Cách bảo mật trang web WordPress » Xếp hạng toán học

Bạn có biết rằng việc bảo mật trang web WordPress hiện nay quan trọng hơn bao giờ hết vì tần suất và mức độ phức tạp của các cuộc tấn công mạng ngày càng tăng? Đó là một thực tế khắc nghiệt mà không doanh nghiệp trực tuyến nào có thể bỏ qua.

Trong thực tế, theo báo cáo Colorlib, hơn 13,000 trang web WordPress đã bị tấn công hàng ngày vào năm 2023.

Đó là một con số đáng kinh ngạc và điều đó có nghĩa là bạn cần hết sức thận trọng khi đảm bảo sự hiện diện trực tuyến của mình.

Nhưng không cần phải hoảng sợ.

Trong bài đăng này, chúng tôi sẽ thảo luận về các bước bạn có thể thực hiện để giữ an toàn và bảo vệ trang web của mình khỏi các mối đe dọa trên mạng để bạn có thể tập trung vào phát triển doanh nghiệp của mình mà không phải lo lắng gì.

Vì vậy, nếu bạn đã sẵn sàng nâng mức độ bảo mật trang web của mình lên một tầm cao mới, hãy bắt tay vào ngay!

1 Tại sao phải bảo mật một trang web WordPress?

Trang web của bạn đóng vai trò là ngôi nhà trực tuyến của bạn và WordPress là nền tảng đằng sau nó. Tuy nhiên, giống như một ngôi nhà vật lý, trang web WordPress của bạn cần những bức tường vững chắc để chống lại các mối đe dọa tiềm ẩn.

Đây là lý do tại sao việc bảo mật trang web của bạn là điều cần thiết:

Bảo mật trang web của bạn và quyền riêng tư của khách truy cập

Theo dữ liệu, trung bình 69% trang web WordPress bị tấn công trở thành nạn nhân của phần mềm lỗi thời và mật khẩu yếu. Điều này giống như việc bạn để cửa trước mở với tấm thảm chào đón những tên trộm trên mạng.

Thiệt hại do tội phạm mạng gây ra cho các doanh nghiệp lên tới hàng nghìn tỷ USD mỗi năm và WordPress là mục tiêu thường xuyên.

Do đó, việc bảo vệ dữ liệu nhạy cảm như mật khẩu, email và thông tin tài chính là rất quan trọng. Một trang web an toàn thúc đẩy sự tin tưởng và tương tác của người dùng, đồng thời người dùng có nhiều khả năng quay lại trang web an toàn hơn, thúc đẩy lòng trung thành và chuyển đổi của khách truy cập.

Ngăn chặn vi phạm dữ liệu và tiêm phần mềm độc hại

Vi phạm dữ liệu có thể gây thiệt hại về danh tiếng, các vấn đề pháp lý và mất lòng tin của khách hàng, khiến các doanh nghiệp phải trả trung bình 9.44 triệu USD để phục hồi ở Hoa Kỳ.

Ngoài ra, việc tiêm phần mềm độc hại vào các trang web WordPress bị tấn công có thể chuyển hướng khách truy cập đến các trang web độc hại, làm hỏng xếp hạng SEO và trải nghiệm người dùng của bạn. Vì vậy, bạn sẽ cần phải giữ an toàn cho trang web của mình để ngăn chặn những tình huống như vậy.

Tăng hiệu suất SEO cho trang web của bạn

Google ưu tiên bảo mật và các trang web bảo mật thường được hưởng lợi thứ hạng SEO tốt hơn. Bảo mật trang web WordPress của bạn có thể cải thiện thứ hạng của công cụ tìm kiếm, thu hút nhiều lưu lượng truy cập không phải trả tiền hơn.

Hơn nữa, các tập lệnh và plugin độc hại có thể làm hỏng trang web của bạn, kéo dài thời gian tải trang và khiến người dùng khó chịu. Một trang web an toàn hoạt động trơn tru, giúp khách truy cập của bạn hài lòng và tương tác.

Tuân thủ các quy định về quyền riêng tư dữ liệu

Các quy định về quyền riêng tư dữ liệu yêu cầu các biện pháp bảo mật trang web mạnh mẽ để bảo vệ dữ liệu người dùng. GDPR và CCPA là một số quy định mà doanh nghiệp cần tuân thủ.

Do đó, việc bảo mật trang web WordPress của bạn là điều cần thiết để tránh bị phạt nặng và các biến chứng pháp lý.

Hãy nhớ rằng, bảo mật trang web không phải là đầu tư một lần mà là một quá trình liên tục.

Bằng cách thực hiện các biện pháp chủ động, bạn có thể chuyển đổi trang web WordPress của mình từ mục tiêu dễ bị tổn thương thành pháo đài an toàn, bảo vệ dữ liệu, danh tiếng và thành công trực tuyến của bạn.

2 Các phương pháp bảo mật trang web WordPress

Bây giờ chúng ta hãy thảo luận về các phương pháp khác nhau để bảo mật một trang web WordPress.

2.1 Các biện pháp an ninh thiết yếu cơ bản

Bây giờ chúng ta hãy thảo luận về các thực tiễn bảo mật quan trọng để bảo vệ trang web WordPress của bạn khỏi những rủi ro tiềm ẩn.

Cập nhật mọi thứ

Bảo vệ trang web WordPress của bạn thật đơn giản—giữ cho nó được cập nhật. Điều này bao gồm WordPress và các tệp cốt lõi của nó, chẳng hạn như chủ đề và plugin.

