Hướng dẫn bảo mật website WordPress an toàn [13 bước]

Có nhiều người khi dùng mã nguồn WordPress thường bỏ qua vấn đề bảo mật. Họ thường chỉ quan tâm làm thế nào để tạo website rồi up bài viết lên cho nhanh. Nhưng sẽ như thế nào nếu một ngày toàn bộ dự liệu trên website bị mất, Database thì trống trơn. Không còn hình ảnh, không còn bài viết nữa. Lúc này chỉ biết ngồi khóc thôi à!

Vâng qua vài dòng trên bạn đã biết mình nói về điều gì rồi chứ! Đó chính là bảo mật WordPress hay nói chính xác hơn là bài viết này sẽ hướng dẫn cách bảo mật website WordPress để an toàn, tránh được các cuộc tấn công của Hacker. Đó cũng chính là thủ thuật WP mà mình muốn bạn tìm hiểu sâu.

Nhưng nó chỉ hạn chế phần nào thôi chứ an toàn 100% thì không nhé!

Cách bảo mật website WordPress – Những việc cần phải làm

Có khá nhiều việc phải làm nhưng bạn sẽ lần lượt thực hiện các công việc theo thứ tự dưới đây.

1. Đổi đường dẫn đăng nhập

Thông thường đường dẫn đăng nhập trong WordPress là https://domain.com/wp-admin/

Bạn sẽ phải đổi sang một đường dẫn khác để an toàn hơn

Plugin WPS Hide Login mình thường sử dụng

Sau khi cài đặt xong bạn vào Settings => Gereral => Kéo xuống dưới cùng => Thực hiện đổi tên rồi ấn Save Changes

Lưu ý khi đăng nhập bạn phải nhớ đường dẫn đã đổi nhé! Quên là tèo đấy!

Bảo mật WordPress

2. Cập nhật Plugin, Theme, WordPress phiên bản mới nhất

Những phiên bản cũ đã tồn tại lâu vì vậy có nhiều lỗ hổng bảo mật. Cách tốt nhất hãy cập nhật phiên bản mới. Nhưng bạn lưu ý rằng trước khi cập nhật nên backup lại lỡ may bản mới không tương thích hay bị lỗi còn biết cách xử lý.

3. Cài plugin bảo mật

Một số plugin nên sử dụng như Plugin Wordfence Security, Plugin iThemes Security, Sucuri Security. Khi sử dụng những plugin này chúng sẽ tạo ra tường lửa, ngăn chặn lưu lượng độc hại. Bên cạnh đó cũng ngăn chặn tấn công Brute Force, thay đổi đường dẫn đăng nhập vv…

4. Đổi username và mật khẩu mạnh hơn

Khi cài đặt WordPress mọi người thường không chú ý nhiều đến Username và Password. Thường đặt những tên như admin, tên của domain luôn hoặc với mật khẩu thường đặt 123456… Nếu không muốn bị Hack website thì hãy sửa lại ngay.

Đặt Username khó đoán, mật khẩu nên dài và kết hợp thêm các ký tự đặc biệt. Ví dụ Username H3LLoU, password là %&4533HetK*$ như vậy sẽ an toàn hơn rất nhiều đấy.

5. Chặn thự thi file wp-config.php

File này cực kỳ quan trọng, để che giấu bạn thêm đoạn code này vào file .htaccess

<Files wp-config.php>;
order allow,deny
deny from all
</Files>

6. Tắt tính năng XML-RPC

Dùng đoạn code sau cho vào tập tin .htaccess

<files xmlrpc.php>
order allow,deny
deny from all
</files>

7. Cấm không cho xem các thư mục

Vào trong 2 thư mục wp-includeswp-content tạo ra mỗi thư mục 1 file .htaccess dán đoạn code sau vào

<Files *.php>
deny from all
</Files>

Để kiểm tra được chưa bạn gõ lên trình duyệt http://domain.com/wp-content nó hiện ra 403 Forbidden Access to this resource on the server is denied! là được.

8. Không sử dụng Theme chia sẻ miễn phí trên internet

Đa số mọi người thích dùng hàng Free nhưng chắc chắn nó không an toàn. Đặc biệt là những trang chia sẻ Theme miễn phí trên internet. Cách an toàn nhất là nên mua ở các trang uy tín như Themeforest, ThemeGrill, MyThemeShop…

9. Không dùng các plugin có thời gian cập nhật quá lâu

Nếu bạn thấy Last Update trên 6 tháng hoặc 1 năm thì không nên cài bởi rất có thể plugin đó đã được Hacker khai thác lỗ hổng. Về độ an toàn rất thấp vì thế bạn nên cân nhắc trước khi cài những plugin có thời gian cập nhật lâu.

Hướng dẫn bảo mật website WordPress

10. Thay đổi tiền tố (prefix) trên Database

Mục đích của việc này là để ngăn chặn tấn công SQL injections. Để làm được bạn sẽ cài plugin iThemes Security.

Settings => Change Database Table Prefix => Configure Settings

Cách bảo mật WordPress

Trước khi thực hiện nên backup lại.

Tại Change Prefix bạn chọn Yes => Ấn Save Settings

Cách bảo mật WordPress

Sau khi thực hiện xong sẽ nhận được thông báo như thế này

Bảo mật cho WordPress

11. Sao lưu (Backup) dữ liệu thường xuyên

Bạn sẽ chẳng biết khi nào Hacker tấn công cả, để cho chắc tốt nhất nên backup mỗi tuần. File backup nên lưu trữ trên các dịch vụ như Google Drive, Dropbox chứ không nên lưu trên máy tính nhé. Lưu máy tính là cũng khá nguy hiểm đấy.

12. CHMOD an toàn cho thư mục và tập tin PHP

Cách bảo mật website WordPress

Nên CHMOD các file wp-config.php, .htaccess thành 600. Có nghĩa là không cấp quyền chỉnh sửa cho bất cứ ai ngoại trừ chính bạn. Các wp-admin và wp-include thì giữ nguyên là 755 hoặc 700.

Trên Cpanel Hosting bạn ấn chuột phải vào file cần CHMOD => Change Permissions

Cách bảo mật WordPress

13. Tắt người dùng duyệt thư mục

Dùng lệnh sau thêm vào .htaccess để ngăn người dùng nhìn thấy các thư mục trên trình duyệt

# directory browsing
Options All -Indexes

Trên đây là 13 bước nên làm để bảo mật website WordPress an toàn và hiệu quả hơn. Bên cạnh đó bạn cũng nên tham khảo thêm cách đổi tên Theme WordPress để không ai có thể xem được Theme đang sử dụng nữa nhé!