Cách bảo mật cho website WordPress newbie cũng làm được

Juncer Hoang

Updated on:

Bảo mậtBlog
Bảo mật Wordpress

Bảo mật WordPress nghe có vẻ “khó nhằn” đối với người mới, nhưng khi bạn bắt buộc phải tự vận hành website thì việc tự học là cần thiết. Có rất nhiều cách bảo mật cho website WordPress từ đơn giản cho đến nâng cao đều có cả, chính vì vậy bài viết này sẽ khá dài. Nếu bạn cần tìm một thông tin nào đó thì có thể xem ở phần tóm tắt nội dung và click vào nó để chuyển tới phần cần đọc.

Ở bài viết này mình sẽ giới thiệu các yếu tố cần thiết “bất di bất dịch” mà cần phải biết để tối ưu việc bảo vệ website cũng như vận hành nó ổn định hơn. Bên cạnh đó là các cách tối ưu bảo mật website WordPress mà những người mới, người không am hiểu nhiều về công nghệ cũng có thể tự làm được.

Thực tế thì nó cũng không quá khó lắm đâu! Bắt đầu thôi!

Các yếu tố quan trọng để bảo mật WordPress hiệu quả:

1. Cập nhật phiên bản WordPress:

Cập nhật phiên bản mới nhất của WordPress là một biện pháp cần thiết để giữ cho website của bạn an toàn. Việc cập nhật giúp vá các lỗ hổng bảo mật đã được phát hiện và cung cấp các cải tiến về tính năng và hiệu suất.

bảo mật cho wordpress

Để cập nhật WordPress, bạn có thể truy cập vào trang quản trị WordPress, vào phần “Dashboard” và kiểm tra thông báo về việc có phiên bản mới nhất hay không. Bạn cũng có thể tìm hiểu thông tin về cách cập nhật WordPress trên trang web chính thức của WordPress hoặc từ các nguồn đáng tin cậy khác.

2. Sử dụng mật khẩu mạnh và đổi mật khẩu định kỳ:

Mật khẩu mạnh là một yếu tố quan trọng để bảo mật tài khoản WordPress của bạn. Mật khẩu yếu dễ bị dò mật khẩu hoặc tấn công từ điển, trong khi mật khẩu mạnh có độ phức tạp cao và khó khăn cho kẻ tấn công đoán được.

Để tạo mật khẩu mạnh, hãy sử dụng một tổ hợp các ký tự, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt. Tránh sử dụng thông tin cá nhân hoặc mật khẩu dễ đoán. Đồng thời, đổi mật khẩu định kỳ để tăng cường bảo mật.

Mật khẩu mạnh sẽ có dạng như sau:

Một mật khẩu mạnh là một mật khẩu được tạo ra một cách an toàn và bảo mật, khó khăn cho người khác đoán được hoặc tấn công. Dưới đây là những yếu tố quan trọng để tạo ra một mật khẩu mạnh:

  • Độ dài: Mật khẩu nên có độ dài đủ lớn để làm khó cho kẻ tấn công đoán được. Độ dài tối thiểu nên là 8-12 ký tự, và càng dài càng tốt.
  • Ký tự đa dạng: Mật khẩu nên chứa một sự kết hợp giữa các loại ký tự khác nhau như chữ hoa, chữ thường, chữ số và ký tự đặc biệt. Việc sử dụng các ký tự đa dạng sẽ làm tăng đáng kể độ phức tạp của mật khẩu.
  • Không sử dụng thông tin cá nhân: Tránh sử dụng thông tin cá nhân như tên, ngày sinh, số điện thoại, địa chỉ hoặc thông tin cá nhân khác trong mật khẩu. Những thông tin này dễ dàng được đoán đến và tấn công.
  • Không sử dụng từ điển: Tránh sử dụng các từ điển hoặc từ thông dụng trong mật khẩu. Kẻ tấn công có thể sử dụng các công cụ tự động để thử tất cả các từ trong từ điển và tìm ra mật khẩu dễ dàng.
  • Sử dụng cấu trúc không dễ đoán: Đừng sử dụng các cấu trúc dễ đoán như “123456“, “abcdef”, hoặc “qwerty“. Thay vào đó, tạo ra một cấu trúc phức tạp mà chỉ bạn biết, chẳng hạn như việc kết hợp các ký tự ngẫu nhiên không có ý nghĩa đặc biệt.
  • Đổi mật khẩu định kỳ: Đừng sử dụng mật khẩu cùng một thời gian quá lâu. Thay đổi mật khẩu định kỳ (khoảng 3-6 tháng một lần) để đảm bảo tính bảo mật cao hơn.

