Phương pháp bảo bật WordPress với Plugin bảo mật tốt nhất

|

Theo như thống kê của báo cáo an ninh mạng website thì WordPress là nền tảng quản trị nội dung bị tấn công nhiều nhất ở trên thế giới. Uớc tính có khoảng 100.000 cuộc tấn công vào Website sử dụng WordPress trong 1 phút. Để giúp bạn bảo mật Website tốt hơn, dưới đây là những phương pháp cũng như đưa ra các plugin bảo mật WordPress hiệu quả dành cho bạn.

Bảo Mật WordPress
Bảo Mật WordPress

Tại sao bảo mật WordPress quan trọng?

Tại Sao Bảo Mật WordPress Quan Trọng
Tại Sao Bảo Mật WordPress Quan Trọng

Lý do tại sao nên bảo WordPress:

  • Website WordPress bị hack gây ra thiệt hay nghiêm trọng.
    • Website WordPress bị hack gây ra thiệt hại nghiêm trọng cho doanh thu, danh tiếng của doanh nghiệp.
    • Hacker có thể đánh cắp những thông tin của người dùng, mật khẩu, cài đặt, phân phối những phần mềm mềm đôc hại.
  • Danh sách googole cập nhật Website chứa phần mềm độc hại rất lớn.
    • Vào 3/1016, Google báo có hơn 50.000 người dùng Internet được cảnh báo về Website đang truy cập có chứa phần mềm độc hại và lấy cắp thông tin.
    • Google cập nhật danh sách đen: 20.000 Website chứa phần mềm độc hại và 50.000 website lưa đảo mỗi tuần.

Vì thế Website doanh nghiệp, cá nhân thì cũng nên chú ý đến bảo mật WordPress.

Xem thêm: Plugin là gì? Các plugin cần thiết cho wordpress

Bảo mật Website trên Hosting

Bảo Mật Website Trên Hosting
Bảo Mật Website Trên Hosting

Chọn những dịch vụ Hosting uy tín

Hosting bảo mật kém là những dịch vụ sử dụng những phần mềm cũ, kém tin cậy và cũng không trang bị được những biện pháp bảo mật thật chuyên nghiệp.

Vì thế bên cạnh giá cả và tài nguyên của máy chủ mạnh thì bạn cũng cần quan tâm đến danh tiếng của nhà cung cấp Hosting.

Bảo mật WordPress là một trong những vấn đề lớn.

Phòng chống Lây nhiễm chéo trên Hosting

Trong bảo mật gọi là Cross-Site Contamination – tức lây nhiễm chéo.

Một gói hosting (hay gói VPS) có thể xem là một căn nhà mà có nhiều căn phòng, ứng với mỗi phòng sẽ chứa một Website.Vì thế mà có một website mà bị hack thì những website khác cũng hoàn toàn bị tấn công bằng cách thực thi được những lệnh PHP với quyền hạn hơn phù hợp.

Cách phòng tránh Cross-Site Contamination tốt nhất là:

  • Mỗi Website nên dùng Hosting/VPS riêng
  • Nhiều Website trên cùng một Hosting, VPS cần đảm bảo phương pháp bảo mật trên tất cả những Website.
  • Sử dụng dịch vụ bảo mật, tạo tường lửa giữa các Website trên cùng Hosting/VPS. Tốt nhất là dùng Sucuri Firewall – dịch vụ tường lửa số 1 thế giới hiện nay.
  • Tuyệt đối không giữ các Website “demo” trên Hosting sau khi không còn sử dụng, đó cũng là nguyên nhân để cho hacker xâm nhập vào.

Dùng chứng chỉ bảo mật SSL

Chứng chỉ bảo mật SSL là yêu cầu bắt buộc cho mọi Website hiện nay, không dùng SSL thì những trình duyệt sẽ cảnh báo hay chặn người dùng truy cập Website.

Giao thức bảo mật SSL cho phép mã hóa thông tin giữa trình duyệt và Server, tránh những công cuộc tấn công đánh cắp tất cả những dữ liệu trên trình duyệt người dùng như thẻ ngân hàng, thông tin đăng nhập những loại tài khoản.

Chỉ kết nối Hosting/ VPS qua giao thức bảo mật SFTP

Người dùng có thể kết nối được từ Hosting, VPS qua những giao thức truyền tải dữ liệu FTP. Nhưng giao thức FTP lại không mã hóa được dữ liệu nên rất dễ bị Hacker tấn công ăn cắp dữ liệu thông tin truy cập.

