• Home
  • /
  • Blog
  • /
  • Hướng dẫn bảo mật website wordpress tránh bị hacker dòm ngó

Hướng dẫn bảo mật website wordpress tránh bị hacker dòm ngó

Chào bạn, hôm nay chúng ta sẽ bàn về chủ đề bảo mật website wordpress. Đây thật sự là 1 vấn đề luôn khiến Phú đau đầu mỗi khi nghĩ về nó. 

Khi bạn mới tạo blog với rất ít lưu lượng truy cập (traffic) thì vấn đề này chẳng là gì. Nhưng khi blog của bạn đã nhiều lưu lượng truy cập hơn và bắt đầu có những đồng tiền đầu tiên. Thì cũng là lúc sẽ có nhiều người dòm ngó hơn và cả hacker nữa. 

Chắc là bạn không muốn tất cả công sức của mình bỏ ra trong nhiều năm trời để viết blog lại đỗ sông đỗ biển đúng không nào. 

Do đó, chúng ta cần hạn chế đến mức thấp nhất rủi ro có thể xảy ra với blog của mình bằng cách sử dụng một số hướng dẫn bảo mật wordpress bên dưới nhé. 

3 Thành phần dễ bị hacked nhất wordpress 

Sẽ có rất nhiều cách để hack một website wordpress, tuy nhiên sẽ có 3 thành phần mà hacker thường nhắm tới nhất đó là.

   1. Hosting - Dịch vụ lưu trữ dữ liệu website 

Sử dụng một dịch vụ hosting chất lượng kém với hệ thống bảo mật không được tốt sẽ dễ bị tấn công hơn. 

   2. Cài theme wordpress không an toàn

Sử dụng theme không an toàn hoặc theme nulled có chứa mã độc (virus) mà bạn không hề biết. Nếu bạn không giỏi về kỹ thuật thì chắc chắn sẽ không thể biết theme mà bạn đang dùng có chứa mã độc hay không.

   3. Cài plugin wordpress không an toàn

Download và cài đặt plugin miễn phí không rõ nguồn gốc.

Vì thế, bạn nên chọn mua và sử dụng theme & plugin của các nhà cung cấp uy tín. Có thương hiệu trên thị trường tránh bị dính virus mà bạn không hề hay biết.  

Bảo mật website wordpress bằng Hosting

Hosting là nơi lưu tất cả files và nội dung website trên đó. Hosting là thành phần quan trọng nhất cần được chúng ta bảo vệ đầu tiên. Thế nên bạn cần chọn một dịch vụ cung cấp hosting uy tín để sử dụng. 

Vậy khi sử dụng một hosting chất lượng thì bạn được gì: 

  • Nhà cung cấp dịch vụ hosting có trách nhiệm phải bảo mật cho dịch vụ của họ đầu tiên. Họ sẽ liên tục cập nhật công nghệ bảo mật mới cho hosting của họ.  
  • Sẽ luôn có 1 bản sao lưu (back-up) để bạn sử dụng khi cần 
  • Bạn sẽ được một đội hỗ trợ kỹ thuật với chuyên môn cao để giúp đỡ giải quyết những vấn đề trong quá trình sử dụng. Điều này rất quan trọng khi chúng ta mới làm quen với wordpress. 
  • Cuối cùng là phải có ai đó để chúng ta còn bắt đền khi gặp sự cố chứ.

Tham khảo: Top 3 dịch vụ hosting chất lượng hiện nay

Một số website hiện nay còn dùng dịch vụ VPS để cài đặt website wordpress. Với VPS thì website sẽ bảo mật hơn nhưng bạn sẽ cần có chút kỹ năng về quản lý VPS. Còn với hosting thì việc quản lý và cài đặt website wordpress là hoàn toàn tự động. 

Bảo mật website wordpress bằng Theme

   1. Sử dụng theme bản quyền

Điều quan trọng đầu tiên chúng ta cần lưu ý khi dùng theme wordpress đó là nên sử dụng theme bản quyền (bản trả phí) từ chính nhà cung cấp theme. Khi sử dụng theme bản quyền thì bạn sẽ yên tâm hơn về vấn đề bảo mật cũng như việc được update thường xuyên khi có tính năng mới hay thay đổi từ wordpress. 

