• Trang chủ
  • WordPress
    • Thủ thuật WordPress
    • WordPress Plugins
    • WordPress Themes
  • Hosting và Domain
  • Kiếm tiền
  • Đánh giá
  • Khuyến mãi
  • Thông báo
  • Giới thiệu
  • Liên hệ

WP Căn bản

Kiến thức căn bản cho người dùng WordPress

paradise-child-theme-wordpress-theme-tot-nhat
  • Dịch vụ WordPress Hosting
  • Dịch vụ tối ưu WordPress
  • Dịch vụ quét mã độc WordPress
  • Mua Paradise child theme
Trang chủ » WordPress » Thủ thuật WordPress » Những nguyên nhân có thể khiến website bị hack
hosting-tot-nhat-danh-cho-wordpress

Những nguyên nhân có thể khiến website bị hack

Cập nhật: 02/06/2022 Trung Hiếu 23 Bình luận

Mục lục Hiện
  • 1. Những nguyên nhân nào có thể khiến website bị hack?
    • 1.1. Nguyên nhân chủ quan
      • 1.1.1. Sử dụng theme, plugin “lậu” (nulled), không rõ nguồn gốc
      • 1.1.2. Sử dụng tên đăng nhập mặc định và mật khẩu quá đơn giản
      • 1.1.3. Không update WordPress, theme và plugin
      • 1.1.4. Không cài plugin bảo mật
      • 1.1.5. Không cài phần mềm antivirus trên máy tính
      • 1.1.6. Không biết cách bảo mật server, VPS
    • 1.2. Nguyên nhân khách quan
      • 1.2.1. Do host bảo mật kém
      • 1.2.2. Do WordPress, theme, plugin còn tồn tại nhiều lỗ hổng bảo mật
  • 2. 36 Lời khuyên giúp bạn bảo mật WordPress

Những nguyên nhân có thể khiến website bị hack và một số lời khuyên giúp bảo mật website WordPress.

nguyen-nhan-co-the-khien-website-bi-hack

Một ngày đẹp trời, bạn ghé thăm website của mình và bàng hoàng phát hiện ra nó đã bị hack. Có nhiều hậu quả khác nhau của vấn đề này: website bị thay đổi giao diện, bị chuyển hướng sang website khác, bị chiếm quyền quản trị, bị chèn backlink ẩn, quảng cáo và các đoạn script độc hại… Nguyên nhân đầu tiên mà bạn thường nghĩ đến trong những tình huống như vậy là gì? Do theme hoặc plugin “không sạch”, hay là do hosting bảo mật kém? Tất cả đều có thể. Nhưng ngoài ra, vẫn còn có rất nhiều nguyên nhân khác mà nếu biết được, bạn chỉ có thể trách chính bản thân mình.

Tham khảo thêm:

  • Làm thế nào để phát hiện mã độc, backlink ẩn trong theme và plugin lậu?
  • Cảnh báo tình trạng mã độc tấn công WordPress quy mô lớn

Những nguyên nhân nào có thể khiến website bị hack?

Có rất nhiều nguyên nhân khác nhau có thể dẫn đến việc website của bạn bị hack. Chúng được chia làm 2 nhóm: nguyên nhân chủ quan và nguyên nhân khách quan.

Nguyên nhân chủ quan

Nhóm nguyên nhân chủ quan thường là do thói quen xấu của chính bạn. Và trong trường hợp này – ” tiên trách kỷ, hậu trách nhân”.

Sử dụng theme, plugin “lậu” (nulled), không rõ nguồn gốc

Tôi dám chắc rằng rất nhiều bạn ở đây đang hoặc đã từng sử dụng theme, plugin WordPress “lậu”. Chúng là những sản phẩm trả phí nhưng lại được chia sẻ miễn phí một cách tràn lan trên internet. Và không phải tự nhiên mà có nhiều người lại rảnh rỗi để đi làm điều đó. Khi chia sẻ theme, plugin, họ thường “tặng kèm” luôn cả malware, backdoor, backlink ẩn… và các loại iframe, script độc hại khác. Nếu bạn không may sử dụng phải những sản phẩm dạng này thì nguy cơ website bị hack là rất cao.

Tham khảo thêm: Những trang share theme lậu kiếm tiền như thế nào?

