Có thể bạn đã biết các biện pháp bảo mật rõ ràng cần thực hiện để bảo vệ trang web WordPress của mình.
Có thể bạn biết rằng bạn phải đặt mật khẩu trang web của mình “mạnh” (kết hợp các ký tự đặc biệt, chữ hoa, chữ thường và số). Bạn không nên sử dụng “admin” làm tên người dùng và bạn nên thay đổi mật khẩu thường xuyên. Có thể bạn đã sử dụng xác thực hai yếu tố trên trang web WordPress của mình và đã sao lưu trang web của bạn. Và bạn không bao giờ tải xuống các plugin cao cấp miễn phí hoặc từ các nguồn không xác định. Vậy còn gì nữa không?
Sau đây, chúng ta sẽ thảo luận thêm về một số mẹo bảo mật WordPress bằng cách sử dụng các phương pháp ít được biết đến nhưng hiệu quả sâu sắc mà bạn có thể và nên sử dụng để bảo vệ trang web WordPress của mình.
1. Đổi tên hoặc di chuyển trang đăng nhập của bạn
Trang đăng nhập mặc định cho trang web của bạn là “www.websitename.com/wp-login.php” (hoặc “www.websitename.com/wp-admin”). Một trong những cách để bảo vệ trang web của bạn là ẩn hoặc làm mờ trang đăng nhập để tin tặc không thể tìm thấy nó một cách dễ dàng. Kiểm soát quyền truy cập đăng nhập của bạn bằng cách giới hạn số lần đăng nhập mỗi lần và khoảng thời gian giữa các lần đăng nhập cũng sẽ cải thiện bảo mật.
Nếu bạn đã cài đặt Jetpack, bạn có thể kích hoạt mô-đun “Brute Force Protection” của nó. Với mô-đun này được kích hoạt, Jetpack sẽ cập nhật Dashboad với số lần đăng nhập độc hại vào trang web của bạn. Bạn cũng có tùy chọn đưa một số địa chỉ IP vào danh sách trắng. Từ Jetpack, chuyển đến “Cài đặt” rồi đến “Bảo vệ”, tiếp theo là “Định cấu hình” và bạn sẽ thấy những gì trông giống như hình ảnh bên dưới.
Cerber Security and Limit Login Attempt là một plugin thay thế cho Jetpack. Nếu bạn không muốn sử dụng Jetpack, đăng nhập Giới hạn là một tùy chọn. Tính đến ngày viết bài, plugin đã được cài đặt hơn 40.000 lần và duy trì danh tiếng gần như nguyên sơ khi 108 trong số 111 người dùng đánh giá nó năm sao.
Đăng nhập giới hạn khá dễ sử dụng, nhưng việc định cấu hình phần “Làm cứng” sẽ cải thiện tính bảo mật của trang web của bạn. Tất cả quyền truy cập vào máy chủ XML-RPC, bao gồm trackback và pingback, đều bị chặn theo mặc định. Nếu vì bất kỳ lý do gì mà bạn đang truy cập API phần còn lại của WordPress (ví dụ:ứng dụng Android hoặc iOS của blog của bạn cần nó), thì hãy để API phần còn lại của WP và XML-RPC có thể truy cập được.
2. Tổ chức nơi an toàn
Vì một con số khổng lồ bốn mươi mốt phần trăm vi phạm bảo mật của các trang web WordPress bắt nguồn từ phía máy chủ lưu trữ chứ không phải chính trang web, bạn nên đảm bảo rằng máy chủ của bạn được bảo mật. Trên thực tế, lưu trữ có trọng lượng lớn nhất khi nói đến bảo mật. Chỉ tám phần trăm vụ hack xảy ra do mật khẩu yếu, hai mươi chín phần trăm do chủ đề và hai mươi hai phần trăm do plugin. Vì vậy, khoảng một nửa sự an toàn của trang web của bạn phụ thuộc vào việc lưu trữ.
Đảm bảo rằng tài khoản của bạn bao gồm tính năng cô lập tài khoản nếu bạn sử dụng dịch vụ lưu trữ được chia sẻ. Tài khoản của bạn sẽ được bảo vệ khỏi bất kỳ điều gì xảy ra trên trang web của người khác. Tuy nhiên, tốt nhất là bạn nên sử dụng dịch vụ được thiết kế dành cho người dùng WordPress. Các dịch vụ như vậy sẽ bao gồm tường lửa WordPress, bảo vệ chống tấn công phần mềm độc hại trong zero-day, MySQL và PHP được cập nhật, các máy chủ WordPress chuyên dụng và dịch vụ khách hàng am hiểu về WordPress. Các máy chủ như WP Engine, Siteground và Pagely có hồ sơ theo dõi an toàn mạnh mẽ.
