Tại sao bảo mật WordPress Blog là quan trọng (2019)

Bảo mật WordPress là một chủ đề có tầm quan trọng rất lớn đối với mỗi chủ sở hữu trang web. Danh sách đen của Google khoảng 10.000+ trang web mỗi ngày cho phần mềm độc hại và khoảng 50.000 cho lừa đảo mỗi tuần.

Nếu bạn nghiêm túc về trang web của mình, thì bạn cần chú ý đến các thực tiễn tốt nhất về bảo mật WordPress. Trong hướng dẫn này, chúng tôi sẽ chia sẻ tất cả các mẹo bảo mật WordPress hàng đầu để giúp bạn bảo vệ trang web của mình chống lại tin tặc và phần mềm độc hại.

1/ Cập nhật WordPress cho website

Keeping WordPress Updated

Keeping WordPress Updated

Bước đầu tiên và cũng là bước quan trọng nhất trong tất cả các bước bảo mật WordPress. Nếu muốn website sạch và không có malware bạn cần giữ cho WordPress luôn được cập nhật. Mặc dù chắc ai cũng biết điều này, nhưng thực tế chỉ có 22% bản cài WordPress chạy với phiên bản mới nhất trên thế giới, tức là có tới 78% website không an toàn, chẳng trách WordPress bị nói là CMS dễ bị hack nhất!

WordPress có thiết lập tự động cập nhật từ bản 3.7, tuy nhiên, nó chỉ hiệu quả với các cập nhật bảo mật nhỏ. Vì vậy, các cập nhật chính nên được làm thủ công. Trong trường hợp bạn không biết cách cập nhật WordpPress.


2/ quyền người dùng và mật khẩu mạnh

Các nỗ lực hack WordPress phổ biến nhất sử dụng mật khẩu bị đánh cắp. Bạn có thể làm khó điều đó bằng cách sử dụng mật khẩu mạnh hơn, duy nhất cho trang web của bạn. Không chỉ cho khu vực quản trị viên WordPress, mà còn cho các tài khoản FTP, cơ sở dữ liệu, tài khoản lưu trữ WordPress và địa chỉ email tùy chỉnh của bạn sử dụng tên miền của trang web của bạn.

Nhiều người mới bắt đầu không thích sử dụng mật khẩu mạnh vì chúng khó nhớ. Điều tốt là bạn không cần phải nhớ mật khẩu nữa. Bạn có thể sử dụng một trình quản lý mật khẩu. Xem hướng dẫn của chúng tôi về cách quản lý mật khẩu WordPress .

Bảo mật WordPress bằng thông tin đăng nhập “thông minh”.

Tất cả mọi người đều biết admin là tên mặc định rồi! Nếu đang dùng tức là bạn đang giúp hacker một tay để vào được trang quản trị dễ dàng. Việc đổi thông tin quản trị, tên đăng nhập sang một tên khác thay vì là admin là rất quan trọng 

Password phức tạp cũng đóng góp một phần không nhỏ để bảo mật WordPress. Sẽ rất khó khăn để tấn công BruteForce nếu bạn có chữ thường, chữ hoa, số và ký tự đặc biệt.

Change the Default “admin” username

Change the Default “admin” username

  • Tạo tên người dùng quản trị mới và xóa tên cũ
    1. Vào WordPress Dashboard
    2. Chuyển tới mục Users và chọn Add New.
WordPress add new users

WordPress add new users

  • Tạo user mới và cấp quyền administrator cho nó. 
WordPress Create a new user

WordPress Create a new user

Password phức tạp cũng đóng góp một phần không nhỏ để bảo mật WordPress. Sẽ rất khó khăn để tấn công BruteForce, bạn nên đặc passwrod chữ thường, chữ hoa, số và ký tự đặc biệt.

  • Đăng nhập lại WordPress với thông tin mới.
  • Xóa tài khoản admin cũ.

3/ Tắt báo cáo lỗi PHP Error

Báo cáo lỗi PHP error cần được  tắt nếu không nó hiển thị lỗi cho tất cả mọi người xem là hoàn toàn không nên, đặc biệt là khi bạn đang cần bảo mật cho WordPress.

Nhiều nhà cung cấp hosting như cho phép tắt báo cáo lỗi trong trang quản trị. Nếu không có, chỉ cần thêm dòng sau vào file wp-config.php. Bạn có thể dùng FTP client hoặc Quản lý File trong control panel để sửa file wp-config.php.

error_reporting(0);
@ini_set(‘display_errors’, 0);
  • Báo cáo lỗi đã được tắt.

4/ Không dùng WordPress Themes null

Có hàng ngàn nulled plugins và themes trôi nổi trên Internet. Người dùng có thể download chúng tại một số trang web hoặc Torrent site miễn phí. Nhưng hầu hết trong số chúng đều chứa mã độc, thậm chí trớ trêu thay là chúng nằm trong cả những plugin bảo mật WordPress, nhẹ hơn là SEO links của hacker mũ đen sẽ khiến website của bạn không bao giờ lên top nỗi.

