Cách bảo mật trang web WordPress của bạn
14/01/2022 14:43 | Luợt xem : 17
Bảo mật trang web WordPress trở nên cực kỳ cần thiết bởi hàng triệu trang web bị tấn công mỗi năm và WordPress là một trong những trang web dễ bị tấn công nhất.
Rõ ràng chúng ta đều lo lắng bởi vì không ai muốn bị mất cơ sở dữ liệu. Nếu bạn sử dụng LinkedIn, bạn có thể dễ dàng tìm thấy những người yêu cầu trợ giúp liên quan đến bảo mật trang web.
Đó là bởi vì hầu hết người dùng WordPress không phải là người am hiểu về công nghệ. Nếu bạn cũng là một người không rành về công nghệ, nỗi lo mất trang web của bạn càng tăng lên.
Đừng lo lắng, bạn cũng có thể bảo mật trang web WordPress của mình. Có thật không?
Hãy tham khảo hướng dẫn dưới đây của BKNS nhé!
Mục lục
Cải thiện tính bảo mật trang web WordPress của bạn
Bạn sẽ đọc những điều cơ bản cũng như mức độ nâng cao của các cấp độ bảo mật. Hãy đọc một cách nghiêm túc nhé!
1. Không sử dụng tên người dùng mặc định
Rất nhiều khách hàng giữ tên người dùng “quản trị viên” mặc định . Khi bạn cài đặt WordPress, CMS cho phép bạn tự do chọn tên người dùng của mình nhưng hầu hết mọi người đều bỏ qua nó.
Việc giữ tên người dùng mặc định có thể bị tấn công. Mọi người đều biết rằng “admin” là tên người dùng mặc định.
Ngày nay, các công ty lưu trữ web đã bắt đầu cung cấp tùy chọn để thêm tên người dùng trong khi sử dụng cài đặt WordPress bằng một cú nhấp chuột.
2. Thay đổi tiền tố bảng cơ sở dữ liệu mặc định
Không phải ai cũng biết rằng tiền tố mặc định cho tất cả các bảng cơ sở dữ liệu là “wp_” nhưng tin tặc biết điều đó. Bạn nên thay đổi nó.
Nếu bạn đang xây dựng một trang web WordPress mới, bạn có thể thấy tùy chọn để chọn tiền tố cơ sở dữ liệu tùy chỉnh trong khi cài đặt WordPress. Nhưng nếu bạn đã có một trang web, bạn có thể thay đổi nó bằng cách sử dụng plugin hoặc thủ công.
Đối với những người không chuyên về kỹ thuật, phương pháp thủ công không khả thi. Họ có thể sử dụng một plugin cho việc này. Hầu hết các plugin bảo mật đều cho phép bạn thực hiện điều này.
3. Tắt duyệt thư mục WordPress
Nếu bạn thêm / wp-include / vào cuối URL của trang web và bạn thấy một vài tệp, điều đó có nghĩa là trang web của bạn không an toàn. Bất kỳ ai cũng có thể xem toàn bộ cấu trúc tệp và dễ dàng chèn mã.
Ví dụ: bạn mở https://www.example.com/wp-includes
Và bạn thấy những điều này.
- Parent directory (Thư mục mẹ)
- Admin directory (Thư mục quản trị)
- Text (Chữ)
Điều nàycó nghĩa là khi bạn nhấp vào các thư mục này, dữ liệu của trang web của bạn sẽ được tiết lộ. Để chặn điều này, bạn cần thêm mã vào tệp .htaccess trên trang web của mình.
Sau khi thêm điều này, khi bạn mở cùng một URL, bạn sẽ thấy lỗi 403 Forbidden. Nó có nghĩa là không ai có quyền truy cập vào các thư mục đó.
4. Mật khẩu bảo vệ thư mục quản trị của bạn
WP-ADMIN là thư mục thực sự quan trọng đối với trang web WordPress của bạn. Nếu thư mục quản trị của bạn dễ bị tấn công, tin tặc có thể dễ dàng đột nhập vào trang web của bạn và chiếm quyền kiểm soát. Bạn nên đặt mật khẩu bảo vệ thư mục này.
Thậm chí trước khi mở trang đăng nhập WordPress, hãy thêm một lớp bổ sung sẽ vào, lớp này sẽ yêu cầu mật khẩu. Có hai cách để thực hiện điều này.
- Sử dụng một plugin
- Sử dụng cPanel theo cách thủ công
5. Giới hạn nỗ lực đăng nhập
Để bảo mật trang web WordPress của mình, bạn nên lưu nó khỏi các cuộc tấn công từ tin tặc. Nhiều tin tặc sử dụng các tên người dùng và kết hợp mật khẩu khác nhau để đăng nhập vào một trang web.
Nếu bạn giới hạn số lần đăng nhập, IP sẽ bị chặn sau số lần thử giới hạn. Giả sử bạn giới hạn nó ở 3 lần thử và ai đó tiếp tục sử dụng thông tin đăng nhập sai, IP cụ thể đó sẽ bị chặn.
Bây giờ bạn có thể tự hỏi làm thế nào để thực hiện điều này. Hầu hết các plugin đặc biệt để hạn chế nỗ lực đăng nhập đã lỗi thời nên bạn có thể sử dụng plugin bảo mật.
6. Tắt thực thi PHP
Như bạn đã biết, mã WordPress, các plugin và chủ đề của nó có mã PHP và tin tặc đưa mã tương tự này vào một trang web.