Sử dụng tên đăng nhập mặc định và mật khẩu quá đơn giản

Nhiều bạn có thói quen sử dụng tên đăng nhập mặc định, phổ biến (kiểu như admin, Administrator…) và mật khẩu quá đơn giản (quá ít ký tự, chỉ bao gồm một dãy số hoặc các dòng chữ có nghĩa) để cho dễ nhớ, mà không hề biết rằng điều đó sẽ vô tình biến website của mình trở thành miếng mồi ngon cho tin tặc. Chỉ với phương thức tấn công brute force phổ thông, mật khẩu của bạn sẽ nhanh chóng bị dò ra và hậu quả thì chắc bạn đã rõ.

Tham khảo thêm: Chống Brute Force Attack hiệu quả cho website WordPress

Việc sử dụng cùng một username và password trên nhiều website khác nhau cũng có thể gây ra hiệu ứng “chết chùm” một khi tin tặc đã dò ra thông tin đăng nhập của một website nào đó.

Không update WordPress, theme và plugin

Ngoài mục đích bổ sung tính năng mới, cải thiện hiệu suất làm việc, update phiên bản mới cho WordPress, theme, plugin còn giúp khắc phục các lỗi bảo mật nguy hiểm còn tồn tại trên các phiên bản cũ. Tuy nhiên, điều đáng buồn là phải đến hơn 60% người dùng rất ngại thực hiện điều này. Có thể họ sợ website sẽ bị lỗi. Cũng có thể là do lười. Nhưng dù với nguyên nhân gì thì họ cũng đang tự mở cửa để mời tin tặc.

Tham khảo thêm: Quản lý việc update WordPress một cách chuyên nghiệp

Không cài plugin bảo mật

Bạn có nghĩ rằng việc cài plugin bảo mật cho website WordPress là điều cần thiết không? Riêng tôi, đó là điều hoàn toàn cần thiết. Các plugin bảo mật hiện nay đều được trang bị khá đầy đủ các tính năng giúp bạn chống brute force attack, XSS, spam bình luận, quét và tìm ra các file mã độc được chèn vào mã nguồn WordPress… Chúng là một lớp bảo vệ bổ sung hữu hiệu giúp website của bạn an toàn hơn. Nếu bạn không cài bất cứ plugin hỗ trợ bảo mật nào trên website thì xin chúc mừng, bạn đang đối mặt với rủi ro cao về bảo mật.

Tham khảo thêm: Top 5 Security plugins tốt nhất cho WordPress

Không cài phần mềm antivirus trên máy tính

Máy tính thì liên quan gì đến việc website của bạn bị hack? Có chứ, liên quan nhiều là đằng khác. Nếu máy tính bị nhiễm virus, trojan, malware… chúng hoàn toàn có thể xâm nhập vào website của bạn thông qua việc upload file, theo dõi lịch sử duyệt web, phân tích cookie trình duyệt và cả việc ăn thông tin đăng nhập khi bạn gõ trên bàn phím… Do đó, nếu máy tính của bạn không được bảo vệ tốt bởi một phần mềm diệt virus chất lượng và được cập nhật thường xuyên, website của bạn nhiều khả năng sẽ là nạn nhân tiếp theo.

Không biết cách bảo mật server, VPS

Nếu bạn không thực sự có nhiều kinh nghiệm về việc cấu hình và bảo mật VPS và server, tôi thật lòng khuyên bạn không nên nghĩ đến việc tự build VPS và server để chạy website WordPess. Các web server hiện nay vẫn còn tồn tại rất nhiều lỗ hổng bảo mật mà nếu không biết cách “vá”, không biết cách cấu hình, website của bạn rất dễ trở thành đích ngắm của các cuộc tấn công.

Tham khảo thêm: Nên chọn shared host hay VPS cho website WordPress?

Nguyên nhân khách quan

Nếu bạn tự tin cho rằng mình đã thực hiện tốt những vấn đề kể trên thì nguyên nhân còn lại là do yếu tố khách quan.

Do host bảo mật kém

Trùng với nguyên nhân số 6 sao? Không. Ý của tôi trong trường hợp này là shared host. Với shared host, hầu như các bạn không phải làm gì, chính xác hơn là không thể làm gì để cải thiện khả năng bảo mật cho server. Và tất nhiên, nếu nhà cung cấp không biết cách bảo mật server, host của bạn sẽ dễ dàng bị hack. Đó là lý do các bạn cần phải chọn nhà cung cấp dịch vụ hosting uy tín, có nhiều kinh nghiệm trong bảo mật để “gửi vàng”.

