Các bài hướng dẫn

7++ Cách bảo mật website wordpress đơn giản hiệu quả

Bảo mật website nói chung và website WordPress nói riêng là một chủ đề có tầm quan trọng rất lớn đối với người lập trình cũng như chủ sở hữu. Theo thống kế của Google khoảng hơn 10.000 trang web được xuất bản mỗi ngày và khoảng hơn 50.000 vụ tấn công nhằm vào những trang web mỗi tuần.

Nếu bạn là chủ của những trang web đó thì điều cần thiết nhất là bảo mật cho nó thật nghiêm túc. Chính vì vậy hôm nay XZTHEME sẽ chia sẻ tất cả các thủ thuật bảo mật WordPress để giúp bạn bảo vệ web của mình trước những tin tặc và phần mềm độc hại

Mặc dù WordPress có cốt lõi rất an toàn do có hàng trăm nhà phát triển và kiểm tra thường xuyên. Tuy nhiên bạn cũng nên tự bảo vệ chính mìn nhờ những giải pháp mà chúng tôi cung cấp.

Trong bài viết này, chúng tôi không chỉ giảm thiểu rủi ro mà còn giúp bạn loại bỏ hoàn tòn vấn đề web bị dính mã độc ngay cả khi bạn không hiểu về công nghệ

Trước khi đi sâu vào vấn đề bảo mật chúng tôi có các ý để các bạn dễ hình dùng

  1. Khái niệm cơ bản về bảo mật web wordpress

  • Tại sao bảo mật WordPress lại cần thiết
  • Cập nhập phiên bản WordPress
  • Quyền riêng tư người dung và mật khẩu
  • Vai trò của hosting với web
  1. Bảo mật website của bạn một cách dễ dàng đơn giản (không mã hóa)

  • Giải pháp sao lưu backup dữ liệu web
  • Plugin bảo mật website tốt nhắt
  • Kích hoạt tường lửa cửa ứng dụng web (WAF)
  • Cài SSL/HTTPS cho web WordPress
  1. Bảo mật cho người dung

  • Cách thay đổi đường dẫn login mặc định của WordPress
  • Tắt chức năng editor chủ đề/plugin
  • Vô hiệu hóa các lệnh tệp PHP
  • Hạn chế spam đăng nhập
  • Thêm xác thực hai yêu tố cho wordpresss
  • Thay đổi tiền tố CSDL
  • Bảo vệ wp-admin và đăng nhập
  • Vô hiệu hóa lập chỉ mục của các file nhạy cảm
  • Vô hiệu hóa XML – RPC
  • Tự động đăng xuất khi người dung không làm việc
  • Thêm câu hỏi bảo mật khi đăng nhập vào trang quản trị WordPress
  • Quét WordPress đê tìm mã độc hoặc file có lỗ hổng
  • Sửa lỗi website khi bị hạch. Dính mã độc

Trên đây là những mục chúng tôi ghi chú ra để chúng ta dễ tìm hiểu. Bạn đã sẵn sang chưa, bắt đầu thôi nào

Khái niệm cơ bản về bảo mật website wordpress

Khi website của bạn bị hack sẽ gây ra thiệt hại nghiệm trọng cho doanh thu, thương hiệu cũng như thứ hạng. Tin tặc có thể đánh cắp mọi thông tin người dung, cài mã độc và thậm chí có thể phát tán phần mềm độc hại cho chính khách hàng của bạn.

Tính từ năm 2016, Google đã cảnh báo hơn 50 triệu trang web có thể hoặc đã bị dính phần mềm, mã độc và bị đánh căp thông tin. Mỗi tuần có hơn 50.000 vụ tin tặc tấn công và phát tán phần mềm độc hại để lừa đảo tiền

Thế nào là bảo mật website bằng wordpress?

Bảo mật WordPress là chúng ta sử dụng những phương pháp để ngăn chặn sự truy cập bất hợp pháp của hacker, người dung bẩn vào trang quản trị để thực hiện hành vi xấu.

Cập nhật wordpress để giữ website của bạn an toàn

Như các bạn đã biết WordPress là CMS, mã nguồn mở, thường xuyên được bảo trì, cập nhật để nâng cao tính bảo mật hay tối ưu nhất cho người dung, mỗi phiên bản cao hơn sẽ được phát triển Security mạnh mẽ hơn. Kèm theo đó là hàng nghìn plugin cũng được nâng cấp và phát triển để phù hợp.

Việc cập nhật phiên bản WordPress và plugin sẽ giúp bảo mật và ổn định cho trang web của bạn. Đảm bảo mã nguôn luôn vững chức trước sự tấn công của tin tặc.

