Hướng dẫn bảo mật website wordpress tránh bị hacker dòm ngó

Chào bạn, hôm nay chúng ta sẽ bàn về chủ đề bảo mật website wordpress. Đây thật sự là 1 vấn đề luôn khiến Phú đau đầu mỗi khi nghĩ về nó. 

Khi bạn mới tạo blog với rất ít lưu lượng truy cập (traffic) thì vấn đề này chẳng là gì. Nhưng khi blog của bạn đã nhiều lưu lượng truy cập hơn và bắt đầu có những đồng tiền đầu tiên. Thì cũng là lúc sẽ có nhiều người dòm ngó hơn và cả hacker nữa. 

Chắc là bạn không muốn tất cả công sức của mình bỏ ra trong nhiều năm trời để viết blog lại đỗ sông đỗ biển đúng không nào. 

Do đó, chúng ta cần hạn chế đến mức thấp nhất rủi ro có thể xảy ra với blog của mình bằng cách sử dụng một số hướng dẫn bảo mật wordpress bên dưới nhé. 

3 Thành phần dễ bị hacked nhất wordpress 

Sẽ có rất nhiều cách để hack một website wordpress, tuy nhiên sẽ có 3 thành phần mà hacker thường nhắm tới nhất đó là.

   1. Hosting - Dịch vụ lưu trữ dữ liệu website 

Sử dụng một dịch vụ hosting chất lượng kém với hệ thống bảo mật không được tốt sẽ dễ bị tấn công hơn. 

   2. Cài theme wordpress không an toàn

Sử dụng theme không an toàn hoặc theme nulled có chứa mã độc (virus) mà bạn không hề biết. Nếu bạn không giỏi về kỹ thuật thì chắc chắn sẽ không thể biết theme mà bạn đang dùng có chứa mã độc hay không.

   3. Cài plugin wordpress không an toàn

Download và cài đặt plugin miễn phí không rõ nguồn gốc.

Vì thế, bạn nên chọn mua và sử dụng theme & plugin của các nhà cung cấp uy tín. Có thương hiệu trên thị trường tránh bị dính virus mà bạn không hề hay biết.  

Bảo mật website wordpress bằng Hosting

Hosting là nơi lưu tất cả files và nội dung website trên đó. Hosting là thành phần quan trọng nhất cần được chúng ta bảo vệ đầu tiên. Thế nên bạn cần chọn một dịch vụ cung cấp hosting uy tín để sử dụng. 

Vậy khi sử dụng một hosting chất lượng thì bạn được gì: 

• Nhà cung cấp dịch vụ hosting có trách nhiệm phải bảo mật cho dịch vụ của họ đầu tiên. Họ sẽ liên tục cập nhật công nghệ bảo mật mới cho hosting của họ.  
• Sẽ luôn có 1 bản sao lưu (back-up) để bạn sử dụng khi cần 
• Bạn sẽ được một đội hỗ trợ kỹ thuật với chuyên môn cao để giúp đỡ giải quyết những vấn đề trong quá trình sử dụng. Điều này rất quan trọng khi chúng ta mới làm quen với wordpress. 
• Cuối cùng là phải có ai đó để chúng ta còn bắt đền khi gặp sự cố chứ.

Tham khảo: Top 3 dịch vụ hosting chất lượng hiện nay

Một số website hiện nay còn dùng dịch vụ VPS để cài đặt website wordpress. Với VPS thì website sẽ bảo mật hơn nhưng bạn sẽ cần có chút kỹ năng về quản lý VPS. Còn với hosting thì việc quản lý và cài đặt website wordpress là hoàn toàn tự động. 

Bảo mật website wordpress bằng Theme

   1. Sử dụng theme bản quyền

Điều quan trọng đầu tiên chúng ta cần lưu ý khi dùng theme wordpress đó là nên sử dụng theme bản quyền (bản trả phí) từ chính nhà cung cấp theme. Khi sử dụng theme bản quyền thì bạn sẽ yên tâm hơn về vấn đề bảo mật cũng như việc được update thường xuyên khi có tính năng mới hay thay đổi từ wordpress. 

Một lưu ý nữa là bạn nên chọn những nhà cung cấp theme có thương hiệu với nhiều năm phát triển theme wordpress. Vì họ có nhiều kinh nghiệm trong việc tối ưu theme của họ. 