Ngoài ra, để tạo một mật khẩu mạnh mà dễ nhớ, bạn có thể sử dụng các phương pháp như việc kết hợp các từ khóa, sử dụng câu nói hoặc dùng các kỹ thuật nhớ mật khẩu, chẳng hạn như tạo ra một câu chuyện từ các từ ngữ quen thuộc. Ví dụ: “Mật_khẩu_Của_Tôi!#là_Rât_Mạnh” hoặc “Tôi_đã_sinh_tại@25cây_số_Xanh“.

3. Xác thực hai yếu tố (2FA):

Xác thực hai yếu tố cung cấp một lớp bảo mật bổ sung bằng cách yêu cầu người dùng cung cấp thông tin xác thực thứ hai sau khi đã nhập mật khẩu.

Để kích hoạt và cấu hình xác thực hai yếu tố trên website WordPress, bạn có thể sử dụng plugin bảo mật như “Two-Factor” hoặc “Google Authenticator”.

bảo mật cho website wordpress
Cách bảo mật cho website WordPress

4. Hạn chế quyền truy cập:

Quản lý quyền truy cập người dùng là một yếu tố quan trọng để đảm bảo chỉ những người cần thiết mới có thể truy cập vào trang quản trị WordPress.

Để hạn chế quyền truy cập và quản lý người dùng trong WordPress, bạn có thể tuân theo các bước sau:

  • Tạo tài khoản người dùng với quyền hạn thích hợp: Khi tạo tài khoản người dùng mới, hãy chắc chắn chỉ định quyền hạn tối thiểu cần thiết cho người dùng đó. WordPress cung cấp các vai trò người dùng như Administrator, Editor, Author, Contributor và Subscriber. Chọn vai trò phù hợp dựa trên vai trò và trách nhiệm của người dùng đó.
  • Xóa các người dùng không cần thiết: Định kỳ kiểm tra và loại bỏ các người dùng không còn cần thiết trong hệ thống WordPress của bạn. Điều này giúp giảm khả năng bị xâm nhập thông qua tài khoản không hoạt động hoặc bị lợi dụng.
  • Hạn chế quyền truy cập tới trang quản trị: Bạn có thể sử dụng các plugin bảo mật hoặc chỉnh sửa tệp .htaccess để hạn chế quyền truy cập vào trang quản trị của WordPress. Ví dụ, bạn có thể chỉ cho phép truy cập từ một số địa chỉ IP cụ thể hoặc thay đổi đường dẫn URL đăng nhập mặc định.
  • Sử dụng plugin quản lý quyền truy cập: Có nhiều plugin quản lý quyền truy cập mạnh mẽ và dễ sử dụng trong WordPress. Ví dụ, bạn có thể sử dụng plugin như Members, User Role Editor, hoặc Advanced Access Manager để tùy chỉnh quyền truy cập của người dùng theo ý muốn.
  • Theo dõi và ghi lại hoạt động người dùng: Sử dụng các công cụ giám sát và ghi lại hoạt động người dùng như Audit Logs để theo dõi và ghi lại mọi hoạt động trong trang quản trị WordPress. Điều này giúp bạn phát hiện và ngăn chặn các hành vi đáng ngờ hoặc không được ủy quyền.

Nhớ rằng, việc hạn chế quyền truy cập là một phần quan trọng trong việc bảo vệ WordPress, nhưng cần cân nhắc kỹ lưỡng để không hạn chế quá mức, gây cản trở cho người dùng hợp lệ trong việc quản trị trang web.

