11 Bước bảo mật website WordPress tốt nhất
WordPress là mã nguồn phổ biến nhất trên thế giới hiện nay. Vấn đề bảo mật WordPress là vấn đề liên quan đến sự sống còn của website. Bản thân tôi khi mới bắt đầu viết blog cũng đã gặp rất nhiêu tình huống ” dở khóc dở cười ” khi website bị Hack. Sau những lần bị Hack tôi đã tìm hiểu cách bảo mật website sao cho tốt. Dưới đây là 11 cách để bảo mật website WordPress gần như tuyêt đối từ kinh nghiệm của tôi.
1/ Bảo mật thông tin đăng nhập ( tất cả phải mạnh).
Có 1 nguyên tắc quan trọng các bạn cần nhớ là : Các bạn đừng bao giờ cần nhớ 1 thông tin gì cả. Hãy lưu thông tin vào đâu đó nên tất cả thông tin hãy để ” linh tinh ”
Đổi link đăng nhập: domain.com/wp-admin — > domain.com/****
ví dụ: domain.com/32j4@!345
Đổi user đăng nhập Admin —> ********
Mật khẩu đăng nhập —> *********
Mật khẩu Databse —> *******
Tuyệt đối không để mật khẩu dễ nhớ và giống nhau.
2/ Luôn luôn update Wordrpess, themes, plugin lên phiên bản mới nhất
Các phiên bản mới cập nhật thường là fix lỗi các phiên bản trước đó. Nếu như các bạn không cập nhật mới rất dễ bị hack từ các lỗ hổng của plugin đó.
3/ Tuyệt đối không sử dụng các theme, plugin Nulled.
Các bạn không nên sử dụng các Plugin, Themes chia sẻ trên mạng không rõ nguồn gốc. Nó tiềm ẩn rất nhiều rủi ro, có thể bị gắn mã độc trong code.
Hãy nhớ ” không có gì là miễn phí cả “
4/ Backup website thường xuyên.
Hãy nhớ backup dữ liệu thường xuyên ( hàng ngày hoặc hàng tuần ) dựa vào số lượng cập nhật trên website.
Có rất nhiều rủi rõ nếu như các bạn không backup website thường xuyên và bạn biết nếu vì 1 lí do nào đó bạn mất hết dữ liệu thì nó sẽ kinh khủng thế nào rồi đấy!
Các bạn có thể backup thủ công hoặc sử dụng Plugin cũng được.
Nếu như các bạn ít website thì mình khuyên bạn hãy backup thủ công nhé.
Hiện tại mình đang sử Plugin Backup tự động Updraftplus
Xem thêm: Hướng dẫn chi tiết cách sử dụng Plugin Updraftplus
5/ Chọn nhà cung cấp Hosting uy tín và bảo mật thông tin hosting
Hosting là nơi chưa tất cả thông tin website của bạn chính vì vậy hãy chọn những nhà cung cấp Hosting/ VPS uy tín để tránh những việc bị lấy cắp source web.
Ngoài ra khi đã mua hosting / VPS các bạn nhớ bảo mật thông tin cho nó nhé.
Hãy nhớ tất cả thông tin phải ” mạnh ” .
Tất cả hệ thống website của mình đều sử dụng Vultr.com nó đúng với tiêu chí ” ngon, bổ, rẻ)
Xem thêm: Hước dẫn đăng ký và sử dụng Vultr.com từ A-Z
6/ Hãy xóa tất cả các bản Backup trên Hosting
thường khi backup các bạn sẽ file nén ở trên host và hay để bằng những cái tên mặc định kiểu như ( domain.zip, public_html.zip, 1.zip …….) và nếu như các bạn bị lộ thông tin này thì hoàn toàn có thể về máy.
ví dụ : domain/public_html.zip là họ sẽ tải được toàn bộ sourch về máy.
7/ Tắt tính năng sửa File/ plugin trong quản trị WordPress.
Việc này sẽ gây khó cho ai muốn phá hoại website của bạn. Vì 1 lí do nào đấy thông tin quản trị web của bạn bị lộ thì họ cũng không thê nào chỉnh sửa plugin và themes của bạn.
Nó sẽ hơi bất tiện chút vì muốn chỉnh sửa thì các bạn phải trình sửa thông qua FTP.
Hãy vào hosting mở file config.php và thêm dòng code này ở bên dưới nhé.
define(‘DISALLOW_FILE_MODS’,true);
8/ Tắt tính năng cài mới và update theme/plugin
Sau khi các bạn đã tối ưu website và cài đặt đủ Plugin cần thiết thì nên làm việc này để tránh .
Nếu bị bị hack tk đăng nhập website thì Hacker cũng không thể cài các plugin chứa mã độc.
Hãy truy cập vào host vào thử mục public_html của website thêm dòng code dưới đây vào file
config.phpdefine(‘DISALLOW_FILE_EDIT’,true);
Lưu ý: khi bạn thêm làm việc này thì sẽ bị chặn tất cả những thông báo update mã nguồn, themes, plugin. Chính vì vậy mình khuyên bạn khoảng 1 2 tuần hãy xóa đi để kiểm tra xem có cập nhật gì mới không nhé!
9/ Giấu file Config.php
Trong host linux, thông thường các tập tin của website sẽ đều nằm trong thư mục public_html và thường path sẽ là /home/username/public_html/wp-config.php.
Công việc của bạn bây giờ là chuyển file wp-config.php sang 1 thư mục khác để tránh các hacker tìm ra file.