3. Luôn cập nhật và chỉ sử dụng phần mềm đã cập nhật
Bạn biết rằng bạn phải sử dụng phần mềm chống vi-rút được cập nhật và các biện pháp bảo vệ chống phần mềm độc hại có liên quan khác cho máy tính của mình. Biện pháp phòng ngừa này cũng áp dụng cho các plugin và chủ đề. Hãy cập nhật chúng và nếu bạn có bất kỳ chủ đề hoặc plugin nào trong kho lưu trữ của mình mà không được sử dụng, hãy xóa chúng. Nếu nó phù hợp với trang web của bạn, hãy cân nhắc đặt các plugin và chủ đề của bạn để cập nhật tự động. Để thiết lập cập nhật tự động, hãy đặt một số mã vào wp-config.php của bạn. Sau đây là mã cho các plugin:
add_filter( 'auto_update_plugin', '__return_true' );
Và đối với các chủ đề, hãy sử dụng mã này:
add_filter( 'auto_update_theme', '__return_true' );
Nếu bạn muốn có một phương pháp hữu ích để bảo trì trang web, thì bạn có thể cân nhắc việc tự động hóa các bản cập nhật WordPress. Tuy nhiên, lưu ý rằng việc thiết lập cập nhật tự động có thể làm hỏng trang web của bạn, đặc biệt nếu các plugin không tương thích với bản cập nhật WordPress mới nhất chạy trên trang web của bạn. Để thiết lập cập nhật tự động cho trang web WordPress của bạn, hãy chèn mã bên dưới vào wp-config.php của bạn tệp:
# Enable all core updates, including minor and major: define( 'WP_AUTO_UPDATE_CORE', true );
4. Xóa trình chỉnh sửa chủ đề plugin và báo cáo lỗi PHP
Tắt trình chỉnh sửa tích hợp sẵn của bạn cho các plugin và chủ đề nếu bạn không thường xuyên tinh chỉnh và thay đổi cài đặt (hoặc chạy bất kỳ bảo trì nào khác trên các plugin và chủ đề của mình). Điều này là để bảo mật cho trang web của bạn.
Người dùng WordPress được ủy quyền có quyền truy cập vào trình chỉnh sửa này, khiến trang web của bạn dễ bị vi phạm bảo mật nếu tài khoản của họ bị tấn công. Trên thực tế, tin tặc có thể đánh sập trang web của bạn bằng cách sửa đổi mã trong trình chỉnh sửa đó. Để tắt trình chỉnh sửa, hãy chèn mã bên dưới vào wp-config.php của bạn :
define( 'DISALLOW_FILE_EDIT', true );
Báo cáo lỗi là tốt. Nó giúp bạn khắc phục sự cố. Vấn đề duy nhất (và đó là một vấn đề lớn) là các thông báo lỗi cũng mang theo đường dẫn máy chủ của bạn. Tin tặc có thể xem xét đường dẫn máy chủ của bạn và dễ dàng hiểu rõ về cấu trúc trang web của bạn. Mặc dù báo cáo lỗi PHP là tốt nhưng nó bị TỐT NHẤT bị vô hiệu hóa hoàn toàn. Sử dụng đoạn mã bên dưới cho wp-config.php của bạn tệp:
error_reporting(0); @ini_set(‘display_errors’, 0);
5. Sử dụng .htaccess để bảo vệ các tệp có mục đích đặc biệt
Tệp .htaccess rất quan trọng vì nó là trung tâm của trang web WordPress của bạn. Tệp này chịu trách nhiệm về cấu trúc liên kết cố định và bảo mật của trang web của bạn. Bên ngoài #BEGIN WordPress
và #END WordPress
, không có giới hạn về số lượng đoạn mã mà bạn có thể thêm vào tệp .htaccess của mình để thay đổi mức độ hiển thị của các tệp bên trong thư mục trang web của bạn.
Nếu bạn chưa làm như vậy, hãy ẩn tệp wp-config.php trên trang web của bạn. Tệp đó quan trọng đối với các hoạt động trên trang web của bạn và chứa thông tin cá nhân của bạn cũng như các chi tiết quan trọng khác có liên quan đến trang web của bạn. Bạn có thể sử dụng đoạn mã bên dưới để ẩn nó.
order allow,deny deny from all
Để hạn chế quyền truy cập của quản trị viên, chỉ cần tạo một tệp .htaccess mới và tải tệp đó lên thư mục “wp-admin” của bạn. Sau đó, hãy chèn mã này:
order deny,allow allow from 192.168.5.1 deny from all
Nhập địa chỉ IP của bạn vào đúng vị trí. Để cho phép truy cập wp-admin của bạn từ nhiều địa chỉ IP, hãy liệt kê các địa chỉ IP đó, mỗi địa chỉ trên một dòng riêng biệt, vì allow from IP Address
. Bạn có thể hạn chế quyền truy cập vào wp-login.php của mình theo cách tương tự. Chỉ cần thêm đoạn mã này vào .htaccess của bạn:
order deny,allow Deny from all # allow access from my IP address allow from 192.168.5.1
Nếu bạn không muốn chặn tất cả các địa chỉ IP, chỉ những địa chỉ IP cụ thể muốn có quyền truy cập vào wp-admin hoặc wp-login.php của bạn, bạn có thể chặn các địa chỉ IP riêng lẻ bằng mã này:
order allow,deny deny from 456.123.8.9 allow from all
Bạn cũng có thể chặn mọi người xem thư mục trang web của mình bằng cách làm cho nó không thể được duyệt. Bạn có thể sử dụng đoạn mã này để làm điều đó:
Options All -Indexes
Kết luận
Đây là một hướng dẫn hữu ích để giúp bạn cải thiện bảo mật cho trang web WordPress của mình. Điều quan trọng nhất trong số các tùy chọn này là một tùy chọn khá đơn giản để thực hiện ngay bây giờ - tìm một máy chủ lưu trữ có danh tiếng nguyên sơ về bảo mật, vì một nửa bảo mật của trang web nằm trên máy chủ lưu trữ của bạn.
Mẹo bảo mật nào hữu ích nhất đối với bạn và tại sao? Bạn có bất kỳ mẹo bảo mật nào khác không được liệt kê ở đây không? Đề cập đến nó (hoặc chúng) trong các bình luận.