Tham khảo thêm: Cần lưu ý những gì khi mua hosting dành cho WordPress?

Do WordPress, theme, plugin còn tồn tại nhiều lỗ hổng bảo mật

Tất nhiên, không có gì là hoàn hảo cả. Ngay cả khi bạn thường xuyên cập nhật WordPress, theme và plugin, download sản phẩm chính hãng, bản quyền, nguồn gốc rõ ràng… thì chúng vẫn có thể còn tồn tại rất nhiều lỗ hổng bảo mật. Hacker hoàn toàn có thể khai thác chúng để tấn công website của bạn. Và lần này, trách nhiệm thuộc về các nhà phát triển.

36 Lời khuyên giúp bạn bảo mật WordPress

Do thời lượng của bài viết không cho phép nên sau đây, tôi sẽ nêu tóm tắt một số lời khuyên hữu ích dành cho bảo mật WordPress:

  • Luôn luôn giữ phiên bản WordPress của bạn ở trạng thái cập nhật
  • Không tự ý thay đổi mã nguồn WordPress
  • Chắc chắn rằng tất cả plugin của bạn đã được cập nhật
  • Xóa tất cả các plugin và theme không kích hoạt hoặc không sử dụng
  • Đảm bảo tất cả các theme của bạn đã được cập nhật
  • Chỉ cài đặt theme, plugin và script từ các nguồn chính thống
  • Chọn một dịch vụ WordPress Hosting bảo mật tốt
  • Đảm bảo website của bạn đang chạy phiên bản PHP mới nhất
  • Thay đổi tên đăng nhập mặc định của quản trị viên
  • Luôn sử dụng mật khẩu đủ mạnh
  • Không tái sử dụng mật khẩu
  • Bảo vệ mật khẩu của bạn bằng cách tránh truyền tải mật khẩu bằng văn bản thuần túy
  • Chỉ cập nhật website của bạn từ các mạng internet đáng tin cậy
  • Sử dụng một phần mềm diệt virus trên máy tính
  • Kích hoạt Google Search Console
  • Bảo vệ WordPress bằng một plugin bảo mật
  • Thường xuyên sao lưu dữ liệu của website
  • Thường xuyên kiểm tra danh sách người dùng
  • Cài đặt SSL cho website
  • Hạn chế số lần đăng nhập thất bại
  • Kích hoạt xác thực hai nhân tố (bảo mật 2 bước)
  • Bảo đảm chính xác quyền của tập tin và thư mục
  • Thay đổi tiền tố bảng mặc định của database
  • Đảm bảo bạn đã đặt khóa xác thực WordPress bí mật
  • Vô hiệu hóa thực thi tập tin PHP
  • Vô hiệu hóa “directory indexing và browsing”
  • Phân tách cơ sở dữ liệu WordPress của bạn
  • Hạn chế quyền của người dùng cơ sở dữ liệu
  • Vô hiệu hoá chỉnh sửa tập tin từ bảng quản trị WordPress
  • Bảo vệ tập tin wp-config.php của bạn
  • Bảo vệ tập tin .htaccesss của bạn
  • Vô hiệu hoá XML-RPC (nếu bạn không sử dụng nó)
  • Vô hiệu hoá thông báo lỗi PHP
  • Cài đặt một tường lửa cho website
  • Sử dụng tường lửa của CDN
  • Theo dõi lịch sử đăng nhập và các thay đổi của tập tin

Nếu bạn muốn biết cách thức chi tiết để thực hiện những lời khuyên này, vui lòng tham khảo ebook “Bảo mật WordPress toàn tập” do chính WP Căn bản biên soạn và phát hành cách đây không lâu.

bao-mat-wordpress-toan-tap

Theo bạn, còn những nguyên nhân nào khác khiến website bị hack? Hãy chia sẻ với chúng tôi quan điểm và ý kiến của bạn trong khung bình luận bên dưới.