Nếu cài những bản này lên hosting, tức là website WordPress của bạn đang hoàn toàn không an toàn, và đang phơi nhiễm trước những lỗ hổng mà hacker đã tạo ra từ bên trong.

Không dùng nulled plugins và themes là một trong các cách tốt nhất để bảo mật website WordPress. Nó ảnh hướng lớn đến tính bảo mật WordPress.


5/ Quét WordPress để loại malware khỏi website WordPress

Hackers thường dùng các lỗ hổng của themes hoặc plugin để cài mã độc lên WordPress. Vì vậy, việc quét blog của bạn thường xuyên là rất quan trọng. Có rất nhiều plugin bảo mật WordPress tốt hiện nay. WordFence nổi bật nhất. Nó cho phép scan thủ công và tư động với nhiều thiết lập khác nhau. Bạn có thể restore files được chỉnh sửa và đã nhiễm mã độc với chỉ một vài cú click chuột. MIễn phí và mã nguồn mở,

Một số plugin bảo mật WordPress tốt khác:

  • Sucuri Security – plugin bảo mật WordPress này sẽ bảo vệ bạn khỏi tấn công DOS, nó sẽ tạo một danh sách đen, quét website của bạn để phát hiện malware và quản lý tường lửa. Nếu phát hiện, nó sẽ thông báo qua email – các blacklist của những bộ máy này sẽ được tích hợp trong plugin này..
  • BulletProof Security – không giống WordFence, BulletProof không quét các files của bạn, mà chỉ cung cấp firewall, bảo mật database, và tương tự. Ưu điểm đặc biệt nhất là nó có thể được cấu hình và cài đặt trong vài cú click.

Hãy thử dùng tất cả. Bạn có thể tham khảo cách cài WordPress plugin tại đây.


6/ Backup thường xuyên.

Kể cả website  lớn cũng có thể bị hack mỗi ngày kể cả khi thực tế chủ web đã tốn hàng nghìn đô la để gia tăng bảo mật website WordPress và cài hàng loạt plugin bảo mật WordPress. Nếu bạn đang thực hiện theo hướng dẫn này và làm đầy đủ các bước, vẫn rất quan trọng để bạn backup WordPress website thường xuyên.

Có nhiều cách để backup, ví dụ như tải file WordPress về và xuất database ra hoặc sử dụng backup từ nhà cung cấp hosting của bạn. Có một cách khác là sử dụng WordPress Plugin. Phổ biến nhất là::

Bạn có thể backup và chuyển bacup sang dropbox qua WordPress backups vào Dropbox. là cách đơn giản và nhất để bảo mật cho WordPress, vì việc khôi phục từ file backup dễ hơn so với việc rà lỗi và xóa malware đi.


7/ sử dụng SSL / HTTPS cho domain WordPress.

SSL / HTTPS Domain WordPress

SSL / HTTPS Domain WordPress

Khi bạn bật SSL, trang web của bạn sẽ sử dụng HTTPS thay vì HTTP, bạn cũng sẽ thấy dấu khóa móc bên cạnh địa chỉ trang web của bạn trong trình duyệt.

Chứng chỉ SSL thường được cấp bởi các cơ quan chứng nhận và giá của chúng bắt đầu từ $ 80 đến hàng trăm đô la mỗi năm. Do chi phí tăng thêm, hầu hết chủ sở hữu trang web đã chọn tiếp tục sử dụng giao thức không an toàn. Để khắc phục điều này, một tổ chức phi lợi nhuận có tên Let Encrypt đã quyết định cung cấp Chứng chỉ SSL miễn phí cho chủ sở hữu trang web. Dự án của họ được hỗ trợ bởi Google Chrome, Facebook, Mozilla và nhiều công ty khác.

Giờ đây, việc bắt đầu sử dụng SSL cho tất cả các trang web WordPress của bạn trở nên dễ dàng hơn bao giờ hết. Nhiều công ty hosting hiện đang cung cấp chứng chỉ SSL miễn phí cho trang web WordPress của bạn .

Nếu công ty hosting của bạn không cung cấp, thì bạn có thể mua một cái từ:

Thỏa thuận SSL tốt nhất và đáng tin cậy nhất trên thị trường. Nó đi kèm với bảo hành bảo mật $ 10.000 và con dấu bảo mật TrustLogo.

Đây chưa phải là tất cả bảo mật của WordPress, tôi hy vọng bài viết này đã giúp bạn tìm hiểu các thực tiễn tốt nhất về bảo mật WordPress cũng như khám phá các plugin bảo mật WordPress tốt nhất cho trang web của bạn.

0/5 (0 Reviews)