Bảo mật blog/ website WordPress của bạn với 5 bước đơn giản.
Bảo mật WordPress đang là một chủ đề nóng trong cộng đồng blogger/ webmaster hiện nay. Các cuộc tấn công BotNet xảy ra trên hàng loạt các blog/ website WordPress trong thời gian gần đây đã khiến người ta phải có một cái nhìn nghiêm túc hơn về vấn đề bảo mật. Làm thế nào để bảo vệ blog/ website của bạn an toàn trước các cuộc tấn công của tin tặc? Đó là một câu hỏi khiến nhiều blogger/ webmaster phải đau đầu để đi tìm câu trả lời. Nếu bạn đang sử dụng mã nguồn WordPress thì ngay sau đây là 5 bước đơn giản để giúp bảo mật blog/ website.
Tham khảo thêm:
5 Bước để bảo mật blog/ website WordPress
Cập nhật tất cả mọi thứ
Những tập tin lỗi thời (không được cập nhật) trên blog/ website của bạn thường chứa đựng những rủi ro bảo mật tiềm tàng. Chúng có thể được sử dụng bởi tin tặc để truy cập trái phép vào backend của blog/ website. Đó là lý do tại sao việc giữ cho tất cả mọi thứ luôn cập nhật là cực kỳ quan trọng.
Và khi tôi nói tất cả mọi thứ, có nghĩa là tất cả mọi thứ liên quan đến:
- WordPress Core
- WordPress themes
- WordPress plugins
Những plugins và themes mà bạn không còn sử dụng đến nên được deactive và xóa bỏ để tránh làm chậm tốc độ load của site cũng như trở thành công cụ tiếp tay cho tin tặc. Cuối cùng, tôi khuyên bạn nên xem xét xóa bỏ các plugin không được cập nhật trong vòng 12 tháng qua.
Sao lưu mọi thứ thường xuyên
Nếu blog/ website của bạn bị hacker phá hoại (một phần hoặc hoàn toàn) thì chiêu thức phòng thủ cuối cùng mà bạn có thể sử dụng là một bản sao lưu (backup) gần đây. Điều này có nghĩa là ngay cả khi điều tồi tệ nhất xảy ra, bạn vẫn có một cái gì đó để khắc phục thiệt hại. Nếu bạn không tạo các bản sao lưu thường xuyên thì đó thực sự là một thiếu sót đáng tiếc.
Có rất nhiều giải pháp sao lưu tự động, nhưng đề nghị đầu tiên của tôi là lựa chọn một nhà cung cấp hosting có tích hợp tính năng sao lưu tự động trong dịch vụ của họ. Tính năng này thường là miễn phí và hầu hết các nhà cung cấp dịch vụ chất lượng hiện nay đều có.
Ngoài ra, các bạn còn có thể sử dụng các giải pháp bổ sung khác như VaultPress (được phát triển bởi chính những nhà sáng lập WordPress) hay Smart Backup (một giải pháp bảo mật được phân phối bởi Hostvn.net). Bạn sẽ phải bỏ ra một khoản chi phí tương đối cho các dịch vụ này, nhưng lời khuyên của tôi là không bao giờ nên tiết kiệm đối với các giải pháp sao lưu.
Thay đổi hồ sơ mặc định
Nếu bạn vẫn đang sử dụng tên đăng nhập mặc định là “admin” hay “administrator” khi cài đặt WordPress thì ngay bây giờ chính là lúc để thay đổi.
Tại sao? Bởi vì bước đầu tiên của môtk cuộc tấn công brute force là cố gắng đăng nhập với tên “admin”, sau đó thử qua một số lượng rất lớn mật khẩu để tìm ra mật khẩu đúng. Nếu bạn tạo một tên người dùng độc đáo hơn thì bạn hoàn toàn có thể chặn đứng hành động này.
Thay đổi hồ sơ (profile) và tất cả mọi thứ có khả năng liên kết với nó có vẻ là một nhiệm vụ khá khó khăn. Nhưng nó là một bước quan trọng trong việc đảm bảo sự an toàn cho blog/ website của bạn.
Tạo một mật khẩu thật độc đáo và thay đổi nó thường xuyên
Hầu hết mọi người dùng hiện nay đều có đủ thông minh để biết rằng mật khẩu của họ không nên đặt là “password”. Nhưng họ có thể không biết được rằng các cuộc tấn công brute force hoàn toàn có thể đánh sập hệ thống bảo mật blog/ website bằng cách thử kết hợp mật khẩu. Nếu mật khẩu của bạn có ý nghĩa hoặc là có thể dự đoán được bằng một cách nào đó (ví dụ như được tạo thành từ những chữ dễ nhận biết hoặc các con số) thì blog/ website của bạn sẽ phải đối mặt với rất nhiều nguy cơ.
