Computer >> Máy Tính >  >> Lập trình >> HTML

Làm cứng WordPress:18 cách để bảo vệ an ninh cho trang web của bạn

Có những hệ thống khó xâm nhập, nhưng thường xuyên hơn không, các trang web bị tấn công vì chúng dễ bị tấn công và chúng không có bảo mật cơ bản.

Trong bài viết này, chúng ta sẽ nói về cách tăng cường trang web WordPress của bạn.

TL; DR: Bảo mật trang web của bạn với MalCare, một bộ bảo mật tất cả trong một dành cho WordPress. Với MalCare, bạn cũng có thể tăng cường bảo mật cho WordPress chỉ bằng một cú nhấp chuột.

Trước khi bạn bắt đầu

Chúng tôi đã sắp xếp danh sách theo cách dễ triển khai, vì vậy bạn có thể bắt đầu từ đầu và làm việc theo cách của bạn xuống danh sách. Chúng tôi khuyên bạn nên bắt đầu bằng cách cài đặt MalCare và sử dụng tùy chọn Làm cứng trang ở đó. Đó là một bước đi đúng hướng rất lớn và sau đó bạn có thể quay lại đây để biết thêm các biện pháp khác.

Mẹo chuyên nghiệp:Chúng tôi luôn khuyên bạn sao lưu trang web của mình trước khi thực hiện bất kỳ thay đổi nào, ngay cả những thay đổi về bảo mật. An toàn hơn là xin lỗi!

5 cách DỄ DÀNG để tăng cường bảo mật WordPress của bạn

Hãy bắt đầu danh sách này với một số loại trái cây thấp. Hãy loại bỏ các cài đặt cơ bản này và tất cả chúng ta sẽ cảm thấy hài lòng khi đạt được tiến bộ với việc tăng cường WordPress.

Đặt mật khẩu mạnh

Mật khẩu có lẽ là thứ có giá trị thấp nhất trong tất cả các loại quả treo thấp. Đó có lẽ là lý do tại sao họ thường bị bỏ qua. Và đó là lý do tại sao họ đứng đầu trong cách làm cứng danh sách trang web WordPress của bạn.

Mật khẩu rất khó nhớ, và có một số phương pháp hay nhất là khá mệt mỏi:không có mật khẩu trùng lặp; mật khẩu không dễ dàng; sự kết hợp của các chữ cái, số và ký hiệu; danh sách thực sự khó khăn, đặc biệt là khi bạn dừng lại để đếm số lượng dịch vụ bạn sử dụng.

Chúng tôi thông cảm và vì vậy chúng tôi khuyên bạn nên sử dụng trình quản lý mật khẩu, như LastPass. Sử dụng chuỗi số, chữ cái và ký hiệu được tạo tự động để giữ an toàn cho tài khoản của bạn. Mặc dù tỷ lệ cược là nhỏ, các cuộc tấn công brute force hiện sử dụng các cuộc tấn công từ điển để đoán mật khẩu.

Yêu cầu sử dụng mật khẩu mạnh

Tiếp tục với chủ đề mật khẩu mạnh của chúng tôi, đây cần phải là mục tiếp theo trong danh sách việc cần làm của bạn.

Khi bạn có nhiều người dùng xử lý trang web của mình, bạn cần đảm bảo mọi người dùng duy trì một mật khẩu mạnh và cũng phải thay đổi mật khẩu thường xuyên. Bây giờ, điều này có thể dễ dàng hơn ở quy mô nhỏ, nhưng khi nói đến một nhóm lớn hơn, sẽ tốt hơn nếu có một phần mềm tự động hóa việc này cho bạn.

WordPress theo mặc định sẽ cảnh báo bạn nếu bạn chọn một mật khẩu yếu:

Làm cứng WordPress:18 cách để bảo vệ an ninh cho trang web của bạn

Tuy nhiên, bạn có thể chọn ghi đè nó bằng cách chọn "xác nhận sử dụng mật khẩu yếu". Làm như vậy, bạn đang khiến trang web của mình dễ bị tấn công.

Làm cứng WordPress:18 cách để bảo vệ an ninh cho trang web của bạn

Để buộc người dùng cập nhật mật khẩu của họ, đã từng có các plugin như Hết hạn mật khẩu. Nó sẽ cho phép bạn đặt số ngày tối đa trước khi mật khẩu hết hạn. Tuy nhiên, hầu hết các plugin này đã không được cập nhật trong một thời gian dài, vì vậy chúng tôi khuyên bạn không nên sử dụng chúng.

Triển khai các quyền đặc quyền ít nhất

Có 6 vai trò được xác định trước mà bạn có thể có trên một trang web WordPress:Quản trị viên cấp cao, Quản trị viên, Biên tập viên, Tác giả, Người đóng góp và Người đăng ký. Mỗi vai trò có một tập hợp các quyền và do đó có thể thực hiện một số tác vụ. Những nhiệm vụ này được gọi là khả năng. Danh sách đầy đủ các vai trò và khả năng có ở đây.

Lưu ý:Đối với một trang web, vai trò quản trị viên là mạnh nhất, trong khi đối với nhiều trang thì vai trò quản trị viên cấp cao.

Nếu bạn có một trang web duy nhất, bạn chỉ cần một số lượng quản trị viên hạn chế. Trên thực tế, nguyên tắc chung ở đây là có ít quản trị viên nhất có thể mà bạn có thể quản lý. Lý do rất đơn giản:bạn đang giảm nguy cơ bị tin tặc đánh cắp thông tin đăng nhập quản trị viên.

Cài đặt SSL

SSL là một cách để truyền dữ liệu an toàn từ người dùng đến máy chủ và ngược lại, qua kết nối được mã hóa.

Ngoài thực tế là nó là một phương pháp bảo mật tốt, Google yêu cầu các trang web phải có SSL. Nó có xu hướng phạt các trang web bằng cách hiển thị “Không an toàn” trong trình duyệt, thay vì khóa màu xanh lá cây dễ chịu cho biết một trang web chạy trên HTTPS thay vì HTTP.

Việc cài đặt chứng chỉ SSL trước đây khá phức tạp, nhưng không còn nữa. Chúng tôi có một hướng dẫn đầy đủ để cài đặt SSL và một hướng dẫn khác để đảm bảo rằng tất cả các trang của bạn cũng đều là HTTPS.

Thiết lập plugin bảo mật WordPress

Tất cả các mục khác trong danh sách của chúng tôi cho đến thời điểm này là những bổ sung thủ công mà bạn thực hiện cho trang web của mình. Hãy yên tâm, chúng là những thứ dễ dàng không yêu cầu quá nhiều cấu hình hoặc cài đặt plugin.

Phần còn lại của danh sách này không hoàn toàn đơn giản. Nhiều biện pháp được bao gồm trong tính năng Làm cứng trang web của MalCare.

Làm cứng WordPress:18 cách để bảo vệ an ninh cho trang web của bạn

Bạn sẽ tiết kiệm được một lượng thời gian đáng kể bằng cách cài đặt plugin và sử dụng bảng điều khiển của chúng tôi để thiết lập các biện pháp. Hãy thử ngay bây giờ.

6 biện pháp TRUNG BÌNH để tăng độ cứng cho WordPress

Mỗi biện pháp tăng cường WordPress mà chúng tôi đã bao gồm trong phần này liên quan đến việc cài đặt một plugin. Chúng tôi không khuyên bạn nên cài đặt các plugin một cách nhẹ nhàng, vì chúng thường chứa các lỗ hổng bảo mật và trở thành các đầu mối lây nhiễm. Vui lòng thận trọng khi chọn một plugin để thực hiện các biện pháp bảo mật sau đây.

Xác thực 2 yếu tố

Một trong những cách phổ biến nhất mà tin tặc đột nhập vào các trang web là thông qua trang đăng nhập. Họ sử dụng một kỹ thuật gọi là tấn công brute force, trong đó họ sử dụng bot để đoán thông tin đăng nhập của một trang web. Một cách khác mà tin tặc có thể xâm nhập là nếu dữ liệu của bạn bị rò rỉ từ một trang web khác. Tin tặc nhận thức được rằng nhiều người sử dụng cùng một tên người dùng và mật khẩu cho nhiều tài khoản trên internet, và do đó, việc chơi trò chơi đoán sẽ trở nên dễ dàng hơn!

Để tự bảo vệ mình, bạn có thể thêm xác minh hai yếu tố cho mọi người dùng - cho dù họ là Quản trị viên cấp cao, Quản trị viên, Biên tập viên, Tác giả, Cộng tác viên hay Người đăng ký.

Nhiều trang web, chẳng hạn như Gmail, cung cấp cho người dùng tùy chọn xác minh 2 bước để đăng nhập vào tài khoản của họ. Điều này yêu cầu người dùng cung cấp chi tiết đăng nhập của họ trước, sau đó nhập mật khẩu được tạo trong thời gian thực (thường là mật khẩu dùng một lần được gửi đến số điện thoại đã đăng ký). Nó làm cho tài khoản của bạn khó bị tin tặc bẻ khóa hoặc họ có quyền truy cập vào trang tổng quan WordPress của bạn.

Làm cứng WordPress:18 cách để bảo vệ an ninh cho trang web của bạn

Giới hạn số lần đăng nhập

Có một lý do tại sao các trang web, đặc biệt là ngân hàng, chỉ cho phép người dùng thử ba lần để lấy đúng tên người dùng và mật khẩu của họ. Sau đó, bạn được cung cấp tùy chọn 'Quên mật khẩu' hoặc thậm chí bị khóa tài khoản của mình. Hình ảnh bên dưới là một ví dụ về cảnh báo được tạo và hiển thị trên màn hình đăng nhập khi người dùng cố gắng đăng nhập bằng thông tin đăng nhập sai.

Làm cứng WordPress:18 cách để bảo vệ an ninh cho trang web của bạn

Điều này về cơ bản là để loại bỏ các cuộc tấn công vũ phu và giảm sự thành công của tin tặc và kẻ gian lận.

Theo mặc định, WordPress cho phép không giới hạn số lần đăng nhập. Việc cho phép các nỗ lực đăng nhập có giới hạn vào trang web của bạn sẽ tăng tính bảo mật và đảm bảo tin tặc không thể thử hàng nghìn cách kết hợp để xâm nhập. Có ba cách để bạn có thể hạn chế các nỗ lực đăng nhập vào trang web của mình.

  • Bạn có thể cài đặt một plugin như Limit Login Attempts Reloaded.
  • Nếu bạn đã có plugin bảo mật MalCare hoạt động trên trang web của mình, bạn sẽ tự động có khả năng bảo vệ đăng nhập hạn chế khỏi những lần thử không thành công. Plugin này thực hiện bảo vệ dựa trên hình ảnh xác thực để ngăn chặn các bot xấu truy cập vào trang web của bạn.
  • Bằng cách chèn thủ công mã vào tệp functions.php. Bạn cần thêm bộ lọc hành động và móc của WordPress với chức năng gọi lại tương ứng. Phương pháp này là kỹ thuật và rủi ro. Nếu bạn không hiểu biết về mã hóa, tốt nhất là bạn không nên thử điều này.

Bạn sẽ tìm thấy mã cho tùy chọn thứ ba và giải thích chi tiết hơn trong bài viết của chúng tôi về giới hạn số lần đăng nhập.

Giữ nhật ký kiểm tra

Đây có thể không phải là một biện pháp tăng cường WordPress, nhưng nó là một biện pháp bảo mật tuyệt đối phải có.

Chỉ cần cài đặt một plugin như WP Security Audit Log sẽ theo dõi mọi thứ xảy ra trên trang web của bạn. Và bằng cách này, bạn sẽ biết chính xác người dùng của mình đang làm gì và khi nào. Sau đó, bạn có thể theo dõi những gì đang xảy ra trên trang web của mình và yêu cầu người dùng phải chịu trách nhiệm về hành động của họ.

Plugin sẽ theo dõi mọi thứ - đăng nhập, đăng xuất, thay đổi được thực hiện, sáng tạo, sửa đổi, xóa, bổ sung, cập nhật, v.v. Nếu bạn bị tấn công, bạn có thể tham khảo nhật ký hoạt động để xác định bất kỳ hoạt động đáng ngờ nào hoặc các thay đổi được thực hiện.

Bạn có thể nhận được thông báo ngay lập tức nếu có bất kỳ thay đổi quan trọng nào được thực hiện đối với trang web của bạn. Bạn cũng có thể đăng xuất hoặc chặn bất kỳ người dùng nào chỉ bằng một cú nhấp chuột.

Tự động đăng xuất người dùng không hoạt động

Tính năng này chủ yếu được nhìn thấy với các trang web và ứng dụng ngân hàng đăng xuất bạn sau một thời gian không hoạt động. Điều này là để bảo vệ tài khoản của bạn khỏi bất kỳ truy cập trái phép nào.

Để thiết lập điều này, bạn có thể sử dụng một plugin có tính năng đăng xuất phiên nhàn rỗi.

Thiết lập cảnh báo cho các thông tin đăng nhập WordPress đáng ngờ

Tin tặc liên tục tìm cách để vượt qua các tính năng bảo mật, và do đó, chúng ta cần phải cảnh giác. Bạn nên thiết lập cảnh báo trên trang web của mình để được thông báo về bất kỳ hoạt động đáng ngờ nào và khi nó xảy ra.

Để làm điều này, bạn cần sử dụng một plugin bảo mật như MalCare. Nó liên tục quét trang web của bạn và cảnh báo cho bạn nếu nó phát hiện bất kỳ phần mềm độc hại hoặc bất kỳ điều gì đáng ngờ.

Thiết lập tường lửa ứng dụng web

Tường lửa của ứng dụng web sẽ chặn tin tặc ngay cả trước khi họ truy cập trang web của bạn. Họ thực hiện điều này bằng cách theo dõi địa chỉ IP - một số nhận dạng được chỉ định cho mọi thiết bị được kết nối với internet.

Nếu IP đã thực hiện các hoạt động độc hại trước đây, chúng sẽ bị đánh dấu và bị chặn truy cập vào trang web của bạn.

Thiết lập tường lửa bằng plugin bảo mật và hãy yên tâm rằng bạn có sự bảo vệ tốt nhất có thể cho trang web của mình.

7 phương pháp làm cứng COMPLEX WordPress

Bây giờ chúng ta đến với những thứ vụn vặt thực sự để làm cứng WordPress. Các biện pháp sau đây cần một số kinh nghiệm viết mã hoặc phát triển, nếu không những sai lầm có thể gây ra sự cố và sự cố trang web.

Hãy thận trọng khi tiến hành các phương pháp tăng cường này và nếu bạn chưa làm như vậy, vui lòng sao lưu trang web của bạn.

Chặn thực thi PHP trong các thư mục không đáng tin cậy

Đây là một chút kỹ thuật nhưng chúng ta hãy cố gắng đơn giản hóa nó nhiều nhất có thể.

Trước tiên, bạn cần biết PHP là một ngôn ngữ kịch bản được sử dụng trong phát triển web. Hàm PHP là một khối mã được viết trong một chương trình có thể được thực thi để thực hiện một tác vụ nhất định. Tiếp theo, trang web WP của bạn được tạo thành từ các tệp và thư mục. Tuy nhiên, chỉ một số tệp và thư mục nhất định sử dụng các chức năng php. Sau khi tin tặc giành được quyền truy cập vào trang web của bạn, chúng có thể tạo các thư mục của riêng chúng hoặc có thể chèn các hàm PHP của chúng vào các hàm hiện có của bạn.

Để ngăn chặn sự tấn công như vậy, bạn có thể chặn việc thực thi các chức năng PHP từ bất kỳ thư mục nào không xác định. Và bạn cũng có thể vô hiệu hóa các thực thi PHP ở những nơi không cần thiết.

Đối với điều này, hãy làm theo các bước sau:

Thận trọng: Trộn lẫn với các tệp phụ trợ và bảng cơ sở dữ liệu của WordPress là hoạt động kinh doanh rủi ro và có thể khiến trang web của bạn bị hỏng. Nó đòi hỏi kiến ​​thức kỹ thuật. Nếu bạn không biết mình đang làm gì, tốt nhất bạn nên nhờ sự trợ giúp của chuyên gia.


1. Truy cập các tệp trên trang web của bạn qua cPanel > Trình quản lý tệp . Nếu bạn không có quyền truy cập vào cPanel, bạn có thể sử dụng một ứng dụng FTP như FileZilla. Bạn sẽ cần bằng chứng xác thực FTP để truy cập tệp của mình.

2. Truy cập public_html và bạn sẽ thấy ba thư mục có tên wp-include , wp-admin wp-content , như vậy:

Làm cứng WordPress:18 cách để bảo vệ an ninh cho trang web của bạn

3. Tiếp theo, hãy tìm .htaccess tập tin. Nếu nó không tồn tại, bạn có thể tạo một cái bằng cách mở một trình soạn thảo văn bản như Notepad và lưu nó dưới dạng .htaccess.

4. Bạn cần dán mã sau vào .htaccess của mình tệp.


tư chôi tât cả

5. Nếu bạn đang tạo một tệp mới, bạn cần tải nó lên hai thư mục: wp-include wp-content / uploads

Điều này sẽ thay đổi quyền đối với tệp và ngăn không cho bất kỳ tệp PHP nào chạy trong các thư mục này. Nếu điều này là quá kỹ thuật, các plugin bảo mật như MalCare sẽ tự động hóa việc này cho bạn.

Tắt trình chỉnh sửa tệp

Nếu một tin tặc có quyền truy cập vào tài khoản Quản trị viên WordPress, họ có thể kiểm soát toàn bộ trang web của bạn. Từ trang tổng quan, họ có thể chỉnh sửa mã chủ đề và plugin của bạn thông qua tùy chọn “Trình chỉnh sửa”. Họ cũng có thể tải lên các tập lệnh của riêng họ để hiển thị nội dung của họ, làm xấu mặt trang web của bạn, spam người dùng của bạn, v.v. Các loại hack phổ biến nhất xảy ra thông qua các trình chỉnh sửa này bao gồm tiêm SQL, hack SEO Spam và SEO Spam Nhật Bản.

Để tìm trình chỉnh sửa, hãy chuyển đến Giao diện > Người chỉnh sửa . Và Plugin > Trình chỉnh sửa plugin như vậy:

Làm cứng WordPress:18 cách để bảo vệ an ninh cho trang web của bạn

Để tắt trình chỉnh sửa, bạn cần truy cập tệp wp-config của mình. Cũng có thể sử dụng cách chúng tôi truy cập tệp của trang web bằng Trình quản lý tệp hoặc FTP tại đây.

Phần tiếp theo yêu cầu kiến ​​thức mã hóa kỹ thuật và đi kèm với nguy cơ tiềm ẩn phá vỡ trang web của bạn nếu không được thực hiện đúng cách. Nếu bạn không biết mình đang làm gì, tốt nhất bạn không nên thử làm điều đó mặc dù nó có vẻ rất dễ dàng. Chúng tôi khuyên bạn nên sử dụng tính năng 'Tắt trình chỉnh sửa tệp' trong MalCare.

Nếu bạn muốn tiếp tục với phương pháp thủ công, chúng tôi đã trình bày chi tiết các bước bạn cần thực hiện.

1. Trong Trình quản lý tệp của bạn , tìm wp-config của bạn và nhấp chuột phải để nhận Chỉnh sửa tùy chọn.

Làm cứng WordPress:18 cách để bảo vệ an ninh cho trang web của bạn

2. Tại đây, bạn sẽ thấy thêm thông tin về nó và bạn có thể chọn Tắt kiểm tra mã hóa . Sau đó, tiếp tục Chỉnh sửa .

Làm cứng WordPress:18 cách để bảo vệ an ninh cho trang web của bạn

3. Bây giờ, nó sẽ mở ra wp-config của bạn nộp hồ sơ và khiến bạn băn khoăn không biết phải làm gì tiếp theo! Đừng căng thẳng. Cuộn xuống và tìm dòng:

/ * Vậy thôi, dừng chỉnh sửa! Chúc bạn xuất bản vui vẻ. * /

4. Phía trên này, dán đoạn mã sau

xác định (‘DISALLOW_FILE_EDIT’, true);

Làm cứng WordPress:18 cách để bảo vệ an ninh cho trang web của bạn

5. Lưu các thay đổi và đóng trình chỉnh sửa.

6. Quay lại trang tổng quan của bạn và bạn sẽ thấy rằng bạn không còn nhận được tùy chọn trình chỉnh sửa.

Làm cứng WordPress:18 cách để bảo vệ an ninh cho trang web của bạn

Lưu ý:Nếu bạn không có quyền truy cập vào cPanel, bạn có thể tải xuống tệp wp-config của mình qua FTP. Mở nó trong bất kỳ trình soạn thảo văn bản nào và thêm dòng mã. Tải nó trở lại trang web giống như cách bạn đã tải xuống. Bạn có thể ghi đè lên tệp cũ.

Thay đổi khóa bảo mật

Để đăng nhập dễ dàng, WordPress lưu trữ thông tin đăng nhập của bạn, do đó bạn không phải nhập thông tin đăng nhập của mình mỗi khi bạn muốn đăng nhập. Nhưng điều quan trọng ở đây là nó được lưu trữ ở dạng mã hóa.

Nếu dữ liệu được lưu trữ dưới dạng văn bản thuần túy, khi một tin tặc nắm được dữ liệu, họ chỉ có thể đọc nó. Nếu dữ liệu được mã hóa, nó sẽ giống như văn bản ngẫu nhiên mà chúng không thể sử dụng.

Để mã hóa dữ liệu, WordPress phải sử dụng một thứ được gọi là khóa bảo mật và muối. Nói một cách dễ hiểu, khóa là các biến ngẫu nhiên mã hóa tên người dùng và mật khẩu quản trị viên của bạn và về cơ bản, các muối giúp cải thiện mã hóa thêm một bước nữa.

Nếu tin tặc có thể lấy được khóa bảo mật và muối của bạn, chúng có thể giải mã dữ liệu đã mã hóa và xâm nhập vào tài khoản của bạn.

Bạn nên thay các phím và muối cũ của mình theo thời gian. Để nhận một bộ khóa và muối mới, bạn có thể sử dụng liên kết này:Khóa bí mật. Bạn sẽ nhận được một trang giống như sau:

Làm cứng WordPress:18 cách để bảo vệ an ninh cho trang web của bạn

Bây giờ, sử dụng phương pháp tương tự ở trên, truy cập tệp của bạn và sao chép-dán các giá trị được tạo vào wp-config của bạn tệp, tại đây:

Làm cứng WordPress:18 cách để bảo vệ an ninh cho trang web của bạn

Ở đây cũng vậy, vì nó yêu cầu phải thay đổi mã, chúng tôi cảnh báo chủ sở hữu trang web WordPress không thử nó nếu họ không hiểu biết về công nghệ. Tốt nhất là sử dụng một plugin bảo mật sẽ xử lý việc này cho bạn.

Không cho phép cài đặt plugin

Có những trường hợp người dùng hoặc khách hàng có thể cài đặt một plugin mà không cần kiểm tra tính tương thích hoặc độ tin cậy của nó, kỹ lưỡng như bạn có thể làm. Điều này có thể dẫn đến một số vấn đề trên trang web của bạn, vì vậy tốt nhất là bạn nên loại bỏ hoàn toàn khả năng họ làm như vậy.

Bạn có thể tắt cập nhật và cài đặt plugin và chủ đề theo hai cách:

Bằng cách thêm một dòng mã vào tệp php wp_config của bạn

Làm theo phương pháp tương tự như đã trình bày trong phần trước, bạn cần thêm dòng sau:

xác định (‘DISALLOW_FILE_MODS’, true);

Xin lưu ý:Xin lưu ý rằng để cập nhật các chủ đề và plugin cũng như cài đặt các plugin mới, bạn sẽ cần quay lại và xóa dòng mã này.

Sử dụng plugin bảo mật

Cách dễ nhất để bật và tắt chức năng này là sử dụng một plugin. Nếu bạn đang sử dụng MalCare, bạn chỉ cần nhấp vào nút để bật nó và sau đó tắt nó đi.

Đây là một biện pháp cực đoan nhưng cần thiết trong trường hợp bạn có nhiều người dùng xử lý trang web của mình; hoặc trong trường hợp bạn muốn hạn chế khách hàng của mình cài đặt các plugin một cách không cần thiết.

Bảo mật tệp wp-config.php của bạn

Một trong những tệp quan trọng hơn trong cài đặt WordPress của bạn, wp-config.php là mục tiêu hàng đầu của tin tặc. Ngoài việc chứa thông tin xác thực truy cập cơ sở dữ liệu vào trang web của bạn, wp-config chịu trách nhiệm tạo một chức năng trang web WordPress.

Bạn có thể thực hiện hai việc ở đây, ngoài việc tắt chỉnh sửa tệp:thay đổi khóa bảo mật và không cho phép cài đặt plugin.

Ẩn wp-config.php

Đầu tiên là di chuyển tệp wp-config.php lên một cấp. Đây không phải là một động thái an toàn mà là động thái khiến phần mềm độc hại khó tìm thấy tệp hơn. Tuy nhiên, việc di chuyển tệp không làm cho nó không thể xuyên qua, vì vậy hãy đặt kỳ vọng cho phù hợp.

Lưu ý:Không có sự đồng thuận giữa các nhà phát triển về việc di chuyển tệp có phải là một ý kiến ​​hay hay không. Trong một số trường hợp, chẳng hạn như lỗ hổng Contact Form 7, biện pháp này có thể hoàn toàn không hiệu quả. Tuy nhiên, chúng tôi muốn sửa sai ở khía cạnh của let-make-it-as-hard-to-be-hack-as-có thể.

Từ chối quyền truy cập vào wp-config.php

Từ chối quyền truy cập là một biện pháp cụ thể hơn nhiều và nếu bạn làm điều này, bạn sẽ không phải di chuyển tệp nào cả. Đi tới tệp .htaccess của bạn và thêm mã sau, ngay ở trên cùng:


lệnh cho phép, từ chối
tư chôi tât cả

Có một số điều bạn có thể làm để bảo vệ tệp wp-config.php của mình. Bài viết này có một danh sách kiểm tra cho tất cả chúng mà bạn có thể thực hiện trong một phiên.

Tách cơ sở dữ liệu

Nếu bạn chạy nhiều hơn một trang web với các bản cài đặt riêng biệt của WordPress, bạn nên giữ các cơ sở dữ liệu khác biệt với nhau và được lưu trữ ở các vị trí khác nhau. Do đó, nếu tin tặc có quyền truy cập vào một trang web, các trang web khác của bạn sẽ không hề hấn gì — ít nhất là về mặt lý thuyết, vì phần lớn phụ thuộc vào tính bảo mật của chính các trang web khác.

Mặc dù điều này được thực hiện tốt nhất trong quá trình cài đặt, nó có thể được thực hiện sau đó và rất đáng để nỗ lực. Tuy nhiên, điều này đòi hỏi một số quen thuộc với MySQL và các cấu hình của nó.

Bảo mật wp-admin

Để đưa bảo mật đăng nhập lên cấp độ tiếp theo — mà bạn hoàn toàn nên làm — bạn có thể buộc truyền thông tin đăng nhập qua SSL. Đảm bảo rằng bạn đã cài đặt SSL và giải quyết mọi vấn đề về nội dung hỗn hợp.

Sau đó, điều hướng đến tệp wp-config.php mà bạn thấy thoải mái hiện tại và thêm mã này:

xác định (‘FORCE_SSL_ADMIN’, true);

Chúng tôi biết đây là một bước siêu đơn giản, nhưng có một lý do tại sao nó được đưa vào phần phức tạp ở đây. Không phải lúc nào plugin cũng hoạt động tốt với SSL và đôi khi SSL có thể được định cấu hình theo những cách khác thường. Để được giải thích đầy đủ về cách thức hoạt động và những điều cần chú ý, hãy xem bài viết này.

Sử dụng plugin bảo mật WordPress

Để thực hiện nhiều việc mà chúng tôi đã đề xuất ở trên một cách dễ dàng và nhanh chóng, hãy cài đặt MalCare.

Các plugin bảo mật tốt của WordPress kết hợp các biện pháp củng cố trang web mà bạn cần thực hiện trên trang web của mình, cùng với tường lửa ứng dụng web, bảo vệ bot và máy quét. Vì vậy, bây giờ bạn không phải lo lắng về việc dành nhiều thời gian để tìm hiểu các khía cạnh kỹ thuật của nó.

Tuy nhiên, không phải tất cả các plugin đều mang lại sự tiện lợi và lợi ích như nhau. Có khá nhiều plugin trên mạng, nhưng chúng tôi khuyên bạn nên sử dụng MalCare đơn giản vì nó hoàn thành công việc nhanh chóng và dễ dàng chỉ trong vài cú nhấp chuột.

Sau khi bạn cài đặt plugin, trang web của bạn đã được bảo mật. Đây là cách thực hiện:

  • Quét trang web của bạn thường xuyên và kiểm tra bất kỳ hoạt động đáng ngờ nào
  • Tường lửa chủ động chặn lưu lượng truy cập độc hại vào trang web của bạn
  • Thông báo thời gian thực cho bất kỳ phần mềm độc hại nào có trên trang web của bạn
  • Dọn dẹp phần mềm độc hại bằng 1 cú nhấp chuột

Làm cứng WordPress:18 cách để bảo vệ an ninh cho trang web của bạn

Hoàn toàn ngoài tất cả các tính năng này, bạn có thể triển khai các mức độ cứng trang web khác nhau trên trang web của mình. Các biện pháp này là tùy chọn bởi vì không phải tất cả chủ sở hữu trang web sẽ muốn thực hiện các biện pháp bảo mật này trên trang web của họ. Bạn có thể chọn những việc cần làm theo nhu cầu của mình.

Ba cấp độ tăng cường trang web mà bạn có thể thực hiện là:

Cơ bản

Làm cứng WordPress:18 cách để bảo vệ an ninh cho trang web của bạn

Điều này cho phép bạn chặn thực thi PHP trong các thư mục không đáng tin cậy. Bạn cũng có thể tắt chỉnh sửa tệp. Như chúng ta đã thảo luận trước đó, đây là bước bạn thực sự nên làm.

Trong những trường hợp bình thường, bạn sẽ không thực sự can thiệp vào các tệp và thư mục của WordPress. Bạn sẽ chỉ vận hành trang web của mình từ bảng điều khiển wp-admin. Bạn cũng không cần chỉnh sửa bất kỳ thứ gì trong trình chỉnh sửa tệp của các chủ đề và plugin. Việc vô hiệu hóa chúng sẽ đóng một số cánh cửa mà tin tặc có thể sử dụng để tấn công trang web của bạn.

Nâng cao

Làm cứng WordPress:18 cách để bảo vệ an ninh cho trang web của bạn

Bạn có thể chặn cài đặt plugin và chủ đề, có nghĩa là không ai có thể cài đặt những cái mới trên trang web của bạn. Biện pháp này hơi cực đoan và chỉ nên thực hiện nếu bạn nghi ngờ có hack hoặc bạn có quá nhiều người làm việc trên trang web. Nếu bạn muốn cài đặt một plugin / chủ đề mới, bạn cần phải tắt tính năng này từ bảng điều khiển MalCare.

Hoang tưởng

Làm cứng WordPress:18 cách để bảo vệ an ninh cho trang web của bạn

Tại đây, bạn có thể thay đổi khóa bảo mật và đặt lại mật khẩu cho tất cả người dùng. Thông thường các trang web WordPress được vận hành bởi một nhóm người, mỗi người có thông tin đăng nhập riêng. Điều này làm tăng cơ hội cho tin tặc đoán thông tin đăng nhập và truy cập trang web của bạn.

Điều quan trọng là phải thường xuyên thay đổi tất cả các khóa bảo mật và mật khẩu. Nếu bạn có một nhóm lớn, điều này sẽ giúp tự động hóa quy trình và làm cho nó nhanh hơn.

Trong trường hợp bạn đang khôi phục sau khi bị tấn công, đây là một bước cần thiết để đảm bảo bạn không bị tấn công lần nữa.

Ngoài ra, bạn còn được hưởng lợi từ các tính năng bảo mật WordPress sau trên trang web của mình:

  • Số lần đăng nhập có giới hạn
  • Đăng nhập dựa trên CAPTCHA
  • Cảnh báo về truy cập trái phép
  • Nhật ký hoạt động hiển thị các sửa đổi / cập nhật tệp trên trang web của bạn
  • Nó cũng phân tích mọi yêu cầu IP để bảo vệ bạn khỏi các cuộc tấn công như tấn công vũ phu
  • Nó cũng ngăn chặn các mối đe dọa bảo mật WordPress phổ biến như tấn công tiêm SQL, spam SEO và trang web của bạn bị sử dụng trong các cuộc tấn công DDOS

Một plugin bảo mật WordPress đầy đủ tính năng không chỉ là tổng các phần của nó. Mặc dù các biện pháp này tự bảo vệ hiệu quả chống lại các mối đe dọa, nhưng khi được sử dụng cùng nhau, chúng sẽ dựng lên một hàng rào đáng gờm chống lại các hoạt động độc hại. Cài đặt MalCare ngay bây giờ và yên tâm khi biết rằng bạn đã làm hết sức mình để bảo vệ trang web của mình.

Để có thêm tín dụng

Các mẹo sau đây không thuộc loại làm khó WordPress, nhưng chúng vẫn là các phương pháp hay nhất dành cho quản trị viên trang web có ý thức về bảo mật. Chúng tôi thực sự khuyên bạn nên thực hiện các biện pháp này khi bạn đã hoàn thành danh sách ở trên.

Sao lưu trang web của bạn

Mục nhập quyết định không thú vị trong danh sách này:sao lưu. Chúng tôi biết; chúng tôi phát triển plugin sao lưu tốt nhất dành cho WordPress.

Tầm quan trọng của một bản sao lưu tốt được minh họa rõ nhất bằng một kịch bản xấu. Hãy tưởng tượng bạn đã dành nhiều tháng và nhiều năm để xây dựng trang web của mình. Nó có khách hàng, nội dung hấp dẫn, tạo ra doanh thu bằng quảng cáo và có danh tiếng. Và poof, một ngày nào đó điều đó biến mất. Nó có thể là sự lây nhiễm phần mềm độc hại hoặc lỗi máy chủ với máy chủ lưu trữ web của bạn; bất kỳ một trong một triệu lý do. Tưởng tượng. Bạn sẽ cung cấp gì để có một bản sao lưu trong những trường hợp đó?

Sao lưu là rất quan trọng. Đó chỉ là lẽ thường.

Giữ cho máy tính của bạn sạch phần mềm độc hại

Đôi khi chính những điều hiển nhiên lại khiến chúng ta khó chịu. Dù bạn sử dụng máy tính nào — hay thực sự là WiFi — đều có ảnh hưởng đến bảo mật trang web của bạn. Không có ích gì khi làm cứng WordPress, nếu có một keylogger trên máy tính của bạn; bạn đã giao thông tin đăng nhập của mình cho một tin tặc.

Luôn cập nhật mọi thứ

Ngoài bản thân WordPress, điều quan trọng là phải cập nhật các chủ đề và plugin. Các lỗ hổng được phát hiện hàng ngày và các nhà phát triển plugin phát hành các bản vá để giải quyết các lỗ hổng đó.

Nếu bạn không sử dụng bất kỳ plugin hoặc chủ đề nào, hãy loại bỏ chúng. Bạn luôn có thể cài đặt lại chúng sau, nếu cần lại.

Ngoài ra, đây là lý do cốt lõi để mua plugin. Plugin trả phí thường được duy trì tích cực và có kênh hỗ trợ cho các vấn đề bạn có thể gặp phải. Tại MalCare, chúng tôi sử dụng kinh nghiệm của mình với các trang web bị tấn công để cải thiện plugin bảo mật của mình mỗi ngày. Một plugin được duy trì tích cực là một khoản đầu tư vào bảo mật.

Sử dụng SFTP

Nếu bạn sử dụng FTP để chuyển tệp tới máy chủ của mình, hãy cân nhắc chuyển sang SFTP thay thế. Nó hoạt động theo cùng một cách để truyền tệp, ngoại trừ việc nó làm như vậy bằng cách sử dụng SSH. Dữ liệu được truyền sẽ được mã hóa và không thể đọc được khi đang truyền. Ngoài ra, SFTP sử dụng xác thực cho cả người dùng và máy chủ.

SFTP đang trở thành tiêu chuẩn mới và kết quả là thay thế FTP. Cấu hình thực tế là giống nhau, vì vậy không có lý do chính đáng để tiếp tục với các giao thức cũ.

Sử dụng máy chủ web đáng tin cậy

Hầu hết các bài viết về bảo mật (như bài này) sẽ tập trung nhiều vào những gì bạn, với tư cách là quản trị viên trang web, có thể làm để giữ an toàn cho trang web của mình. Đúng là bạn có thể làm được rất nhiều điều và hầu hết các lỗ hổng đều do các ứng dụng đã cài đặt mang lại. Tuy nhiên, điều đó không có nghĩa là máy chủ là bất khả xâm phạm.

Bạn có thể làm rất ít điều nếu máy chủ web của bạn không thực hiện vai trò của họ trong việc bảo vệ máy chủ của họ. Máy chủ cũng dễ bị tấn công, và không chỉ đối với đa dạng kỹ thuật số. Ví dụ:các máy chủ có ở vị trí an toàn về mặt vật lý không? Liệu một hacker có thể truy cập vào phòng và đánh cắp dữ liệu theo cách đó không? Đây là những cân nhắc quan trọng, nhưng một lần nữa quản trị viên trang web có quyền kiểm soát hạn chế trong vấn đề này.

vậy, bạn có thể làm gì? Chọn một máy chủ web đáng tin cậy. Một máy chủ web tốt minh bạch về các hoạt động của họ và sẽ bao gồm các biện pháp cụ thể mà họ thực hiện để bảo vệ máy chủ của họ khỏi bị tấn công. Đây không phải là nơi để cắt giảm chi phí, bởi vì một máy chủ web rẻ tiền có thể là một quyết định rất tốn kém về lâu dài.

Kết luận

Chúng tôi không thể nhấn mạnh tầm quan trọng của việc cài đặt đủ một plugin bảo mật WordPress.

Loại bỏ phần mềm độc hại là một quá trình tốn nhiều công sức và khó khăn, có thể xảy ra sai sót và lỗi tốn kém. Chỉ có các chuyên gia mới nên thực hiện quá trình này, và đó có thể là một đề xuất đắt giá. Thêm vào đó, bạn sẽ bị mất dữ liệu, lưu lượng truy cập, danh tiếng và nhiều hơn nữa vào thời điểm đó.

Vì vậy, có, hãy thực hiện một cách tiếp cận bảo mật trước và cài đặt một plugin bảo mật tốt cho WordPress. Sau đó, quay lại bài viết này và thực hiện các biện pháp cải thiện, sau đó cuối cùng kiểm tra trang web của bạn để kiểm tra các lỗi phổ biến của WordPress.

Tương lai của bạn sẽ cảm ơn bạn vì tầm nhìn xa của bạn.

Câu hỏi thường gặp

Làm cứng WordPress là gì?

Làm cứng WordPress là một thuật ngữ tổng hợp được sử dụng để mô tả các cài đặt và cấu hình nhằm tăng tính bảo mật cho trang web của bạn. Các kỹ thuật này bao gồm hàng loạt nội dung trang web và củng cố các điểm vào yếu đã biết, để giảm nguy cơ lây nhiễm.


Tại sao tôi nên cải thiện WordPress?

Nếu bạn quan tâm đến tính bảo mật của trang web và bằng cách mở rộng sự an toàn cho dữ liệu của khách truy cập, thì đó là lý do tại sao bạn nên củng cố WordPress. Đây là những biện pháp đơn giản cần thực hiện để giải quyết các lỗ hổng bảo mật và giảm nguy cơ lây nhiễm phần mềm độc hại.

Hãy nhớ rằng việc loại bỏ phần mềm độc hại khó hơn nhiều so với việc ngăn chặn sự lây nhiễm của nó ngay từ đầu.


Làm cứng WordPress có khó không?

Có những biện pháp bạn có thể thực hiện để củng cố WordPress rất đơn giản và được thực hiện thông qua bảng điều khiển của bạn. Đó không phải là khó. Có những cái khác phức tạp hơn một chút, nhưng cài đặt một plugin bảo mật WordPress sẽ đi một chặng đường dài để giảm thiểu sự phức tạp đó. Và hãy đối mặt với nó:cài đặt một plugin không khó chút nào.


Tôi có cần cải thiện WordPress nếu tôi có một plugin bảo mật không?

Có, bởi vì mặc dù một plugin bảo mật WordPress tốt sẽ bao gồm một số biện pháp tăng cường WordPress quan trọng, chúng sẽ không thể thực hiện tất cả chúng. Điều này rất đơn giản vì những thứ như chọn một mật khẩu mạnh hoặc triển khai các giao thức xác thực mạnh nằm ngoài phạm vi của một plugin bảo mật.