Hướng dẫn bảo mật WordPress toàn diện

Hướng dẫn bảo mật Wordpress toàn diện

Vấn đề bảo mật cho WordPress đang ngày càng cấp thiết khi có rất nhiều cuộc tấn công nhắm vào nền tảng này. Khoảng 25% trang web trên thế giới sử dụng WordPress và từ lâu nó đã trở thành nền tảng phổ biến nhất thế giới.

Do WordPress là phần mềm mã nguồn mở nên ai cũng có thể thấy được mã nguồn và từ đó tìm ra lỗi. Hãy đảm bảo bạn đã làm tất cả các hướng dẫn dưới đây để có thể yên tâm hơn về trang WordPress của mình.bảo mật WordPress

Hướng dẫn bảo mật cho WordPress

1. Sử dụng dịch vụ hosting của nhà cung cấp đáng tin cậy

WordPress của bạn cũng chỉ là một phần mềm đang chạy trên máy tính của họ. Và nếu như máy tính đó có vấn đề về bảo mật thì có thể trang web của bạn cũng đang gặp nguy hiểm. Vì vậy, hãy chọn một nhà cung cấp hosting có uy tín. Uy tín ở đây thể hiện qua những điều nhỏ như hỗ trợ bạn nhiệt tình, cho đến biết trách nhiệm của họ ở đâu nếu như bạn gặp vấn đề. Hãy tham khảo reviews của các thành trên các diễn đàn để chọn cho mình một nhà cung cấp hosting ưng ý.

2. Cập nhật, nâng cấp WordPress, theme và các plugin khi có bản mới

Nếu phát hiện vấn đề bảo mật, WordPress sẽ đưa ra các bản cập nhật để vá lỗi. Các cuộc tấn công vào nền tảng WordPress thường xảy ra ở các phiên bản cũ, vì có lý do nào đó mà chủ trang web họ không thể cập nhật lên bản mới (thường là do vấn đề tương thích với plugins hay themes, hay điều kiện máy chủ…).

Trước kia ở các phiên bản WordPress cũ, mỗi khi xuất hiện lỗi trong CSDL MySQL, nó sẽ hiển thị thông tin lỗi đó trên trình duyệt người dùng. Và những thông tin này rất có giá trị đối với hacker. Với phiên bản hiện tại, WordPress chỉ hiển thị lỗi “Database connection error” thay vì hiển thị đầy đủ thông tin.

Vì vậy nếu có thể hãy cập nhật WordPress lên bản mới nhất.

Mình có lời khuyên là đối với các bản cập nhật lớn về tính năng (thường có số hiệu phiên bản 2.0, 3.0, 4.0,…) các bạn chưa nên cập nhật vội, vì các bản này tuy có nhiều tính năng nhưng lại có nhiều lỗi bảo mật. Hãy đợi (khoảng vài ngày) cho đến khi nó ra phiên bản 2.1, 3.1, 4.1,… để fix lỗi rồi cập nhật chưa muộn. Việc này cũng tốt khi các nhà phát triển plugin và theme có thời gian cập nhật để tương thích với bản WordPress mới.

Sau khi cài đặt plugincài đặt theme cho WordPress, bạn cũng nên cập nhật chúng thường xuyên. Hãy tránh xa các plugin và theme mà nhà phát triển đã không còn cập nhật từ lâu.

3. Giấu phiên bản WordPress đang sử dụng

Nếu bạn đang sử dụng phiên bản WordPress cũ và có lý do để không cập nhật lên bản mới thì bạn nên giấu đi thông tin phiên bản WordPress đang sử dụng. Phần lớn các theme hiện tại đã không còn hiện phiên bản WordPress đang sử dụng. Nhưng hãy chắc chắn việc này bằng cách thêm vào file functions.php (nằm trong folder theme) dòng sau:

<?php remove_action(‘wp_head’, ‘wp_generator’); ?>

Với cách này bạn nên chỉnh sửa trên child theme để các chỉnh sửa đó không bị mất khi cập nhật theme mới.

 

Sử dụng mật khẩu đăng nhập phức tạp

4. Sử dụng mật khẩu đăng nhập phức tạp

Sử dụng công cụ này để biết mức độ mạnh/yếu của mật khẩu. Hãy chọn cho mình một mật khẩu dài, vô nghĩa, lộn xộn, có ký tự đặc biệt,… Nếu khó nhớ thì bạn nên sử dụng một chương trình quản lý mật khẩu.

