- Việt Nam
English
Việt NamEnglishỞ phần trước, bạn đã biết một số bước bảo mật WordPress cơ bản. Nếu bạn muốn tìm hiểu các bước bảo mật nâng cao, hãy theo dõi bài viết dưới đây của chúng tôi. CloudFly sẽ hướng dẫn bạn sử dụng WordPress an toàn và hiệu quả nhất.
Các bước bảo mật WordPress nâng cao này yêu cầu bạn cần có một lượng kiến thức nhất định về WordPress. Ngoài ra, để đảm bảo an toàn và tránh những sự cố không mong muốn, bạn nên thực hiện sao lưu dữ liệu của trang web trước khi tiến hành triển khai các cài đặt dưới đây.
>>> Xem thêm: Các Bước Bảo Mật WordPress Từ Cơ Bản Đến Nâng Cao (Phần 1)
WordPress có tích hợp một trình chỉnh sửa code trong khu vực quản trị, cho phép bạn chỉnh sửa các tệp theme và plugin trực tiếp từ giao diện người dùng. Tuy nhiên, nếu sử dụng không đúng cách, tính năng này có thể gây ra rủi ro về bảo mật. Do đó bạn nên tắt chức năng chỉnh sửa code này bằng cách thêm đoạn mã sau vào tệp wp-config.php:
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Một cách khác để tăng cường bảo mật cho WordPress là tắt thực thi tệp PHP trong các thư mục không cần thiết, ví dụ như /wp-content/uploads/. Bạn có thể thực hiện điều này bằng cách tạo một tệp .htaccess trong thư mục /wp-content/uploads/ và thêm nội dung sau:
<Files *.php>
deny from all
</Files>
Theo cài đặt mặc định, WordPress cho phép người dùng thực hiện số lần đăng nhập không giới hạn. Điều này tạo điều kiện thuận lợi cho các cuộc tấn công brute-force. Hacker sẽ cố gắng đoán mật khẩu bằng cách thử nhiều kết hợp khác nhau. Để tránh rủi ro này, bạn có thể giới hạn số lần đăng nhập thất bại mà người dùng có thể thực hiện bằng cách cài đặt và kích hoạt plugin Login LockDown.
Phương pháp xác thực hai yếu tố đòi hỏi người dùng phải thực hiện quy trình đăng nhập xác thực hai bước. Bước đầu tiên là nhập tên người dùng và mật khẩu. Bước thứ hai là yêu cầu người dùng xác nhận bằng một thiết bị hoặc ứng dụng riêng biệt. Hầu hết các trang web hàng đầu như Google, Facebook, Twitter thường hỗ trợ tính năng này cho người dùng của họ. Bạn cũng có thể tích hợp tính năng xác thực hai yếu tố cho trang web WordPress của mình để cung cấp lớp bảo mật mạnh mẽ.
Trước đây, tên người dùng quản trị WordPress thường mặc định là admin, điều này làm cho hacker dễ thực hiện các cuộc tấn công brute-force hơn vì chúng đã biết sẵn tên đăng nhập. May thay, WordPress hiện đã thay đổi điều này và cho phép bạn tùy chỉnh tên đăng nhập khi cài đặt WordPress.
Tuy nhiên, nếu bạn đã lỡ sử dụng tên đăng nhập admin khi cài đặt, WordPress không cho phép bạn thay đổi nó trực tiếp. Dưới đây là ba phương pháp mà bạn có thể sử dụng để đổi tên đăng nhập:
WordPress mặc định sử dụng tiền tố wp_ cho tất cả các bảng trong cơ sở dữ liệu WordPress của bạn. Nếu trang web của bạn đang sử dụng tiền tố mặc định, hacker sẽ dễ dàng đoán được tên của các bảng. Đây là lý do tại sao bạn nên thay đổi tiền tố này.