Vì thế, bất cứ khi nào mà truy cập Hosting/VPS từ xa, hãy chọn giao thức SFTP – giao thức hỗ trợ mã hóa thông tin.

Dùng mật khẩu VPS, Hosting, cPanel, FTP Account mạnh

Hacker có tên miền hay IP của Hosting thì những cuộc tấn công Brute Force Attack cũng thực hiện tương tự như dò mật khẩu Admin trên Website.

Vì thế mà tất cả những tài khoản của bạn nên dùng tên User và mật khẩu mạnh!

Sử dụng PHP phiên bản mới nhất

Hiện nay những phiên bản PHP 5 không còn có hỗ trợ chính chủ nữa.

PHP5 ra đời từ năm 2004 (tồn tại quá lâu), phiên bản cuối cùng PHP 5.6 cũng đã không còn được hỗ trợ từ tháng 12/2018. Tức là nếu những lỗ hỏng bảo mật thì bạn cũng không còn hỗ trợ và cảnh báo.

PHP version 7 ra đời, cải thiện rất nhiều hiệu năng và bảo mật so với những phiên bản cũ. Nên lưu ý là mỗi phiên bản PHP thì thường chỉ được hỗ trợ 2 năm bởi công ty chủ quản là Zend Technologies. Vì tế mà phiên bản 7.0 (released 2015) và 7.1 (2016) đến nay sẽ không còn có sự hỗ trợ toàn diện bởi Zend Tech.

Hai phiên bản 7.2 ( released 11/2017) và 7.3 (released 12/2018) đảm bảo hiệu năng và bảo mật tốt nhất.

Hầu hết tất cả những dịch vụ Hosting Cpanel cũng đã đều hỗ trợ những phiên bản mới nhất.

Những phương pháp bảo mật WordPress

Những Phương Pháp Bảo Mật WordPress
Những Phương Pháp Bảo Mật WordPress

Dùng các kỹ thuật chống Brute Force Attack & đăng nhập

Tránh dùng Username mặc định – Admin

Để cản trở sự xâm nhập bởi Hacker tấn công thì bạn có thể thay đổi Username. Trong bảng điều khiển WordPress, bạn mở users và cũng tạo mới 1 tài khoản sau đó gán quyền Administrator và đăng nhập vào tài khoản vừa được tạo.

Bạn vào phần Users → đánh dấu check vào ô bên cạnh của Admin → Nhấn chọn “Delete“.

Khi hệ thống thông báo thì bạn chọn “Attribute all posts and links to” (Thuộc tính tất cả các bài đăng và liên kết đến) → chọn tài khoản vừa tạo tại bước trên trong danh sách Dropdown.

Sử dụng đúng chuẩn mật khẩu

Dù là đơn giản nhưng nhiều người không thực hiện đúng. Đó là lựa chọn và sử dụng mật khẩu phức tạp nhưng đảm bảo bạn phải ghi nhớ nó.

Mật khẩu đúng tiêu chuẩn bao gồm:

  • Kết hợp ký tự và con số.
  • Ký tự đặc biệt.
  • Chữ hoa và chữ thường.

Sử dụng mật khẩu đúng tiêu chuẩn là cách để bạn nâng cao sự bảo mật Website hữu hiệu nhất.

Tạo lớp bảo vệ bằng mật khẩu cho trang quản trị

Tạo Lớp Bảo Vệ Bằng Mật Khẩu
Tạo Lớp Bảo Vệ Bằng Mật Khẩu

Để bảo mật WordPress thì bạn cũng có thể tạo thêm một lớp đăng nhập nữ bằng cách sử dụng những chức năng “Password Protect Directories” có trong những cPanel của những hosting thông dụng.

Cách thực hiện như sau:

  1. Đăng nhập vào cPanel của bạn. Kéo xuống dưới và tìm “Tab Files” (Tệp). Nhấp vào biểu tượng “Bảo mật thư mục” (Directory Privacy).
Chọn Bảo Mật Thư Mục Tại Cpanel
Chọn Bảo Mật Thư Mục Tại Cpanel

Sau khi nhấp vào “Bảo mật thư mục” bạn sẽ được chuyển tới trang cấu hình:

Giao Diện Khi Nhấn Vào Bảo Mật Thư Mục Tại Cpanel
Giao Diện Khi Nhấn Vào Bảo Mật Thư Mục Tại Cpanel
  1. Bạn hãy kích vào biểu tượng thư mục Public _html để duyệt đến thư mục wp-admin.
Click Vào Biểu Tượng Thư Mục Tại Cpanel
Click Vào Biểu Tượng Thư Mục Tại Cpanel
  1. Nhấn vào dòng chữ “wp-admin” để tiến hành đặt mật khẩu bảo vệ wp-admin.
Nhấn Vào Wp Admin để Tiến Hành Bảo Vệ Mật Khẩu
Nhấn Vào Wp Admin để Tiến Hành Bảo Vệ Mật Khẩu
  1. Điền những thông tin cài đặt để “Cài đặt bảo mật”.

