Bảo mật blog/ website WordPress với 5 bước đơn giản

Bảo mật blog/ website WordPress của bạn với 5 bước đơn giản.

Bảo mật WordPress đang là một chủ đề nóng trong cộng đồng blogger/ webmaster hiện nay. Các cuộc tấn công BotNet xảy ra trên hàng loạt các blog/ website WordPress trong thời gian gần đây đã khiến người ta phải có một cái nhìn nghiêm túc hơn về vấn đề bảo mật. Làm thế nào để bảo vệ blog/ website của bạn an toàn trước các cuộc tấn công của tin tặc? Đó là một câu hỏi khiến nhiều blogger/ webmaster phải đau đầu để đi tìm câu trả lời. Nếu bạn đang sử dụng mã nguồn WordPress thì ngay sau đây là 5 bước đơn giản để giúp bảo mật blog/ website.

Tham khảo thêm:

• Bảo mật WordPress bằng file .htaccess
• Tùy chỉnh file wp-config.php giúp bảo mật WordPress

5 Bước để bảo mật blog/ website WordPress

Cập nhật tất cả mọi thứ

Những tập tin lỗi thời (không được cập nhật) trên blog/ website của bạn thường chứa đựng những rủi ro bảo mật tiềm tàng. Chúng có thể được sử dụng bởi tin tặc để truy cập trái phép vào backend của blog/ website. Đó là lý do tại sao việc giữ cho tất cả mọi thứ luôn cập nhật là cực kỳ quan trọng.

Và khi tôi nói tất cả mọi thứ, có nghĩa là tất cả mọi thứ liên quan đến:

• WordPress Core
• WordPress themes
• WordPress plugins

Những plugins và themes mà bạn không còn sử dụng đến nên được deactive và xóa bỏ để tránh làm chậm tốc độ load của site cũng như trở thành công cụ tiếp tay cho tin tặc. Cuối cùng, tôi khuyên bạn nên xem xét xóa bỏ các plugin không được cập nhật trong vòng 12 tháng qua.

Sao lưu mọi thứ thường xuyên

Nếu blog/ website của bạn bị hacker phá hoại (một phần hoặc hoàn toàn) thì chiêu thức phòng thủ cuối cùng mà bạn có thể sử dụng là một bản sao lưu (backup) gần đây. Điều này có nghĩa là ngay cả khi điều tồi tệ nhất xảy ra, bạn vẫn có một cái gì đó để khắc phục thiệt hại. Nếu bạn không tạo các bản sao lưu thường xuyên thì đó thực sự là một thiếu sót đáng tiếc.

Có rất nhiều giải pháp sao lưu tự động, nhưng đề nghị đầu tiên của tôi là lựa chọn một nhà cung cấp hosting có tích hợp tính năng sao lưu tự động trong dịch vụ của họ. Tính năng này thường là miễn phí và hầu hết các nhà cung cấp dịch vụ chất lượng hiện nay đều có.

Ngoài ra, các bạn còn có thể sử dụng các giải pháp bổ sung khác như VaultPress (được phát triển bởi chính những nhà sáng lập WordPress) hay Smart Backup (một giải pháp bảo mật được phân phối bởi Hostvn.net). Bạn sẽ phải bỏ ra một khoản chi phí tương đối cho các dịch vụ này, nhưng lời khuyên của tôi là không bao giờ nên tiết kiệm đối với các giải pháp sao lưu.

Thay đổi hồ sơ mặc định

Nếu bạn vẫn đang sử dụng tên đăng nhập mặc định là “admin” hay “administrator” khi cài đặt WordPress thì ngay bây giờ chính là lúc để thay đổi.

Tại sao? Bởi vì bước đầu tiên của môtk cuộc tấn công brute force là cố gắng đăng nhập với tên “admin”, sau đó thử qua một số lượng rất lớn mật khẩu để tìm ra mật khẩu đúng. Nếu bạn tạo một tên người dùng độc đáo hơn thì bạn hoàn toàn có thể chặn đứng hành động này.

Thay đổi hồ sơ (profile) và tất cả mọi thứ có khả năng liên kết với nó có vẻ là một nhiệm vụ khá khó khăn. Nhưng nó là một bước quan trọng trong việc đảm bảo sự an toàn cho blog/ website của bạn.

Tạo một mật khẩu thật độc đáo và thay đổi nó thường xuyên

Hầu hết mọi người dùng hiện nay đều có đủ thông minh để biết rằng mật khẩu của họ không nên đặt là “password”. Nhưng họ có thể không biết được rằng các cuộc tấn công brute force hoàn toàn có thể đánh sập hệ thống bảo mật blog/ website bằng cách thử kết hợp mật khẩu. Nếu mật khẩu của bạn có ý nghĩa hoặc là có thể dự đoán được bằng một cách nào đó (ví dụ như được tạo thành từ những chữ dễ nhận biết hoặc các con số) thì blog/ website của bạn sẽ phải đối mặt với rất nhiều nguy cơ.

Có ba nguyên tắc vàng mà bạn cần phải nhớ khi tạo mật khẩu:

• Nó phải là sự ngẫu nhiên và độc đáo
• Nó phải được sử dụng một lần (tức là không phải trên nhiều blog/ website cùng lúc)
• Nó phải được thay đổi định kỳ (ví dụ mỗi tháng một lần)

Nếu bạn làm theo ba nguyên tắc trên, trang web của bạn sẽ an toàn hơn rất nhiều. Nói về việc tạo ra mật khẩu thực sự ngẫu nhiên, tôi khuyên bạn nên đăng ký một tài khoản miễn phí trên LastPass để tạo và lưu trữ tất cả các mật khẩu.

Cài đặt plugin bảo mật

Có rất nhiều plugin mà bạn có thể cài đặt để tăng cường bảo mật blog/ website, chẳng hạn như:

• Acunetix Secure WordPress
• iThemes Security
• All In One WP Security & Firewall
• Advanced WordPress Security
• Sucuri Security
• Wordfence Security
• BulletProof Security

Trong đó, Wordfence Security là plugin miễn phí nhận được nhiều ý kiến đánh giá tích cực nhất. Wordfence được tích hợp một loạt các tính năng bảo mật, bao gồm:

• Tạo tường lửa
• Ngăn chặn IP độc hại, nguy hiểm
• Quét backdoor
• Quét phần mềm độc hại (malware)
• Tăng cường bảo mật đăng nhập

Mặc dù Wordfence là một plugin miễn phí và nó cũng có một phiên bản trả tiền với nhiều tùy chọn hơn. Tuy nhiên sự khác biệt giữa bản miễn phí và bản trả phí là không quá lớn.

Bạn đang sử dụng thủ thuật nào để tăng cường bảo mật cho blog/ website của mình? Hãy chia sẻ nó với chúng tôi trong khung bình luận bên dưới.

Nếu bạn thích bài viết này, hãy subscribe blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất qua email nhé. Cảm ơn rất nhiều. :)