Đã có lần bạn ngồi xuống và thực hiện kiểm tra bảo mật WordPress hoàn chỉnh trên trang web của mình. Đó không phải là điều bạn tưởng tượng, nhưng bạn đã làm điều đó để ngăn chặn những tên tin tặc xấu xa.
- Bạn đã tiếp tục và cài đặt một plugin bảo mật WordPress trên trang web của mình vì các chuyên gia đã nói như vậy.
- Y ou đã cập nhật tất cả các plugin và chủ đề WordPress của bạn vì bạn biết chính xác điều gì sẽ xảy ra nếu bạn không cập nhật.
- Bạn đã đọc các biện pháp củng cố trang web và bạn đã triển khai những biện pháp cuối cùng.
Tóm lại: Bạn chắc chắn 100% rằng trang web của mình an toàn và bảo mật khỏi tin tặc.
Và sau đó, một vài tháng sau, bạn thức dậy và mong đợi mọi thứ sẽ diễn ra như bình thường…
Chỉ để biết rằng trang web của bạn đã bị tấn công.
Nó hoàn toàn có thể là bất cứ điều gì. Nó có thể là một chuyển hướng độc hại đến một trang web khác. Hoặc bạn có thể phát hiện ra rằng trang web của mình có các cửa sổ bật lên đang cố gắng bán thứ gì đó hoàn toàn không liên quan đến doanh nghiệp của bạn.
Đó là khi bạn nhận ra rằng bạn đã không bảo vệ được trang web của mình.
Đây là một kịch bản mà hầu hết các chủ sở hữu trang web WordPress phải đối mặt. Và nếu đây là những gì bạn đang gặp phải, thì bạn đã đến đúng bài viết.
Đây là điều: Sai lầm duy nhất của bạn là bạn cho rằng kiểm tra bảo mật WordPress là hoạt động một lần. Khi bạn đánh dấu chọn tất cả các ô trong danh sách, bạn nghĩ rằng tất cả đã xong và hoàn thành.
Sự thật là bảo mật trang web của bạn cũng giống như quảng cáo - đó là một hoạt động liên tục. Bạn sẽ không ngừng quảng cáo doanh nghiệp của mình, phải không?
Các công cụ bảo mật trang web và các biện pháp phòng ngừa không ngừng được cải tiến, nhưng tin tặc sẽ không ngồi lại và chỉ để bạn kiểm soát doanh nghiệp của mình. Đó là doanh nghiệp của bạn và bạn sẽ phải chiến đấu vì nó hàng ngày.
Kiểm tra bảo mật WordPress là cách đơn giản nhất để tìm ra cái nào hoạt động và cái gì không. Các biện pháp bảo mật của bạn có lỗi thời không?
Nếu không có kiểm tra bảo mật WordPress 3 tháng một lần, khả năng tin tặc đột nhập vào trang web của bạn và gây tổn hại cho doanh nghiệp của bạn sẽ cao hơn nhiều.
Nhưng đừng lo lắng, tất cả điều này có thể tránh được bằng cách đảm bảo các biện pháp bảo mật của bạn được cập nhật. Hôm nay, chúng tôi sẽ chỉ cho bạn các bước về cách chạy kiểm tra bảo mật WordPress thành công trên trang web của bạn.
TL; DR: Để bảo mật hoàn toàn trang web WordPress của bạn, chúng tôi khuyên bạn nên sử dụng plugin bảo mật. Cài đặt MalCare để quét và theo dõi trang web của bạn thường xuyên. Nó cũng sẽ chặn các nỗ lực tấn công vào trang web của bạn. Và có, nó cũng tự động thực hiện kiểm tra bảo mật WordPress cho bạn mỗi ngày.
Kiểm tra bảo mật WordPress là gì?
Không sớm thì muộn, hầu hết các trang web WordPress đều gặp phải các vấn đề bảo mật. Ví dụ:các plugin và chủ đề có thể phát triển các lỗ hổng bảo mật có thể bị tin tặc lợi dụng để xâm nhập vào trang web của bạn.
Khi họ có quyền truy cập vào trang web của bạn, họ có thể chuyển hướng lưu lượng truy cập của bạn, hiển thị nội dung và quảng cáo bất hợp pháp, lừa dối khách hàng của bạn và đánh cắp dữ liệu cá nhân, trong số một danh sách dài các hành vi độc hại.
Kiểm tra bảo mật WordPress có thể giúp xác định những vấn đề này ngay lập tức để bạn có thể thực hiện các biện pháp để đóng bất kỳ lỗ hổng bảo mật nào trên trang web của mình. Khi bạn chạy kiểm tra bảo mật, bạn sẽ kiểm tra các biện pháp bảo mật hiện có trên trang web của mình. Và sau đó xác định những biện pháp bảo mật nào bạn có thể triển khai trên trang web của mình để đảm bảo rằng trang web được bảo vệ.
Việc kiểm tra bảo mật đầy đủ có thể bao gồm một số bước và có thể trở nên lộn xộn nếu bạn không có quy trình và danh sách kiểm tra.
Bây giờ, rất có thể bạn đã thực hiện kiểm tra bảo mật WordPress trước đó. Điểm mấu chốt đằng sau bài viết này là giúp bạn thiết lập một quy trình mà bạn có thể lặp lại vào cuối 3 tháng một lần. Lý tưởng nhất là kiểm tra bảo mật WordPress nên được thực hiện hàng ngày. Nhưng để an toàn mà vẫn hợp lý, chúng tôi khuyên bạn nên thực hiện việc này hàng tháng.
Hôm nay, chúng tôi sẽ hướng dẫn bạn qua Hướng dẫn kiểm tra bảo mật WordPress từng bước của chúng tôi. Quá trình kiểm tra này sẽ cho phép bạn tiến hành kiểm tra toàn diện và đầy đủ trang web của mình.
Cách Chạy Kiểm tra Bảo mật Thành công
Trong quá trình kiểm tra này, chúng tôi sẽ xem xét kỹ lưỡng tính bảo mật của trang web của bạn. Hãy bắt đầu.
- Đánh giá plugin bảo mật của bạn
- Thử nghiệm giải pháp sao lưu WordPress của bạn
- Kiểm tra thiết lập quản trị hiện tại của bạn
- Xóa các plugin không sử dụng đã được cài đặt và hoạt động
- Xóa các chủ đề WordPress bổ sung đã cài đặt
- Đánh giá nhà cung cấp dịch vụ lưu trữ hiện tại của bạn và lập kế hoạch
- Kiểm tra những người dùng có quyền truy cập FTP
- Kiểm tra các biện pháp tăng độ cứng cho WordPress của bạn
1. Đánh giá plugin bảo mật của bạn
Plugin bảo mật của trang web là điểm kiểm tra đầu tiên của bạn. Nếu bạn chưa sử dụng plugin bảo mật, hãy xem xét kích hoạt một plugin trên trang web của bạn ngay lập tức. Một plugin bảo mật bảo vệ các trang web WordPress khỏi tin tặc và bot. Có rất nhiều tùy chọn để lựa chọn. Nhưng không phải tất cả chúng đều hiệu quả, do đó bạn phải chọn đúng plugin bảo mật. Dưới đây là danh sách các tính năng mà plugin bảo mật của bạn PHẢI cung cấp:
1. Quét phần mềm độc hại - Tin tặc luôn đề phòng các plugin dễ bị tấn công. Chúng tôi thực sự khuyên bạn nên sử dụng một plugin sẽ chạy quét trang web của bạn hàng ngày. Nó sẽ tiến hành quét sâu để kiểm tra mọi tệp và thư mục trên trang web của bạn, bao gồm cả cơ sở dữ liệu của bạn.
2. Quét ngoại vi - Quá trình quét yêu cầu nhiều tài nguyên máy chủ để chạy. Nếu plugin sử dụng máy chủ của riêng bạn, quá trình quét có thể làm quá tải trang web của bạn và khiến nó chạy chậm lại. Tìm kiếm một plugin sử dụng các máy chủ của riêng nó để quét trang web của bạn.
3. Tường lửa - Bạn cần có một bức tường lửa trên trang web của mình để chủ động chặn tin tặc, bot độc hại và địa chỉ IP cố gắng xâm nhập vào trang web của bạn. Để thiết lập tường lửa, bạn cần có chuyên môn kỹ thuật. Tuy nhiên, bạn có thể tìm thấy các plugin bảo mật cài đặt và kích hoạt nó cho bạn.
4. Bảo vệ đăng nhập - Tin tặc thường tấn công trang đăng nhập của bạn và thử các cách kết hợp tên người dùng và mật khẩu khác nhau để đột nhập vào trang web của bạn (được gọi là cuộc tấn công brute-force). Plugin bảo mật sẽ có thể chặn các cuộc tấn công như vậy.
5. Cảnh báo thời gian thực - Nếu có hoạt động đáng ngờ trên trang web của bạn, plugin sẽ phát hiện và cảnh báo cho bạn ngay lập tức. Điều này cho phép bạn thực hiện hành động nhanh chóng.
6. Dọn dẹp phần mềm độc hại - Một plugin bảo mật tốt sẽ cho phép bạn dọn dẹp trang web của mình một cách nhanh chóng. Nó có thể làm sạch hoàn toàn trang web của bạn.
7. Nhật ký hoạt động - Nhật ký kiểm tra bảo mật WordPress theo dõi hoạt động của người dùng trên trang web của bạn, chẳng hạn như ai đã đăng nhập, chi tiết về các lần đăng nhập không thành công, người dùng WordPress đã làm gì trên trang web. Nhật ký hoạt động có ích khi bạn muốn tìm hiểu cách trang web của mình bị tấn công hoặc những thay đổi nào đã được thực hiện để khiến nó hoạt động sai.
Nếu bạn cảm thấy giải pháp bảo mật của mình không hiệu quả, bạn có thể chọn từ các plugin bảo mật hàng đầu hiện có.
Chúng tôi khuyên bạn nên sử dụng MalCare vì nó bao gồm tất cả các tính năng này. Nó có một trong những trình quét phần mềm độc hại tốt nhất có thể phát hiện bất kỳ loại phần mềm độc hại nào. Và hơn thế nữa, bạn có thể dọn sạch mọi sự lây nhiễm phần mềm độc hại trong vòng chưa đầy vài phút!
2. Kiểm tra giải pháp sao lưu WordPress của bạn
Có một bản sao lưu trang web WordPress của bạn có thể hữu ích nếu có bất kỳ điều gì không ổn. Bạn có thể dễ dàng khôi phục bản sao lưu của mình và đưa trang web của bạn trở lại bình thường.
Nhưng điều gì sẽ xảy ra nếu bản sao lưu của bạn không thành công? Điều gì xảy ra nếu bạn không thể khôi phục nó?
Đây là lý do tại sao bạn cần kiểm tra bản sao lưu của mình. Nếu bạn đang sử dụng một bản sao lưu trên máy chủ lưu trữ, một số trong số chúng không cung cấp các tùy chọn kiểm tra. Dưới đây là những gì chúng tôi khuyên bạn nên kiểm tra sao lưu của bạn:
Cài đặt plugin sao lưu BlogVault trên trang WordPress của bạn. Nó sẽ tự động sao lưu toàn bộ trang web của bạn.
Lưu ý rằng bản sao lưu đầu tiên có thể mất một lúc vì nó sẽ sao chép toàn bộ trang web vào các máy chủ của chính nó. Các bản sao lưu tiếp theo nhanh hơn nhiều vì nó sử dụng công nghệ gia tăng, nơi nó chỉ sao lưu những thay đổi được thực hiện.
Sau khi sao lưu hoàn tất, từ trang tổng quan BlogVault, hãy truy cập tùy chọn 'Khôi phục thử nghiệm'.
Sau khi hoàn tất, nó sẽ thông báo cho bạn biết rằng quá trình khôi phục của bạn đã thành công.
3. Kiểm tra thiết lập quản trị hiện tại của bạn
WordPress cho phép nhiều người cộng tác và đóng góp vào việc phát triển WordPress và bảo trì WordPress. Nhưng không phải mọi người dùng WordPress đều cần truy cập đầy đủ vào trang web. Ví dụ, một nhà văn sẽ chỉ cần quyền truy cập để viết và xuất bản nội dung. Họ không cần có quyền truy cập để thực hiện các thay đổi khác như cài đặt plugin hoặc thay đổi chủ đề.
Để ngăn chặn việc cấp cho mọi người dùng trên trang web của bạn quyền truy cập hoàn toàn, WordPress có sáu vai trò người dùng khác nhau mà bạn có thể chỉ định - Quản trị viên cấp cao, Quản trị viên, Biên tập viên, Tác giả, Người đóng góp và Người đăng ký. Mỗi vai trò có các mức quyền khác nhau.