Tuy nhiên, bạn cần lưu ý rằng việc này có thể làm hỏng trang web nếu không được thực hiện đúng cách. Chỉ nên thực hiện nếu bạn tự tin về kỹ năng lập trình của mình nhé.
Thông thường, hacker có thể dễ dàng truy cập vào thư mục wp-admin và trang đăng nhập mà không gặp bất kỳ hạn chế nào. Điều này cho phép chúng thực hiện các thủ thuật hack hoặc tấn công DDoS. Bạn có thể tăng cường bảo mật bằng cách thêm một lớp bảo mật bổ sung ở cấp độ máy chủ, nó sẽ chặn các truy cập đó một cách hiệu quả.
Duyệt thư mục là một cách mà hacker sử dụng để kiểm tra xem trang web của bạn có tệp nào có lỗ hổng bảo mật đã biết hay không. Từ đó chúng sẽ tận dụng những tệp này để xâm nhập vào trang web. Ngoài ra, người khác cũng có thể sử dụng tính năng duyệt thư mục để xem các tệp của bạn, sao chép hình ảnh, khám phá cấu trúc thư mục và thu thập thông tin khác. Vì vậy bạn nên tắt tính năng lập chỉ mục và duyệt thư mục bằng cách thêm dòng sau vào cuối tệp .htaccess trong thư mục gốc của trang web:
Options -Indexes
XML-RPC được kích hoạt theo mặc định trong WordPress 3.5 để hỗ trợ việc kết nối trang web với các ứng dụng web và thiết bị di động. Tuy nhiên do tính chất mạnh mẽ của nó, XML-RPC có thể làm tăng nguy cơ các cuộc tấn công brute-force.
Ví dụ, nếu một hacker muốn thử 500 mật khẩu khác nhau trên trang web của bạn, chúng sẽ phải thực hiện 500 lần đăng nhập riêng biệt và sẽ bị chặn bởi plugin hạn chế đăng nhập. Nhưng thông qua XML-RPC, hacker có thể sử dụng hàm system.multicall để thử hàng nghìn mật khẩu chỉ với 20 hoặc 50 yêu cầu. Do đó, nếu bạn không sử dụng XML-RPC thì hãy tắt nó.
Nếu bạn đã tích hợp các plugin bảo mật WordPress, thì chúng sẽ thường xuyên kiểm tra phần mềm độc hại và các dấu hiệu vi phạm bảo mật. Tuy nhiên, nếu bạn thấy lưu lượng truy cập trang web hoặc thứ hạng tìm kiếm bị giảm đột ngột, thì nên thực hiện quá trình quét theo cách thủ công. Bạn có thể sử dụng các plugin bảo mật WordPress đã cài đặt hoặc tận dụng các trình quét bảo mật và phần mềm độc hại trực tuyến như Sucuri SiteCheck, IsItWP Security Scanner, Google Safe Browsing, Quttera,...
Quá trình quét trực tuyến này khá đơn giản, bạn chỉ cần nhập URL của trang web và các công cụ tìm kiếm này sẽ kiểm tra web của bạn để phát hiện phần mềm độc hại và mã độc hại đã biết. Nhưng bạn hãy nhớ rằng, hầu hết các trình quét bảo mật WordPress chỉ có khả năng quét trang web mà không thể loại bỏ phần mềm độc hại hoặc làm sạch một trang web WordPress bị tấn công.
Hy vọng những thông tin trên đã giúp bạn hiểu hơn về các bước bảo mật Wordpress từ cơ bản đến nâng cao. Nếu bạn còn thắc mắc hay muốn thuê Cloud Server, hãy liên hệ ngay với CloudFly để được tư vấn và hỗ trợ nhanh chóng. Đội ngũ kỹ thuật có chuyên môn cao của chúng tôi cũng luôn sẵn sàng giải quyết mọi vấn đề một cách nhanh chóng nhất.
THÔNG TIN LIÊN HỆ:
>>> Xem thêm:
