Tại sao cần bảo mật website WordPress?
WordPress là một công cụ, phần mềm mã nguồn mở (Open Source Software) được phát triển bởi Michel Valdrighi và Mike Little. Chức năng chính của WordPress là dùng để tạo lập, xuất bản các blog.
Chạy trên tới 4.5% của toàn bộ website trên thế giới Internet, WordPress là nền tảng quản trị nội dung lớn nhất thế giới. Tuy nhiên, điều đáng buồn khi WordPress là CMS dễ bị hack nhất trên thế giới. Đây là thông tin trong thông từ báo cáo hack của Securi – một công ty chuyên về bảo mật.
Mỗi tuần, Google đều liệu kê một blacklists khoảng 20.000 website có chứa malware và khoảng 50.000 là phishing (những website lừa đảo).
Do đó, để website của mình an toàn, bạn cần nghiêm túc quan tâm đến vấn đề bảo mật.
Bật mí 11 cách bảo mật website WordPress
#1. Bảo mật tên người dùng và mật khẩu quản trị
Đặt mật khẩu phức tạp – phương thức bảo mật đơn giản nhất và hiệu quả nhất. Một mật khẩu mạnh bao gồm chữ in hoa, chữ thường, số, kí tự đặc biệt.
Mật khẩu đủ mạnh, đủ khó sẽ bảo vệ bạn, tránh bị hacker dò mật khẩu.
#2. Chủ động cập nhật và sử dụng phiên bản mới nhất của WordPress và Plugins
WordPress là một mã nguồn mở. Nó sẽ cập nhật liên tục những bản vá lỗi. Và WordPress thông báo update chủ yếu bao gồm có bản vá bảo mật cùng với các tính năng bổ sung cần thiết để chạy các plugin mới nhất.
Chỉ cần dùng phiên bản mới nhất, được chỉnh lỗi nhiều nhất, bạn sẽ bảo vệ được website WordPress của mình rất nhiều.
#3. Thiết lập chế độ xác thực 2 bước.
Bằng cách xác thực qua mã capcha, sms hoặc 1 mã OTP… , bạn sẽ khiến không ít hacker “bỏ cuộc”. Dù có cố gắng, hacker cũng không thể đăng nhập được. Hack được đồng thời mật khẩu và số điện thoại của bạn, đó là điều không tưởng!
#4. Bảo mật trước mọi cố gắng đăng nhập trang quản trị
Xâm nhập để chiếm quyền quản trị website của bạn, hacker có thể phá hoại cả website. Bạn có 2 hướng để chống lại quá trình này diễn ra:
Một là, thay đổi URL đăng nhập trang quản trị WordPress của bạn.
Thông thường, URL đăng nhập trang web WordPress là domain.com/wp-admin. Thay đổi URL, bạn có thể phòng việc hacker lợi dụng URL tấn công.
Hai là, cài đặt giới hạn đăng nhập trang quản trị- Limit Login
Đặt giới hạn đăng nhập là một cách làm rất khả quan vì hacker bị hạn chế được việc dò mật khẩu vào website.
#5. Chú ý sao lưu dữ liệu
Thế giới không có gì hoàn hảo. Và công nghệ cũng không có gì là 100% an toàn. Backup là bước bảo mật đầu tiên chống lại bất kỳ cuộc tấn công nào.
Có rất nhiều WordPress backup plugin miễn phí và trả phí. TinoHost khuyên bạn lưu trữ dữ liệu MỖI NGÀY trên một dịch vụ đám mây như: Amazon, Dropbox, hay một đám mây cá nhân như Stash.
#6. Thực hiện quy trình quét thường xuyên
Nhằm phát hiện các lỗ hổng bảo mật trong hệ thống, bạn cần cài đặt tiện ích WP Security Scan và tiến hành quét thường xuyên. Song song đó, việc thay đổi wp_ thành bất tiền tố tùy chỉnh sẽ giúp bạn tránh khỏi sự nhòm ngó của hacker.
#7. Bảo vệ trước các cuộc tấn công DDoS
DDoS được xem là một nỗ lực làm cho những người dùng không thể sử dụng tài nguyên của một máy tính hoặc website. DDoS thường không gây tổn hại cho trang web của bạn. DDoS sẽ làm cho trang web của bạn bị down trong một vài giờ hoặc vài ngày tùy theo mức độ, những người dùng thật sẽ không thể truy nhập được website của bạn.
#8. Mã hóa thông tin đăng nhập
Khi truy cập ở nơi công cộng, bạn đã vô tình tạo cơ hội dành cho hacker. Tuy nhiên, bằng plugin Chap Secure Login sẽ giúp bạn giảm thiểu điều này. Plugin Chap Secure Login có chức năng chính là gán thêm những đoạn mã hash ngẫu nhiên vào chuỗi ký tự mật khẩu, sau đó tiến hành xác nhận tính hợp pháp của tài khoản với giao thức CHAP.
Cài đặt Plugin: bạn chỉ cần vào add plugin và gõ vào trình search: Chap Secure Login.
#9. Luôn sử dụng kết nối an toàn khi FTP
Hãy yêu cầu các nhà cung cấp đảm bảo rằng hosting WordPress của bạn có hỗ trợ các phương pháp như cung cấp để kết nối ftp an toàn như FTP; SFTP hoặc SSH. SFTP hoặc Secure File Transfer Protocol (giao thức truyền file SSH). So với chuẩn FTP, phương pháp này an toàn hơn. Một số tool hỗ trợ kết nối SFTP:
- Filezilla (Free – MAC or PC)
- WinSCP (Free – PC)
- FlashFXP (Premium – PC)
- Cyberduck (Free – MAC or PC)
- Transmit (Premium – MAC)
#10. Tự động log-out user khi không hoạt động
Rất nhiều các trang web ngân hàng và tài chính đều tự động đăng xuất với người dùng không hoạt động. Bạn có thể thực hiện chức năng tương tự trên trang WordPress của bạn. Thao tác rất đơn giản:
Bước 1: Cài đặt và kích hoạt Idle User Logout plugin.
Bước 2: Chọn Settings » Idle User Logout để tùy chỉnh plugin.
Bước 3: Chọn thời gian chờ và bỏ tích ở tùy chọn “Disable in WP Admin” cho tính bảo mật tốt hơn.
Bước 4: Lưu.
#11. Xóa phiên bản WordPress
Việc tìm ra phiên bản WordPress mà bạn đang sử dụng sẽ giúp hacker lần ra dấu vết lỗ hổng dễ dàng. Nếu xoá phiên bản WordPress, hacker sẽ mất nhiều thời gian nghiên cứu hơn để công phá.
Tổng hợp Plugin bảo mật WordPress tốt nhất
Danh sách 10 Plugin bảo mật wordpress dưới đây sẽ bảo gồm cả các Plugin miễn phí và có phí. Tùy vào nhu cầu sử dụng và khả năng tài chính, bạn hãy lựa chọn cho mình chỉ một Plugin bảo mật là đủ.
1. All In One WP Security & Firewall
Plugin này có giao diện người dùng thân thiện, dễ sử dụng. Plugin này có rất nhiều tính năng, nổi bật trong đó là : Đổi url đăng nhập, hỗ trợ đổi mật khẩu mạnh, giới hạn số lần truy cập sai vào web thường được gọi là Brute Force Attack.
Tính năng tường lửa chặn các script độc hại trước khi nó ảnh hưởng đến mã nguồn trên trang web WordPress của bạn. Nó cũng cho phép bạn ngăn chặn hotlinking hình ảnh, cũng như chặn các Googlebot giả thu thập thông tin trang web của bạn.
2. iThemes Security(trước đây là Better WP Security)
iThemes Securitytrước đây có tên là Better WP Security – Một Plugin bảo mật WordPress đình đám. Plugin này được phát triển bởi iThemes. Plugin này có rất nhiều các thiết lập khác nhau để hỗ trợ bảo mật cho website của bạn như:
- Chống Brute force attact bằng cách khóa số lượt đăng nhập thất bại, không thông báo sai mật khẩu, đăng nhập hai bước …
- Chống dò tìm User của Admin
- Chống DDos
- Chống SQL injection
- Chống SPAM
- Chống lại các tấn công khác như Cross-Site Scripting hay thay đổi file trong hệ thống.
Nên xem:Bảo mật WordPress khỏi SQL Injection bằng Functions
3. Wordfence Security
Wordfence Security là một trong những plugin bảo mật WordPress nổi tiếng trong các plugin bảo mật, với hơn 1 triệu người đang sử dụng theo thống kê lượt download trên WordPress.org. Plugin Wordfence Security đã hỗ trợ mạnh mẽ các Blog/website chống lại các công trên toàn cầu nhằm vào WordPress.
Ngoài các tính năng thông thường như xác thực hai bước, ngăn chặn các cuộc tấn công và tăng cường bảo mật. Plugin này cũng cung cấp các tính năng Scaner để kiểm tra mã độc trong mã nguồn website của bạn.
