Hướng dẫn bảo mật Website Wordpress

Theo thống kê của Google, có khoảng 20.000 website có chứa malware và có khoảng 50.000 website lừa đảo. Đặc biệt với Wordpress, nền tảng chiếm tới tận 34% của toàn bộ website trên Internet. Theo nghiên cứu của Securi, một công ty chuyên về bảo mật cho biết, Wordpress là CMS dễ bị hacker rình rập và tấn công nhất trên thế giới. Để ngăn chặn hành động này, bạn cần phải cẩn trọng bảo mật Wordpress đúng cách để giảm thiểu thiệt hại cho website của mình. 

Tại sao cần phải bảo vệ website?

Tất cả các doanh nghiệp luôn chú trọng và đặc biệt chăm sóc đến website của mình. Họ phải bỏ ra rất nhiều khoản chi phí và thời gian để làm SEO, viết content, tối ưu hóa website. Do đó, khi bị hacker tấn công cũng đồng nghĩa với việc mọi nguồn thu nhập, tệp khách hàng tiềm năng đến từ website sẽ bị mất hoàn toàn. Việc khôi phục trang web buộc phải nhờ đến những người có chuyên môn nhưng chi phí thuê thường rất đắt. 

Những website mới, chưa có độ cạnh tranh cao thì việc bị rình rập chơi xấu ít có khả năng xảy ra. Ngược lại, với những website đủ độ lớn, bắt đầu tăng dần traffic, ranking được nhiều từ khóa sẽ trở thành con mồi ngon cho đối thủ hoặc từ những kẻ tấn công có chủ đích. 

Đó là lý do vì sao bạn nên cẩn trọng bảo vệ website của mình nhằm hạn chế nhất có thể sự tấn công từ hacker.

Một số lý do thường gặp dẫn đến website bị hack

Có rất nhiều cách và nguyên nhân dẫn tới việc bị hack website, trong đó có một số lý do chúng ta thường hay gặp phải, đó là:

- Để lộ mật khẩu quản trị viên website của bạn cho người khác biết

- Host của bạn luôn nằm trong tầm ngắm của hacker và chúng sẽ tấn công ngay khi có thể

- Theme hoặc plugin của bạn bị dính virus do việc sử dụng themes, plugin miễn phí không có sự kiểm chứng về độ an toàn.

>> Xem thêm: Không thể bỏ qua 15 cách tăng tốc website wordpress này

10 cách bảo mật Website Wordpress hiệu quả

1. Sao lưu tất cả cơ sở dữ liệu

Không có gì là chắc chắn 100% độ an toàn, những trang web của cơ quan chính phủ còn có nguy cơ bị tấn công thì website của bạn cũng vậy. Việc làm này giúp bạn có thể nhanh chóng khôi phục dữ liệu trang Wordpress trong trường hợp xấu nhất xảy ra.

Hiện nay, có rất nhiều Wordpress backup plugin miễn phí hoặc trả phí bạn có thể lựa chọn. Bạn phải thường xuyên sao lưu toàn bộ website của mình. Một số dịch vụ lưu trữ đám mây bạn có thể tham khảo, đó là: Amazon, Dropbox hay một đám mây cá nhân như Stash.

2. Vô hiệu hóa file Editing

Bạn nên vô hiệu hóa tính năng này vì nếu để rơi vào tay hacker sẽ gây nguy hiểm đến bảo mật Wordpress. Khi Wordpress đi cùng với một built-in code editor sẽ cho phép bạn chỉnh sửa giao diện ngay tại khu vực admin của Wordpress.

Bạn có thể thực hiện chúng một cách dễ dàng bằng cách thêm đoạn code vào file wp-config.php

// Disallow file edit

define( 'DISALLOW_FILE_EDIT', true );

Nếu không bạn có thể làm điều đó với 1cú click bằng cách sử dung tính năng Hardening trong Sucuri free.

3. Giới hạn số lần đăng nhập

Thiết lập mặc định của Worpress không giới hạn số lần đăng nhập cho người dùng. Điều này đã khiến Wordpress site dễ dàng trở thành mục tiêu của các cuộc tấn công brute force. Hackers sẽ cố gắng đăng nhập vào tài khoản của bạn bằng nhiều mật khẩu khác nhau để bẻ khóa mật khẩu của bạn.

Bạn có thể khắc phục bằng cách giới hạn số lần đăng nhập lỗi. Nếu trước đó bạn chưa cài đặt tường lửa thì nên áp dụng cách này.

Đầu tiên, bạn cần cài đặt và kích hoạt Login LockDown plugin. 

Sau khi kích hoạt xong, đi đến Settings -> Login LockDown để cài đặt plugin

4. Vô hiệu hóa XML-RPC in WordPress

XML-RPC được kích hoạt trong thiết lập mặc định của WordPress 3.5 bởi vì nó giúp kết nối trang WordPress với web và mobile apps.

Tuy nhiên, chức năng này rất mạnh mẽ, XML - RPC có thể khuếch đại cuộc tấn công brute-force đáng kể.

Ví dụ: theo cách truyền thống một hacker muốn thử 500 mật khẩu khác nhau với trang web của bạn, họ sẽ phải tạo 500 lần đăng nhập riêng biệt và sẽ bị chặn bởi giới hạn số lần đăng nhập.

Nhưng với XML-RPC, một hacker có thể sử dụng chức năng này để thử hàng ngàn mật khẩu chỉ với 20 hoặc 50 requestes. Đó là lý do tại nếu bạn không sử dụng XML-RPC, thì việc vô hiệu hóa nó là rất cần thiết.

5. Thay Đổi WordPress Database Prefix

Wordpress sử dụng wp_ mặc định, đây là một yếu tố quan trọng cho tất cả tables trong cơ sở dữ liệu. Nếu bạn đang sử dụng tiền tố mặc định trong cơ sở dữ liệu sẽ tao cơ hội cho hacker dễ dàng đoán được table name. Đó là lý do vì sao bạn nên thay đổi nó.

*Lưu ý: Nó có thế làm ảnh hưởng không tốt đến website của bạn nếu không được thực hiện một cách chính xác. Bạn chỉ nên thực hiện nó khi bạn cảm thấy tự tin về khả năng code của mình nhé.

6. Thay Đổi Tên Truy Cập “admin” Mặc Định

Ở những phiên bản cũ, tên truy cập luôn được mặc định của admin là “admin”. Điều này sẽ giúp hacker có thể đoán được mật khẩu đê rtieesn hành tấn công trang web bằng brute-force attacks.

Hiện tại, Wordpress đã thay đổi nó và yêu cầu bạn chọn tên truy cập ngay tại lần cài đặt đầu tiên.

Tuy nhiên, với cách cài đặt WordPress bằng 1-click duy nhất, thì vẫn chọn tên admin username mặc định là “admin”.

Mặc dù mặc định WordPress không cho phép bạn thay đổi username, nhưng vẫn có thể tham khảo vài cách để bạn thay đổi username.

Sử dụng Plugin thay đổi tên người dùng

Cập nhật tên người dùng từ phpMyAdmin

Tạo mới một admin username và xóa người dùng cũ đi

7. Tự động log-out user khi không hoạt động

Sau khi đã đăng nhập vào Dashboard, đôi khi bạn có thể quên việc phải log-out, việc này khiến nhiều kẻ tấn công rình mò gây nguy hiểm đến website của bạn. Hacker có thể lợi dụng để chiếm quyền điều khiển, thay đổi mật khẩu hoặc các thông tin tài khoản khác.

Đó là lý do tại sao rất nhiều các trang web ngân hàng và tài chính đều tự động đăng xuất với người dùng không hoạt động. Bạn có thể thực hiện chức năng tương tự trên trang WordPress của bạn.

Bạn cần cài đặt và kích hoạt Idle User Logout plugin. Sau khi kích hoạt, đi đến Settings -> Idle User Logout để tùy chỉnh plugin.

Đơn giản chọn thời gian chờ và bỏ tích ở tùy chọn “Disable in WP Admin” cho tính bảo mật tốt hơn. Đừng quên bấm vào nút lưu các thay đổi nhé.

8. Vô hiệu hóa Directory Indexing and Browsing

Có một vài lỗ hổng mà hacker có thể tìm thấy trong directory browwsing để tìm những file mà bạn có. Vì vậy, họ sẽ lợi dụng sơ hở ở những tập tin này để tấn công website.

Directory browsing có thể được sử dụng bởi người khác để nhìn vào cái file của bạn, để sao chép hình ảnh, các thông tin khác. Đây là lý do tại sao bạn nên tắt chúng đi.

Bạn cần kết nối website của mình bằng cách sử dụng FTP hay cPanel’s file manager. Tiếp theo xác định vị trí của file .htaccess trong website. 

Sau đó, bạn thêm dòng dưới đây ở cuối file .htaccess:

Options - Indexes

Đừng quên lưu và upload lại file .htaccess vào website của mình.

9. Mật khẩu bảo vệ khu vực Admin và trang đăng nhập

Hacker thường request đến thư mục wp-admin và login page của bạn nếu không có bất kỳ hạn chế hay cản trở nào. Điều này sẽ cho phép hacker sử dụng thủ thuật tấn công DDos

Bạn có thể thêm mật khẩu để bảo vệ máy chủ và ngăn chặn những truy cập trái phép.

10. Thêm câu hỏi bảo mật vào màn hình đăng nhập WordPress

Bạn có thể cài đặt thêm một số câu hỏi bảo mật vào màn hình đăng nhập để khiến hacker không dễ dàng truy cập trái phép.

Bạn có thể thêm câu hỏi bảo mật bằng cách cài đặt WP Security Questions plugin. Sau khi kích hoạt, bạn cần vào phần Settings -> Security Question để thiết lập cài đặt.

>> Xem thêm: Top 12 công cụ kiểm tra tốc độ Website tốt nhất 2021

Lời kết

Trên đây, Nhân Hòa đã tổng hợp 10 cách cơ bản giúp bạn bảo vệ website và hạn chế được sự tấn công từ hacker. Hy vọng, bài viết sẽ giúp ích cho bạn trong việc bảo mật và phát triển website. Bạn nên thực hành thao tác ngay để ngăn chặn sự tấn công càng sớm càng tốt. Chúc các bạn thành công ! 

Nhân Hòa là một trong những công ty lớn và uy tín trong lĩnh vực cung cấp các dịch vụ email theo tên miền, vps, hosting, ssl, hosting wordpress..... Với các thế mạnh nổi bật như: chất lượng - chuyên nghiệp - hỗ trợ tốt - giá thành cạnh tranh.

+ Tổng đài: 1900 6680

+ Website: https://nhanhoa.com/

+ Fanpage: https://www.facebook.com/nhanhoacom

+ Chỉ đường: https://g.page/nhanhoacom

+ Chương trình khuyến mãi mới nhất: https://nhanhoa.com/khuyen-mai.html