấn là đồng nghĩa tương quan với việc những hacker hoàn toàn có thể thực thi tiến công website bằng brute-force attacks ( đoán mật khẩu )
Nhưng rất may, WordPress đã đổi khác nó và giờ đây nhu yếu bạn chọn tên truy vấn ngay ở lần setup tiên phong .

Tuy nhiên, với cách thiết lập WordPress bằng 1 – click duy nhất, thì vẫn chọn tên admin username mặc định là “ admin ” .
Mặc dù mặc định WordPress không được cho phép bạn biến hóa username, nhưng vẫn có vài cách để bạn đổi khác username .

1. Tạo mới một admin username và xóa người dung cũ đi
2. Sử dụng Plugin thay đổi tên người dùng
3. Cập nhật tên người dùng từ phpMyAdmin

Tôi đã nói vẫn đề này ở bài Làm thế nào để biến hóa tên truy vấn “ Admin ” trong WordPress hãy đọc để xem hướng dẫn cụ thể nhé .

*Lưu ý: Chúng ta đang nói về username gọi là “admin”, chứ không phải là vai trò quản trị viên

2. Vô Hiêu Hóa File Editing

WordPress đi cùng với một built-in code editor mà được cho phép bạn chỉnh sửa giao diện và plugin files ngay tại khu vực admin của WordPress. Nếu vào tay người xấu, tính năng này hoàn toàn có thể gây nguy khốn đến bảo mật WordPress cho nên vì thế chúng tôi khuyên bạn nên vô hiệu nó .

Bạn hoàn toàn có thể làm điều đó một cách thuận tiện bằng cách thêm đoạn code sau vào file wp-config.php

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Hoặc bạn hoàn toàn có thể làm điều đó với 1 – click bằng cách sử dung tính năng Hardening trong Sucuri không lấy phí mà tôi nói ở trên

3. Vô Hiệu Hóa PHP Trong Một Vài Thư Mục WordPress

Một cách khác để năng cao bảo mật WordPress là vô hiệu hóa PHP file execution in directories mà không thiết yếu như / wp-content / uploads .
Để làm điều đó hãy mở notepad lên và dán đoạn code này vào :

deny from all

Xem thêm: Bảo mật Facebook – Top 9 cách chống hack hiệu quả nhất .

Source: https://vh2.com.vn
Category: Bảo Mật