4. Sucuri Security
Có cái tên dài ngoằng Sucuri Security – Auditing, Malware Scanner and Security Hardening. Plugin bảo mật WordPress này với chức năng chủ yếu là một công cụ giám sát những thay đổi nhất định vềcác hoạt động có thể gây tổn hại cho trang web WordPress của bạn.
Các tính năng nổi bật của Plugin như quét Malware từ xa, giám sát an ninh, giám sát blacklist và các hành động cần thiết sau khi website bị hack. Một số tính năng cao cấp đòi hỏi bạn phải trả phí. Đây cũng là một Plugin bảo mật đáng sử dụng vì nó không làm nặng website của bạn.
5. WP Antivirus Site Protection
Đây là Plugin bảo mật WordPress chuyên thực hiện quét sâu vào tất cả các tập tin trong website. Plugin này có thể phát hiện backdoors, rootkits, trojan horses, worms, fraudtools, phần mềm quảng cáo, phần mềm gián điệp, các liên kết ẩn và có những hành động cần thiết để loại bỏ chúng.
Các cơ sở dữ liệu virus được cập nhật hàng ngày và bất kỳ mối đe dọa nào được phát hiện đều hiển thị trong khu vực admin WordPress và cũng có thể được gửi tới email của bạn nếu bạn thiết lập. Dữ liệu được quét bằng cách sử dụng API Siteguarding.com.
6. Clef Two-Factor Authentication
Đây Plugin tốt nhất để tạo trình đăng nhập an toàn cho website WordPress của bạn. Plugin này yêu cầu bạn có một điện thoại thông mình sử dụng nền tảng IOS hoặc Android. Khi sử dụng, bạn chỉ cần mở ứng dụng lên và giữ nó ở phía trước của màn hình đăng nhập WordPress để thực hiện. Thôi bạn xem video cho dễ hiểu nhé.
Plugin này rất tốt nếu bạn muốn đặt mật khẩu có độ phức tạp cao nhưng lại không thể nhớ được. Ví dụ như mật khẩu mặc định của WordPrss tạo ra. Plugin bảo mật WordPress này có cả phiên bản miễn phí và chuyên nghiệp, và các ứng dụng di động có sẵn cho IOS và Android .
7. Google Authenticator
Xác thực bảo mật hai bước khi đăng nhập là yếu tố cần thiết khi người dùng đăng nhập vào một trang web. Ngoài việc nhập tên người dùng và mật khẩu, một phương pháp xác thực được thực hiện như một văn bản, SMS, gọi điện thoại hoặc một ứng dụng di động như Plugin Clef bên trên. Plugin này tuyệt vời để hỗ trợ bảo mật cho website WordPress của bạn.
Nếu bạn thường đăng nhập vào website trên một máy tính duy nhất thì bạn chỉ cần xác thực một lần thôi. Khi nào bạn đăng nhập bằng máy tính hoặc thiết bị khác thì Plugin này mới đòi hỏi xác thực tiếp.
8. Brute Force Login Protection
Cũng liên quan đến vấn đề bảo mật khi đăng nhập. Plugin này hỗ trợ bảo vệ trang web của bạn chống lại các cuộc tấn công brute force sử dụng .htaccess. Chặn địa chỉ IP trong khoảng một thời gian nhất định nếu IP đó tiếp tục đăng nhập với tên người dùng và mật khẩu sai.
9. Bulletproof Security
Pluginbảo mật WordPressnày bao gồm ba chức năng chính: Tường lửa, bảo vệ đăng nhập và bảo vệ cơ sở dữ liệu. Bulletproof Security này cực đơn giản để thiết lập. Bạn chỉ cần click chuột vài cái là xong với người dùng cơ bản Plugin này có chế độ auto sẵn. Nếu bạn muốn tự tùy chỉnh riêng các thiết lập, Plugin này cũng một chế độ hướng dẫn để điều chỉnh các hoạt động mạnh mẽ hơn cho các trường hợp khác nhau.
10. Sucuri Security Clean up
Sucuri là một dịch vụ bảo mật chuyên nghiệp cho mọi nền tảng Website trong đó có WordPress. Sucuri hỗ trợ kiểm tra tất cả các file trong mã nguồn trên host và phát hiện ra file chứa mã độc, nó hỗ trợ quét nhanh nhất theo chu kỳ 6 tiếng/lần nên website bạn hầu như sẽ được ở trong tình trạng được theo dõi nghiêm ngặt.
Với một mức giá không hề rẻ $16.99/tháng/site bạn sẽ nhận được sự bảo vệ toàn diện Malware & Hack, giám sát Blacklist, chống Hacks, tấn công từ chối dịch vụ (DDoS) ….