6. Sao lưu định kỳ và lưu trữ dữ liệu:

Sao lưu định kỳ và lưu trữ dữ liệu là một biện pháp quan trọng để đảm bảo rằng bạn có thể khôi phục lại dữ liệu của mình trong trường hợp xảy ra sự cố hoặc tấn công.

bảo mật website wordpress
Cách bảo mật cho website WordPress

Thực hiện sao lưu website WordPress bằng cách sử dụng plugin sao lưu như “UpdraftPlus” hoặc “BackupBuddy”.

Để sao lưu website WordPress và lưu trữ dữ liệu một cách an toàn, bạn có thể sử dụng plugin sao lưu như “UpdraftPlus” hoặc “BackupBuddy”. Dưới đây là hướng dẫn chi tiết:

  • Bước 1: Cài đặt và kích hoạt plugin sao lưu:
    • Đăng nhập vào trang quản trị WordPress của bạn.
    • Trong menu bên trái, di chuột qua mục “Plugins” và chọn “Add New” (Thêm mới).
    • Tìm kiếm plugin “UpdraftPlus” hoặc “BackupBuddy”.
    • Nhấp vào nút “Install Now” (Cài đặt ngay) và sau đó nhấp vào “Activate” (Kích hoạt) để kích hoạt plugin.
  • Bước 2: Cấu hình plugin sao lưu:
    • Sau khi plugin được kích hoạt, bạn sẽ thấy một menu mới xuất hiện trong trang quản trị WordPress. Di chuột qua mục “Settings” (Cài đặt) hoặc “UpdraftPlus” để truy cập cài đặt plugin.
    • Trong cài đặt, bạn có thể chọn các tùy chọn sao lưu như tần suất sao lưu, nơi lưu trữ sao lưu, và dữ liệu cụ thể cần sao lưu.
    • Để sử dụng dịch vụ lưu trữ đám mây như Google Drive hoặc Dropbox, bạn cần cung cấp thông tin xác thực và thiết lập kết nối với tài khoản của bạn.
  • Bước 3: Thực hiện sao lưu:
    • Trong trang cấu hình plugin, bạn có thể nhấp vào nút “Backup Now” (Sao lưu ngay) hoặc tương tự để bắt đầu quá trình sao lưu. Plugin sẽ tạo ra một bản sao lưu của toàn bộ trang web WordPress và các dữ liệu liên quan.
    • Quá trình sao lưu có thể mất thời gian tùy thuộc vào kích thước của trang web và tốc độ kết nối internet của bạn.
  • Bước 4: Lưu trữ dữ liệu sao lưu một cách an toàn:
    • Nếu bạn đã cấu hình plugin để sử dụng dịch vụ lưu trữ đám mây như Google Drive hoặc Dropbox, dữ liệu sao lưu sẽ được tự động tải lên tài khoản của bạn trên dịch vụ đó.
    • Đảm bảo rằng bạn đã thiết lập các cài đặt phù hợp trong plugin để đảm bảo tính bảo mật của dữ liệu sao lưu. Ví dụ, sử dụng mật khẩu mạnh hoặc mã hóa dữ liệu khi lưu trữ trên dịch vụ đám mây.

Điều quan trọng là thực hiện sao lưu định kỳ và lưu trữ dữ liệu sao lưu một cách an toàn ở một nơi khác với trang web chính để đảm bảo rằng bạn có thể khôi phục lại trang web trong trường hợp xảy ra sự cố.

7. Bảo vệ trang đăng nhập:

Bảo vệ trang đăng nhập là một yếu tố quan trọng để ngăn chặn các cuộc tấn công dò mật khẩu và tấn công từ điển.

bảo mật wordpress

Để thay đổi URL đăng nhập, sử dụng Captcha để xác nhận người dùng thật và giới hạn số lần đăng nhập sai trong WordPress, bạn có thể sử dụng các plugin như “Login Lockdown” hoặc “Captcha”. Dưới đây là hướng dẫn chi tiết:

  • Thay đổi URL đăng nhập:
    • Một trong những cách để tăng cường bảo mật WordPress là thay đổi URL đăng nhập mặc định để làm khó cho kẻ xâm nhập tìm thấy trang đăng nhập của bạn.
    • Để thay đổi URL đăng nhập, bạn có thể sử dụng plugin như “WPS Hide Login” hoặc “iThemes Security”.
    • Cài đặt và kích hoạt plugin theo các hướng dẫn cung cấp bởi nhà phát triển plugin.
    • Trong cài đặt plugin, bạn sẽ có thể thay đổi URL đăng nhập thành URL tùy chỉnh của bạn. Hãy chắc chắn ghi nhớ URL mới này để đăng nhập vào trang quản trị WordPress của bạn.
  • Sử dụng Captcha để xác nhận người dùng thật:
    • Captcha là một hình thức bảo vệ phổ biến để xác nhận người dùng thật và ngăn chặn các cuộc tấn công tự động hoặc spam.
    • Bạn có thể sử dụng plugin như “Google Captcha (reCAPTCHA)” hoặc “Really Simple CAPTCHA” để thêm Captcha vào trang đăng nhập của WordPress.
    • Cài đặt và kích hoạt plugin theo các hướng dẫn cung cấp bởi nhà phát triển plugin.
    • Trong cài đặt plugin, bạn sẽ cần cung cấp thông tin xác thực từ dịch vụ Captcha như Google reCAPTCHA.
    • Sau khi kích hoạt và cấu hình plugin, Captcha sẽ xuất hiện trên trang đăng nhập WordPress để người dùng phải xác nhận để đăng nhập.
  • Giới hạn số lần đăng nhập sai:
    • Giới hạn số lần đăng nhập sai là một biện pháp bảo mật hiệu quả để ngăn chặn các cuộc tấn công dò mật khẩu.
    • Bạn có thể sử dụng plugin như “Login Lockdown” hoặc “iThemes Security” để giới hạn số lần đăng nhập sai.
    • Cài đặt và kích hoạt plugin theo các hướng dẫn cung cấp bởi nhà phát triển plugin.
    • Trong cài đặt plugin, bạn có thể đặt số lần đăng nhập sai tối đa trước khi người dùng bị khóa tạm thời hoặc cấm truy cập.
    • Bạn cũng có thể đặt thời gian khóa tạm thời trước khi người dùng được phép thử đăng nhập lại.
    • Sau khi kích hoạt và cấu hình plugin, nếu một người dùng vượt quá số lần đăng nhập sai hoặc thời gian khóa, họ sẽ không thể tiếp tục đăng nhập trong một khoảng thời gian nhất định.

8. Sử dụng SSL/TLS để mã hóa dữ liệu:

SSL/TLS cung cấp mã hóa dữ liệu và tạo một kênh truyền thông an toàn giữa trình duyệt của người dùng và máy chủ web.

cách bảo mật website wordpress

SSL (Secure Sockets Layer) và TLS (Transport Layer Security) là các giao thức bảo mật được sử dụng để mã hóa dữ liệu truyền qua mạng. SSL/TLS đảm bảo rằng thông tin nhạy cảm như tên người dùng, mật khẩu, thông tin thanh toán và dữ liệu khác được truyền đi một cách an toàn giữa máy tính của người dùng và máy chủ web.

Để cài đặt chứng chỉ SSL/TLS miễn phí từ Let’s Encrypt và kích hoạt HTTPS trong WordPress, bạn có thể sử dụng plugin “Really Simple SSL”. Dưới đây là hướng dẫn cụ thể:

  • Cài đặt plugin “Really Simple SSL”:
    • Đăng nhập vào trang quản trị WordPress của bạn.
    • Trong menu bên trái, di chuột qua “Plugins” và chọn “Add New”.
    • Tìm kiếm “Really Simple SSL”.
    • Khi plugin được tìm thấy, nhấp vào nút “Install Now”, sau đó nhấp vào “Activate” để kích hoạt plugin.
  • Cấu hình chứng chỉ SSL/TLS từ Let’s Encrypt:
    • Sau khi kích hoạt plugin, bạn sẽ nhận được một thông báo về việc chuyển đổi sang HTTPS.
    • Nhấp vào nút “Go ahead, activate SSL!” để tiếp tục.
    • Plugin sẽ tự động tìm kiếm chứng chỉ SSL/TLS từ Let’s Encrypt và cài đặt nó cho bạn.
    • Sau khi quá trình cài đặt hoàn tất, bạn sẽ thấy một thông báo xác nhận rằng SSL/TLS đã được kích hoạt thành công.
  • Kiểm tra và xác nhận hoạt động của HTTPS:
    • Để kiểm tra xem HTTPS đã hoạt động hay chưa, hãy mở trình duyệt và nhập URL của trang web của bạn, bắt đầu bằng “https://” thay vì “http://”.
    • Trang web của bạn nên hiển thị một biểu tượng khóa xanh hoặc hiển thị “An toàn” để xác nhận rằng kết nối đang được bảo mật bằng SSL/TLS.

Lưu ý rằng quá trình cài đặt chứng chỉ SSL/TLS có thể có thêm bước nhất định tùy thuộc vào môi trường hosting của bạn. Tuy nhiên, plugin “Really Simple SSL” tự động xử lý nhiều phần trong quá trình này để giúp bạn thực hiện một cách dễ dàng và nhanh chóng.

9. Giới hạn số lần thử đăng nhập:

Tầm quan trọng (Expertise): Giới hạn số lần thử đăng nhập giúp ngăn chặn các cuộc tấn công dò mật khẩu và tấn công từ điển.

cách bảo mật website wordpress
Giới hạn đăng nhập là cách bảo mật website WordPress dễ dàng

Để ngăn chặn các cuộc tấn công dò mật khẩu, bạn có thể sử dụng plugin giới hạn số lần thử đăng nhập như “Loginizer” hoặc “Wordfence” trong WordPress. Dưới đây là hướng dẫn chi tiết về cách sử dụng plugin “Loginizer”:

  • Cài đặt plugin “Loginizer”:
    • Đăng nhập vào trang quản trị WordPress của bạn.
    • Trong menu bên trái, di chuột qua “Plugins” và chọn “Add New”.
    • Tìm kiếm “Loginizer”.
    • Khi plugin được tìm thấy, nhấp vào nút “Install Now”, sau đó nhấp vào “Activate” để kích hoạt plugin.
  • Cấu hình plugin “Loginizer”:
    • Sau khi kích hoạt plugin, di chuột qua “Settings” trong menu bên trái và chọn “Loginizer”.
    • Bạn sẽ thấy các tùy chọn cấu hình của plugin.
    • Hãy điều chỉnh các tùy chọn theo ý muốn của bạn, bao gồm:
      • Số lần thử đăng nhập không thành công trước khi bị chặn.
      • Thời gian chặn sau khi đạt đến số lần thử đăng nhập không thành công.
      • Gửi thông báo email khi có cuộc tấn công.
  • Kiểm tra và xác nhận hoạt động của plugin:
    • Để kiểm tra hoạt động của plugin, bạn có thể thử đăng nhập vào trang quản trị WordPress bằng cách nhập mật khẩu sai nhiều lần.
    • Sau khi đạt đến số lần thử đăng nhập không thành công, plugin sẽ chặn địa chỉ IP và hiển thị thông báo.
    • Bạn có thể xem danh sách các địa chỉ IP đã bị chặn và quản lý chúng trong cài đặt plugin.

10. Kiểm tra và cập nhật các plugin bảo mật:

Kiểm tra và cập nhật các plugin bảo mật giúp đảm bảo rằng bạn sử dụng phiên bản mới nhất của các plugin có tính bảo mật cao.

itheme
iThemes Security là plguin bảo mật cho WordPress đang được ưa chuộng nhất hiện nay

Cách kích hoạt và cài đặt cáu hình khá dễ dàng vì các yếu tố cần thiết đã được plguin đề xuất và bạn chỉ cần tích vào là được.