Tại trang Cài đặt bảo mật hãy điền các thông tin cần thiết để bắt đầu cài đặt. Bạn tích vào ô “Bảo vệ thư mục này bằng mật khẩu” (Password Protect this directory)

điền Thông Tin để Cài đặt Bảo Mật Tại Cpanel
Điền Thông Tin để Cài đặt Bảo Mật Tại Cpanel

Phần tiếp theo các bạn điền thông tin dùng để đăng nhập theo ý muốn:

Nhập Thông Tin Người Dùng để Bảo Mật Tài Khoản Tại Cpanel
Nhập Thông Tin Người Dùng để Bảo Mật Tài Khoản Tại Cpanel

Nhấn vào “Lưu“.

Sau khi bấm Lưu các bạn có thể thử truy cập trang wp-admin nếu thấy xuất hiện thêm một lớp đăng nhập thứ hai nghĩa là thiết lập đã thành công.

Giao Diện Khi Bảo Vệ Bằng Mật Khẩu Cho Trang Quản Trị
Giao Diện Khi Bảo Vệ Bằng Mật Khẩu Cho Trang Quản Trị

Lock-down WP Admin Login

Nếu bạn cài đặt tính năng để giới hạn số lần nhập Password sai mỗi phiên đăng nhập, sẽ hạn chế được rất nhiều nguy cơ tấn công dò mật khẩu.

Với iThemes Security plugin bản free, bạn có thể cấu hình số lần tối đa nhập User/Pass, và thời gian Lock-Down ứng với mỗi địa chỉ IP của người dùng qua tính năng Brute Force Attack Protection!

Đổi đường dẫn đăng nhập mặc định của WordPress

Đường dẫn đăng nhập mặc định của WordPress có dạng:

  • https://themenest.vn/wp-admin/
  • https://themenest.vn/wp-login.php/

Nếu để mặc định như vậy, phần mềm dò mật khẩu sẽ tấn công ngay vào các trang trên.

Khi ta đổi đường dẫn đăng nhập khác, ví dụ:

https://themenest.vn/wp2019

Thì phần mềm brute force không thể tìm được trang đăng nhập để dò password.

Trong WordPress, plugin iThemes Security bản free cho phép chúng ta dễ dàng đổi đường dẫn đăng nhập trong tab Advanced → Hide Backend:

Đổi đường Dẫn đăng Nhập Mặc định Của WordPress
Đổi đường Dẫn đăng Nhập Mặc định Của WordPress

Một plugin miễn phí khác để đổi đường dẫn login là WPS Hide Login!

Giới Hạn Số Lần Đăng Nhập

Với thiết lập mặc định WordPress cho phép người dùng đăng nhập nhiều lần tùy thích. Điều này cũng khiến WordPress Site dễ dàng thực hiện được mục tiêu của những cuộc tấn công Brute force. Hackers có gắng bẻ khóa mật khẩu của bạn bằng cách cố gắng đăng nhập với những mật khẩu kết hợp khách nhau.

Điều này cũng có thể dễ dàng khắc phục bằng giới hạn số lần đăng nhập lỗi mà người dùng có thể thử. Nếu bạn sử dụng giải pháp web application firewall nói ở trên, thì nó sẽ tự động xử lý vấn đề này cho bạn.

Trường hợp mà bạn không cài đặt tường lửa thì cần xử lý vấn đề này bằng những bước như sau.

  1. Bạn cần cài đặt và kích hoạt “Login LockDown” plugin.
Cài đặt Plugin Login Lockdown
Cài đặt Plugin Login Lockdown
  1. Chọn “Settings” (Cài đặt) để thiết lập những lựa chọn:
  • Max login retries (Số lần đăng nhập lại tối đa): Số lần đăng nhập không thành công trong phạm vi “Giới hạn khoảng thời gian thử lại” cần thiết để kích hoạt
  • Retry Time Period Restriction (minutes) (Thử lại Giới hạn khoảng thời gian): Lượng thời gian xác định tốc độ cho phép các lần đăng nhập không thành công trước khi xảy ra LockDown.
  • Lockout Length (minutes) (Thời gian khóa): Khoảng thời gian cụ thể mà một IP bị chặn sau khi khóa được kích hoạt.
Giới Hạn Số Lần Đăng Nhập Bằng Login Lockdown Plugin
Giới Hạn Số Lần Đăng Nhập Bằng Login Lockdown Plugin

Thêm câu hỏi bảo mật vào màn hình đăng nhập WordPress

Thêm những câu hỏi bảo mật vào màn hình đăng nhập làm để nó trở nên khó khăn hơn cho một người nào đó có ý định truy cập trái phép.

Thêm Câu Hỏi Bảo Mật Vào Màn Hình đăng Nhập WordPress
Thêm Câu Hỏi Bảo Mật Vào Màn Hình đăng Nhập WordPress

Bạn có thể thêm câu hỏi bảo mật bằng những bước như sau:

  1. Cài đặt WP Security Questions plugin.
  2. Settings → Security Question để thiết lập cài đặt.

Tự động log-out user khi không hoạt động

Người dùng mà đăng nhập vào Dashboard đôi khi đi đâu đó, đều này có thể gây nguy hiểm đến bảo mật WordPress website của bạn. Một người nào đó có lợi dụng nó để chiếm quyền điều khiển, thay đổi mật khẩu, hãy thay đổi thông tin tài khoản của bạn.

Đó là lý do tại sao rất nhiều các Website ngân hàng và tài chính đều tự động đăng xuất với người dùng không hoạt động. Bạn có thể thực hiện chức năng tương tự trên trang WordPress của bạn.

Bạn thực hiện bằng những bước như sau:

  1. Cài đặt và kích hoạt “Idle User Logout” plugin.
Cài đặt Và Kích Hoạt Idle User Logout
Cài đặt Và Kích Hoạt Idle User Logout
  1. Sau khi kích hoạt, đi đến “Settings” Idle User Logout để tùy chỉnh Plugin.
  • Auto Logout Duration: Thời gian chờ.
  • Bỏ tích ở tùy chọn “Disable in WP Admin” cho tính bảo mật tốt hơn.
Tự động Log Out User Khi Không Hoạt động
Tự động Log Out User Khi Không Hoạt động

Nhấn “Save changes” để lưu lại.

Bảo mật Database

Mã hóa thông tin đăng nhập

Nguy cơ bị hack cao khi bạn truy cập vào những nơi công cộng. Vì thế mà bạn phải tăng cường Security WordPress bằng Plugin – n chap secure login với chức năng là gắn thêm được những mã hash ngẫu nhiên vào chuỗi ký tự mật khẩu. Sau đó thì bạn cũng phải tiến hành xác nhận được tính hợp pháp của tài khoản với giao thức CHAP.

Phân quyền cho File/thư mục trên Host bằng lệnh CHMOD

CHMOD (phân quyền) xem, xóa và chỉnh sửa những dữ liệu trên Hosting của bạn. Nếu CHMOD không được kỹ và an toàn thì khả năng những File nằm trên Host có thể dễ dàng chỉnh sửa bởi hacker.

Vì thế để tăng bảo mật Website và giảm thiểu nguy cơ bị tấn công, cần phải CHMOD thật tối ưu cho các File và Folder.

  • CHMOD can thiệp thay đỏi những quyền sau:
    • Read(đọc): Viết tắt là “r” và được biểu diễn bằng số 4.
    • Write (chỉnh sửa): Viết tắt là “w” và được biểu diễn bằng số 2.
    • Execute (thực thi): Viết tắt là “x” và được biểu diễn bằng số 1.
  • CHMOD thay đổi quyền hạn cho các đối tượng sau:
    • “Owner”: Chủ sở hữu của file/thư mục.
    • “Group”: nhóm mà ower là thành viên.
    • “Public / Others/ Everybody”: Những người còn lại.

Để CHMOD bạn có 2 cách.

Cách 1: Mở trình upload FTP lên, ấn chuột phải cần thư mục/tập tin cần CHMOD và chọn CHMOD.

Cách 2: Vào phần File Manager trong trang quản trị Hosting và chọn “Change Permission“.

  1. Đăng nhập vào cPanel.
Đăng Nhập Vào Cpanel
Đăng Nhập Vào Cpanel
  1. Lựa chọn mục “File Manager” như hình dưới đây và nhấn “OK” cho bất kỳ popup nào hiện ra.
Nhấn Vào Quản Trị File Tại Cpanel
Nhấn Vào Quản Trị File Tại Cpanel

Và danh sách file và thư mục hiện ra như hình dưới đây:

Danh Sách Các File
Danh Sách Các File
  1. Để CHMOD thư mục hoặc File, bạn click chuột vào tên thư mục và click chuột phải, menu như sau sẽ hiện ra:
Lựa Chọn Change Permission
Lựa Chọn Change Permission

Lựa chọn “Change permission” (Thay đổi quyền) , sau khi nhập con số tương ứng, bạn lựa chọn “Save” để lưu lại. Mặc định trong cPanel, ThemeNest khuyến cáo bạn nên để các thông số với thư mục là 755 và file là 644. Với các thông số set 777 hoặc 666, nguy cơ bảo mật có thể dẫn tới website của bạn bị tấn công hoặc mất dữ liệu.

Nếu bạn muốn lựa chọn nhiều File, giữ phím Ctrl và click chuột để chọn nhiều thư mục/file.

Cài đặt CHMOD cho những File như thế nào?

  1. File wp-config.php vì file này lưu giữ những thông tin đăng nhập vào cơ sở dữ liệu của mình. Nếu như File này bạn ít khi chỉnh sửa thì hãy CHMOD là 444 cho wp-config. Tức là những nhóm người dùng chỉ đọc chứ không chỉnh sủa hay thực thi được, kể cả chủ sở hữu. Nếu như mà muốn chỉnh sửa thì đưa về 644.
  2. Những File còn lại thì bạn cũng có thể CHMOD lầ 644 và 755 cho những folder.
  3. Tốt hơn thì hãy CHMOD Folder wp-admin, wp-includes thành 101. Để CHMOD thành 101thì bạn không thể CHMOD trên FTP được mà phải vào File Manager để làm việc này. Sau khi CHMOD thành 101, bạn đăng nhập vào FTP sẽ không thể nhìn thấy các folder đã được CHMOD, điều này đồng nghĩa bạn không thể làm gì được ngoại trừ truy cập bằng trình duyệt.
  4. CHMOD cho tất cả những File thành 400 (ngoại trừ những File trong thư mục Theme). Nếu như trong một số trường hợp máy chủ không cho phép CHMOD 400 thì bạn cũng có thể đổi thành 404.

Nếu bạn cảm thấy khó khăn trong việc CHMOD thì plugin File Permissions & Size Check sẽ giúp bạn CHMOD và theo dõi được những tập tin/thư mục dễ dàng hơn trong trang quản trị WordPress.

Sao lưu (backup) cơ sở dữ liệu thường xuyên

Sao lưu nhằm giảm thiểu khả năng bị tấn công trên WordPress. Nếu như mà bạn sao lưu dữ liệu 1 cách thường xuyên thì sau khi mà bị tấn công và mất hết những dữ liệu thì bạn phục hồi Website bằng cách phục hồi những dữ liêu đã được sao lưu.

Ngoài ra, những phương pháp này cũng sẽ giúp cho bạn phục hồi lại Blog sau khi mà bạn can thiệp chỉnh sửa liên quan đến cơ sở dữ liệu.

Bảo mật File, tập tin

“Giấu” thư mục plugins

Nếu như bạn truy cập vào thư mục theo đường dẫn: http/namewebsite.com/wp-content/plugins. Khi đó thì bạn cũng sẽ thấy được toàn bộ danh sáchPplugin của hệ thống được sử dụng.

Ẩn thư mục:

  • Tải file index.html trong tới những thư mục Plugin bằng cách: mở 1 ứng dụng chỉnh sửa text bất kỳ và sau đó lưu thành index.html.
  • Dùng chương trình FTP và tải file index.html vào thư mục /wp-content/plugins.

Vô Hiệu Hóa PHP Trong Một Vài Thư Mục WordPress

Có một cách khác nữa để tăng được bảo mật WordPress đó chính là vô hiệu hóa PHP File Execution In directories mà không cần thiết như /wp-content/uploads.

Để làm điều đó thì bạn cũng nên mở notepad lên và dán đoạn code này vào:

<Files *.php>
deny from all
</Files>

Sau đó thì bạn cũng cần lưu file dưới dạng .htaccess và upload nó vào folders /wp-content/uploads trên website của bạn bằng cách sử dụng FTP client.

Bảo mật Themes & Plugins

Tránh xa Themes và Plugins không có nguồn gốc rõ ràng

Theme và Plugin được chia sẻ ở trên những trang mạng khá nhiều. Bạn cũng có thể tìm được những theme, plugin nổi tiếng ở những trang thương mại và cũng có thể tải miễn phí.

Nhưng bạn cũng biết “Không có ai cho không ai bao giờ” nhất là những ẩn mặt, dấu tên ở trên mạng. Các Theme chia sẻ Free trên các trang đó hầu hết đều có can thiệp vào code, có thể sẽ là chỉnh sửa code để unlock tính năng – giúp bạn vượt qua khâu kiểm tra key bản quyền.

Nhược điểm của những theme và Plugin này đó là:

  • Chèn backdoor vào code: backdoor là đoạn mã thường dùng để tạo ra một user Admin khác và login vào site sau này.
  • Chèn mã độc vào code.
  • Chèn backlinks, code quảng cáo vào nội dung.
  • Nhẹ nhất: là thêm một backlinks (ví dụ dưới Footer theme The7 thay vì Design by Dream-Theme, nó sẽ là Nulled by Wplocker, hay Shared by GPLNulls….)

Lưu ý khi dùng Themes & Plugins từ WP Repository

Themes và Plugins miễn phí trên WP Repository trước khi được đăng lên cho người dùng sử dụng thì đã qua một bước quét code để dò malware bởi WordPress.org.

Nhưng mà việc quét code này cũng được thực hiện một cách tự động và chỉ có khả năng phát hiện những malware biết chứ không dò được backdoor hoặc các lỗ hổng bảo mật trên code.

Vì thế khi dùng Themes & Plugins từ WP Repository bạn cần lưu ý:

  • Themes/Plugins đó đã được cập nhật để tương thích với các bản WordPress mới nhất.
  • Số lượt kích hoạt & đánh giá (Active & Reviews) phải lớn, đáng để tin tưởng.
  • Nên xem thông tin về tác giả, website riêng, tên tuổi trên cộng đồng WordPress .

Lưu ý khi mua Themes và Plugins bản quyền

Điều sai lầm của nhiều người đó là mua theme và plugin bản quyền thì không cần có bảo mật nữa.

Đáng lo nhất là code của chúng không được nâng cấp để đáp ứng các tiêu chuẩn bảo mật mới nhất. Vì thế mà khi mua Themes và Plugins bản quyền bạn cũng nên chú ý xem xét:

  • Tác giả có update phiên bản mới thường xuyên không.
  • Xem các sản phẩm của cùng tác giả xem chúng có được update.

Tắt Theme – Plugin File Editor trong Dashboard

WordPress hỗ trợ chỉnh sửa code của Themes & Plugins bằng Editor ngay trên DashBoard. Nếu Hacker thâm nhập vào với quyền Admin, họ sẽ dễ dàng cài Malware & backdoor trực tiếp lên các File trong Theme, Plugins.

Bạn cũng có thể cài plugin bảo mật như là Themes, WordFence để tắt File Editor, nhưng nếu hack de-activate thì các plugin này thì cũng như không.

Tối ưu nhất là bạn tắt tính năng File Editor trong file cài đặt WordPress: wp-config.php.

Thêm dòng code này ngay trên đoạn “That’s all, stop editing! Happy blogging.” trong wp-config.php rồi save lại:

define('DISALLOW_FILE_EDIT', true);

Cẩn thận với các Themes và Plugins không dùng

Điều mà nhiều người sai đó là nếu De-activate một Theme, Plugin thì chúng không còn tác động gì tới Website WordPress nữa.

Tận dụng điều này những Hacker khi mà đã xâm nhập được vào WordPress, thường họ sẽ cài backdoor vào các Themes & Plugins không được kích hoạt – nhằm tránh bị phát hiện.

Những đoạn mã độc ở trên những Theme và Plugin không kích hoạt này cũng có thể được kích hoạt bởi hacker một cách dễ dàng bằng 1 đường link ở trên trình duyệt.

Vì thế, bạn nên xóa ngay những Theme và Plugin không còn sử dụng tới.

Theo dõi, cập nhật & bảo trì Website

Luôn cập nhập phiên bản mới nhất của WordPress và pluin

Theo như kỹ thuật thì những phiên bản mới nhất của WordPress cũng luôn được cập nhật những lỗ hổng mật khẩu, vì thế mà người dùng cũng nên chú ý đến những đặc điểm này.

Theo dõi nhật ký Audit

Khi chạy WordPress nhiều trang hay xử lý một trang bao gồm nhiều tác giả thì bạn cũng nên hiểu loại hoạt động người dùng nào đang diễn ra.

Ví dụ: thay đổi chủ đề và Widget rõ ràng chỉ dành riêng cho quản trị viên. Khi bạn kiểm tra nhật ký, chắc chắn rằng quản trị viên và cộng tác viên không cố gắng thay đổi điều gì đó trên Website mà không được chấp thuận.

WP Security Audit Log cung cấp một danh sách đầy đủ cho hoạt động này cùng với các thông báo email và báo cáo.

Thực hiện quy trình quét thường xuyên

Cài đặt tiện ích WP Security Scan và tiến hành quét thường xuyên nhằm phát hiện ra những lỗ hổng bảo mật trong hệ thống. Một điểm nữa cần áp dụng ở đây là thay đổi wp_thành bất tiền tùy chỉnh, nhằm tránh khỏi sự nhòm ngó của hacker.

Thường xuyên theo dõi bảo mật WordPress

Như ThemeNest đã cập nhật ở trên thì không có Plugin và Theme nào kể có mã nguồn thì cũng đều có lỗ hổng bảo mật và cũng tùy thuộc vào hacker có khai thác được chưa thôi

WordPress Outdated code nghĩa là bạn dùng WordPress, Themes, Plugin cũ.

Nguy hại ở điểm là thường có các lỗ hổng bảo mật đã được công khai trong cộng đồng WP, và nếu Hacker muốn Hack Website của bạn bằng cách khai thác lỗ hổng đó, tỉ lệ thành công là 100%.

Ngăn Chặn Brute Force Attack
Ngăn Chặn Brute Force Attack

Xóa phiên bản WordPress của bạn

Số phiên bản WordPress hiện tại có thể tìm thấy được dễ dàng. Theo cơ bản, đang hiển thị ngay trong chế độ xem nguồn Website của bạn. Bạn cũng có thể nhìn thấy nó ở dưới cùng của bảng điều khiển của bạn (nhưng điều này không thành vấn đề khi cố gắng bảo mật trang Website WordPress của bạn).

Để có cách tiếp cận thủ công hơn: Xóa số phiên bản khỏi nguồn cấp RSS. Hãy xem xét thêm chức năng sau vào File functions.php trong child Theme hoặc Theme chính của bạn:

function wpbeginner_remove_version()
{
    return "";
}
add_filter('the_gernerator', 'wpbeginner_remove_version');

Sửa lỗi trang WordPress bị hacker tấn công

Sửa Lỗi Trang WordPress Bị Hacker Tấn Công
Sửa Lỗi Trang WordPress Bị Hacker Tấn Công

Nhiều người sử dụng WordPress không nhận ra được tầm quan trọng của việc sao lưu và nhiều vấn đề bảo mật WordPress đến khi mà trang webiste của họ tấn công..

Dọn dẹp một trang Website có thể tốn rất nhiều thời gian và khó khăn. Lời khuyên của mình là bạn hãy tỏ ra sự chuyên nghiệp ngay từ bạn đầu và quan tâm đến nó. Hacker cài các backdoor gây ảnh hưởng đến site của bạn, và nếu backdoor đó không được sửa một cách đúng cách, thì trang của bạn sẽ dễ dàng bị tấn công một lần nữa.

Lựa chọn một công ty sửa chữa trang Website của bạn để bảo đảm Website bạn an toàn để sử dụng lại. Bảo vệ Website bạn trong tương lai.

5 plugin bảo mật WordPress tốt nhất5 Plugin Bảo Mật WordPress Tốt Nhất

Dưới đây Themenest sẽ giới thiệu cho bạn những Plugin có đủ khả năng bảo mật WordPress tốt cho Website của bạn.

Wordfence security

Wordfence security có hơn 2 triệu lượt tải toàn cầu, là một trong những pPugin bảo mật WordPress tốt nhất. Giúp bạn chống spam, mã độc và những mối đe dọa khác theo thời gian thực. Wordfence security bảo mật cho WordPress miễn phí và được hỗ trợ.

Các tính năng chính của Plugin bảo mật WordPress này:

  • Tường lửa ngăn chặn được những cuộc tấn công của Website – Plugin bảo mật WordPress mạnh mẽ nhất.
  • Quét an toàn và cảnh báo một cách nhanh chóng trong trường hợp có vấn đề bảo mật.
  • Tính năng bảo mật đăng nhập mạnh mẽ.
  • Cảnh báo những bảo mật mà có thể định cấu hình.
  • Nhận thông tin chi tiết về những nỗ lực về giao thông và hack.
  • Công cụ khôi phục sự cố bảo mật.

Link tải: https://wordpress.org/plugins/wordfence/

Plugin Wordfence Security
Plugin Wordfence Security

Sucuri Security

Sucuri Security cũng là plugin bảo mật WordPress mạnh mẽ mà Themenest muốn giới thiệu với bạn đọc. Với những tính năng tuyệt vời như:

  • Giám sát tường lửa toàn diện.
  • Quét được những mã độc.
  • Giám sát blacklist.
  • Kiểm soát và bảo mật những thông tin.
  • Nâng cao bảo mật.
  • Thông báo.
  • Thủ tục bảo mật sau khi hack.

