Quản trị WordPress bảo mật: Bạn có biết rằng hơn 90.000 lần tấn công được thực hiện trên các trang web WordPress mỗi phút trong ngày? Điều này ngụ ý rằng các nỗ lực tấn công vào các trang web của bạn sắp xảy ra bất kể trang web đó lớn hay nhỏ. Bảo mật là một trong những mối quan tâm hàng đầu đối với một trang web.
Tin tặc sử dụng nhiều kỹ thuật khác nhau để hack trang web WordPress và tấn công vũ phu là một trong những kỹ thuật như vậy. Nó liên quan đến việc thử kết hợp tên người dùng và mật khẩu thường được sử dụng trên trang đăng nhập trang web.
Một cuộc tấn công brute force thành công cung cấp cho bạn quyền truy cập vào quản trị viên WordPress. Khu vực quản trị WordPress là trung tâm quản trị của một trang web được hỗ trợ bởi WordPress. Bất kỳ ai có toàn quyền truy cập vào quản trị viên sẽ có toàn quyền kiểm soát trang web. Do đó, điều quan trọng là phải bảo vệ quản trị viên WordPress của bạn khỏi các cuộc tấn công vũ phu.
Cách bảo mật quản trị viên WordPress?
Chúng tôi đã đưa ra một số kỹ thuật sẽ giúp bạn bảo mật quản trị viên WordPress của trang web của bạn trước các nỗ lực tấn công.
1. Sử dụng mật khẩu mạnh
Một trong những sai lầm phổ biến nhất mà chủ sở hữu trang web mắc phải là sử dụng mật khẩu yếu. Trong suốt nhiều năm, các kỹ thuật bẻ khóa mật khẩu đã phát triển. Mật khẩu dễ đoán sẽ bị bẻ khóa trong vòng vài phút. Mật khẩu mạnh giúp bảo vệ trang web của bạn chống lại các kỹ thuật bẻ khóa mật khẩu hiểu biết. Đây là một bài viết tuyệt vời về cách tạo mật khẩu thực sự mạnh cho trang web WordPress của bạn.
Tuy nhiên, việc ghi nhớ mật khẩu mạnh có thể là một vấn đề. Bài đăng này giải thích cách quản lý mật khẩu WordPress mạnh.
Một sai lầm rất phổ biến khác mà nhiều người mắc phải là khi họ sử dụng cùng một mật khẩu trên nhiều trang web. Khi một mật khẩu bị xâm phạm, tất cả các tài khoản được liên kết với mật khẩu sẽ bị xâm phạm. Do đó, sử dụng các mật khẩu khác nhau cho các tài khoản có thể giúp tránh tình trạng này.
2. Tránh sử dụng tên người dùng chung
Bảo mật mật khẩu WordPress là một bước quan trọng để đảm bảo thông tin đăng nhập WordPress. Thành phần thứ hai của thông tin đăng nhập là tên người dùng. Nếu tên người dùng của bạn dễ đoán thì hacker chỉ cần tập trung vào mật khẩu.
Một trong những tên người dùng WordPress phổ biến nhất là “quản trị viên”. Cho đến vài năm trước, WordPress đã tự động đề xuất “quản trị viên” làm tên người dùng. Mặc dù WordPress đã ngừng đề xuất “quản trị viên”, nhiều chủ sở hữu trang web vẫn đang sử dụng nó. Một số tài khoản người dùng mới đang được tạo bằng cách sử dụng "admin" làm tên người dùng. Tất cả các trang web này đang tự biến mình thành mục tiêu dễ dàng.
Vì WordPress không bắt buộc sử dụng tên người dùng duy nhất, bạn cần đảm bảo rằng không có người dùng nào của bạn đang sử dụng tên người dùng phổ biến và không có tài khoản mới nào được tạo bằng “quản trị viên”. Hãy xem danh sách đầy đủ về tên người dùng thường được sử dụng này để bạn biết những tên người dùng nào cần tránh.
3. Ẩn trang đăng nhập WordPress của bạn
Các trang web WordPress hoạt động theo cách thức được xác định trước. Trong trường hợp này, tất cả các trang web WordPress đều có trang đăng nhập mặc định giống như thế này “www.anysite.com/wp-admin”. Điều này làm cho công việc của một hacker dễ dàng hơn vì họ có thể khởi động một cuộc tấn công tự động vào một số trang web WordPress được nhắm mục tiêu đồng thời. Nhưng nếu bạn ẩn trang đăng nhập bằng cách thay đổi nó, bạn có thể ngăn chặn các kiểu tấn công như vậy vào trang web của mình.
Có nhiều plugin mà bạn có thể sử dụng để thay đổi trang đăng nhập của mình và sử dụng URL mà plugin gợi ý cho bạn. Có khả năng là các trang web khác sử dụng cùng một plugin đang sử dụng cùng một URL. Và nếu tin tặc biết định dạng URL, việc ẩn trang đăng nhập của bạn sẽ chẳng là gì cả. Do đó, hãy sử dụng một công cụ cho phép bạn tạo URL trang đăng nhập tùy chỉnh của riêng mình.
4. Triển khai xác thực HTTP
Để bảo mật cho quản trị viên WordPress, bạn có thể bảo vệ bằng mật khẩu cho toàn bộ thư mục wp-admin của mình. Thư mục wp-admin chứa các tệp quản trị cung cấp năng lượng cho bảng điều khiển WordPress. Bất kỳ ai có quyền truy cập vào thư mục này đều có thể kiểm soát toàn bộ trang web. Nếu mật khẩu của bạn bảo vệ toàn bộ thư mục, mỗi khi ai đó yêu cầu phần quản trị, máy chủ sẽ bắt đầu quá trình xác thực. Trình duyệt sẽ yêu cầu người dùng nhập mật khẩu xác thực HTTP. Có nhiều công cụ bạn có thể sử dụng để triển khai xác thực HTTP trên quản trị viên WordPress của mình như HTTP Auth, AskApache Password Protect, v.v.