Một lưu ý nữa là bạn nên chọn những nhà cung cấp theme có thương hiệu với nhiều năm phát triển theme wordpress. Vì họ có nhiều kinh nghiệm trong việc tối ưu theme của họ. 

Không nên dùng theme nulled vì bạn sẽ không biết theme này có chứa mã độc hoặc virus hay không. Chắc là bạn không muốn một ngày đẹp trời nào đó, website đột nhiên gặp vấn đề và bạn không thể log in vào trang quản trị wordpress được nữa.

   2. Update theme thường xuyên

Việc thứ 2 bạn cần làm đó là luôn update theme đang sử dụng lên phiên bản mới nhất. Thông thường khi wordpress có thay đổi mới hoặc update lên phiên bản cao hơn thì bắt buộc theme của bạn đang dùng cũng phải được update để tương thích với wordpress. 

Lấy ví dụ: Phú đang sử dụng theme shapeshift của Thrive Theme thì họ rất thường xuyên update thêm tính năng của họ. 

   3. Xóa theme không dùng đến

Khi bạn cài đặt theme mới cho website wordpress thì theme hiện tại bạn đang dùng sẽ dư ra. WordPress sẽ không tự động xóa theme này đi mà nó sẽ dùng nó như một theme dự phòng. 

Điều nguy hiểm là hacker có thể tấn công vào các theme này và phát tán virus. Thế nên, nếu không thật sự cần thiết thì bạn nên xóa tất cả theme này đi. 

Để xóa các theme không dùng đến bạn vào Appearance => Theme. Sau đó chọn theme cần xoá. 

   4. Tắt tính năng Edit theme và plugin 

Để an toàn hơn cho website wordpress, bạn nên tắt tính năng Edit theme và plugin của wordpress đi. Vì 2 thành phần này rất dễ bị tấn công và phát tán mã độc.

Phú đang dùng plugin A2 Optimized for wordpress để vô hiệu hoá tính năng này.

Sau khi cài đặt plugin, bạn vào A2 Optimized và kéo xuống phần Lock Editing of Plugins and Themes from the WP Admin rồi chọn Enable nó lên. 

Tắt tính năng edite file theme và plugin của wordpress

Bảo mật website wordpress bằng Plugin 

   1. Cài plugin bảo mật cho wordpress 

Plugin bảo mật trên website giống như phần mềm kiểm tra virus trên máy tính vậy. 

Hiện tại có rất nhiều plugin bảo mật trên thị trường. Tuy nhiên nổi bậc nhất Phú thấy có Wordfence SecuritySucuri Security. 

Phú đang dùng plugin Sucuri Security cho blog của mình và thấy rất ổn định. Có một tính năng mình rất thích ở Sucuri Security đó là khi có ai đó log in vào trang wordpress admin thì nó sẽ tự động gửi thông báo về email cho mình biết. 

Hình bên dưới là ví dụ cho ai đó đã log in sai vào blog của mình 

email thông báo của sucuri security

Ngoài ra, nếu bạn đang dùng hosting của A2 hosting giống Phú thì mặc định bạn sẽ được cài đặt plugin A2 Optimized for wordpress. Plugin này sẽ bổ sung thêm rất nhiều tính năng bảo mật cho website wordpress như: 

  • Block Unauthorized XML-RPC Requests: khoá tính năng XML-RPC cho phép kết nối từ xa tới WordPress mà không qua các lớp đăng nhập thông thường
  • Deny Direct Access to Configuration Files and Comment Form: Không cho căn thiệp vào file cấu hình và comment form
  • Lock Editing of Plugins and Themes from the WP Admin: khoá tính năng Edit file theme và plugin trên WP admin

   2. Cài Plugin thay đổi đường dẫn đăng nhập wordpress dashboard 

Mặc định wordpress sẽ dùng đường dẫn tenmiencuaban.com/admin để log in vào trang wordpress dashboard của website. 

Do đó, để bảo mật hơn chúng ta cần thay đổi chữ admin thành một cái tên khác khó phát hiện hơn. 