Không nên dùng theme nulled vì bạn sẽ không biết theme này có chứa mã độc hoặc virus hay không. Chắc là bạn không muốn một ngày đẹp trời nào đó, website đột nhiên gặp vấn đề và bạn không thể log in vào trang quản trị wordpress được nữa.

• Tham khảo: Top Theme SEO chất lượng dành cho wordpress

   2. Update theme thường xuyên

Việc thứ 2 bạn cần làm đó là luôn update theme đang sử dụng lên phiên bản mới nhất. Thông thường khi wordpress có thay đổi mới hoặc update lên phiên bản cao hơn thì bắt buộc theme của bạn đang dùng cũng phải được update để tương thích với wordpress. 

   3. Xóa theme không dùng đến

Khi bạn cài đặt theme mới cho website wordpress thì theme hiện tại bạn đang dùng sẽ dư ra. WordPress sẽ không tự động xóa theme này đi mà nó sẽ dùng nó như một theme dự phòng. 

Điều nguy hiểm là hacker có thể tấn công vào các theme này và phát tán virus. Thế nên, nếu không thật sự cần thiết thì bạn nên xóa tất cả theme này đi. 

Để xóa các theme không dùng đến bạn vào Appearance => Theme. Sau đó chọn theme cần xoá. 

   4. Tắt tính năng Edit theme và plugin 

Để an toàn hơn cho website wordpress, bạn nên tắt tính năng Edit theme và plugin của wordpress đi. Vì 2 thành phần này rất dễ bị tấn công và phát tán mã độc.

Phú đang dùng plugin A2 Optimized for wordpress để vô hiệu hoá tính năng này.

Sau khi cài đặt plugin, bạn vào A2 Optimized và kéo xuống phần Lock Editing of Plugins and Themes from the WP Admin rồi chọn Enable nó lên. 

Ngoài ra, nếu bạn đang dùng hosting của A2 hosting giống Phú thì mặc định bạn sẽ được cài đặt plugin A2 Optimized for wordpress. Plugin này sẽ bổ sung thêm rất nhiều tính năng bảo mật cho website wordpress như: 

• Block Unauthorized XML-RPC Requests: khoá tính năng XML-RPC cho phép kết nối từ xa tới WordPress mà không qua các lớp đăng nhập thông thường
• Deny Direct Access to Configuration Files and Comment Form: Không cho căn thiệp vào file cấu hình và comment form
• Lock Editing of Plugins and Themes from the WP Admin: khoá tính năng Edit file theme và plugin trên WP admin

   2. Cài Plugin thay đổi đường dẫn đăng nhập wordpress dashboard 

Mặc định wordpress sẽ dùng đường dẫn tenmiencuaban.com/admin để log in vào trang wordpress dashboard của website. 

Do đó, để bảo mật hơn chúng ta cần thay đổi chữ admin thành một cái tên khác khó phát hiện hơn. 

Để thay đổi đường link URL đăng nhập wordpress bạn cần cài plugin Rename wp-login.php. Sau đó, vào phần setting của plugin và thay đổi đường dẫn có tên Admin thành một cái tên khác theo ý của bạn.

• Lời khuyên: nên dùng tên đường dẫn link log in wordpress khó

   3. Cài Plugin giới hạn số lần đăng nhập sai

Thông thường hacker sẽ dùng bot để tự động điền thông tin và log in vào wordpress dashboard của bạn. Các con bot này sẽ tự động nhập thông tin đăng nhập cho đến khi đúng mới thôi. 

Vì vậy để hạn chế việc này, bạn nên cài plugin hạn chế số lần đăng nhập sai trên trang wordpress dashboard có tên Login Lockdown. Plugin này sẽ phát hiện ra địa chỉ IP nào liên tục log in vào website của bạn và vô hiệu hoá không cho nó đăng nhập nữa. Thời gian có thể từ 1 giờ đến vài giờ tuỳ theo bạn cài đặt. 

Bạn nên dùng kết hợp với plugin bảo mật Sucuri Security để nó tiến hành gửi email thông báo về tài khoản gmail của bạn mỗi khi có ai đó đăng nhập vào wordpress dashboard.   