Cách làm
Các bạn hãy tạo 1 folder mới ngang hàng với folder public_html ví dụ mình tạo folder ” cam vao” rồi copy file wp-config.php sang folder đó.
Tiếp theo các bạn vào file wp-config.php ở thư mục public_html thêm dòng code dưới đây vào và lưu lại. ( thay tên folde “camvao” bằng tên folder của bạn nhé)
if ( !defined(‘ABSPATH’) )
define(‘ABSPATH’, dirname(__FILE__) . ‘/’);
require_once(ABSPATH . ‘../camvao/wp-config.php’);
Lưu ý: trường hợp này chỉ sử dụng cho website nằm ngay trong thư mục public_html chứ không nằm trong thư mục lớp khác nhé.
10/ Phân quyền Chmod tệp tin và thư mục quan trọng.
Chmod thư mục ( folder)
Mục này khá quan trọng và cũng không dễ làm đối với các bạn chưa hiểu kĩ về Chmod. Chính vì vậy trước khi làm bước này các bạn hãy xem qua bài viết này :
Đối với thư mục khi up lên host sẽ mặc định chmod là 755.
Trong source Web có 2 thư mục các bạn hãy Chmod thành 700
wp-content 755–>700
wp-includes 755–> 700
khi đó chỉ có bạn admin mới có quyền xem và thực thi còn người khác không có quyền gì
Chmod tệp tin file
Mặc định các file bình thường được chmod là 644. Có 2 file cực kì quan trọng là .htaccess và wp-config.php các bạn hãy Chmode thành 600 hoặc 400
600: chỉ admin có quyền đọc và ghi.
400: chỉ admin có quyền đọc.
Các bạn có thể chmod 600 cũng được còn chmod 400 thì hơi bất tiện khi các bạn cài 1 số plugin cần quyền ghi vào file config.php thì bạn phải chmod lại.
Mình khuyên các bạn chmod 400 để bảo mật tốt nhất.
Xem thêm : Cách CHMOD bảo mật website WordPress bằng Filezilla
11/ Các các plugin bảo mật.
Plugin Wordfence Security.
Đây là Plugin mình cài tất cả cho các website của mình vì đơn giản nó rất tuyệt vời. Các tính năng Free của nó cũng đã làm mình hài lòng.
Plugin Wordfence Security với nhiều giải pháp an toàn cho web WordPress như:
- Tạo tường lửa ngăn chặn tấn công và chặn lưu lượng độc hại.
- Quét và cảnh báo các mã độc, phần mềm độc hại cho web.
- Tạo Captcha đăng nhập để ngăn chặn bot đăng nhập
- Sửa chữa các tập tin đã bị thay đổi bằng cách ghi đè bằng các file gốc.
- Kiểm tra và cảnh báo các lỗ hổng bảo mật trên web của bạn.
Xem thêm: Hướng dẫn sử dụng plugin Wordfence Security.
iThemes Security.
Đây cũng là Plugin mình cài cho tất cả hệ thống website, phiên bản miễn phí của nó cũng rất tốt. Nếu có điều kiện mình khuyên các bạn nên sử dụng bản PRO.
Các tính năng tuyệt vời của iThemes security.
- iThemes Brute Force Attack Protection: Hạn chế số lần đăng nhập sai và chặn địa chỉ IP đó để bảo vệ web.
- Quét trang web và cảnh báo ngay lập tức những lỗ hổng, phần mềm độc hại đang tồn tại.
- Tăng cường bảo mật máy chủ.
- Yêu cầu các mật khẩu mạnh và nhắc nhờ đổi mật khẩu trong 1 khoảng thời gian.
- Tắt chức năng sửa file trong trang quản trị.
- Phát hiện và chặn các cuộc tấn công vào database
- Thay đổi đường dẫn đăng nhập quản trị
- Tắt khả năng đăng nhập trong 1 thời gian nào đó
- Thay đổi tiền tố “prefix_” trong database
- Phát hiện các lỗi 404 trên web gây ảnh hưởng tới SEO
- Phát hiện các thay đổi tập tin và cảnh báo cho bạn biết nếu bị hack
- Tư động sao lưu database
Xem thêm: Hướng dẫn sử plugin bảo mật itheme security.
Cài xác mình 2 bước bằng Plugin Google Authenticator.
Nếu cẩn thận hơn các bạn hãy cài thêm plugin Google Authenticator nó sẽ giúp bảo mật webiste của bạn hơn. Nó giúp trang web của bạn được bảo vệ thêm 1 lớp nữa khi chẳng may ai đó biết được tài khoản và mật khẩu quản trị web của bạn.
Các bạn cần phải cài thêm 1 app trên điện thoại là : Google authenticator hoặc Microsoft authenticator .
Khi các bạn cài xong mỗi lần các bạn đăng nhập vào web các bạn sẽ phải điền code từ app điện thoại.
Xem thêm: Hướng dẫn cách sử dụng plugin xác minh 2 bước Google Authenticator.
Kết luận:
Trên đây là 11 bước mình thường triển khai cho các website của mình, nếu làm đủ 11 bước này mình tin là các bạn sẽ tránh được gần như tuyệt đối các rủi ro liên quan đến bảo mật website.
Rất mong nhận được thêm các đóng góp của các bạn ở comment bên dưới.
Mình đang dùng Itheme thấy plugin này khá ok
ok bạn