Để thay đổi đường link URL đăng nhập wordpress bạn cần cài plugin Rename wp-login.php. Sau đó, vào phần setting của plugin và thay đổi đường dẫn có tên Admin thành một cái tên khác theo ý của bạn.

  • Lời khuyên: nên dùng tên đường dẫn link log in wordpress khó

   3. Cài Plugin giới hạn số lần đăng nhập sai

Thông thường hacker sẽ dùng bot để tự động điền thông tin và log in vào wordpress dashboard của bạn. Các con bot này sẽ tự động nhập thông tin đăng nhập cho đến khi đúng mới thôi. 

Vì vậy để hạn chế việc này, bạn nên cài plugin hạn chế số lần đăng nhập sai trên trang wordpress dashboard có tên Login Lockdown. Plugin này sẽ phát hiện ra địa chỉ IP nào liên tục log in vào website của bạn và vô hiệu hoá không cho nó đăng nhập nữa. Thời gian có thể từ 1 giờ đến vài giờ tuỳ theo bạn cài đặt. 

Bạn nên dùng kết hợp với plugin bảo mật Sucuri Security để nó tiến hành gửi email thông báo về tài khoản gmail của bạn mỗi khi có ai đó đăng nhập vào wordpress dashboard.   

   4. Cài plugin ẩn file wp-admin.php

Một mẹo nhỏ để bảo mật website wordpress hơn đó là ẩn file wp-admin.php đi. 

Bạn cần cài plugin Easy hide login. Sau đó vào mục setting của plugin để thay đổi đường dẫn URL admin của wordpress theo ý bạn muốn. 

Bảo mật website wordpress bằng wordpress

   1. Luôn Update wordpress lên phiên bản mới nhất

WordPress luôn cố gắng hoàn thiện và bảo mật hơn nền tảng của họ thông qua những bản update mới. Vì vậy, chúng ta cũng cần lưu ý và thường xuyên update wordpress của mình lên phiên bản mới nhất. 

Hãy thường xuyên vào mục Dashboard => Update để xem wordpress của bạn có bản cập nhật mới không nhé. 

update wordpress moi nhat

   2. Tắt tính năng Edit Files trong wordpress admin 

Một tính năng bảo mật vô cùng quan trọng trên wordpress mà ít người dùng mới để ý đến đó là tính năng Edit files trong wordpress admin. 

Mặc định thì tính năng sẽ được kích hoạt để bạn có thể thay đổi file trên wordpress. Tuy nhiên nó lại tiềm ẩn nguy cơ về bảo mật cho website của bạn. Vì vậy, bạn nên khoá tính năng này lại nếu không dùng đến.

Mình thấy một số hướng dẫn tắt tính năng này đi bằng code nhưng mình lại không giỏi code nên mình dùng plugin. Phú đang dùng A2 Optimized for wordpress plugin để tắt tính năng edit files này đi.

Sau khi cài đặt plugin bạn vào A2 Optimized setting, sau đó kéo xuống phần Deny Direct Access to Configuration Files and Comment Form và chọn Enable. 

Deny direct access to configuration files and comment form

Sử dụng tên ID và password đăng nhập khó 

Một điều tối kỵ là sử dụng thông tin đơn giản để log in vào trang wordpress admin của bạn. 

Tránh dùng các tên dễ đoán hay dãy số dễ nhớ như 123456 cho password wordpress của bạn. 

Một password tốt bao gồm: chữ thường, chữ IN HOA, số và ký tự đặc biệt (@#$%...). Những số này không nên theo một quy luật cụ thể nào hết. 

Backup dữ liệu thường xuyên 

Sao lưu dữ liệu là cách an toàn nhất để bạn bảo vệ website của bạn. Bạn sẽ làm gì nếu website của bạn bị hack hoặc không thể đăng nhập. 

Bản sao lưu này sẽ giúp bạn khôi phục ngay tức thì website wordpress của mình trước thời điểm xảy ra sự cố. 

Đây thật sự là việc quan trọng nhất bạn cần phải làm hàng tuần. 