Những tính năng trên Plugin bảo mật WordPress này trừ tường lửa cho Website thì đều nằm trong bản Free. Nếu như bạn đang tìm một giải pháp kinh tế bảo mật cho chính website của mình thì đây là lựa chọn hàng đầu của bạn.

Đối với những trường hợp mà Website bạn bị tấn công hay hacker thì Plugin bảo mật WordPress này hoàn toàn đáp ứng được và cho bạn những giải pháp khắc phục triệt để.

Link tải: https://wordpress.org/plugins/sucuri-scanner/

Plugin Sucuri Security
Plugin Sucuri Security

Ithemes security

Ithemes security là một sự lựa chọn nổi tiếng dành cho những người dùng làm WordPress. Plugin bảo mật WordPress này không giống như những plugin bảo mật khác, bản dùng thử không có nhiều tính năng đặc sắc nên bạn phải mua bản trả phí.

Plugin bảo mật WordPress với những tính năng sau đây sẽ xuất hiện ở bản trả phí:

  • Lên lịch quét mã độc.
  • Google reCAPTCHA.
  • Nhật ký hoạt động của người dùng.
  • Khóa bảo mật cho WordPress.
  • Tiện ích bảng điều khiển.
  • So sánh tập tin.
  • Bảo mật mật khẩu.
  • Xuất và nhập file.
  • Xác thực 2 yếu tố.

Ithemes security sẽ tự động block users đã đăng nhập thất bại quá nhiều lần. Tính năng này cũng sẽ ngăn chặn những cuộc tấn công Brute Force Attack không hề kém cạnh các Plugin bảo mật WordPress khác.

Link tải: https://wordpress.org/plugins/better-wp-security/

Plugin Ithemes Security
Plugin Ithemes Security

All in one WP security and Firewall

All in one WP security and Firewall là một Plugin bảo mật WordPress cung cấp nhiều tính năng trên nền tảng miễn phí cho người dùng. Thích hợp với những người không chuyên và những người mới bắt đầu.

Plugin bảo mật WordPress này được phân ra thành 3 nhóm: cơ bản, trung cấp và nâng cao. Giúp quét Website của bạn để tìm những lỗ hổng. Sau khi mà những lỗ hổng này được kiểm tra thì Plugin này cũng sẽ hỗ trợ những thay đổi để tăng cường cho tính bảo mật. Mọi thứ cũng được đo bằng hệ thống phân loại.

Tăng cường bảo mật spam cho phần bình luận của bạn là tính năng hàng đầu mà Plugin này cung cấp.

Plugin bảo mật WordPress này hoàn toàn được miễn phí.

Link tải: https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/

All In One Wp Security And Firewall
All In One Wp Security And Firewall

Bulletproof Security

Cũng là một trong những Plugin bảo mật WordPress phổ biến, sử dụng cho việc bảo mật trong WordPress. Plugin này dễ tải và sử dụng cũng như hoạt động chỉ sau vài cú click. Những tính năng của Plugin này cung cấp tại bản miễn phí như sau:

  • Nhật ký bảo mật.
  • Giám sát được an ninh.
  • Quét được mã độc.
  • Sao lưu được cơ sở dữ liệu.
  • Khôi phục được cơ sở dữ liệu.
  • Công cụ chống thư rác.
  • Công cụ chống hack.

Plugin bảo mật WordPress này phù hợp với những người phát triển WordPress nâng cao. Bạn hãy dùng bản miễn phí để làm quen trước giao diện trước khi bạn muốn upgrade không.

Link tải: https://wordpress.org/plugins/bulletproof-security/

Plugin Bulletproof Security
Plugin Bulletproof Security

Trên đây là những phương pháp cũng như các plugin bảo mật wordpress tuyển chọn nhằm giúp bạn bảo mật WordPress được tốt hơn. Chúng tôi tin rằng dù những nhu cầu của bạn là gì thì bạn cũng có thể tìm sự lựa chọn phù hợp với mình trong danh sách trên.

Nếu bạn có thắc mắc hay có vấn đề cần hỗ trợ, bạn có thể liên hệ trực tiếp với ThemeNest thông qua các kênh sau:

  • Hotline: 0902 170 180
  • Email: sales@themenest.vn

ThemeNest hiện đang có chương trình khuyến mãi dành cho khách hàng mua theme wordpress. ThemeNest sẽ hỗ trợ quý khách 24/24 với chất lượng theme tốt nhất!

Có tất cả 0 bình luận

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

0902 170 180