   4. Cài plugin ẩn file wp-admin.php

Một mẹo nhỏ để bảo mật website wordpress hơn đó là ẩn file wp-admin.php đi. 

Bạn cần cài plugin Easy hide login. Sau đó vào mục setting của plugin để thay đổi đường dẫn URL admin của wordpress theo ý bạn muốn. 

Bảo mật website wordpress bằng wordpress

   1. Luôn Update wordpress lên phiên bản mới nhất

WordPress luôn cố gắng hoàn thiện và bảo mật hơn nền tảng của họ thông qua những bản update mới. Vì vậy, chúng ta cũng cần lưu ý và thường xuyên update wordpress của mình lên phiên bản mới nhất. 

Hãy thường xuyên vào mục Dashboard => Update để xem wordpress của bạn có bản cập nhật mới không nhé. 

   2. Tắt tính năng Edit Files trong wordpress admin 

Một tính năng bảo mật vô cùng quan trọng trên wordpress mà ít người dùng mới để ý đến đó là tính năng Edit files trong wordpress admin. 

Mặc định thì tính năng sẽ được kích hoạt để bạn có thể thay đổi file trên wordpress. Tuy nhiên nó lại tiềm ẩn nguy cơ về bảo mật cho website của bạn. Vì vậy, bạn nên khoá tính năng này lại nếu không dùng đến.

Mình thấy một số hướng dẫn tắt tính năng này đi bằng code nhưng mình lại không giỏi code nên mình dùng plugin. Phú đang dùng A2 Optimized for wordpress plugin để tắt tính năng edit files này đi.

Sau khi cài đặt plugin bạn vào A2 Optimized setting, sau đó kéo xuống phần Deny Direct Access to Configuration Files and Comment Form và chọn Enable. 

Sử dụng tên ID và password đăng nhập khó 

Một điều tối kỵ là sử dụng thông tin đơn giản để log in vào trang wordpress admin của bạn. 

Tránh dùng các tên dễ đoán hay dãy số dễ nhớ như 123456 cho password wordpress của bạn. 

Backup dữ liệu thường xuyên 

Sao lưu dữ liệu là cách an toàn nhất để bạn bảo vệ website của bạn. Bạn sẽ làm gì nếu website của bạn bị hack hoặc không thể đăng nhập. 

Bản sao lưu này sẽ giúp bạn khôi phục ngay tức thì website wordpress của mình trước thời điểm xảy ra sự cố. 

Đây thật sự là việc quan trọng nhất bạn cần phải làm hàng tuần. 

Có 2 cách để bạn back up dữ liệu website: 

• Bằng cách thủ công: mình không khuyến khích vì mất nhiều thời gian nếu website của bạn có nhiều dữ liệu.
• Bằng Plugin của wordpress

Bạn cần cài 1 trong 2 plugin này: Backupbuddy hoặc Updraftplus 

Cả 2 plugin điều có tính năng backup tự động cho website wordpress. Sau khi cài đặt plugin, bạn có thể thiết lập một lần để nó tự động backup hằng ngày, tuần và gửi file về email hoặc upload lên tài khoản Drive hay Dropbox.

Sử dụng chứng chỉ SSL cho đường dẫn website 

Hiện nay, đa phần website đều sử dụng chứng chỉ bảo mật SSL cho website của họ. 

Nếu bạn để ý thì những website như thế sẽ có địa chỉ là https thay vì http bình thường. Ngoài ra, trên đường dẫn URL sẽ có hình cái ổ khoá 

Sử dụng PHP phiên bản mới nhất 

Thông thường một phiên bản PHP sẽ được hỗ trợ từ 2-3 năm. Hiện tại, phiên bản PHP mới nhất là 7.4  

Một số hosting kém chất lượng vẫn còn dùng các phiên bản PHP cũ lỗi thời với nhiều lỗ hổng bảo mật. Do đó, để bảo mật website wordpress tốt hơn bạn cần update PHP lên phiên bản mới nhất. 

Để kiểm tra, bạn log in vào C-panel trên hosting của bạn. Trong mục Software, bạn chọn Select PHP Version để xem phiên bản PHP mà hosting của bạn đang sử dụng nhé.