Có 2 cách để bạn back up dữ liệu website: 

  • Bằng cách thủ công: mình không khuyến khích vì mất nhiều thời gian nếu website của bạn có nhiều dữ liệu.
  • Bằng Plugin của wordpress

Bạn cần cài 1 trong 2 plugin này: Backupbuddy hoặc Updraftplus 

Cả 2 plugin điều có tính năng backup tự động cho website wordpress. Sau khi cài đặt plugin, bạn có thể thiết lập một lần để nó tự động backup hằng ngày, tuần và gửi file về email hoặc upload lên tài khoản Drive hay Dropbox.

Sử dụng chứng chỉ SSL cho đường dẫn website 

Hiện nay, đa phần website đều sử dụng chứng chỉ bảo mật SSL cho website của họ. 

Nếu bạn để ý thì những website như thế sẽ có địa chỉ là https thay vì http bình thường. Ngoài ra, trên đường dẫn URL sẽ có hình cái ổ khoá 

Đường dẫn url có chứng chỉ ssl

Sử dụng PHP phiên bản mới nhất 

Thông thường một phiên bản PHP sẽ được hỗ trợ từ 2-3 năm. Hiện tại, phiên bản PHP mới nhất là 7.4  

Một số hosting kém chất lượng vẫn còn dùng các phiên bản PHP cũ lỗi thời với nhiều lỗ hổng bảo mật. Do đó, để bảo mật website wordpress tốt hơn bạn cần update PHP lên phiên bản mới nhất. 

Để kiểm tra, bạn log in vào C-panel trên hosting của bạn. Trong mục Software, bạn chọn Select PHP Version để xem phiên bản PHP mà hosting của bạn đang sử dụng nhé. 

a2 hosting select php version

Sử dụng bảo mật 2 lớp 

Trong một bài viết trước đó, Phú có đề cập đến vấn đề bảo mật wordpress bằng cách nhập mã code từ ứng dụng Authenticator của Google.

Cách hoạt động của nó là thông thường bạn chỉ cần nhập password một lần để đăng nhập vào wordpress dashboard. Nhưng khi cài tính năng này, wordpress sẽ yêu cầu bạn nhập thêm một mã code được cung cấp từ ứng dụng Authenticator của Google. Mã code chỉ sử dụng 1 lần duy nhất khi đăng nhập.

Đây thật sự là một tính năng rất quan trọng để bảo mật website wordpress mà Phú khuyên bạn nên làm ngay cho website của mình.     

Bạn xem bài viết hướng dẫn sử dụng bảo mật 2 lớp đó ở đây nhé

Lời kết 

Trên đây là những cách cơ bản nhất để bảo mật website wordpress mà bạn nên thực hiện ngay với website của mình. 

Hãy hạn chế đến mức thấp nhất nguy cơ bị tấn công từ bên ngoài. 

Hy vọng bài viết này giúp ích với bạn. Nếu bạn biết cách nào khác để bảo mật hơn hãy chia sẻ ý kiến của bạn ở phần comment bên dưới nhé.


Tags

Bảo mật blog wordpress, Cách bảo mật wordpress, hướng dẫn bảo mật website wordpress


Hoàng Phú

Một người yêu thích công việc viết blog toàn thời gian và tạo thu nhập thụ động trên internet. Luôn mong muốn có thể chia sẻ và giúp được nhiều bạn hơn trên blog của mình.

Bài liên quan

Hướng dẫn tạo tài khoản Binance bảo mật nhất dành cho người mới

Hướng dẫn tạo tài khoản Binance bảo mật nhất dành cho người mới

Hướng dẫn kiếm tiền với Pingo – Cách kiếm 10 triệu mỗi tháng nhẹ nhàng

Hướng dẫn kiếm tiền với Pingo – Cách kiếm 10 triệu mỗi tháng nhẹ nhàng
Top 3 hosting uy tín
Viết bình luận:

Your email address will not be published. Required fields are marked

{"email":"Email không hợp lệ ","url":"Địa chỉ chưa đúng","required":"Required field missing"}

CHUYÊN MỤC 

  • BLOG

  • TOP

  • Kiếm Tiền

  • Email Marketing

Page [tcb_pagination_current_page] of [tcb_pagination_total_pages]