Hướng dẫn bảo mật WordPress với 17 bước

Có nhiều người khi dùng mã nguồn WordPress thường bỏ qua vấn đề bảo mật. Họ thường chỉ quan tâm làm thế nào để tạo website rồi up bài viết lên cho nhanh. Nhưng sẽ như thế nào nếu một ngày toàn bộ dự liệu trên website bị mất, Database thì trống trơn. Không còn hình ảnh, không còn bài viết nữa. Lúc đó bạn sẽ làm thế nào?

Vâng qua vài dòng trên bạn đã biết mình nói về điều gì rồi chứ! Đó chính là bảo mật WordPress hay nói chính xác hơn là bài viết này sẽ hướng dẫn cách bảo mật website WordPress để an toàn, tránh được các cuộc tấn công của Hacker. Đó cũng chính là thủ thuật WP mà mình muốn bạn tìm hiểu sâu.

Nhưng nó chỉ hạn chế phần nào thôi chứ an toàn 100% thì không nhé!

Cách bảo mật WordPress an toàn

Có khá nhiều việc phải làm nhưng bạn sẽ lần lượt thực hiện các công việc theo thứ tự dưới đây.

1. Đổi đường dẫn đăng nhập

Thông thường đường dẫn đăng nhập trong WordPress là https://domain.com/wp-admin/

Bạn sẽ phải đổi sang một đường dẫn khác để an toàn hơn

Plugin WPS Hide Login mình thường sử dụng

Sau khi cài đặt xong bạn vào Settings => Gereral => Kéo xuống dưới cùng => Thực hiện đổi tên rồi ấn Save Changes

Lưu ý khi đăng nhập bạn phải nhớ đường dẫn đã đổi nhé! Quên là tèo đấy!

2. Cập nhật Plugin, Theme, WordPress phiên bản mới nhất

Những phiên bản cũ đã tồn tại lâu vì vậy có nhiều lỗ hổng bảo mật. Cách tốt nhất hãy cập nhật phiên bản mới. Nhưng bạn lưu ý rằng trước khi cập nhật nên backup lại lỡ may bản mới không tương thích hay bị lỗi còn biết cách xử lý.

3. Cài plugin bảo mật

Một số plugin nên sử dụng như Plugin Wordfence Security, Plugin iThemes Security, Sucuri Security. Khi sử dụng những plugin này chúng sẽ tạo ra tường lửa, ngăn chặn lưu lượng độc hại. Bên cạnh đó cũng ngăn chặn tấn công Brute Force, thay đổi đường dẫn đăng nhập vv…

4. Đổi username và mật khẩu mạnh hơn

Khi cài đặt WordPress mọi người thường không chú ý nhiều đến Username và Password. Thường đặt những tên như admin, tên của domain luôn hoặc với mật khẩu thường đặt 123456… Nếu không muốn bị Hack website thì hãy sửa lại ngay.

Đặt Username khó đoán, mật khẩu nên dài và kết hợp thêm các ký tự đặc biệt. Ví dụ Username H3LLoU, password là %&4533HetK*$ như vậy sẽ an toàn hơn rất nhiều đấy.

5. Chặn thự thi file wp-config.php và .htaccess

2 File này cực kỳ quan trọng, để che giấu bạn thêm đoạn code này vào file .htaccess

<Files wp-config.php>;
order allow,deny
deny from all
</Files>

<Files .htaccess>
order allow,deny
deny from all
</Files>

6. Tắt tính năng XML-RPC

Dùng đoạn code sau cho vào tập tin .htaccess

<files xmlrpc.php>
order allow,deny
deny from all
</files>

7. Cấm không cho xem các thư mục

Vào trong 2 thư mục wp-includes và wp-content tạo ra mỗi thư mục 1 file .htaccess dán đoạn code sau vào

<Files *.php>
deny from all
</Files>

Để kiểm tra được chưa bạn gõ lên trình duyệt http://domain.com/wp-content nó hiện ra 403 Forbidden Access to this resource on the server is denied! là được.

8. Không sử dụng Theme chia sẻ miễn phí trên internet

Đa số mọi người thích dùng hàng Free nhưng chắc chắn nó không an toàn. Đặc biệt là những trang chia sẻ Theme miễn phí trên internet. Cách an toàn nhất là nên mua ở các trang uy tín như Themeforest, ThemeGrill, MyThemeShop…

9. Không dùng các plugin có thời gian cập nhật quá lâu

Nếu bạn thấy Last Update trên 6 tháng hoặc 1 năm thì không nên cài bởi rất có thể plugin đó đã được Hacker khai thác lỗ hổng. Về độ an toàn rất thấp vì thế bạn nên cân nhắc trước khi cài những plugin có thời gian cập nhật lâu.

10. Thay đổi tiền tố (prefix) trên Database

Mục đích của việc này là để ngăn chặn tấn công SQL injections. Để làm được bạn sẽ cài plugin iThemes Security.

Settings => Change Database Table Prefix => Configure Settings

Trước khi thực hiện nên backup lại.

Tại Change Prefix bạn chọn Yes => Ấn Save Settings

Sau khi thực hiện xong sẽ nhận được thông báo như thế này

11. Sao lưu (Backup) dữ liệu thường xuyên

Bạn sẽ chẳng biết khi nào Hacker tấn công cả, để cho chắc tốt nhất nên backup mỗi tuần. File backup nên lưu trữ trên các dịch vụ như Google Drive, Dropbox chứ không nên lưu trên máy tính nhé. Lưu máy tính là cũng khá nguy hiểm đấy.

12. CHMOD an toàn cho thư mục và tập tin PHP

Nên CHMOD các file wp-config.php, .htaccess thành 600. Có nghĩa là không cấp quyền chỉnh sửa cho bất cứ ai ngoại trừ chính bạn. Các wp-admin và wp-include thì giữ nguyên là 755 hoặc 700.

Trên Cpanel Hosting bạn ấn chuột phải vào file cần CHMOD => Change Permissions

13. Tắt người dùng duyệt thư mục

Dùng lệnh sau thêm vào .htaccess để ngăn người dùng nhìn thấy các thư mục trên trình duyệt. Áp dụng cho wp-content và wp-includes

# directory browsing
Options All -Indexes

14. Xóa phiên bản WordPress

Khi view sourcode nó sẽ hiển thị ra phiên bản WordPress đang sử dụng. Hãy tắt nó đi bằng có thêm đoạn mã này vào bên dưới tập tin functions.php

// Xóa phiên bản WordPress
remove_action('wp_head', 'wp_generator');
// RSS feed
function remove_version_from_rss() {
return '';
}
add_filter('the_generator', 'remove_version_from_rss');

15. Bảo mật HTTP Headers

Dùng plugin HTTP Headers để ngăn chặn tấn công XSS khá tốt.

16. Thay đổi Khóa bảo mật WordPress

Khóa bảo mật WordPress chịu trách nhiệm mã hóa thông tin được lưu trữ trong cookie của người dùng của bạn. Chúng nằm trong tệp wp-config.php.

Dùng plugin SUCURI SECURITY để tạo khóa ngẫu nhiên.

17. Ngăn chặn tấn công injections

Đưa đoạn mã này vào tập tin .htaccess

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Trên đây là 13 bước nên làm để bảo mật website WordPress an toàn và hiệu quả hơn. Bên cạnh đó bạn cũng nên tham khảo thêm cách đổi tên Theme WordPress để không ai có thể xem được Theme đang sử dụng nữa nhé!