Nếu bạn thích bài viết này, hãy theo dõi blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất nhé. Cảm ơn rất nhiều. :)

  • Chia sẻ lên Facebook
  • Chia sẻ lên Twitter
  • Chia sẻ lên LinkedIn

Bài viết liên quan

Plugin chống copy nội dung siêu nhẹ cho WordPress
Plugin chống copy nội dung siêu nhẹ cho WordPress
Chống spam cho plugin Contact Form 7
Chống spam cho plugin Contact Form 7
Thông báo website bị tấn công DDoS qua email
Thông báo website bị tấn công DDoS qua email

Chuyên mục: Thủ thuật WordPress Thẻ: Bảo mật WordPress

dich-vu-wordpress-hosting-chong-ddos-mien-phi

Nói về Trung Hiếu

Một người con của xứ Nghệ, hiện đang sinh sống tại Hà Nội. Tôi là người sáng lập và đứng sau mọi hoạt động của WP Căn bản. Tìm hiểu thêm về tôi tại đây.

Bài viết trước « Hướng dẫn nâng cấp PHP 7.2 cho website WordPress
Bài viết sau Những nguyên nhân có thể khiến website load chậm »

Reader Interactions

Bình luận

    Để lại một bình luận Hủy

    Tất cả các bình luận đều sẽ được kiểm duyệt nghiêm ngặt. Mọi bình luận trái quy định sử dụng sẽ bị gỡ bỏ link hoặc xóa bỏ hoàn toàn. Vui lòng đọc kỹ quy định trước khi bình luận. Xin cảm ơn!

  1. đường 10 bình luậnviết

    20/01/2023 lúc 23:43

    Mình thay đổi màu cho theme, kích cỡ chữ nhưng ko thể được. Thì đây có phải do web đã bị hack ko bạn?

    Bình luận
    • Trung Hiếu Quản lýviết

      21/01/2023 lúc 09:01

      Cái này chưa chắc đâu bạn. Có nhiều nguyên nhân lắm:
      1. Do bạn chưa xóa cache website, cache trình duyệt, cache CDN… sau khi thay đổi.
      2. Do theme của bạn lỗi (bị chèn mã độc, bạn chỉnh sửa file gây lỗi…).
      3. Do theme của bạn quá cũ, không tương thích với WordPress hoặc plugin nào đó, không tương thích với phiên bản PHP của host…

      Bình luận
  2. xkld 1 bình luậnviết

    18/06/2020 lúc 13:51

    1 vote cho chủ web, rất hữu ích.

    Bình luận
« 1 2

Sidebar chính

NHẬN BÀI VIẾT QUA EMAIL

Hãy đăng ký ngay để là người đầu tiên nhận được thông báo qua email mỗi khi chúng tôi có bài viết mới!

Tham gia cùng 10.000+ người khác.

Theo dõi qua mạng xã hội

Facebook Group

wpcanban-facebook-group

Bạn đang tìm gì?

WordPress căn bản

Bảo mật WordPress

Tăng tốc WordPress

Sửa lỗi WordPress

Thủ thuật Genesis

Thủ thuật SEO

Thủ thuật CloudFlare

Thủ thuật LiteSpeed

Thủ thuật WooCommerce

Sử dụng theme Paradise

Dịch vụ tối ưu WordPress miễn phí

dich-vu-toi-uu-wordpress-mien-phi

Dịch vụ quét mã độc miễn phí

dich-vu-quet-ma-doc-wordpress-mien-phi

Footer

Bài viết mới nhất

  • Plugin chống copy nội dung siêu nhẹ cho WordPress 20/05/2025
  • Tự động tạo alt-text cho hình ảnh trong WordPress 18/05/2025
  • Năm 2025 rồi, có nên viết blog nữa không? 07/05/2025
  • Ra mắt plugin APCu Object Cache độc quyền tại WP Căn bản 16/04/2025

Bình luận mới nhất

  • Trung Hiếu trong Bật mí về các công nghệ mà WP Căn bản đang sử dụng
  • Khánh trong Bật mí về các công nghệ mà WP Căn bản đang sử dụng
  • Trung Hiếu trong Năm 2025 rồi, có nên viết blog nữa không?
  • Tuấn Kỷ Nguyên Blog trong Năm 2025 rồi, có nên viết blog nữa không?

Thông tin hữu ích

  • Giới thiệu bản thân
  • Quy định sử dụng
  • Chính sách bảo mật
  • Bản quyền nội dung

Thống kê WP Căn bản

9 Chuyên mục - 1.001 Bài viết - 35.504 Bình luận

Bản quyền © 2014 - 2025 · WP Căn bản (tiền thân là eBooksvn.com) · Sử dụng Paradise child theme và dịch vụ WordPress Hosting