10 Bí Quyết Độc Đáo để Bảo Vệ WordPress của Bạn

Buzz

Đọc tóm tắt

- Thông báo đăng nhập lỗi có thể tạo ra sự hiểu lầm cho tin tặc nếu họ nhận được thông tin tên người dùng đúng/sai.
- Bảo vệ thư mục 'wp-admin' bằng cách thêm đoạn mã vào functions.php.
- Quản lý sao lưu bằng cách chọn sao lưu toàn bộ hoặc sao lưu gia tăng.
- Phòng ngừa duyệt thư mục bằng cách thêm đoạn mã vào tệp .htaccess hoặc nginx.
- Luôn cập nhật WordPress Core & các plugin để bảo vệ trang web.
- Lựa chọn mật khẩu mạnh và sử dụng trình quản lý mật khẩu.
- Loại bỏ tài khoản quản trị 'admin' và tạo quản trị viên mới.
- Tắt chức năng XMLRPC hoặc giới hạn quyền truy cập.
- Bổ sung tiêu đề bảo mật HTTP để cải thiện bảo mật trang web.
- Đăng ký WPVulnDB để phát hiện lỗ hổng bảo mật trên trang web WordPress.

Thông báo đăng nhập lỗi có thể tạo ra sự hiểu lầm cho tin tặc nếu họ nhận được thông tin tên người dùng đúng/sai. Để tránh điều này, hãy giữ thông tin này an toàn khỏi việc đăng nhập trái phép.

Để ẩn thông báo lỗi đăng nhập, bạn chỉ cần thêm đoạn mã sau vào functions.php:

3. Bảo vệ thư mục wp-admin

Bảo vệ thư mục 'wp-admin' đồng nghĩa với việc thêm một tầng bảo vệ. Ai cố gắng truy cập các tập tin hoặc thư mục sau 'wp-admin' sẽ phải đăng nhập. Bảo vệ thư mục 'wp-admin' của bạn bằng thông tin đăng nhập và mật khẩu có thể thực hiện theo nhiều cách:
- Plugin WordPress: Sử dụng WordPress HTTP Auth.
- cPanel: Nếu hosting hỗ trợ quản trị viên cPanel, bạn có thể dễ dàng đặt bảo vệ trên bất kỳ thư mục nào thông qua giao diện đồ họa người dùng Password Protect Directories của cPanel.
- .htaccess + htpasswd: Bảo vệ thư mục bằng mật khẩu thông qua việc đặt các thư mục bạn muốn bảo vệ trong file .htaccess và .htpasswd.

4. Quản lý Sao lưu

Việc duy trì các bản sao lưu cho toàn bộ blog WordPress là một phần quan trọng để bảo vệ trang web khỏi những kẻ tấn công. Ngay cả khi mọi biện pháp an ninh đều thất bại, bạn vẫn có thể phục hồi thông qua các tệp sao lưu. Có hai loại sao lưu là Sao lưu toàn bộ và Sao lưu gia tăng.

Bản sao lưu đầy đủ sẽ bao gồm mọi thứ trong trang web như các tệp và cơ sở dữ liệu. Tuy nhiên, phương pháp này chiếm nhiều không gian và có thể tăng đột biến về sử dụng CPU và đĩa. Vì vậy, nếu nguồn lực của trang web hạn chế, nên tránh chọn sao lưu toàn bộ.

Ngược lại, bản sao lưu dữ liệu gia tăng chỉ lưu đầy đủ dữ liệu lần đầu, sau đó thêm vào các thay đổi theo thời gian. Có nhiều lựa chọn cho loại sao lưu này trong WordPress, bao gồm cả những dịch vụ trả phí như VaultPress và WP Time Capsule.

5. Phòng ngừa duyệt thư mục

Một điểm yếu bảo mật đáng kể của WordPress là khiến cho các thư mục và tệp tin trở nên lộ và dễ truy cập. Hãy kiểm tra mức độ bảo vệ của thư mục WordPress bằng cách truy cập URL https://www.domain.com/wp-includes/ từ trình duyệt. Nếu không hiển thị hoặc quay về trang chủ, đó là dấu hiệu của sự an toàn. Nhưng nếu bạn thấy màn hình như ảnh dưới đây, trang của bạn còn mở cho tin tặc.

Để ngăn chặn việc truy cập vào tất cả các thư mục, hãy thêm đoạn mã sau vào tệp .htaccess của bạn:

Nếu trang web của bạn sử dụng nginx, bạn có thể thêm vào như sau:

6. Luôn cập nhật WordPress Core & các plugin

Một trong những biện pháp hiệu quả nhất để bảo vệ trang web WordPress là đảm bảo rằng tất cả các tệp tin luôn được cập nhật đến phiên bản mới nhất. Hiện nay, WordPress đã tích hợp tính năng cập nhật tự động, đảm bảo rằng bạn hoặc nhà phát triển không tắt tính năng này.