Phân tích và xử lý lỗ hổng bảo mật website WordPress

Trong phần này, chúng ta sẽ phân tích chi tiết về các công cụ kiểm tra và xử lý lỗ hổng bảo mật WordPress, cũng như các plugin quét và vá lỗ hổng bảo mật. Dưới đây là một phân tích sâu hơn về mỗi công cụ và plugin:

  • WPScan:
    • WPScan là một công cụ mã nguồn mở và miễn phí được sử dụng để kiểm tra các lỗ hổng bảo mật trong WordPress.
    • WPScan sử dụng cơ sở dữ liệu lỗ hổng bảo mật được cập nhật thường xuyên để tìm kiếm các lỗ hổng phổ biến trong phiên bản WordPress, chủ đề và plugin được cài đặt.
    • Công cụ này cũng kiểm tra các thiết lập bảo mật khác như cấu hình tệp tin .htaccesswp-config.php.
  • Sucuri Security:
    • Sucuri Security là một plugin WordPress mạnh mẽ giúp phát hiện và loại bỏ mã độc, kiểm tra lỗ hổng bảo mật và tăng cường bảo mật chung cho trang web.
    • Plugin này cung cấp tính năng quét toàn diện để phát hiện các lỗ hổng bảo mật trong hệ thống WordPress, bao gồm cả phiên bản WordPress, chủ đề và plugin đã cài đặt.
    • Sucuri Security cũng cung cấp tường lửa ứng dụng web (WAF) để ngăn chặn các cuộc tấn công DDoS và bảo vệ trang web khỏi các mối đe dọa bảo mật.
  • Nessus:
    • Nessus là một công cụ kiểm tra lỗ hổng bảo mật phổ biến sử dụng để tìm ra các lỗ hổng trong hệ thống WordPress và đề xuất các biện pháp khắc phục.
    • Nessus có một cơ sở dữ liệu lỗ hổng bảo mật rộng lớn và sử dụng các phương pháp quét tự động để phát hiện các lỗ hổng bảo mật có thể bị tấn công.
    • Công cụ này cung cấp báo cáo chi tiết về các lỗ hổng đã tìm thấy, bao gồm cả các khuyến nghị về cách vá lỗ hổng đó.
  • Wordfence Security:
    • Wordfence Security là một plugin bảo mật phổ biến cho WordPress với nhiều tính năng bảo mật.
    • Plugin này cung cấp tính năng quét lỗ hổng bảo mật để tìm kiếm các lỗ hổng trong phiên bản WordPress, chủ đề và plugin đã cài đặt.
    • Wordfence Security cũng có khả năng chặn các cuộc tấn công DDoS, giám sát hoạt động của trang web và cung cấp bảo vệ chống tấn công Brute Force.
  • iThemes Security:
    • iThemes Security là một plugin bảo mật nổi tiếng với nhiều tính năng mạnh mẽ.
    • Plugin này cung cấp tính năng quét lỗ hổng bảo mật để tìm kiếm các lỗ hổng trong phiên bản WordPress, chủ đề và plugin đã cài đặt.
    • iThemes Security bao gồm bảo vệ chống tấn công Brute Force, cải thiện bảo mật cơ bản và có khả năng thay đổi URL đăng nhập để ngăn chặn các cuộc tấn công vào trang đăng nhập.

Thông qua việc sử dụng các công cụ kiểm tra lỗ hổng bảo mật và plugin quét và vá lỗ hổng bảo mật, bạn có thể xác định và khắc phục các lỗ hổng bảo mật trong hệ thống WordPress của mình. Điều này giúp đảm bảo rằng website của bạn được bảo vệ tốt hơn khỏi các mối đe dọa bảo mật và tấn công từ phía bên ngoài.

Tạm kết

Việc bảo mật cho website WordPress tuy nhìn khá phức tạp và khó thực hiện nhưng khi bạn hoàn tất các yêu cầu mà mình cung cấp thành công thì sẽ giảm thiểu nguy cơ bị tin tặc tấn công về sau. Điều mà hầu hết của các anh em webmaster là không bị DDoS và không bị hack website, chính vì vậy mà bạn nên chuẩn bị những kiến thức này ngay từ bây giờ.

Viết một bình luận

info

Founder: Juncer Hoang

Building a WordPress blog with Content AI.

Insightsfree © 2023 INFO

Chính sách bảo mật Chính sách nội dung