WordPress là nền tảng quản trị nội dung lớn nhất thế giới. Nó chạy trên tới 4.5% của toàn bộ website trên thế giới Internet và đã được cài hơn 76.5 triệu lần. Thật không may là mặc dù phổ biến như vậy, theo thông từ báo cáo hack của Securi, một công ty chuyên về bảo mật. WordPress là CMS dễ bị hack nhất trên thế giới.
Để tăng thêm tính bảo mật cho website của mình các bạn có thể tham khảo một số hướng dẫn thiết lập sau đây :
Bước 1 – Cập nhật WordPress cho website
Bước đầu tiên và cũng là bước quan trọng nhất trong tất cả các bước bảo mật WordPress. Nếu muốn website sạch và không có malware bạn cần giữ cho WordPress luôn được cập nhật. Mặc dù chắc ai cũng biết điều này, nhưng thực tế chỉ có 22% bản cài WordPress chạy với phiên bản mới nhất trên thế giới, tức là có tới 78% website không an toàn, chẳng trách WordPress bị nói là CMS dễ bị hack nhất!
WordPress có thiết lập tự động cập nhật từ bản 3.7, tuy nhiên, nó chỉ hiệu quả với các cập nhật bảo mật nhỏ. Vì vậy, các cập nhật chính nên được làm thủ công. Trong trường hợp bạn không biết cách cập nhật WordPress, xem hướng dẫn tại đây
Bước 2 – Bảo mật WordPress bằng thông tin đăng nhập “thông minh”
Đừng sử dụng admin làm WordPress administrator username nhé, tất cả mọi người đều biết admin là tên mặc định rồi! Nếu đang dùng tức là bạn đang giúp hacker một tay để vào được trang quản trị dễ dàng. Việc đổi thông tin quản trị, tên đăng nhập sang một tên khác thay vì là admin là rất quan trọng hoặc tạo một tài khoản Administrator mới và xóa cái cũ. Làm các bước sau nếu bạn chọn cách sau::
- Vào WordPress Dashboard
- Chuyển tới mục Users và chọn Add New.
3. Tạo user mới và cấp quyền administrator.
4.Đăng nhập lại WordPress với thông tin mới
5.Xóa tài khoản admin cũ.
Password phức tạp cũng đóng góp một phần không nhỏ để bảo mật WordPress. Sẽ rất khó khăn để tấn công BruteForce nếu bạn có chữ thường, chữ hoa, số và ký tự đặc biệt. Nhưng công cụ như LastPass và 1Password có thể giúp tạo password phức tạp.
Bước 3 – Kích Hoạt Bảo Mật WordPress 2 Lớp
Bảo mật 2 lớp tạo thêm lần bảo mật nữa cho quá trình đăng nhập của bạn. Hầu hết được dùng cho email, tài khoản ngân hàng. Tại sao không dùng trên WordPress?
Rất đơn giản để cài trên WordPress blog. Bạn chỉ cần cài app bảo mật 2 lớp cho WordPress. Bạn có thể xem hướng dẫn chi tiết tại đây
Bước 4 – Tắt báo cáo lỗi PHP Error
Báo cáo lỗi PHP error cần được bật nếu bạn đang lập trình website và muốn mọi thứ chạy trơn tru. Tuy nhiên, hiển thị lỗi cho tất cả mọi người xem là hoàn toàn không nên, đặc biệt là khi bạn đang cần bảo mật cho WordPress.
Bạn không cần phải là lập trình viên để làm việc này trên WordPress. Nhiều nhà cung cấp hosting như Hostinger cho phép tắt báo cáo lỗi trong trang quản trị. Nếu không có, chỉ cần thêm dòng sau vào file wp-config.php. Bạn có thể dùng FTP client hoặc Quản lý File trong control panel để sửa file wp-config.php.
error_reporting(0); @ini_set(‘display_errors’, 0);
Bước 5 – Không dùng WordPress Themes null
Hãy nhớ – “Phô mát miễn phí ở trong bẫy chuột”. Chúng ta cũng có thể áp dụng câu nói đó cho nulled WordPress themes và plugins.
Có hàng ngàn nulled plugins và themes trôi nổi trên Internet. Người dùng có thể download chúng tại một số trang Warez hoặc Torrent site miễn phí. Nhưng họ không biết rằng hầu hết trong số chúng đều chứa mã độc, thậm chí trớ trêu thay là chúng nằm trong cả những plugin bảo mật WordPress, nhẹ hơn là SEO links của hacker mũ đen sẽ khiến website của bạn không bao giờ lên top nỗi. Nếu cài những bản này lên hosting, tức là website WordPress của bạn đang hoàn toàn không an toàn, và đang phơi nhiễm trước những lỗ hổng mà hacker đã tạo ra từ bên trong.
Ngừng dùng nulled plugins và themes ngay hôm nay là một trong các cách tốt nhất để bảo mật website WordPress. Nó không những vi phạm bản quyền mà còn ảnh hướng lớn đến tính bảo mật WordPress. Bạn có thể phải thanh toán nhiều tiền hơn cho lập trình viên để dọn dẹp website của bạn so với việc bỏ tiền ra mua theme hay plugin cần thiết.
Bước 6 – Quét WordPress để loại malware khỏi website WordPress
Hackers thường dùng các lỗ hổng của themes hoặc plugin để cài mã độc lên WordPress. Vì vậy, việc quét blog của bạn thường xuyên là rất quan trọng. Có rất nhiều plugin bảo mật WordPress tốt hiện nay. WordFence nổi bật nhất. Nó cho phép scan thủ công và tư động với nhiều thiết lập khác nhau. Bạn có thểm thậm chí restore files được chỉnh sửa và đã nhiễm mã độc với chỉ một vài cú click chuột. MIễn phí và mã nguồn mở, thực tế chỉ vậy thôi đã đủ để bạn cài ngay rồi phải không? Còn chờ gì nữa.
Một số plugin bảo mật WordPress tốt khác:
- BulletProof Security – không giống WordFence, BulletProof không quét các files của bạn, mà chỉ cung cấp firewall, bảo mật database, và tương tự. Ưu điểm đặc biệt nhất là nó có thể được cấu hình và cài đặt trong vài cú click.
- Sucuri Security – plugin bảo mật WordPress này sẽ bảo vệ bạn khỏi tấn công DOS, nó sẽ tạo một danh sách đen, quét website của bạn để phát hiện malware và quản lý tường lửa. Nếu phát hiện, nó sẽ thông báo qua email, Google, Norton, McAfee – các blacklist của những bộ máy này sẽ được tích hợp trong plugin này..
Bước 7 – Chuyển Website WordPress tới một hosting bảo mật hơn
Có vẻ lạ nhưng thống kê cho biết có hơn 40% website WordPress bị hack vì lỗi hổng bảo mật của trong tài khoản hosting của bạn. Chỉ cần con số này thôi đã đủ khiến bạn cân nhắc đổi hosting, và chuyển WordPress tới một hosting bảo mật hơn, Có một số yếu tố thực tế khiến bạn cân nhắc chọn hosting mới:
- Nếu là shared hosting, hãy đảm bảo tài khoản của bạn tách khỏi các tài khoản thành viên khác và không có rủi ro nào một website ảnh hưởng toàn bộ website khác trên server.
- Có chức năng backup tự động.
- Phải có tường lửa và công cụ quét virus
Bước 8 – Lưu trữ thường xuyên
Kể cả website lớn cũng có thể bị hack mỗi ngày kể cả khi thực tế chủ web đã tốn hàng nghìn đô la để gia tăng bảo mật website WordPress và cài hàng loạt plugin bảo mật WordPress.
Nếu bạn đang thực hiện theo hướng dẫn này và làm đầy đủ các bước, vẫn rất quan trọng để bạn backup WordPress website thường xuyên.
Có nhiều cách để backup, ví dụ như tải file WordPress về và xuất database ra hoặc sử dụng backup từ nhà cung cấp hosting của bạn. Có một cách khác là sử dụng WordPress Plugin. Phổ biến nhất là::
Bạn có thể backup và chuyển bacup sang dropbox qua WordPress . Backup là cách đơn giản và nhất để bảo mật cho WordPress, vì việc khôi phục từ file backup dễ hơn so với việc rà lỗi và xóa malware đi.
Bước 9 – Tắt chức năng File Editing
Như bạn biết, WordPress đã xây dựng chỉnh sửa file bên trong nhằm cho chép chỉnh sửa file gốc WordPress. Mặc dù rất tiện lợi, nhưng nó cũng có thể gây hại. Nếu hacker có quyền sử dụng vào trong dashboard của bạn, điều đầu tiên hắn nghĩ tới là FIle Editors, nhiều người dùng WordPress tắt hoàn toàn chức năng này ngay từ khi cài để tăng tính bảo mật WordPress files. Nó có thể được tắt bằng cách sửa file wp-config.php thêm vào dòng code sau:
define( 'DISALLOW_FILE_EDIT', true );
Đó là tất cả những gì bạn cần biết để tắt phần mềm chỉnh sửa file trong WordPress.
Bước 10 – Xóa Themes và Plugins không dùng
Dọn dẹp site WordPress của bạn và xóa những plugins hoặc themes không sử dụng cũng là một cách tốt để bảo mật cho WordPress. Hacker có thể quét những themes và plugins lỗi thời (kể cả plugin chính thức của WordPress) để truy cập vào trang Dashboard và upload phần mềm độc hại lên server của bạn. Bằng cách xóa plugins và themes bạn đã ngừng sử dụng (hoặc quên cập nhật) từ lâu, bạn đã giảm nguy cơ bị tấn công và giúp WordPress Site của bạn trở nên bảo mật hơn.
Bước 11 – Sử dụng .htaccess để bảo mật tốt hơn
.htaccess file được dùng để khiến các liên kết WordPress hoạt động. Không có các lệnh đúng trong .htaccess file ban sẽ gặp rất nhiều lỗi 404.
Rất nhiều người không biết .htaccess có thể tăng tính bảo mật website WordPress. Ví dụ, với .htaccess, bạn có chặn truy cập hoặc vô hiệu việc thực thi PHP trên một thư mục được chỉ định. Bên dưới là cách giúp bạn làm thế nào để dùng .htaccess để tăng tính bảo mật của WordPress.
Chặn truy cập tới trang quản trị WordPress
Dòng mã bên dưới chặn truy cập vào WordPress Administrator và chỉ cho phép một số địa chỉ IPs được chỉ định:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all allow from xx.xx.xx.xxx allow from xx.xx.xx.xxx </LIMIT>