Cách bảo vệ trang web WordPress của bạn khỏi bị tấn công

Không có gì đáng sợ hơn việc trang web WordPress của bạn bị xâm phạm và bạn cảm thấy bất lực khi không biết phải làm gì để bảo vệ trang web WordPress của mình khỏi Tin tặc. Nó gây thiệt hại cho doanh nghiệp của bạn, doanh thu của bạn, danh tiếng thương hiệu của bạn và bạn thậm chí mất ăn mất ngủ vì nó. Vì WordPress Security luôn được chúng tôi quan tâm nên đây là danh sách hữu ích gồm 20 bước bạn cần thực hiện để bảo vệ trang web WordPress của mình khỏi Tin tặc.

Làm cách nào để bạn có thể ngăn trang web WordPress của mình tiếp tục bị tấn công?

Dưới đây là danh sách 20 hữu ích hàng đầu về tất cả những việc bạn cần làm để tăng cường Bảo mật trang web WordPress của mình :

1. Sử dụng Dịch vụ lưu trữ WordPress an toàn

Ngày nay, việc sử dụng dịch vụ lưu trữ thông thường với tài khoản chia sẻ là không đủ. Bạn cần đảm bảo rằng nhà cung cấp dịch vụ lưu trữ của bạn cung cấp các dịch vụ dành riêng cho các trang web WordPress.

Nếu bạn có đủ tiền để chi tiêu, thì bạn nên cân nhắc chọn Dịch vụ lưu trữ WordPress được quản lý . Các nhà cung cấp này cung cấp một môi trường lưu trữ được tinh chỉnh cho các trang web WordPress và họ chú ý nhiều hơn đến bảo mật.

2. Thêm tường lửa giữa trang web WordPress của bạn và khách truy cập trang web của bạn

Thêm tường lửa cấp DNS làm Cloudflare sẽ lọc lưu lượng truy cập xấu và ngăn không cho nó đến máy chủ lưu trữ của bạn và bằng cách này, bạn sẽ bảo vệ trang web WordPress của mình khỏi tin tặc. Mặc dù thường bị bỏ qua, nhưng phép đo bảo mật này là một trong những bước quan trọng nhất để bảo mật một trang WordPress.

Tường lửa cấp ứng dụng lọc lưu lượng truy cập sau lần đầu tiên nó truy cập trang web WordPress của bạn. Mặc dù đây là một lớp bảo mật quan trọng, nhưng nó không hiệu quả bằng tường lửa đòn bẩy DN vì nó cho phép kẻ tấn công bắt đầu lạm dụng máy chủ và tài nguyên trang web của bạn.

3. Kích hoạt và sử dụng SSL cho miền trang web WordPress của bạn

Nếu bạn đang sử dụng dịch vụ lưu trữ WordPress hiện đại, họ có thể thiết lập SSL cho bạn. Let’s Encrypt cung cấp SSL miễn phí cho mọi người, vì vậy sau khi thêm nó vào tài khoản lưu trữ của bạn, bạn cần chuyển đổi tất cả các URL HTTP WordPress của mình thành HTTPS. Việc có kết nối HTTPS trên trang web của bạn đảm bảo rằng khi người dùng gửi dữ liệu nhạy cảm như chi tiết đăng nhập của họ, dữ liệu đó sẽ được gửi đến đúng nơi và không phải cho bên thứ ba độc hại.

Bạn cũng có thể làm theo Hướng dẫn cài đặt SSL miễn phí cho WordPress từng bước của chúng tôi để thêm Let’s Encrypt SSL vào trang web WordPress của bạn.

4. Tắt XML-RPC khi có thể

Trước đây , XML-RPC đã từng bị khai thác để cưỡng bức tài khoản quản trị viên WordPress và đánh sập một trang WordPress thông qua một cuộc tấn công DDoS.

Bằng cách tắt tính năng này, bạn sẽ giảm diện tích bề mặt tấn công cho bất kỳ tin tặc nào muốn xâm nhập vào trang web của bạn. Mặt khác, XML-RPC là một API được sử dụng bởi nhiều dịch vụ của bên thứ 3 liên quan đến WordPress, như JetPack.

Nếu bạn muốn tắt XML-RPC và cho phép JetPack hoặc bất kỳ dịch vụ nào khác sử dụng API, hãy thêm mã sau vào tệp .htaccess trang web WordPress của bạn:

# Disable XML-RPC Start
<files xmlrpc.php>
Order Deny, Allow
Deny from all
Allow from 192.0.64.1/192.0.127.254
Satisfy All
ErrorDocument 403 http://0.0.0.0
# Disable XML-RPC End

Để đưa các dịch vụ khác sử dụng JetPack vào danh sách trắng, bạn chỉ cần sao chép dòng “Cho phép từ…” và thay thế dải IP JetPack bằng dải IP từ dịch vụ mà bạn đang sử dụng.