Trong khi tiến hành kiểm tra bảo mật WordPress của bạn, điều đầu tiên bạn cần phân tích là những người dùng bạn đã thêm vào trang web WordPress của mình.
- Kiểm tra xem có bao nhiêu người dùng trong số này có quyền truy cập quản trị viên.
- Xác định số người thực sự cần quyền truy cập của quản trị viên.
- Hạn chế quyền truy cập và cấp quyền thấp hơn bằng cách thay đổi vai trò người dùng cho những người không cần phải là quản trị viên.
- Đảm bảo rằng bạn có thể nhận ra tất cả người dùng trên trang tổng quan của mình. Xóa bất kỳ người dùng nào mà bạn không nhận ra vì họ có thể là tài khoản người dùng giả mạo do tin tặc tạo ra.
Tiếp theo, hãy đảm bảo rằng bất kỳ ai là quản trị viên trên trang web của bạn đều không sử dụng tên người dùng ‘admin’ . Đây là tên người dùng phổ biến nhất mà quản trị viên WordPress sử dụng cho tài khoản của họ. Tin tặc nhận thức rõ điều này và cố gắng sử dụng tên này để truy cập vào trang web của bạn
Để thay đổi tên từ 'admin' thành tên khác độc đáo hơn, trước tiên bạn cần tạo một tài khoản người dùng mới cho người đó. Bạn có thể gán tất cả nội dung cho người dùng WordPress mới mà bạn đã tạo. Tiếp theo, bạn có thể xóa tài khoản 'quản trị viên' cũ.
4. Xóa các plugin không sử dụng đã được cài đặt và hoạt động
Làm việc với WordPress trong hơn một thập kỷ, chúng tôi đã thấy nhiều trường hợp trang web WordPress bị tấn công do các plugin dễ bị tấn công.
Các plugin dành cho WordPress được tạo bởi các nhà phát triển bên thứ ba, những người duy trì và cập nhật chúng. Tuy nhiên, giống như bất kỳ phần mềm nào, theo thời gian, các lỗ hổng bảo mật sẽ xuất hiện. Các nhà phát triển thường nhanh chóng sửa chữa chúng và phát hành bản cập nhật. Bản cập nhật này sẽ chứa một bản vá bảo mật sẽ xóa lỗ hổng bảo mật khỏi trang web của bạn.
Nếu bạn trì hoãn cập nhật, thì trang web của bạn vẫn dễ bị tấn công.
- Trong quá trình kiểm tra của bạn, hãy kiểm tra danh sách các plugin bạn đã cài đặt. Nhiều chủ sở hữu trang web trong chúng ta có xu hướng thử các chủ đề và plugin mới. Chúng tôi không sử dụng hầu hết chúng nhưng quên rằng chúng vẫn được cài đặt trên trang web của chúng tôi. Xóa các plugin mà bạn không sử dụng. Điều này sẽ xóa các yếu tố không cần thiết khỏi trang web của bạn và giảm nguy cơ tin tặc xâm nhập vào trang web của bạn.
- Đảm bảo bạn nhận ra tất cả các plugin đã được cài đặt. Nếu bạn hoặc nhóm của bạn không nhận ra bất kỳ plugin nào, chúng tôi khuyên bạn nên xóa plugin đó. Điều này là do khi tin tặc đột nhập vào trang web của bạn, đôi khi họ cài đặt các plugin của riêng mình. Các plugin này chứa các cửa hậu cung cấp cho họ quyền truy cập bí mật vào trang web của bạn.
- Nếu bạn đã cài đặt bất kỳ phiên bản plugin vi phạm bản quyền hoặc vô hiệu, hãy xóa chúng ngay lập tức. Phần mềm như vậy thường chứa phần mềm độc hại lây nhiễm vào trang web của bạn khi bạn cài đặt nó. Tin tặc sử dụng phần mềm vi phạm bản quyền để phát tán phần mềm độc hại của họ.
Bây giờ bạn chỉ có các plugin mà bạn sử dụng, hãy đảm bảo bạn cập nhật chúng khi và các nhà phát triển phát hành bản cập nhật.
5. Xóa các chủ đề WordPress bổ sung đã cài đặt
Là chủ sở hữu trang web, chúng tôi có xu hướng cài đặt các chủ đề khác nhau để tìm một chủ đề mà chúng tôi thích. Tuy nhiên, nhiều khi chúng ta quên xóa những cái mà chúng ta không cần. Cũng giống như các plugin, các chủ đề cũng có thể phát triển các lỗ hổng bảo mật.
Chúng tôi khuyên bạn nên xóa tất cả các chủ đề khác và chỉ giữ lại chủ đề bạn đang sử dụng. Đảm bảo bạn đang sử dụng phiên bản mới nhất có sẵn của chủ đề đang hoạt động.
6. Đánh giá kế hoạch và nhà cung cấp dịch vụ lưu trữ hiện tại của bạn
Nhờ chia sẻ lưu trữ, nhiều người hơn có thể tạo trang web mà không cần đầu tư lớn. Các gói lưu trữ được chia sẻ rẻ hơn và được điều chỉnh cho phù hợp với các trang web WordPress nhỏ.
Bạn có thể đã chọn gói lưu trữ được chia sẻ khi bắt đầu, nhưng khi phát triển, bạn cần đánh giá xem mình có cần nâng cấp hay không.
Gói lưu trữ được chia sẻ có nghĩa là bạn chia sẻ một máy chủ với các trang web khác. Bạn không có quyền kiểm soát những gì các trang web khác chia sẻ máy chủ của bạn làm. Nếu trang web của họ bị tấn công, nó có thể tiêu tốn quá nhiều tài nguyên của máy chủ. Điều này sẽ làm chậm trang web của bạn và làm giảm hiệu suất của nó. Cũng có một chút khả năng là bất kỳ sự lây nhiễm phần mềm độc hại nào cũng có thể lây lan đến các trang web chia sẻ cùng một máy chủ. Vì vậy, nếu bạn có đủ khả năng để nâng cấp, chúng tôi khuyên bạn nên chuyển sang một máy chủ chuyên dụng.
Nếu không hài lòng với dịch vụ của máy chủ hiện tại, bạn có thể so sánh các máy chủ khác nhau và xem liệu bạn có muốn chuyển trang web của mình sang một máy chủ tốt hơn hay không.
7. Kiểm tra những người dùng có quyền truy cập FTP
FTP là Giao thức truyền tệp cho phép bạn kết nối máy tính cục bộ với máy chủ trang web của mình. Bạn có thể truy cập các tệp và thư mục trên trang web của mình và thực hiện các thay đổi.
Vì bạn có thể thêm, sửa đổi và xóa các tệp trên trang web WordPress của mình, nên quyền truy cập vào FTP chỉ nên được cấp cho những người bạn tin tưởng và thực sự cần quyền truy cập.
Chúng tôi khuyên bạn nên kiểm tra danh sách người dùng FTP và đặt lại mật khẩu FTP của mình, nếu cần. Để thực hiện việc này, bạn cần truy cập tài khoản lưu trữ WordPress> cPanel> tài khoản FTP.
Tại đây, bạn sẽ thấy danh sách tất cả các tài khoản FTP được tạo cho trang web của bạn. Bạn có thể xóa những cái không cần quyền truy cập.
8. Kiểm tra các biện pháp làm cứng WordPress của bạn
WordPress đề xuất các biện pháp tăng cường nhất định giúp trang web của bạn an toàn hơn. Chúng bao gồm:
- Tắt trình chỉnh sửa tệp trong các plugin và chủ đề
- Tắt cài đặt plugin
- Đặt lại các khóa và muối WordPress
- Thực thi mật khẩu mạnh
- Giới hạn số lần đăng nhập WordPress
- Triển khai xác thực hai yếu tố
Nếu bạn cần thêm hướng dẫn, chúng tôi khuyên bạn nên đọc Hướng dẫn Toàn diện về Làm cứng WordPress .
Trong quá trình kiểm tra bảo mật WordPress của bạn, chúng tôi khuyên bạn nên kiểm tra xem các biện pháp này đã được áp dụng chưa. Ví dụ:nếu bạn đang sử dụng một plugin để giới hạn số lần đăng nhập hoặc xác thực 2 yếu tố, hãy đảm bảo rằng plugin vẫn hoạt động và được cập nhật. Kiểm tra xem có tùy chọn nào tốt hơn không.
