Nếu bạn đang điều hành một blog hoặc trang web nhỏ cho doanh nghiệp nhỏ của mình, bạn có thể nghĩ rằng trang web của mình sẽ không bị tin tặc nhắm mục tiêu và bạn không phải thực hiện các biện pháp để bảo mật trang web của mình. Điều tồi tệ là hầu hết các cuộc tấn công trực tuyến đều là các mạng botnet tự động và chúng không thực sự quan tâm đến việc bạn đang điều hành một doanh nghiệp nhỏ hay lớn.
Trong bài viết này, chúng tôi sẽ chỉ cho bạn một số biện pháp bảo mật mà bạn có thể thực hiện để bảo mật trang đăng nhập WordPress của mình.
1. Tích hợp xác thực hai yếu tố
Xác thực hai bước hoặc hai yếu tố hiện đã trở thành một bước tất yếu để bảo mật cho bất kỳ tài khoản trực tuyến nào. Người dùng chủ yếu sử dụng lớp bảo mật này cho các tài khoản trực tuyến quan trọng nhất của họ. Đã đến lúc bạn kích hoạt nó cho trang web WordPress của mình.
Plugin chúng tôi khuyên dùng là Google Authenticator vì nó được cập nhật thường xuyên và dễ thiết lập. Trước khi bắt đầu, hãy đảm bảo bạn tải xuống Ứng dụng Authenticator trên thiết bị di động của mình. Nó có sẵn trên Android, iOS và Blackberry.
1. Cài đặt và kích hoạt plugin Google Authenticator.
2. Đi tới “Người dùng -> Hồ sơ của bạn” và cuộn xuống Cài đặt Google Authenticator.
3. Nhấp vào hộp bên cạnh “Hoạt động” và thêm một mô tả nhỏ vào trường Mô tả. Mô tả sẽ giúp bạn xác định trang web của mình trên ứng dụng dành cho thiết bị di động nếu bạn đã thiết lập nhiều mã.
4. Nhấp vào nút “Quét QR” để hiển thị mẫu. Mở ứng dụng di động và quét hình QR này. Thao tác này sẽ tạo ra một mã gồm sáu chữ số mà bây giờ bạn có thể thêm vào trong quá trình đăng nhập của mình.
Mã này thay đổi cứ sau mười giây, vì vậy bạn phải thêm nó vào trong khoảng thời gian đó. Bất cứ khi nào bạn đăng nhập vào trang web WordPress của mình, hãy để ứng dụng Authenticator luôn mở trên thiết bị của bạn. Hãy nhớ rằng bạn chỉ có mười giây để nhập mã và nhấn nút Đăng nhập.
2. Sử dụng các plugin bảo mật
Có rất nhiều plugin bảo mật, nhưng danh sách bên dưới chứa những plugin dùng để bảo vệ Trang Đăng nhập.
- WPS Ẩn Đăng nhập:trang WordPress mặc định là “wp-login.php.” Với plugin này, bạn có thể thay đổi trang đăng nhập thành URL tùy chỉnh mà bạn chọn.
- Các nỗ lực đăng nhập giới hạn WP:Plugin này hoạt động như một biện pháp bảo vệ chống lại các cuộc tấn công vũ phu. Nó cho phép bạn đặt số lần đăng nhập cho người dùng. Nếu người dùng không đăng nhập được trong số lần thử nhất định, thì IP của người dùng sẽ tạm thời bị chặn khỏi trang web. Ngoài ra, nó cũng bổ sung xác minh bằng hình ảnh xác thực để loại bỏ các bot.
- Loginizer:Đây là một plugin tất cả trong một để bảo vệ trang đăng nhập của bạn khỏi bạo lực và các cuộc tấn công khác. Nó có Two Factor Auth, reCAPTCHA, PasswordLess Login và nhiều tính năng bảo mật khác dành riêng cho đăng nhập.
3. Chỉ cho phép một số địa chỉ IP nhất định truy cập trang đăng nhập
Nếu chỉ có một vài người dùng cho trang web của bạn, bạn có thể thêm danh sách trắng các địa chỉ IP có thể truy cập trang đăng nhập. Để làm như vậy, bạn chỉ cần tạo tệp “.htaccess” trong thư mục “wp-admin” (sử dụng cPanel của máy chủ web của bạn).
Thêm mã sau vào tệp “.htaccess” mới tạo:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # Ab's IP address allow from xx.xx.xx.xxx # Ketul's IP address allow from xx.xx.xx.xxx # John's IP address allow from xx.xx.xx.xxx </LIMIT>
Chỉ cần thay đổi “xx” bằng địa chỉ IP mà bạn muốn đưa vào danh sách trắng. Ngoài ra, bạn có thể thêm nhận xét bên trên chúng để chỉ định người dùng. Điều này sẽ chỉ cho phép các địa chỉ IP được đề cập truy cập vào trang “wp-admin”. Nó sẽ hiển thị lỗi 403 nếu được truy cập từ địa chỉ IP khác. Bằng cách này, bạn có thể giới hạn quyền truy cập vào trang đăng nhập và tăng cường bảo mật cho trang web của mình.
4. Chuyển sang HTTPS
Nếu bạn thực sự quan tâm đến tính bảo mật của trang web hoặc blog WordPress của mình, thì HTTPS là giao thức bạn chắc chắn nên nâng cấp lên. Về cơ bản, HTTPS mã hóa kết nối giữa trình duyệt web của bạn và máy chủ web, khiến kẻ tấn công khó có thể giả mạo dữ liệu đang được truyền. Nó có thể bảo vệ bạn khỏi một tập lệnh độc hại ẩn trên thiết bị máy tính của bạn, một tập lệnh có thể lấy cắp dữ liệu từ các biểu mẫu đăng nhập và các trường đầu vào khác.
Ngoài bảo mật, bạn cũng có được lợi thế hơn so với các trang web không sử dụng HTTPS khác trên kết quả tìm kiếm của Google. Hơn nữa, các chứng chỉ SSL cần thiết cho kết nối HTTPS đã trở nên rẻ hơn nhiều so với trước đây.
Kết luận
Bảo vệ trang đăng nhập WordPress của bạn là bước đầu tiên để đảm bảo trang web của bạn được bảo mật. Với các bước được đề cập ở trên, bạn sẽ có một trang đăng nhập chắc chắn có thể chịu được một cuộc tấn công bạo lực và hầu hết các cuộc tấn công ngoài đó.