5. Đổi tên URL đăng nhập WordPress của bạn

Đây là một phép đo bảo mật chủ động, ẩn URL đăng nhập WordPress mặc định của bạn và ngăn chặn các cuộc tấn công đăng nhập brute-force tự động từ bot hoặc các tác nhân xấu.

Cách an toàn nhất để thay đổi URL đăng nhập Bảng điều khiển WordPress của bạn là thông qua một plugin như Đổi tên wp-login.php của Ella van Durpe.

6. Đặt giới hạn tỷ lệ đăng nhập cho trang đăng nhập WordPress của bạn

Một cách khác để bảo vệ trang web WordPress của bạn khỏi tin tặc là giới hạn tỷ lệ các lần đăng nhập Bảng điều khiển WordPress của bạn. Điều này sẽ thêm một lớp bảo mật bổ sung cho trang web WordPress của bạn. Nó sẽ làm như vậy bằng cách chặn một IP không thực hiện thêm các lần thử sau khi đã đạt đến giới hạn thử lại được chỉ định. Nó làm cho một cuộc tấn công vũ phu khó hoặc không thể diễn ra.

Giới hạn nỗ lực đăng nhập được WPChef tải lại, là một trong những plugin mà chúng tôi thường đề xuất cho khách hàng của mình sau khi chúng tôi hoàn thành Dọn dẹp phần mềm độc hại WordPress cho các trang web WordPress bị tấn công của họ.

7. Sử dụng Xác thực 2 yếu tố cho trang đăng nhập Bảng điều khiển WordPress của bạn

Xác thực hai yếu tố là một lớp bảo mật bổ sung được thêm vào quy trình đăng nhập của bạn. Bằng cách này, ngay cả khi chi tiết đăng nhập quản trị viên của bạn đã bị lộ, bị đoán hoặc bị ép buộc, kẻ tấn công sẽ cần phải hoàn thành thử thách 2FA để truy cập trang Bảng điều khiển WordPress của bạn.

Chúng tôi khuyên bạn nên xem qua dịch vụ 2FA của Google và tạo một tài khoản với chúng, sau đó cài đặt và thiết lập plugin Google Authenticator WordPress của Ivan Kruchkoff.

Nếu bạn muốn được trợ giúp về cách thêm 2FA vào trang web WordPress của mình, hãy đảm bảo đọc hướng dẫn riêng của chúng tôi về Cách thiết lập và sử dụng 2FA của Google vào Trang web WordPress của bạn (liên kết).

8. Cho phép 1 hoặc 2 quản trị viên tuân theo nguyên tắc đặc quyền ít nhất

Nếu có thể, chỉ để lại một quản trị viên và hạ cấp tất cả những người khác xuống Biên tập viên, Tác giả hoặc thậm chí Người đăng ký. Trang web WordPress càng có nhiều quản trị viên thì càng có nhiều khả năng bị tấn công từ một cuộc tấn công bạo lực hoặc vi phạm chi tiết đăng nhập.

Bạn cũng có thể sử dụng plugin WP User Admin của chúng tôi để lên lịch cho người dùng hoặc nhóm người dùng mà bạn muốn chỉnh sửa vai trò người dùng của họ và đặt ngày giờ cụ thể mà bạn muốn áp dụng thay đổi này. Bạn cũng có thể đặt (những) người dùng tương tự để khôi phục vai trò người dùng ban đầu của họ theo một ngày và giờ trong tương lai.

Bằng cách này, bạn có thể đặt một người dùng làm quản trị viên trong một khung thời gian cụ thể và sau đó tự động hạ cấp họ xuống Tác giả hoặc bất kỳ vai trò người dùng ưa thích nào khác.

9. Sử dụng mật khẩu phức tạp cho tài khoản quản trị của bạn

Sử dụng mật khẩu đơn giản và dễ đoán cho tài khoản người dùng quản trị của bạn là cách nhanh nhất để trang web WordPress của bạn bị tấn công. Sử dụng mật khẩu phức tạp và nếu có thể hãy thay đổi chúng một lần trong một thời gian ngắn . Ngày nay, bạn không cần phải nhớ từng mật khẩu bạn sử dụng. Tất cả những gì bạn cần làm chỉ là cài đặt một dịch vụ quản lý mật khẩu như 1Password , lưu mật khẩu của bạn chỉ với một cú nhấp chuột và bảo vệ trang web WordPress của bạn khỏi Tin tặc.