Có ba nguyên tắc vàng mà bạn cần phải nhớ khi tạo mật khẩu:
- Nó phải là sự ngẫu nhiên và độc đáo
- Nó phải được sử dụng một lần (tức là không phải trên nhiều blog/ website cùng lúc)
- Nó phải được thay đổi định kỳ (ví dụ mỗi tháng một lần)
Nếu bạn làm theo ba nguyên tắc trên, trang web của bạn sẽ an toàn hơn rất nhiều. Nói về việc tạo ra mật khẩu thực sự ngẫu nhiên, tôi khuyên bạn nên đăng ký một tài khoản miễn phí trên LastPass để tạo và lưu trữ tất cả các mật khẩu.
Cài đặt plugin bảo mật
Có rất nhiều plugin mà bạn có thể cài đặt để tăng cường bảo mật blog/ website, chẳng hạn như:
- Acunetix Secure WordPress
- iThemes Security
- All In One WP Security & Firewall
- Advanced WordPress Security
- Sucuri Security
- Wordfence Security
- BulletProof Security
Trong đó, Wordfence Security là plugin miễn phí nhận được nhiều ý kiến đánh giá tích cực nhất. Wordfence được tích hợp một loạt các tính năng bảo mật, bao gồm:
- Tạo tường lửa
- Ngăn chặn IP độc hại, nguy hiểm
- Quét backdoor
- Quét phần mềm độc hại (malware)
- Tăng cường bảo mật đăng nhập
Mặc dù Wordfence là một plugin miễn phí và nó cũng có một phiên bản trả tiền với nhiều tùy chọn hơn. Tuy nhiên sự khác biệt giữa bản miễn phí và bản trả phí là không quá lớn.
Bạn đang sử dụng thủ thuật nào để tăng cường bảo mật cho blog/ website của mình? Hãy chia sẻ nó với chúng tôi trong khung bình luận bên dưới.
Nếu bạn thích bài viết này, hãy subscribe blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất qua email nhé. Cảm ơn rất nhiều. :)
chào Hiếu,
mình hay theo dõi bài viết của bạn. Trang mình dùng vps bên vdc, ko biết có phải do dùng Kloxo bảo mật yếu hay sao mà bên đó họ nói trang mình bị hacker tấn công nên hay load chậm, có lúc ko kết nối đc với database luôn.
Bên cung cấp server nói nhưng lúc như vậy tường lửa tự động chặn trang mình lại để đảm bảo an toàn, sau hơn 30 phút mới và lại bình thường, mà trong tháng 7, tháng 8 này mình theo dõi thấy ngày nào cũng bị trục trặc. Gói mình dùng cái gì cũng unlimit hết mà sao thấy ko ổn định, cũng hơi lo lo. Nhờ bạn tư vấn giúp mình. Cám ơn
Chào bạn. Bạn thử cài CloudFlare vào rồi bật chế độ “I’m Under Attack” lên mỗi khi site bị load chậm xem sao nhé. Còn bình thường thì để chế độ “Medium” thôi. Ngoài ra bạn cũng nên kiểm tra biểu đồ băng thông và CPU xem có bị tăng đột biến không. Nếu có thì chứng tỏ site của bạn đang bị tấn công dạng DDoS hoặc tương tự. :P
Mình cài iThemes Security rồi sau đó cài thêm Wordfence Security thì sau đó website không thể truy cập được luôn. kể cả trang quản trị website. Vậy làm sao để khắc phục vậy bạn
Bạn vào host thông qua FTP hoặc File Manager của cPanel/ DirectAdmin, tìm và đổi tên (hoặc xóa) thư mục của plugin Wordfence và iThemes Security đi là được. Mỗi site chỉ nên cài 1 plugin bảo mật thôi, để tránh bị xung đột. :P
Còn thiếu 1 thứ đó là đừng gây thù với người khác ;) Gặp cao thủ hacker thì coi như xong :(
Ngoài lề: Web của em gần đây bị lỗi này, ad biết là lỗi gì không? Chỉ mỗi trang chủ bị thôi, trang con không bị.
Cảm ơn ad.
Link ảnh: http://sv1.upsieutoc.com/2017/03/31/bnh.png
Gần đây bạn có nén JS, CSS hay can thiệp gì vào mã nguồn của WordPress không? :P
Ad nói em mới để ý, do em cài thằng lazy load@@giờ tắt nó thì ok rồi. Em cứ tưởng do functions, em chèn tào lao nên bị lỗi. Thanks ad.
Một điều kiện nữa đó là nhà cung cấp dịch vụ :P
Đúng rồi. Phải chọn được nhà cung cấp dịch vụ có khả năng bảo mật tốt nữa. :P
trong những plugin bảo mật nên sử dụng cái nào tốt nhất nhỉ? ý là vừa đủ để bảo mật và k quá nặng.
Dùng Sucuri đi. Blog của mình có bài hướng dẫn chi tiết rồi đấy. Tìm sẽ thấy. :P
Mình đang tập tành học Seo, mong nhận được nhiều sự chỉ giáo và bài viết hữu ích như vậy
Có nên dùng tính năng xác thực 2 bước không nhỉ?
Nên nhé. An toàn hơn rất nhiều. :P