Kiến thức căn bản cho người dùng WordPress
Kinh nghiệm, thủ thuật, plugins hữu ích giúp bạn nâng cao khả năng bảo mật WordPress, đảm bảo an toàn cho blog, website của mình.
Dạo gần đây có khá nhiều bạn inbox, gửi email hỏi tôi về việc WP Căn bản đang sử dụng hosting của nhà cung cấp nào, chạy web server nào, dùng những plugin gì… tại sao lại có tốc độ load nhanh đến như vậy? Vì không có thời gian để trả lời cụ thể cho từng bạn nên hôm nay tôi quyết định viết bài này để “bật mí” cho các bạn về những công nghệ mà tôi đang sử dụng trên blog WP Căn bản. Nếu bạn đang có mối quan tâm tương tự, hãy dành một chút thời gian để lướt qua bài viết nhé.
Trong bài viết lần trước, tôi đã từng hướng dẫn cho các bạn cách tối ưu plugin Contact Form 7 để tăng tốc độ load rồi phải không nào? Tuy nhiên, vấn đề mà plugin “lắm tài, nhiều tật” này gặp phải không chỉ mỗi khía cạnh tốc độ load. Một vấn nạn cũng nhức nhối không kém đó chính là spam. Nó gây ra rất nhiều phiền toái cho chủ sở hữu website khi suốt ngày phải nhận email rác. Thật may mắn, có không ít giải pháp để xử lý vấn đề này. Một trong số đó là Akismet.
Bảo mật luôn là một vấn đề quan trọng và cấp bách hàng đầu đối với các website. Trong WordPress, bạn có thể bảo mật bằng các phương pháp khác nhau, chẳng hạn như sử dụng file .htaccess, plugin… Tuy nhiên, bằng cách chỉnh sửa các thiết lập và bổ sung code vào file wp-config.php, khả năng bảo mật website của bạn sẽ trở nên mạnh mẽ hơn bao giờ hết. Ngay sau đây, tôi sẽ hướng dẫn chi tiết cho các bạn cách để làm điều đó.
Nếu bạn đang sử dụng dịch vụ WordPress Hosting server Singapore do WP Căn bản cung cấp thì chắc hẳn đã ít nhất một lần nhìn thấy thông báo yêu cầu xác nhận không phải là robot khi truy cập vào khu vực quản trị WordPress rồi phải không nào? Đây là một tính năng được phát triển bởi LiteSpeed Technologies nhằm mục đích chống brute force attack. Tuy nhiên, trong một số trường hợp, nó thực sự gây ra sự khó chịu khi bắt người dùng liên tục phải xác nhận reCAPTCHA.
Sau mấy ngày vật vã, cuối cùng tôi cũng đã viết xong ebook đầu tiên mang tên “Bảo mật WordPress toàn tập” dài 29 trang (khoảng 8300 từ), bao gồm 36 lời khuyên và thủ thuật bảo mật dành cho website WordPress, từ cơ bản đến nâng cao. Đây là những kinh nghiệm mà tôi đã tích lũy được trong nhiều năm tìm tòi và tối ưu WordPress, được tổng hợp từ nhiều nguồn khác nhau. Một số lời khuyên và thủ thuật đã từng được tôi chia sẻ trên WP Căn bản.
Trong bài viết cách đây khá lâu, tôi đã từng hướng dẫn các bạn chống DDoS cho website một cách đơn giản với CloudFlare rồi phải không nào? Tuy nhiên, những tính năng như Under Attack Mode hay Bots Fight Mode không thể duy trì thường xuyên trên website vì chúng sẽ gây ảnh hưởng đến tốc độ load web, SEO, cũng như trải nghiệm của người dùng. Vậy làm thế nào để biết website của bạn đang bị tấn công DDoS nhằm nhanh chóng kích hoạt những tính năng kể trên?
Bên cạnh những bots tốt (good bots) chẳng hạn như Google Bots, Facebook Bots, Bing Bots… có tác dụng thu thập dữ liệu từ website của bạn để hiển thị lên các kết quả tìm kiếm thì cũng có rất nhiều bots xấu (bad bots) chẳng mang lại bất cứ lợi ích gì ngoài việc tiêu tốn tài nguyên của host. Một số bots xấu có thể kể đến là AhrefsBot, SEMrushBot, MJ12Bot (Majestic), DotBot (MOZ)… do các công cụ SEO phát triển. Nếu bạn không sử dụng các công cụ SEO này thì tốt nhất là chặn chúng đi cho khỏe.
Thông thường, tính năng thông báo lỗi PHP (PHP Error Reporting) là một trong những phương pháp hữu hiệu giúp bạn nhanh chóng phát hiện ra các vấn đề về PHP đang tồn tại trên blog/ website của mình và tìm cách khắc phục. Tuy nhiên, nếu bạn để những dòng thông báo này hiển thị công khai trên blog/ website của mình, thì vô tình bạn đang vẽ đường cho tin tặc tấn công một cách dễ dàng hơn. Ví dụ như trong trường hợp dưới đây, tin tặc sẽ nhanh chóng phát hiện ra tên đăng nhập tài khoản hosting hoặc VPS của bạn.
Gần đây, CloudFlare vừa mới giới thiệu một dịch vụ mới có tên là Turnstile. Nó được kỳ vọng là một sự thay thế tuyệt vời cho Google reCAPTCHA bởi một số ưu điểm như: hoàn toàn miễn phí, tốc độ nhanh, thân thiện với người dùng (bảo mật quyền riêng tư, yêu cầu tương tác ở mức thấp nhất)… Giống như reCAPTCHA, Turnsile cũng có chức năng chính là xác minh người dùng để chống spam và brute force attack. Nếu bạn đã quá chán với những trải nghiệm mà reCAPTCHA mang lại thì đây là lúc để thử Turnstile.
Để bảo vệ website WordPress của bạn an toàn trước 99% các mối đe dọa về bảo mật, trên thực tế không quá khó. Trong suốt 10 năm làm việc trong lĩnh vực WordPress và hosting, từng xử lý mã độc, chống hack, chống DDoS… cho hàng nghìn website, tôi đã đúc rút được ra được một số kinh nghiệm khá hữu ích mà bất cứ ai cũng có thể áp dụng được. Theo đó, mỗi website nói chung và mỗi website WordPress nói riêng nên có 4 lớp bảo vệ. 4 Lớp bảo vệ đó là gì? Hãy dành ít phút để cùng WP Căn bản tìm hiểu ngay sau đây.
Bình luận mới nhất