7. Lựa chọn mật khẩu mạnh

WordPress đã tích hợp trường hỗ trợ mật khẩu mạnh như ảnh dưới đây khi tạo hoặc cập nhật mật khẩu. Hệ thống sẽ đánh giá độ mạnh của mật khẩu, bạn nên chọn một mật khẩu mạnh. Tuy nhiên, nhược điểm là có thể bạn sẽ khó nhớ toàn bộ dãy ký tự. Sử dụng một trình quản lý mật khẩu như 1Password hoặc LastPass cũng là một giải pháp khôn ngoan.

8. Loại bỏ tài khoản quản trị

Cài đặt mặc định của WordPress thường có một người quản trị có tên 'admin'. Vì lý do an ninh, tránh sử dụng tài khoản quản trị này để truy cập blog WordPress của bạn.

Một cách an toàn hơn là tạo một quản trị viên mới và xóa tài khoản 'admin' mặc định. Thực hiện theo các bước sau:
- Đăng nhập vào bảng điều khiển WordPress
- Chọn Users -> Add New
- Thêm quản trị viên mới với vai trò Administrator và chọn một mật khẩu mạnh.
- Đăng xuất khỏi WordPress, đăng nhập lại bằng quản trị viên mới của bạn.
- Chuyển đến Users
- Xóa tài khoản 'admin'

Nếu bạn đã sử dụng tài khoản 'admin' để đăng bài, hãy nhớ cập nhật tất cả các bài đăng và liên kết chúng với tài khoản người dùng mới.

9. Tắt chức năng XMLRPC

XMLRPC trong WordPress thường là mục tiêu của tin tặc. Bạn có thể vô hiệu hóa nó nếu trang web không sử dụng XMLRPC hoặc giới hạn quyền truy cập cho một số IP cụ thể khi cần thiết, ví dụ:

10. Bổ sung tiêu đề bảo mật HTTP

Thêm các tiêu đề bảo mật HTTP là một biện pháp cải thiện bảo mật cho trang web, giảm nguy cơ tấn công mạng. Các tiêu đề này sẽ được chèn vào trình duyệt để thay đổi hướng của trang web theo cách cụ thể được thiết lập trong tiêu đề. Ví dụ: X-Frame-Options giúp kiểm soát khả năng nhúng trang web vào iframe. Các loại tiêu đề khác có thể bao gồm: X-XSS-Protection, Strict-Transport-Security, X-Content-Type-Options, Content-Security-Policy, và Referrer-Policy.

Ngoài những cách trên, bạn cũng có thể đăng ký WPVulnDB để phát hiện lỗ hổng bảo mật trên trang web của bạn. WPVulnDB sẽ quét WordPress Core và các Plugins, thông báo về loại lỗ hổng, phiên bản bị ảnh hưởng và tình trạng cập nhật.

Ngoài ra, hãy tham khảo thêm về cách bảo mật đăng nhập WordPress tại đây.

Các câu hỏi thường gặp

Có cách nào để ẩn thông báo lỗi đăng nhập trên WordPress không?

Có, bạn có thể ẩn thông báo lỗi đăng nhập bằng cách thêm một đoạn mã vào file functions.php. Điều này sẽ giúp bảo vệ thông tin tài khoản khỏi sự chú ý của tin tặc và giảm rủi ro tấn công.

Bảo vệ thư mục wp-admin có cần thiết không?

Có, bảo vệ thư mục wp-admin là rất cần thiết để ngăn chặn truy cập trái phép. Bạn có thể thực hiện điều này bằng cách sử dụng plugin hoặc cPanel để thêm mật khẩu bảo vệ.

Sao lưu blog WordPress có vai trò gì trong bảo mật không?

Có, việc sao lưu blog WordPress rất quan trọng trong bảo mật. Nếu trang web bị tấn công, bạn có thể phục hồi nhanh chóng từ các bản sao lưu đã lưu trữ.

Làm thế nào để quản lý tài khoản quản trị trong WordPress an toàn hơn?

Để quản lý tài khoản quản trị an toàn hơn, bạn nên xóa tài khoản 'admin' mặc định và tạo một tài khoản quản trị viên mới với mật khẩu mạnh, đảm bảo bảo mật tốt hơn.

Có cần cập nhật WordPress và plugin thường xuyên không?

Có, việc cập nhật WordPress và các plugin thường xuyên là rất quan trọng để bảo mật trang web. Các bản cập nhật thường xuyên giúp khắc phục lỗi bảo mật và cải thiện tính năng.

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua email: [email protected]