Nhiều biện pháp làm cứng cần phải có chuyên môn kỹ thuật để thực hiện. Tuy nhiên, nếu bạn đang sử dụng plugin bảo mật MalCare, bạn có thể triển khai các biện pháp tăng cường độ cứng của WordPress trong một vài cú nhấp chuột.
Đây là tám nhiệm vụ rất quan trọng cần thực hiện thường xuyên. Chúng tôi khuyên bạn nên thực hiện đánh giá hai năm một lần hoặc ít nhất hàng năm. Để tổng hợp những gì chúng tôi đã đề cập, đây là danh sách kiểm tra mà bạn có thể theo dõi:
Danh sách kiểm tra để kiểm tra bảo mật WordPress
1. Plugin bảo mật - Đánh giá plugin bảo mật của bạn. Chúng tôi khuyên bạn nên sử dụng MalCare.
2. Sao lưu WordPress - Kiểm tra bản sao lưu trang web của bạn để đảm bảo rằng nó có thể được khôi phục. Chúng tôi khuyên bạn nên sử dụng tùy chọn khôi phục thử nghiệm của BlogVault.
3. Người dùng quản trị - Kiểm tra thiết lập quản trị hiện tại của bạn. Đảm bảo bạn chỉ cấp đặc quyền quản trị cho những người cần nó. Xóa mọi người dùng không hoạt động.
4. Plugin - Loại bỏ các plugin không sử dụng được cài đặt và hoạt động. Chỉ giữ lại các plugin bạn thực sự sử dụng và đảm bảo chúng được cập nhật thường xuyên.
5. Chủ đề - Xóa chủ đề WordPress bổ sung đã cài đặt. Chỉ giữ lại chủ đề đang hoạt động trên trang web của bạn và đảm bảo bạn sử dụng phiên bản mới nhất có sẵn.
6. Máy chủ Web - Đánh giá nhà cung cấp dịch vụ lưu trữ hiện tại của bạn và kế hoạch. Chúng tôi khuyên bạn nên sử dụng máy chủ web đáng tin cậy và gói máy chủ chuyên dụng.
7. FTP - Kiểm tra những người dùng có quyền truy cập FTP. Chỉ cấp quyền truy cập cho những người cần nó.
8. Làm cứng - Đảm bảo các biện pháp Làm cứng WordPress của bạn còn nguyên vẹn và cập nhật.
Kiểm tra bảo mật WordPress là một bước cực kỳ quan trọng bạn cần thực hiện để đảm bảo trang web WordPress của bạn an toàn trước tin tặc. Kiểm tra hướng dẫn này để biết các bước. Nhấp để Tweet
Lời kết
Chúng tôi hy vọng rằng bài viết này đã giúp bạn tạo ra một quy trình có thể lặp lại để kiểm tra bảo mật WordPress. Nếu bạn có thể tiếp tục thực hiện quy trình này một cách thường xuyên, chúng tôi đảm bảo bạn có thể ngăn chặn tin tặc vượt qua bảo mật trang web của bạn.
Vâng, kiểm tra bảo mật toàn bộ WordPress là một quá trình lâu dài và tẻ nhạt. Nhưng sự thật của vấn đề là nó có thể giúp bảo vệ doanh nghiệp của bạn trong một thời gian dài.
Và nếu bạn nghĩ rằng kiểm tra bảo mật WordPress quá tẻ nhạt, bạn có thể tự động hóa quy trình bằng cách cài đặt plugin MalCare. Không giống như hầu hết các plugin bảo mật trang web khác, MalCare cung cấp một bộ công cụ bảo mật toàn diện có thể thực hiện nhiều việc hơn là kiểm tra bảo mật WordPress.
MalCare tự động hóa nhiều hoạt động bảo mật thủ công và tẻ nhạt như quét và loại bỏ phần mềm độc hại, sao lưu trang web thường xuyên, cài đặt tường lửa và bảo vệ bot cũng như tăng cường WordPress.
Bạn có thể hoàn thành tất cả những điều này chỉ với một vài cú nhấp chuột trong trang tổng quan dễ sử dụng hiện đại.
Bảo mật trang web WordPress của bạn với MalCare !