5. Thay đổi tên tài khoản admin mặc định

Khi cài đặt WordPress, người dùng bình thường sẽ chọn tài khoản quản trị với username mặc định là “admin”. Các cuộc tấn công brute force thường dò mật khẩu các tài khoản có username là “admin”, “administrator”. Ở trang của mình, hacker dò cả mật khẩu với username “kiem-tien” (tất nhiên là không tồn tại rồi).

Hãy sử dụng tài khoản admin, tạo một thành viên mới có username mà bạn thích, cấp quyền quản trị trang web cho tài khoản đó. Sau đó đăng nhập vào tài khoản mới, xóa tài khoản admin cũ, chọn di chuyển các bài viết của tài khoản cũ sang tài khoản mới là xong.

6. Đổi quyền truy cập file và folder (Change Permissions)

Sử dụng công cụ File Manager có trong cPanel, hoặc phần mềm FTP để kiểm tra và thay đổi quyền truy cập.

Kích phải chuột chọn Change Permissions ở file wp-config.php (nằm trong thư mục gốc WordPress) đổi thành giá trị 400 (file này chứa thông tin truy cập vào CSDL nên cần bảo mật tuyệt đối). Mỗi khi cài plugin nào mà nó đòi quyền chỉnh sửa file này thì hãy chmod lại thành giá trị 600, cài xong thì chỉnh về lại 400.

Với các file khác tốt nhất là để giá trị 644, còn folder là 755. Nếu bạn để giá trị là 777 tức là bạn đang mở cửa chào đón hacker.

7. Chặn hiển thị thư mục plugins và themes trên trình duyệt

Thử dùng trình duyệt vào địa chỉ “tenmiencuaban/wp-content/plugins/”, nếu nó hiện ra danh sách các thư mục plugins thì nghĩa là bạn đang có vấn đề bảo mật. Giấu nó bằng cách tạo 1 file .htaccess trong folder plugins với nội dung:

# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# Prevents directory listing
IndexIgnore *
# END WordPress

Làm tương tự với folder themes.

8. Sử dụng plugin bảo mật cho WordPress

Có rất nhiều plugin bảo mật cho WordPress, nổi bật nhất trong số đó là iTheme Security và Wordfence Security. Mình có viết một bài hướng dẫn cài đặt và thiết lập Wordfence Security, bạn có thể tham khảo.

9. Sử dụng dịch vụ Cloudflare

Cloudflare

Cloudflare là một dịch vụ miễn phí cung cấp các tính năng bảo mật và tăng hiệu suất cho trang web bằng hệ thống các máy chủ được đặt khắp thế giới.

Nó hoạt động như một máy chủ trung gian giữa khách truy cập và hosting, giúp truyền tải dữ liệu nhanh hơn và ngăn chặn các truy cập độc hại. Khi bạn truy cập vào trang web đó, bạn sẽ được chuyển đến một trong các máy chủ của Cloudflare thay vì máy chủ thực sự của trang web.

10. Sao lưu thường xuyên

Các giải pháp bảo mật nhằm ngăn ngừa tấn công không bao giờ là đủ. Nó chỉ có thể gây khó khăn cho các hacker. Bạn có backup trang web của bạn thường xuyên không? Lần cuối là khi nào? Nếu như ngày đẹp trời như hôm nay bạn không thể truy cập được trang web của bạn do bị hack, bạn quyết định phục hồi lại từ bản backup gần đây nhất thì công sức nhiều ngày qua của bạn coi như “đổ sông đổ bể”, mà như vậy cũng tốt hơn là mất hết toàn bộ nếu như bạn không sao lưu trang web. Vì vậy, hãy chắc chắn rằng trang web của bạn được backup thường xuyên, và tốt nhất là làm việc này hàng ngày.

Các nhà cung cấp hosting thường cũng có dịch vụ backup miễn phí, nhưng bản backup lại lưu trên cùng một máy chủ cùng với trang web của bạn, vì vậy mình khuyên không nên sử dụng dịch vụ này. Với WordPress, bạn có thể sử dụng plugin UpdraftPlus để backup tự động lên Google Drive hay Dropbox.

Chúc bạn thành công! Nếu có thêm kiến thức gì về bảo mật WordPress, hãy chia sẽ trong phần bình luận nhé!