Mật khẩu và quyền người dùng

Các vụ tấn công vào website chủ yêu là dựa vào yếu tố sử dụng mật khẩu quá yếu, dễ đoán, bạn hãy dùng một password thật mạnh để tránh điều đó. Không chỉ với trang quản trị mà chúng ta cần đặt mật khẩu ở hosting, tài khoản FTP, cơ sở dữ liệu, email domain. Không nên lưu mật khẩu trên trình duyệt, hay gửi mật khẩu qua mạng xã hội.

Chúng tôi biết việc đặt mật khẩu mạnh rất bất tiện cho bạn vì nó khó nhơ, nhưng vì an toàn cho trang web của bạn hãy cố gằng nhớ hoặc có thể sử dụng trình lưu trữ mật khẩu.

Để tránh rủi ro bạn không nên cấp quá nhiều quyền truy cập cho nhiều người hãy kiểm soát chức năng bình luận mặc định của wordpress.

Vai trò của hosting với web wordpress

Hosting là nơi lưu trữ toàn bộ mã nguồn của bạn, một hosting bảo mật kém sẽ gây tác hại nghiệm trọng đối với trang web của bạn, hoặc sử dụng hosting kém chất lượng sẽ bị ảnh hưởng khị ddos. Vì vậy, các bạn nên chọn nhà cung cấp hosting uy tín, không nên ham rẻ. Cứ hosting tinh chất mà dùng, hosting cũng góp vai trò quan trọng trong điểm speed của google

Bảo mật web wordpress một cách dễ dàng mà hiệu quả

Phần này rất quan trọng từ đầu đến giờ chắc hẳn các bạn luôn ngóng giải pháp bảo mật web đúng không nào. XZTHEME sẽ chia sẻ ngay sau đây:

Cài đặt giải pháp sao lưu

Sao lưu backup web là một giải pháp an toàn và giúp khôi phụ lại web của bạn. Chống lại bất kỳ sự tấn công của hacker. Hãy nhớ rằng không có gì là an toàn 100%, nếu một trang web bảo mật cao bị hack thì trang web của bạn cũng có thể bị tấn công dễ dàng.

Có rất nhiều plugin sao lưu backup wordpress miễn phí và trả phí bạn có thể sử dụng đáng tin cậy như: plugin như VaultPress hoặc UpdraftPlus 

Plugin bảo mật tốt nhất cho website của bạn

Sau khi sao lưu điều cần thiết nhất là chúng ta nên thiết lập một lớp bảo mật thật vứng chắc cho website để bảo vệ trước mọi đe dọa của tin tặc

Có hàng trăm nhà phát triển về plugin bảo mật nhưng theo đánh giá của người dùng thì sau đây là nhưng plugin tốt nhất bạn nên sử dụng

+ Sucuri Scanner .

+ Plugin Sucuri Security miễn phí

Chúng tôi sẽ giải thích một vài thông số như sau:

Khi cái đặt và kích hoạt các bạn sẽ thấy bảng điều khiển của plugin này như ảnh. Việc đầu tiên các bạn nên tạo khóa API miến phí, điều này giúp chúng ta dễ dàng sử dụng cũng như kiểm soát, kiểm tra tính toàn vẹn

Sau đó nhấn vào tab setting => Apply Hardening các tùy chọn này giúp bạn lock các khu vực nhạy cảm mà tin tặc thường nhờ vào đó để hack đây là phần miễn phí, tất nhiên phần trả phí sẽ ngon hơn một trong số đó là chức năng bật từng lửa cho web, có điều là cũng hơi chua chat các bạn có thể xem xét nâng cấp

Plugin này về vấn để bảo mật không thể bàn cãi được vì vậy các bạn nên mở từng tab để xem từng tính năng

Kích hoạt tường lửa cho web (WAF)

Các tốt nhất để bảo vệ web của bạn là hãy bảo mật thật cao trong số đó là kích hoạt tường lửa. vì nó có thể chặn tất cả các truy cập độc hại trước khi đến website của bạn

Có 2 cách kích hoạt tường lửa cho web để bạn tham khảo
  1. Tường lửa DNS hoạt động theo nguyên lí là định tuyến lưu lượng truy cập đến web chúng ta bằng cách thông qua các máy chủ proxy
  2. Kích hoạt tường lửa cho website bằng plugin

Cài đặt chứng chỉ SSH/HTTPS cho website

Các bạn có thể mua của nhà cung cấp hosting, nó không chỉ giúp bảo mật website mà còn nâng cao uy tín với google (SEO) và kích hoạt nó dễ dàng với plugin Really Simple SSL

Bảo mật WordPress cho user (DIY)

Loại bảo mật này yêu cầu bạn phải có kiến thức về mã hóa, chúng tôi sẽ dành riêng ra một bài để viết về nó các bạn hãy theo dõi để biết thông tin nhé

Thay đổi đường dẫn đăng nhập mặc định của WordPress để bảo mật web của bạn

Chúng ta cũng có 2 cách:

  1. Sử dụng plugin, một trong số plugin mạnh mẽ nhất phải kể đến WPS Hide Login

Bạn vào phần cà đặt plugin => cài mới => tìm theo tên và kích hoạt nó lên

Kế tiếp chúng ta cấu hình như sau:

Vào Setting > WPS Hide Login và làm theo ảnh bạn muốn điền gì cũng được miễn là không dấu không cách

  1. Thay đổi đường dẫn đăng nhập wordpress không dùng plugin

Ví dụ ở đây chúng tôi thay đổi đường dẫn đăng nhập wordpress là /wp-login.php thành đường dẫn khác /xztheme/login.php

Chúng ta làm như sau: Các bạn vào giao diện=> sửa giao diện => file function.php, nếu web chưa khóa tính năng chỉnh sửa, còn không các bạn mở hosting ra và tìm đến thư mục theme mở file trên và dán đoạn mã dưới đây rồi lưu lại

// Redirect đường dẫn đăng nhập ra trang chủ add_filter( ‘login_url’, ‘my_login_page’, 10, 3 ); function my_login_page( $login_url, $redirect, $force_reauth ) { return home_url( ‘/’); } // Thay đổi đường dẫn khi admin quên mật khẩu function custom_lost_password_url($lostpassword_url) { return ‘/secure/login.php?action=lostpassword’; } add_filter(‘lostpassword_url’, ‘custom_lost_password_url’, 10, 2); // Thay đổi lại đường dẫn khi admin logout add_filter( ‘logout_url’, ‘custom_logout_url’); function custom_logout_url( $login_url) { $url = str_replace( ‘wp-login’, ‘/xztheme/login’, $login_url ); return $url; }

Thay /xztheme/login bằng đường dẫn của bạn

Chưa xong đâu hãy theo dõi tiếp

Các bạn vào hosting tạo một folder “tên bạn muốn đặt” ngang hàng với wp-admin.. rồi add tiếp một file bên trong nó lấy tên login.php chép hết nội trong file wp-login.php ở thư mục root vào file vừa tạo và lưu lại => mở file logo.php thay đổi lại đường dẫn flie wp-load.php thành …/…/wp-load.php Tiếp theo là thay đổi wp-login thành  ‘/xztheme/login.php’ lưu lại là xong

Bây giờ bạn đăng nhập bằng đường dẫn cũ nó sẽ báo lỗi không tồn tại và bây giờ nó sẽ thành /xztheme/login.php

Tắt chức năng chỉnh sửa chủ đề hay chỉnh sửa plugin

Bạn có thể tham khảo bài viết: Cách tắt Trình chỉnh sửa chủ đề và plugin trong trang quản trị WordPress

Vô hiệu hóa thực thi tệp PHP đối với một số thư mục WordPres

Để tang cường tính bảo mật cho website chúng ta nên tắt thực thi tiệp với một số các thư mục không cần thiết như / wp-content / uploads /.

Rất đơn giản các bạn chỉ cần copy đoạn mã này và chèn vào file .htaccess

<Files *.php>

deny from all

</Files>

Chú ý: thông thường một số hosting họ hay ẩn flie này đi để hiện nó lên các bạn làm như sau vì dụ với Cpanel =>Manager => seting => Show Hidden Files (dotfiles) lưu lại

Hạn chế đang nhập

Các bạn có thể tham khảo plugin Login LockDown và cấu hình như ảnh ở dưới

Thêm xác thực hai yếu tố cho website của bạn

Điều này giúp website của bạn an toàn và bảo mật cao hơn

Plugin cho bạn tham khảo: Two Factor Authentication

Sau khi cài và kích hoạt các bạn cấu hình và xác thực qua số điện thoại của bạn

Ngoài ra còn có Google Authenticator, Authy và LastPass Authenticator. Vô cùng mạnh mẽ các bạn cũng nên thử

Tự động đăng xuất Người dùng khi không làm việc trong WordPress

Điều này giúp web của bạn an toàn hơn, bạn hãy tưởng tượng máy tính của bạn đang bị theo dõi bởi phần mềm gián điệp, khi chúng ta đăng nhập vào web nếu nó không tự đông đăng xuất khỏi trang quản trị rất có thể web chúng ta sẽ bị đổi mật khẩu và tiến hành tấn công

XZTHEME giới thiệu cho bạn một plugin tự động đăng xuất đó là Inactive Logout, cài đặt và kích hoạt nó lên và sài thôi

Thêm câu hỏi bảo mật vào trang đăng nhập WordPress

Răt đơn giản các bạn chỉ cần cài plugin WP Security Question và cấu hình theo hướng dẫn

Quét và tìm mã độc trong website

Để chi tiết hơn mời các bạn theo dõi tiếp phần sau