10 mẹo WordPress để bảo mật trang web của bạn

WordPress là Hệ thống quản lý nội dung (CMS) phổ biến nhất và cung cấp hơn 30% trang web. Tuy nhiên, khi nó phát triển, tin tặc đã lưu ý và bắt đầu nhắm mục tiêu cụ thể vào các trang web WordPress. Cho dù trang web của bạn cung cấp những loại nội dung nào, bạn cũng không phải là một ngoại lệ. Nếu bạn không thực hiện các biện pháp phòng ngừa nhất định, bạn có thể bị tấn công. Giống như mọi thứ liên quan đến công nghệ, bạn cần kiểm tra bảo mật trang web của mình.

1. Chọn một công ty lưu trữ tốt

Cách đơn giản nhất để giữ an toàn cho trang web của bạn là sử dụng nhà cung cấp dịch vụ lưu trữ cung cấp nhiều lớp bảo mật.

Có vẻ hấp dẫn khi sử dụng một nhà cung cấp dịch vụ lưu trữ giá rẻ, sau tất cả, tiết kiệm tiền cho việc lưu trữ trang web của bạn có nghĩa là bạn có thể chi tiêu nó ở nơi khác trong tổ chức của mình. Tuy nhiên, đừng bị cám dỗ bởi con đường này. Nó có thể, và thường gây ra những cơn ác mộng trên đường. Dữ liệu của bạn có thể bị xóa hoàn toàn và url của bạn có thể bắt đầu chuyển hướng đến một nơi khác.

Trả nhiều hơn một chút cho một công ty lưu trữ chất lượng có nghĩa là các lớp bảo mật bổ sung sẽ tự động được quy cho trang web của bạn. Một lợi ích bổ sung, bằng cách sử dụng một dịch vụ lưu trữ WordPress tốt, bạn có thể tăng tốc đáng kể trang web WordPress của mình.

2. Không sử dụng theme không rõ nguồn gốc

Theme mất phí của WordPress trông chuyên nghiệp hơn và có nhiều tùy chọn tùy chỉnh hơn một theme miễn phí. Nhưng người ta có thể tranh luận rằng bạn nhận được những gì bạn phải trả. Các theme cao cấp được mã hóa bởi các nhà phát triển có tay nghề cao và được kiểm tra để vượt qua nhiều lần kiểm tra WordPress ngay lập tức. Không có giới hạn nào đối với việc tùy chỉnh chủ đề của bạn và bạn sẽ được hỗ trợ đầy đủ nếu có vấn đề gì xảy ra trên trang web của bạn. Hầu hết bạn sẽ nhận được các bản cập nhật chủ đề thường xuyên.

3. Cài đặt một Plugin bảo mật WordPress

Việc thường xuyên kiểm tra bảo mật trang web của bạn để tìm phần mềm độc hại là một công việc tốn nhiều thời gian và trừ khi bạn thường xuyên cập nhật kiến thức về các phương pháp viết mã, bạn thậm chí có thể không nhận ra rằng mình đang xem một phần mềm độc hại được viết trong mã. May mắn thay, những người khác đã nhận ra rằng không phải ai cũng là nhà phát triển và đã đưa ra các plugin bảo mật WordPress để trợ giúp. Một plugin bảo mật chăm sóc bảo mật trang web của bạn, quét phần mềm độc hại và giám sát trang web của bạn 24/7 để thường xuyên kiểm tra những gì đang xảy ra trên trang web của bạn.

4. Sử dụng mật khẩu mạnh

Mật khẩu là một phần rất quan trọng trong bảo mật trang web và rất tiếc thường bị bỏ qua. Nếu bạn đang sử dụng mật khẩu thuần túy, tức là ‘123456, abc123, password’, bạn cần thay đổi mật khẩu của mình ngay lập tức. Mặc dù mật khẩu này có thể dễ nhớ nhưng cũng cực kỳ dễ đoán. Người dùng nâng cao có thể dễ dàng bẻ khóa mật khẩu của bạn và truy cập mà không gặp nhiều rắc rối.

Điều quan trọng là bạn phải sử dụng mật khẩu phức tạp hoặc tốt hơn là mật khẩu được tạo tự động với nhiều số, kết hợp chữ cái vô nghĩa và các ký tự đặc biệt như % hoặc ^.

5. Tắt chỉnh sửa tệp

Khi bạn thiết lập trang web WordPress của mình, có một chức năng chỉnh sửa mã trong bảng điều khiển của bạn, cho phép bạn chỉnh sửa chủ đề và plugin của mình. Nó có thể được truy cập bằng cách đi tới Appearance> Editor sửa. Một cách khác bạn có thể tìm thấy trình chỉnh sửa plugin là vào trong Plugins> Editor.

Khi trang web của bạn hoạt động, chúng tôi khuyên bạn nên tắt tính năng này. Nếu bất kỳ tin tặc nào giành được quyền truy cập vào bảng quản trị WordPress của bạn, họ có thể đưa mã độc hại tinh vi vào chủ đề và plugin của bạn. Thông thường, mã sẽ rất tinh vi, bạn có thể không nhận thấy bất kỳ điều gì sai sót cho đến khi quá muộn.

