Kiến thức căn bản cho người dùng WordPress
Kinh nghiệm, thủ thuật, plugins hữu ích giúp bạn nâng cao khả năng bảo mật WordPress, đảm bảo an toàn cho blog, website của mình.
Dạo gần đây có khá nhiều bạn inbox, gửi email hỏi tôi về việc WP Căn bản đang sử dụng hosting của nhà cung cấp nào, chạy web server nào, dùng những plugin gì… tại sao lại có tốc độ load nhanh đến như vậy? Vì không có thời gian để trả lời cụ thể cho từng bạn nên hôm nay tôi quyết định viết bài này để “bật mí” cho các bạn về những công nghệ mà tôi đang sử dụng trên blog WP Căn bản. Nếu bạn đang có mối quan tâm tương tự, hãy dành một chút thời gian để lướt qua bài viết nhé.
Để bảo vệ website WordPress của bạn an toàn trước 99% các mối đe dọa về bảo mật, trên thực tế không quá khó. Trong suốt 10 năm làm việc trong lĩnh vực WordPress và hosting, từng xử lý mã độc, chống hack, chống DDoS… cho hàng nghìn website, tôi đã đúc rút được ra được một số kinh nghiệm khá hữu ích mà bất cứ ai cũng có thể áp dụng được. Theo đó, mỗi website nói chung và mỗi website WordPress nói riêng nên có 4 lớp bảo vệ. 4 Lớp bảo vệ đó là gì? Hãy dành ít phút để cùng WP Căn bản tìm hiểu ngay sau đây.
Trong suốt nhiều năm, tôi vẫn thường lựa chọn Akismet cho việc chống spam bình luận và spam biểu mẫu liên hệ trên các website WordPress. Thành thực mà nói, Akismet làm điều này rất hiệu quả. Tuy nhiên, nó cũng có một số điểm hạn chế như: nặng, lưu nhiều dữ liệu lên database của website, xử lý dữ liệu trên server bên ngoài nên tốc độ không nhanh và mức độ an toàn của dữ liệu vẫn còn là một dấu chấm hỏi. Antispam Bee cũng tương tự, chỉ khác là nó không xử lý dữ liệu trên server bên ngoài nên vượt trội Akismet về mặt riêng tư.
Trong suốt nhiều năm trước đây, tôi đã từng sử dụng plugin Defender Security như một giải pháp bảo mật hiệu quả cho website cá nhân cũng như của khách hàng. Nó cung cấp các tính năng bảo vệ khá toàn diện (ngay cả với phiên bản miễn phí). Tuy nhiên, Defender Security có một số nhược điểm như có quá nhiều quảng cáo up-sale, ảnh hưởng khá nhiều đến tốc độ load web… Đó là lý do tôi quyết định tự phát triển plugin bảo mật của riêng mình với các ưu tiên hàng đầu là nhanh, nhẹ và hiệu quả.
HSTS – viết tắt của HTTP Strict Transport Security – là một tính năng bảo mật cho phép website thông báo cho các trình duyệt chỉ nên giao tiếp bằng giao thức HTTPS an toàn thay vì HTTP. Bằng cách thêm một lá cờ (flag) vào phần header mà trình duyệt web nhận được khi gửi yêu cầu tới máy chủ, HSTS đảm bảo rằng tất cả kết nối sau đó tới một website được mã hóa bằng giao thức HTTPS và ngăn chặn hacker sử dụng chứng chỉ số không hợp lệ.
Nếu bạn không chỉnh sửa mục Admin Username trong khi cài đặt WordPress bằng Softaculous thì tên đăng nhập WordPress của bạn mặc định sẽ là “admin”. Nhiều người cũng có thói quen này, ngay cả khi cài đặt WordPress theo phương pháp thủ công. Nghĩa là bạn có thể truy cập bảng điều khiển WordPress của mình với tên người dùng là “admin”, rất dễ nhớ. Nhưng vấn đề là tất cả các tin tặc đều biết “admin” là tên tài khoản quản trị mặc định của WordPress.
Brute Force Attacks (BFA) là một trong những phương thức tấn công phổ biến nhất hiện nay, không chỉ với WordPress mà còn rất nhiều mã nguồn khác. Nguyên tắc hoạt động của BFA chính là thử tất cả các chuỗi mật khẩu bất kỳ để tìm ra mật khẩu chính xác. Dựa vào nguyên tắc này, bạn có thể ngăn chặn BFA một cách đơn giản thông qua việc giới hạn số lần đăng nhập thất bại. Trong WordPress, có một plugin rất nổi tiếng thường được đính kèm trong các dich vụ cài đặt tự động chính là Limit Login Attempts.
Trong các bài viết trước đây, tôi đã từng hướng dẫn cho các bạn cách đổi link đăng nhập WordPress và giới hạn số lần đăng nhập thất bại để chống brute force attack rồi phải không nào? Tuy nhiên, sẽ thế nào nếu hacker đoán ra cả link lẫn mật khẩu đăng nhập của bạn? Chốt chặn cuối cùng có thể giúp bạn ngăn chặn họ truy cập vào WordPress Admin chính là bảo mật 2 bước hay còn được gọi là two factor authentication.
Bên cạnh những bots tốt (good bots) chẳng hạn như Google Bots, Facebook Bots, Bing Bots… có tác dụng thu thập dữ liệu từ website của bạn để hiển thị lên các kết quả tìm kiếm thì cũng có rất nhiều bots xấu (bad bots) chẳng mang lại bất cứ lợi ích gì ngoài việc tiêu tốn tài nguyên của host. Một số bots xấu có thể kể đến là AhrefsBot, SEMrushBot, MJ12Bot (Majestic), DotBot (MOZ)… do các công cụ SEO phát triển. Nếu bạn không sử dụng các công cụ SEO này thì tốt nhất là chặn chúng đi cho khỏe.
WordPress có một tập tin đăng nhập mặc định gọi là wp-login.php. Thông qua đó, người dùng có thể truy cập vào bảng điều khiển và quản lý tất cả mọi thứ. Với số lượng ngày càng tăng của các cuộc tấn công brute force vào các trang web WordPress trong thời gian gần đây, người dùng thường được đề xuất việc thay đổi link đăng nhập mặc định. Theo đó, thay vì đăng nhập vào trang web của bạn bằng cách sử dụng đường dẫn /wp-login.php hoặc /wp-admin/, giờ đây bạn sẽ có một đường dẫn mới, ví dụ như /mylogin chẳng hạn.
Bình luận mới nhất