Nhưng nếu bạn tắt thực thi PHP, thì sẽ không có mã bổ sung nào được thêm vào bất kỳ tệp WordPress nào. Nhiều người phàn nàn về việc chủ đề WordPress của họ bị tấn công, đó là do các tệp PHP.
Bạn có thể ngăn chặn nó bằng cách thêm một đoạn mã nhỏ vào tệp .htaccess của trang web WordPress của bạn. Bạn phải sử dụng FTP hoặc cPanel để làm như vậy
Tệp này bị ẩn, vì vậy hãy đảm bảo rằng bạn bật để xem các tệp ẩn trong trình quản lý tệp.
<Tệp * .php> tư chôi tât cả </Files>
Mở tệp, thêm mã này và lưu.7. Sử dụng URL trang đăng nhập tùy chỉnh
Bạn có thể mở trang đăng nhập của trang web WordPress của mình bằng cách thêm /wp-login.php/ vào cuối URL chính. Thay vào đó, bạn có thể sử dụng / wp-admin /.
Bạn đã bao giờ nghĩ đến việc sử dụng URL trang đăng nhập tùy chỉnh do chính bạn lựa chọn chưa? Bạn có thể sử dụng một cái gì đó mà chỉ bạn mới có thể nhớ.
Ví dụ:
- https://www.yoursite.com/the-throne-goal
- https://wwwyoursite.com/i-love-my-site
Đó là sự lựa chọn của bạn. Điều này có thể được thực hiện bằng cách sử dụng một plugin bảo mật.
8. Đừng quên cập nhật WordPress, các plugin và Themes
Khi bạn sử dụng phiên bản cũ hơn của WordPress, bất kỳ plugin hoặc chủ đề nào, lỗ hổng bảo mật sẽ tăng lên. Đó là bởi vì các tin tặc có thể đã tìm ra cách để xâm nhập vào các phiên bản cũ.
9. Sử dụng một plugin bảo mật
Thêm một cách bảo mật trang web WordPress của bạn, là phải cài đặt plugin bảo mật. Nếu bạn đã nhận thấy, trong hầu hết mọi điểm được đề cập ở trên, bạn đã đọc việc sử dụng một plugin bảo mật.
Đó là bởi vì không phải ai cũng là dân kỹ thuật để hoàn thành việc thêm các lớp bảo mật theo cách thủ công. Vì vậy, hãy chọn một plugin bảo mật cho phép bạn thực hiện những điều đó từ bảng điều khiển quản trị WordPress của bạn.
Chọn bất kỳ plugin bảo mật hàng đầu nào sau đây.
- Tất cả trong một bảo mật và tường lửa
- Wordfence
- iThemes Security
- Sucuri
Tôi thích cách bảo mật trang web bằng plugin đầu tiên hơn vì nó nhẹ và có tất cả các tùy chọn mà tôi đã đề cập ở trên.
10. Sử dụng mật khẩu mạnh để bảo mật WordPress
Đây không phải là điều bạn nên được nói mỗi khi bạn đọc về bảo mật nhưng nó là điều cần phải có để ghi nhớ.
Thật khập khiễng khi mọi người sử dụng tên, họ, tên chó, tên người yêu của họ làm mật khẩu. Mật khẩu phải là sự kết hợp của chữ in hoa, chữ nhỏ, số và các ký tự đặc biệt.
Cố gắng kết hợp mọi thứ và tạo mật khẩu mạnh nhất mà bạn từng sử dụng.
Hãy để tôi chỉ cho bạn một số ví dụ.
- G * ob% ^ v0s @? NQ) @ 2
- (#) Tn72 ^ # * C2Xo% y8
Bạn có thể tự hỏi làm thế nào bạn có thể nhớ mật khẩu như vậy. Thật đơn giản, hãy tạo một mẫu của riêng bạn và sử dụng các phím khác nhau để chuyển đổi mật khẩu đơn giản của bạn thành mật khẩu mạnh nhất.
Bạn đã sẵn sàng bảo mật trang web WordPress của mình chưa?
Sau khi áp dụng tất cả các lớp bảo mật trên, trang web của bạn sẽ được bảo mật. Nhưng nó không có nghĩa là nó không thể bị hack. Điều thực sự quan trọng là phải có một công ty lưu trữ web đáng tin cậy vì tất cả dữ liệu của trang web của bạn đều nằm trên máy chủ của họ.
Nếu máy chủ bị tấn công, tất cả các lớp bảo mật của bạn sẽ không làm gì cả. Và tất nhiên, điều rất quan trọng là phải giữ bản sao lưu trang web của bạn và cơ sở dữ liệu của nó.
Có thể bạn cho rằng Hosting của bạn lsẽ làm điều đó. Nhưng nếu máy chủ bị tấn công, điều đó có nghĩa là bản sao lưu cũng bị tấn công.
Vì vậy, cần phải giữ nhiều bản sao lưu. Bạn có thể sử dụng Dropbox, Google Drive, ổ cứng của mình để lưu trữ bản sao lưu.
Nếu bạn không thể làm điều đó mỗi ngày, ít nhất hãy làm điều đó một lần trong một tuần.
BKNS hy vọng cách bảo mật trang web này sẽ giúp bạn bảo mật trang web WordPress của mình. Nếu bạn vẫn còn bất kỳ câu hỏi nào, đừng ngại để lại bình luận, BKNS sẽ giải đáp cho bạn!
Hướng dẫn: