WP Căn bản

Kiến thức căn bản cho người dùng WordPress

wordpress-theme-tot-nhat

Trang chủ » WordPress » Thủ thuật WordPress » Bảo mật blog/ website WordPress với 5 bước đơn giản

Bảo mật blog/ website WordPress với 5 bước đơn giản

16 Bình luận

Bảo mật blog/ website WordPress của bạn với 5 bước đơn giản.

5-buoc-don-gian-de-bao-mat-wordpress

Bảo mật WordPress đang là một chủ đề nóng trong cộng đồng blogger/ webmaster hiện nay. Các cuộc tấn công BotNet xảy ra trên hàng loạt các blog/ website WordPress trong thời gian gần đây đã khiến người ta phải có một cái nhìn nghiêm túc hơn về vấn đề bảo mật. Làm thế nào để bảo vệ blog/ website của bạn an toàn trước các cuộc tấn công của tin tặc? Đó là một câu hỏi khiến nhiều blogger/ webmaster phải đau đầu để đi tìm câu trả lời. Nếu bạn đang sử dụng mã nguồn WordPress thì ngay sau đây là 5 bước đơn giản để giúp bảo mật blog/ website.

Tham khảo thêm:

5 Bước để bảo mật blog/ website WordPress

Cập nhật tất cả mọi thứ

Những tập tin lỗi thời (không được cập nhật) trên blog/ website của bạn thường chứa đựng những rủi ro bảo mật tiềm tàng. Chúng có thể được sử dụng bởi tin tặc để truy cập trái phép vào backend của blog/ website. Đó là lý do tại sao việc giữ cho tất cả mọi thứ luôn cập nhật là cực kỳ quan trọng.

Và khi tôi nói tất cả mọi thứ, có nghĩa là tất cả mọi thứ liên quan đến:

Những plugins và themes mà bạn không còn sử dụng đến nên được deactive và xóa bỏ để tránh làm chậm tốc độ load của site cũng như trở thành công cụ tiếp tay cho tin tặc. Cuối cùng, tôi khuyên bạn nên xem xét xóa bỏ các plugin không được cập nhật trong vòng 12 tháng qua.

Sao lưu mọi thứ thường xuyên

Nếu blog/ website của bạn bị hacker phá hoại (một phần hoặc hoàn toàn) thì chiêu thức phòng thủ cuối cùng mà bạn có thể sử dụng là một bản sao lưu (backup) gần đây. Điều này có nghĩa là ngay cả khi điều tồi tệ nhất xảy ra, bạn vẫn có một cái gì đó để khắc phục thiệt hại. Nếu bạn không tạo các bản sao lưu thường xuyên thì đó thực sự là một thiếu sót đáng tiếc.

Có rất nhiều giải pháp sao lưu tự động, nhưng đề nghị đầu tiên của tôi là lựa chọn một nhà cung cấp hosting có tích hợp tính năng sao lưu tự động trong dịch vụ của họ. Tính năng này thường là miễn phí và hầu hết các nhà cung cấp dịch vụ chất lượng hiện nay đều có.

Ngoài ra, các bạn còn có thể sử dụng các giải pháp bổ sung khác như VaultPress (được phát triển bởi chính những nhà sáng lập WordPress) hay Smart Backup (một giải pháp bảo mật được phân phối bởi Hostvn.net). Bạn sẽ phải bỏ ra một khoản chi phí tương đối cho các dịch vụ này, nhưng lời khuyên của tôi là không bao giờ nên tiết kiệm đối với các giải pháp sao lưu.

Thay đổi hồ sơ mặc định

Nếu bạn vẫn đang sử dụng tên đăng nhập mặc định là “admin” hay “administrator” khi cài đặt WordPress thì ngay bây giờ chính là lúc để thay đổi.

Tại sao? Bởi vì bước đầu tiên của môtk cuộc tấn công brute force là cố gắng đăng nhập với tên “admin”, sau đó thử qua một số lượng rất lớn mật khẩu để tìm ra mật khẩu đúng. Nếu bạn tạo một tên người dùng độc đáo hơn thì bạn hoàn toàn có thể chặn đứng hành động này.

Thay đổi hồ sơ (profile) và tất cả mọi thứ có khả năng liên kết với nó có vẻ là một nhiệm vụ khá khó khăn. Nhưng nó là một bước quan trọng trong việc đảm bảo sự an toàn cho blog/ website của bạn.

Tạo một mật khẩu thật độc đáo và thay đổi nó thường xuyên

Hầu hết mọi người dùng hiện nay đều có đủ thông minh để biết rằng mật khẩu của họ không nên đặt là “password”. Nhưng họ có thể không biết được rằng các cuộc tấn công brute force hoàn toàn có thể đánh sập hệ thống bảo mật blog/ website bằng cách thử kết hợp mật khẩu. Nếu mật khẩu của bạn có ý nghĩa hoặc là có thể dự đoán được bằng một cách nào đó (ví dụ như được tạo thành từ những chữ dễ nhận biết hoặc các con số) thì blog/ website của bạn sẽ phải đối mặt với rất nhiều nguy cơ.

Có ba nguyên tắc vàng mà bạn cần phải nhớ khi tạo mật khẩu:

  • Nó phải là sự ngẫu nhiên và độc đáo
  • Nó phải được sử dụng một lần (tức là không phải trên nhiều blog/ website cùng lúc)
  • Nó phải được thay đổi định kỳ (ví dụ mỗi tháng một lần)

Nếu bạn làm theo ba nguyên tắc trên, trang web của bạn sẽ an toàn hơn rất nhiều. Nói về việc tạo ra mật khẩu thực sự ngẫu nhiên, tôi khuyên bạn nên đăng ký một tài khoản miễn phí trên LastPass để tạo và lưu trữ tất cả các mật khẩu.

Cài đặt plugin bảo mật

Có rất nhiều plugin mà bạn có thể cài đặt để tăng cường bảo mật blog/ website, chẳng hạn như:

Trong đó, Wordfence Security là plugin miễn phí nhận được nhiều ý kiến đánh giá tích cực nhất. Wordfence được tích hợp một loạt các tính năng bảo mật, bao gồm:

  • Tạo tường lửa
  • Ngăn chặn IP độc hại, nguy hiểm
  • Quét backdoor
  • Quét phần mềm độc hại (malware)
  • Tăng cường bảo mật đăng nhập

Mặc dù Wordfence là một plugin miễn phí và nó cũng có một phiên bản trả tiền với nhiều tùy chọn hơn. Tuy nhiên sự khác biệt giữa bản miễn phí và bản trả phí là không quá lớn.

Bạn đang sử dụng thủ thuật nào để tăng cường bảo mật cho blog/ website của mình? Hãy chia sẻ nó với chúng tôi trong khung bình luận bên dưới.

Nếu bạn thích bài viết này, hãy subscribe blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất qua email nhé. Cảm ơn rất nhiều. :)

Bài viết liên quan

tao-tai-khoan-dang-nhap-tam-thoi
Tạo tài khoản đăng nhập tạm thời trong WordPress
vo-hieu-hoa-recaptcha-tren-web-server-litespeed
Vô hiệu hóa reCAPTCHA của web server LiteSpeed
easy-wp-smtp-dinh-loi-bao-mat-nghiem-trong
Easy WP SMTP dính lỗi bảo mật nghiêm trọng, update ngay

Nói về Trung Hiếu

Một người con của xứ Nghệ, hiện đang sinh sống tại Hà Nội. Theo dõi tôi trên Facebook để cập nhật những tin tức mới nhất liên quan đến WordPress nhé.

Reader Interactions

Bình luận

    Trả lời

    Lưu ý:
    > Không sử dụng từ khóa trong mục "Tên".
    > Hãy sử dụng tên thật và địa chỉ email chính xác.
    > Vui lòng bình luận bằng tiếng Việt có dấu.
    Mọi bình luận trái quy định sẽ bị gỡ bỏ link hoặc xóa bỏ hoàn toàn.

  1. thiendca viết

    chào Hiếu,
    mình hay theo dõi bài viết của bạn. Trang mình dùng vps bên vdc, ko biết có phải do dùng Kloxo bảo mật yếu hay sao mà bên đó họ nói trang mình bị hacker tấn công nên hay load chậm, có lúc ko kết nối đc với database luôn.
    Bên cung cấp server nói nhưng lúc như vậy tường lửa tự động chặn trang mình lại để đảm bảo an toàn, sau hơn 30 phút mới và lại bình thường, mà trong tháng 7, tháng 8 này mình theo dõi thấy ngày nào cũng bị trục trặc. Gói mình dùng cái gì cũng unlimit hết mà sao thấy ko ổn định, cũng hơi lo lo. Nhờ bạn tư vấn giúp mình. Cám ơn

    Trả lời

    • Trung Hiếu viết

      Chào bạn. Bạn thử cài CloudFlare vào rồi bật chế độ “I’m Under Attack” lên mỗi khi site bị load chậm xem sao nhé. Còn bình thường thì để chế độ “Medium” thôi. Ngoài ra bạn cũng nên kiểm tra biểu đồ băng thông và CPU xem có bị tăng đột biến không. Nếu có thì chứng tỏ site của bạn đang bị tấn công dạng DDoS hoặc tương tự. :P

      Trả lời

  2. Nam viết

    Mình cài iThemes Security rồi sau đó cài thêm Wordfence Security thì sau đó website không thể truy cập được luôn. kể cả trang quản trị website. Vậy làm sao để khắc phục vậy bạn

    Trả lời

    • Trung Hiếu viết

      Bạn vào host thông qua FTP hoặc File Manager của cPanel/ DirectAdmin, tìm và đổi tên (hoặc xóa) thư mục của plugin Wordfence và iThemes Security đi là được. Mỗi site chỉ nên cài 1 plugin bảo mật thôi, để tránh bị xung đột. :P

      Trả lời

  4. Khang viết

    Ngoài lề: Web của em gần đây bị lỗi này, ad biết là lỗi gì không? Chỉ mỗi trang chủ bị thôi, trang con không bị.
    Cảm ơn ad.

    Trả lời

  7. Đông Bình Dương viết

    Mình đang tập tành học Seo, mong nhận được nhiều sự chỉ giáo và bài viết hữu ích như vậy

    Trả lời

Footer

Bình luận mới nhất

Bình luận nhiều nhất (tháng)

  1. Sáng (11)
  2. CHinh (6)
  3. Học Luật (6)
  4. sai (6)
  5. Tuấn Ca (6)
  6. John Dương (5)

Thống kê WP Căn bản

10 Chuyên mục - 990 Bài viết - 37590 Bình luận