10. Thay đổi tên người dùng quản trị mặc định và ngẫu nhiên hóa chúng

Khi bạn thiết lập một trang web WordPress mới, tên người dùng mặc định cho tài khoản quản trị của bạn là “admin” (dah!). Nếu bạn giữ tên người dùng quản trị mặc định thì bạn sẽ khiến kẻ tấn công dễ dàng xâm nhập vào Bảng điều khiển WordPress của bạn hơn ; bởi vì họ đã biết tên quản trị viên nên họ sẽ chỉ cần đoán hoặc buộc tấn công mật khẩu.

Bạn có thể tạo một tài khoản quản trị mới, sau đó đăng nhập với các chi tiết của nó và xóa tài khoản quản trị mặc định hoặc sử dụng một plugin như Cập nhật tên người dùng dễ dàng của Yogesh C. Pant và đặt tên người dùng quản trị ngẫu nhiên.

Nếu bạn muốn được trợ giúp đổi tên tên người dùng quản trị mặc định của mình, vui lòng xem hướng dẫn của chúng tôi về Cách thay đổi tên người dùng quản trị mặc định của bạn .

11. Bảo mật các tệp và cơ sở dữ liệu trang WordPress của bạn

Thực hiện các bước cần thiết để bảo mật các tệp và cơ sở dữ liệu trang WordPress của bạn . Đó là nơi chứa tất cả các cài đặt quan trọng của trang web WordPress của bạn, bao gồm các bài đăng và trang blog của bạn. Đối với điều này, bạn cần thay đổi tiền tố mặc định của nó và đảm bảo rằng mật khẩu cơ sở dữ liệu của bạn không thể dự đoán được.

Khi nói đến tệp, luôn có nguy cơ nội dung của tệp bị thay đổi hoặc các tệp độc hại được tải lên trang web của bạn. Vì vậy, những gì bạn có thể làm là chọn các plugin bảo mật như All-in-One WP Security . Bạn cũng cần phải thận trọng với quyền đối với thư mục và tệp của mình . Đảm bảo bạn đặt quyền thư mục thành ‘755’ và tệp thành ‘644’. Bằng cách này, bạn cũng có thể bảo vệ các thư mục, thư mục con và các tệp riêng lẻ. Bạn nên không cho phép chỉnh sửa tệp cho Chủ đề và Plugin mà bạn sử dụng và vô hiệu hóa danh sách thư mục. Bạn có thể làm như vậy thông qua .htaccess.

12. Cập nhật các chủ đề, plugin và các tệp lõi WordPress của bạn thường xuyên

Một trong những điều tuyệt vời về WordPress và mọi thứ liên quan đến nó là các bản cập nhật mới được tung ra thường xuyên. Đây là một tính năng tuyệt vời mà bạn có thể sử dụng để bảo vệ trang web WordPress của mình khỏi Tin tặc. Bất kể Chủ đề và (các) Plugin bạn sử dụng là gì, bạn phải đảm bảo rằng bạn cập nhật chúng thường xuyên thông qua bảng điều khiển wp-admin . Đây là nơi bạn cũng có thể tìm thấy tất cả thông tin liên quan về tình trạng của Chủ đề và Plugin mà bạn sử dụng. Bạn có thể xác định vị trí những cái nào cần được cập nhật và thậm chí bạn có thể xem những cải tiến mà chúng đi kèm.

Cập nhật Chủ đề, Plugin và lõi WordPress là bắt buộc. Mỗi bản cập nhật mới đều mang đến các bản vá bảo mật và sửa lỗi, các tính năng mới để cải thiện hiệu suất và khả năng tương thích của trang web WordPress của bạn. Các plugin và Chủ đề được cập nhật theo lịch trình không chuẩn. Đây là lý do tại sao bạn phải theo dõi các bản cập nhật mới. Bỏ qua các bản cập nhật chỉ khiến trang web WordPress của bạn gặp nguy hiểm.

Chúng tôi không thể nhấn mạnh đủ tầm quan trọng của việc cập nhật các thành phần trang web của bạn để bảo vệ trang web WordPress của bạn khỏi Tin tặc. Và mặc dù chúng tôi hiểu rằng đây có thể là một công việc khó khăn, nhưng sự thật là nó là cần thiết. Bạn luôn có thể kiểm tra chúng trên môi trường dàn dựng trước khi cập nhật chúng trên trang web trực tiếp, đặc biệt nếu bạn nghi ngờ rằng việc áp dụng các bản cập nhật mới nhất có thể khiến trang web của bạn bị hỏng và hoạt động không bình thường.

13. Chỉ giữ lại chủ đề và plugin đang hoạt động

Tốt nhất là loại bỏ các Chủ đề và Plugin mà bạn không còn sử dụng nữa . Chủ yếu là vì các tệp của những tệp đó có thể bị tin tặc sử dụng làm điểm xâm nhập tấn công . Hầu hết các trang web WordPress đều có một loạt các plugin hoạt động; quản lý và duy trì những thứ đó có thể gây khó chịu. Giữ chúng xung quanh khi chúng không hoạt động có thể ảnh hưởng đến bảo mật của trang web của bạn, chúng có thể làm nhiễu hiệu suất của nó và thực tế mà nói chúng sẽ làm lộn xộn Trang tổng quan quản trị của bạn. Họ chỉ thêm vào sự thất vọng của bạn.

14. Chỉ sử dụng các chủ đề và plugin WordPress được cập nhật thường xuyên

Chọn Chủ đề và Plugin cho trang web WordPress của bạn có thể là một nhiệm vụ khó khăn vì có vô số, có sẵn trên mạng. Đừng chọn loại có giá cả phải chăng nhất hoặc loại có nhiều tính năng . Không tải chúng từ các nguồn và trang web đáng ngờ. Thay vào đó, hãy xem xét nhu cầu của trang web của bạn, lập kế hoạch cẩn thận và bất cứ điều gì bạn chọn, hãy đảm bảo rằng bạn chỉ sử dụng Chủ đề và plugin chính thức và đáng tin cậy . Chúng đi kèm với các bản cập nhật thường xuyên và cung cấp hỗ trợ khi phát sinh sự cố kỹ thuật.

Ngoài ra, hãy kiểm tra kho lưu trữ các Chủ đề và Plugin cũ và bị bỏ rơi cũng như tránh xa chúng. Vì chúng không được cập nhật thường xuyên ( kiểm tra điểm 12 ) và không có hỗ trợ kỹ thuật để hỗ trợ bạn khi bạn gặp sự cố.

15. Áp dụng các hạn chế cho bot, một số IP và quốc gia

Một số Bots rất hữu ích (trình thu thập dữ liệu trang web hoặc chatbot). Chúng được tự động hóa và thực hiện các tác vụ lặp đi lặp lại nhanh hơn. Nhưng bot cũng có thể gây phiền toái và chúng có thể ảnh hưởng đến hiệu suất trang web của bạn . Đối với điều này, bạn cần phải điều chỉnh các quyền để bạn chặn các Bots độc hại khỏi trang web của mình . Lưu lượng truy cập Internet bot nếu không được kiểm soát, có thể gây ra một số vấn đề và các cuộc tấn công mạng. Ví dụ: các bot độc hại được biết đến là người góp phần vào các cuộc tấn công DDoS, lấy nội dung từ trang WordPress của bạn, truy cập thông tin đăng nhập của bạn và gửi thư rác . Điều tương tự cũng áp dụng cho những khách truy cập độc hại từ các quốc gia hoặc địa chỉ miền cụ thể. Chúng có thể là nguồn gửi thư rác và các cuộc tấn công độc hại.

Bạn có thể chặn bot bằng cách sử dụng một số plugin bảo mật hoặc thậm chí là một plugin chuyên dụng như Plugin Stopbadbots .

16. Theo dõi nhật ký trang web của bạn và thay đổi tệp

Theo dõi trang web WordPress của bạn giúp bạn biết rõ về tình trạng của nó và bằng cách này, bạn có thể phát hiện sớm hành vi trực tuyến đáng ngờ. Giám sát liên tục là chìa khóa để chạy một trang WordPress lành mạnh và đáng tin cậy. Nó cũng có thể thông báo cho bạn khi các thành phần hoặc tính năng nhất định không hoạt động đúng cách hoặc khi các tệp và cơ sở dữ liệu đã trải qua các thay đổi. Đặc biệt khi nói đến việc chống lại tin tặc, thời gian thực sự quan trọng và giám sát trang web tích cực có thể là một cách tuyệt vời để giúp ngăn chặn các cuộc tấn công độc hại và vi phạm dữ liệu.

17. Sao lưu trang web của bạn thường xuyên

Sao lưu là một giải pháp tiết kiệm cuộc sống . Hầu hết người dùng WordPress thực sự nhận ra tầm quan trọng của các bản sao lưu chỉ sau khi có sự cố xảy ra. Nhưng bạn không nên đợi cho đến khi thảm họa xảy ra mới nhận ra nhu cầu sao lưu trang web và dữ liệu của nó gần như hàng ngày. Vì vậy, hãy sao lưu trang web của bạn thường xuyên, ngay cả khi nó tốn nhiều thời gian. Làm như vậy có nghĩa là bạn đảm bảo rằng tất cả công việc khó khăn của bạn và dữ liệu quý giá không biến mất trong một giây. Đừng chỉ dựa vào các bản sao lưu do nhà cung cấp dịch vụ lưu trữ WordPress của bạn thực hiện. Sử dụng một trong nhiều dịch vụ và Plugin hiện có, cho phép bạn thực hiện cả sao lưu tự động và đầy đủ. Các Plugin này cho phép lập lịch sao lưu trang web của bạn, vì vậy bạn không phải chạy chúng theo cách thủ công. Tùy thuộc vào độ phức tạp và kích thước trang web của bạn, bạn có thể chọn mua các bản sao lưu tự động. Để trang web của bạn, các thành phần và dữ liệu của nó được sao lưu và an toàn.

18. Tránh sử dụng các chủ đề hoặc plugin không có giá trị

Tránh xa Chủ đề và Plugin vô hiệu. Họ có thể ít tốn kém hơn khi mua chúng, nhưng sự thật là cuối cùng thì chúng sẽ khiến bạn đắt hơn . Chúng thường được mua từ các trang web đáng ngờ và chúng có thể được tải xuống bất hợp pháp. Và mặc dù bạn có thể nhận chúng miễn phí nhưng chúng thường thiếu tính năng, hoạt động không bình thường, không nhận được bản cập nhật ( xem điểm 12 ) và bạn không có quyền truy cập vào các dịch vụ hỗ trợ. Do đó, bạn sẽ phải sử dụng một Chủ đề hoặc plugin mà mất rất nhiều công sức để duy trì và vận hành. Hơn nữa, hầu hết các Chủ đề và Plugin bị vô hiệu đều chứa nội dung bổ sung là phần mềm độc hại và được đặt ở đó bởi những tin tặc đã bẻ khóa chúng ngay từ đầu.Sử dụng các Chủ đề và Plugin đó sẽ giống như mời các tin tặc vào trang web WordPress của bạn.

19. Lưu trữ một trang web WordPress cho mỗi tài khoản

Có một số trang web WordPress trong cùng một tài khoản có một số rủi ro. Điểm nổi bật nhất trong số đó là nguy cơ một trang web bị tấn công và sau đó phần còn lại của chúng cũng bị xâm phạm . Điều gì sẽ xảy ra nếu thông tin đăng nhập tài khoản của bạn bị xâm phạm? Sau đó, bạn có thể đang phải đối mặt với một vấn đề nghiêm trọng. Điều này có thể được ngăn chặn nếu bạn đa dạng hóa tài sản của mình.

20. Xóa bất kỳ trang web dàn dựng hoặc phát triển nào trong thư mục công khai trang web của bạn

Trang web nhà phát triển và nhà phát triển là sân chơi an toàn mà trên đó bạn có thể thực hiện nhiều thay đổi và chỉnh sửa tùy thích. Bạn có thể chạy các bài kiểm tra liên tục. Bạn có thể là một người mày mò. Bạn có thể kiểm tra khả năng tương thích của Chủ đề và Plugin cũng như các bản cập nhật cốt lõi của WordPress trước khi triển khai chúng trên trang web trực tiếp của mình. Tuy nhiên, bạn phải xóa chúng khỏi thư mục công khai trên trang web của mình vì chúng có thể được thu thập bởi trình thu thập dữ liệu trang web của công cụ tìm kiếm (và đặc biệt là Google) và chúng có thể được sử dụng như một điểm vào cho tin tặc.

Tăng cường bảo mật trang web WordPress của bạn Bảo mật là một quá trình tổng thể với nhiều bước và yếu tố để bạn dành sự quan tâm . Nó xứng đáng với công sức và nỗ lực mà bạn bỏ ra. Tuy nhiên, nếu bạn không phải là một chuyên gia trong lĩnh vực WordPress, bạn nên tìm kiếm sự trợ giúp chuyên nghiệp của một chuyên gia WordPress. Họ sẽ hướng dẫn bạn chọn các thành phần phù hợp cho trang web của bạn và họ sẽ giúp bạn giải quyết các vấn đề về bảo trì và bảo mật để bạn có thể tập trung vào việc điều hành doanh nghiệp hoặc blog của mình.