5. Sử dụng Google Authenticator
Với các kỹ thuật hack trang web ngày càng trở nên tinh vi hơn ngày nay, việc thêm một lớp bảo vệ đăng nhập khác cùng với thông tin đăng nhập mạnh mẽ của người dùng là điều thường thấy. Kỹ thuật này được gọi là xác thực hai yếu tố (2FA). Phương pháp này liên quan đến việc gửi mã mà chỉ bạn mới có thể nhận được trên điện thoại thông minh của mình. Trước khi được cấp quyền truy cập vào trang tổng quan WordPress, bạn cần nhập mã duy nhất trên trang web của mình. Lợi ích của phương pháp này là ngay cả khi tin tặc quản lý để bẻ khóa thông tin đăng nhập của bạn, chúng vẫn cần mã được gửi riêng đến thiết bị của bạn.
Có rất nhiều plugin WordPress mà bạn có thể sử dụng để xác thực 2 yếu tố. Chúng tôi đã bật 2FA trên trang web của mình bằng cách sử dụng Mini Orange để bảo mật cho quản trị viên WordPress và viết hướng dẫn về cách này.
6. Giới hạn số lần đăng nhập không thành công
Các trang web bị tấn công brute force trải qua hàng trăm lần đăng nhập không thành công. Để ngăn chặn sự tấn công không ngừng này đối với quản trị viên WordPress của bạn, bạn có thể giới hạn số lần đăng nhập thất bại được thực hiện trên trang web của mình. Plugin bảo mật MalCare ngăn người dùng cố gắng đăng nhập sau 3 lần đăng nhập không thành công. Họ phải giải một CAPTCHA trước khi được phép truy cập lại vào trang đăng nhập WordPress. Điều này giúp xác định xem người dùng là con người hay một bot tự động đang cố gắng thực hiện cuộc tấn công vũ lực trên trang web.
7. Cài đặt chứng chỉ SSL
Nhìn vào URL trang web của chúng tôi! Bạn có thể nhìn thấy một ổ khóa màu xanh lục với từ "Secure" bên cạnh nó không? Trang web của chúng tôi đã được cài đặt chứng chỉ SSL, có nghĩa là không ai có thể rình mò và đọc thông tin đăng nhập của người dùng của chúng tôi. Trang web không có chứng chỉ SSL có nguy cơ vô tình tiết lộ thông tin nhạy cảm của trang web.
Ngày xưa, chứng chỉ SSL dành cho các trang thanh toán hoặc khu vực quản trị WordPress. Nhưng bây giờ chứng chỉ SSL có thể giúp bảo mật toàn bộ trang web của bạn. Trong nỗ lực làm cho web trở thành một nơi an toàn hơn, Google đã tuyên bố rõ ràng rằng chứng chỉ SSL là một yếu tố xếp hạng. Bạn có thể lấy chứng chỉ SSL từ các nhà cung cấp như Comodo, Let’s Encrypt và máy chủ web của bạn sẽ giúp thiết lập chứng chỉ trên trang web của bạn.
8. Danh sách đen Địa chỉ IP độc hại
Mọi người sử dụng internet đều có địa chỉ IP. Ngay cả khi hacker tung ra các cuộc tấn công vào các trang web WordPress cũng có địa chỉ IP. Nếu bạn giữ bản ghi của các địa chỉ IP này, bạn có thể chặn chúng truy cập vào trang web của mình. MalCare - một trong những plugin bảo mật WordPress tốt nhất hiện có cung cấp thông tin chi tiết (địa chỉ IP) về các lần đăng nhập không thành công được thực hiện trên trang web. Nếu bạn quan sát thấy nhiều lần thử không thành công được thực hiện từ các IP giống nhau gần như thường xuyên, bạn có thể chặn các IP đáng ngờ này truy cập vào trang web của mình bằng cách chỉ cần đặt các mã sau vào tệp .htaccess của chúng tôi:
order allow,deny deny from 192.168.20.10 allow from all
“192.168.20.10” is the IP address we wanted to block on one of our sites. You can replace it with the IP you want to block.
9. Change Security Keys
You don’t have to enter your login credentials every time you need to log in to your site. Ever wondered how your browser stores these credentials? After you sign into your account, your login information is stored in an encrypted manner in the browser cookie. Security keys are just random variables that help improve this encryption. If your site is hacked, changing the secret keys will invalidate cookie and force every active user to log out automatically. Once thrown out, the hacker losses access your WordPress admin.
Over to You
There is no one way to secure a WordPress admin hence be sure to use multiple methods. We shared with you some of the most recommended ways to secure WordPress admin. But before implementing any of these methods, you must back up your site. If something goes wrong, you can simply restore a backup and get our site up and running in no time.
Besides these, you can take a few more security measures like IP blocking, protecting the login page, securing site with wp-config.php, following this complete guide on WordPress security, and by installing a WordPress security plugin like MalCare.
MalCare will help you implement some of the measures we have mentioned above. For instance, MalCare Security Plugin will help you change security keys, limit the number of failed login attempts, keep your website update, among other things.
Try MalCare Security Plugin Right Now!