Để vô hiệu hóa khả năng chỉnh sửa plugin và tệp chủ đề, chỉ cần dán mã sau vào tệp wp-config.php của bạn.
define (‘DISALLOW_FILE_EDIT’, true);

6. Cài đặt chứng chỉ SSL

Ngày nay Single Sockets Layer, SSL, có lợi cho tất cả các loại trang web. Ban đầu, SSL là cần thiết để làm cho một trang web an toàn cho các giao dịch cụ thể, chẳng hạn như xử lý các khoản thanh toán. Tuy nhiên, ngày nay, Google đã nhận ra tầm quan trọng của nó và cung cấp cho các trang web có chứng chỉ SSL một vị trí quan trọng hơn trong kết quả tìm kiếm của nó.

SSL là bắt buộc đối với bất kỳ trang web nào xử lý thông tin nhạy cảm, tức là mật khẩu hoặc chi tiết thẻ tín dụng. Nếu không có chứng chỉ SSL, tất cả dữ liệu giữa trình duyệt web của người dùng và máy chủ web của bạn sẽ được gửi ở dạng văn bản thuần túy. Điều này có thể được đọc bởi tin tặc. Bằng cách sử dụng SSL, thông tin nhạy cảm được mã hóa trước khi được chuyển giữa trình duyệt của họ và máy chủ của bạn, khiến việc đọc trở nên khó khăn hơn và làm cho trang web của bạn an toàn hơn.

7. Thay đổi URL đăng nhập WP của bạn

Theo mặc định, để đăng nhập vào WordPress, địa chỉ là “yourite.com/wp-admin”. Bằng cách để nó làm mặc định, bạn có thể bị nhắm mục tiêu cho một cuộc tấn công vũ phu để bẻ khóa kết hợp tên người dùng / mật khẩu của bạn. Nếu bạn chấp nhận người dùng đăng ký tài khoản đăng ký, bạn cũng có thể nhận được rất nhiều đăng ký spam. Để tránh điều này, bạn có thể thay đổi URL đăng nhập quản trị hoặc thêm câu hỏi bảo mật vào trang đăng ký và đăng nhập.

8. Hạn chế nỗ lực đăng nhập

Theo mặc định, WordPress cho phép người dùng cố gắng đăng nhập bao nhiêu lần tùy thích. Mặc dù điều này có thể hữu ích nếu bạn thường xuyên quên các chữ cái viết hoa, nhưng nó cũng khiến bạn có thể bị tấn công.

Bằng cách giới hạn số lần đăng nhập, người dùng có thể thử một số lần giới hạn cho đến khi chúng tạm thời bị chặn. Giới hạn cơ hội của bạn để thực hiện một số lần tấn công vì tin tặc bị khóa trước khi họ có thể hoàn thành cuộc tấn công của mình.

9. Ẩn các tệp wp-config.php và .htaccess

Mặc dù đây là một quy trình nâng cao để cải thiện bảo mật cho trang web của bạn, nhưng nếu bạn nghiêm túc về vấn đề bảo mật của mình, bạn nên ẩn các tệp .htaccess và wp-config.php trên trang web của mình để ngăn tin tặc truy cập chúng.

Chúng tôi thực sự khuyên các nhà phát triển có kinh nghiệm thực hiện tùy chọn này vì trước tiên, bạn phải thực hiện sao lưu trang web của mình và sau đó tiến hành một cách thận trọng. Bất kỳ sai sót nào cũng có thể khiến trang web của bạn không thể truy cập được.

Để ẩn các tệp, sau khi sao lưu, có hai điều bạn cần làm:
+ Đầu tiên, hãy truy cập tệp wp-config.php của bạn và thêm mã sau:

<Files wp-config.php>
order allow,deny
deny from all
</Files>


+ Trong một phương pháp tương tự, bạn sẽ thêm mã sau vào tệp .htaccess của mình,

<Files .htaccess>
order allow,deny
deny from all
</Files>

Mặc dù bản thân quá trình này rất dễ dàng, nhưng điều quan trọng là phải đảm bảo bạn có bản sao lưu trước khi bắt đầu trong trường hợp có bất kỳ sự cố nào xảy ra trong quá trình này.

10. Update WordPress của bạn

Luôn cập nhật WordPress của bạn là một phương pháp hay để giữ an toàn cho trang web của bạn. Với mỗi bản cập nhật, các nhà phát triển thực hiện một vài thay đổi, thường là các bản cập nhật cho các tính năng bảo mật. Bằng cách luôn cập nhật phiên bản mới nhất, bạn đang giúp tự bảo vệ mình khỏi trở thành mục tiêu cho những sơ hở và lợi dụng được xác định trước mà tin tặc có thể sử dụng để truy cập vào trang web của bạn.

Điều quan trọng là phải cập nhật các plugin và chủ đề của bạn vì những lý do tương tự.
Theo mặc định, WordPress tự động tải xuống các bản cập nhật nhỏ. Tuy nhiên, đối với các bản cập nhật lớn, bạn cần cập nhật trực tiếp từ bảng điều khiển quản trị WordPress của mình.

Tham khảo: https://medium.com/@AmDee_Elyssa/10-wordpress-tips-to-make-your-website-secure-133ffc35f27a

Viết một bình luận