Các bản cập nhật thường xuyên rất quan trọng vì chúng thường bao gồm các bản vá bảo mật cho các lỗ hổng được phát hiện trong các phiên bản trước.

Ngoài bảo mật, các bản cập nhật còn giới thiệu các tính năng và cải tiến mới cho trang web của bạn.

Để xem lại và cập nhật trang web WordPress của bạn cũng như các tệp cốt lõi của nó, hãy đăng nhập vào bảng điều khiển của bạn và truy cập Trang tổng quan → Cập nhật.

Nếu có bản cập nhật, hãy nhấp vào Cập nhật lên phiên bản cái nút. Đối với các chủ đề và plugin, hãy đi tới chủ đề or bổ sung phần, chọn những phần cần cập nhật và nhấp vào nút cập nhật bên cạnh mỗi phần.

Để tăng cường bảo mật, hãy cân nhắc bật cập nhật tự động cho WordPress, plugin và chủ đề. Điều này đảm bảo trang web của bạn được an toàn ngay cả khi bạn không chủ động theo dõi nó.

Trước khi bật cập nhật tự động, hãy đảm bảo sao lưu trang web của bạn thường xuyên. Biện pháp phòng ngừa này đảm bảo bạn có thể dễ dàng khôi phục trang web của mình nếu có sự cố xảy ra trong hoặc sau khi cập nhật.

Sử dụng mật khẩu mạnh và duy nhất

Bạn cũng có thể bảo mật trang web WordPress của mình bằng cách sử dụng mật khẩu mạnh và duy nhất. Mật khẩu yếu và dễ đoán khiến tin tặc dễ dàng truy cập trái phép vào trang web của bạn hơn.

Để tạo mật khẩu mạnh và an toàn, hãy làm theo các mẹo sau:

Chọn tối thiểu 12 ký tự trở lên.
Trộn chữ hoa và chữ thường, số và ký tự đặc biệt.
Tránh sử dụng số thứ tự, ký tự lặp lại hoặc mật khẩu phổ biến như “password123”.
Sử dụng mật khẩu khác nhau cho mỗi tài khoản trực tuyến, bao gồm cả trang WordPress của bạn.
Hãy cân nhắc việc sử dụng một công cụ quản lý mật khẩu đáng tin cậy để tạo và lưu trữ mật khẩu của bạn một cách an toàn.
Nếu có thể, hãy tránh mật khẩu bao gồm tên người dùng hoặc tên trang web của bạn.

Hãy nhớ rằng, khi cài đặt một trang web WordPress mới, hãy luôn thay thế mẫu mật khẩu mặc định bằng mật khẩu mạnh hơn.

Nhưng nếu trang web WordPress của bạn đã được thiết lập, hãy thay đổi mật khẩu của bạn bằng cách điều hướng đến Người dùng → Hồ sơ, cuộn xuống và nhấp vào Đặt mật khẩu mới nút để có mật khẩu mạnh, ngẫu nhiên.

Ngoài ra, hãy thường xuyên thay đổi mật khẩu của bạn bằng mật khẩu mạnh mỗi lần.

Cài đặt chứng chỉ SSL

Khi bảo mật trang web WordPress của bạn, việc cài đặt chứng chỉ SSL là rất quan trọng. Chứng chỉ này đảm bảo rằng dữ liệu trao đổi giữa trang web của bạn và khách truy cập được mã hóa, cung cấp sự bảo vệ chống truy cập trái phép.

Việc lấy chứng chỉ SSL có thể được thực hiện bằng cách mua chứng chỉ từ các nhà cung cấp có uy tín hoặc nhận chứng chỉ miễn phí thông qua nhà cung cấp dịch vụ lưu trữ của bạn.

Tuy nhiên, nếu bạn đã cài đặt chứng chỉ SSL cho trang web WordPress của mình nhưng nó không xuất hiện trên URL trang web của bạn thì có một cách để kích hoạt nó.

Đơn giản chỉ cần đi đến Cài đặt → Chung trong bảng điều khiển WordPress của bạn và sửa đổi “Địa chỉ WordPress (URL)” và “Địa chỉ trang web (URL)” bằng cách thêm 'https://' ở đầu thay vì 'http://'.

Nhưng nếu bạn gặp phải các vấn đề liên quan đến SSL trên trang web của mình, bạn có thể sử dụng các plugin như Thực sự đơn giản SSL or Người cố định nội dung không an toàn SSL để giải quyết chúng.

Chọn lưu trữ an toàn

Để tăng cường bảo mật, hãy chọn nhà cung cấp dịch vụ lưu trữ có uy tín được biết đến với các biện pháp bảo mật và độ tin cậy. Tìm kiếm các tính năng như tường lửa, quét phần mềm độc hại và bảo vệ DDoS.

Đảm bảo họ cung cấp bản sao lưu thường xuyên, hỗ trợ các giao thức bảo mật như SFTP hoặc SSH, đồng thời luôn cập nhật cơ sở hạ tầng và phần mềm của họ. Nhà cung cấp dịch vụ lưu trữ bảo mật tạo nền tảng vững chắc cho bảo mật trang web WordPress của bạn.

Để thực hiện điều này, hãy nghiên cứu các nhà cung cấp dịch vụ lưu trữ, đọc các bài đánh giá và chọn một nhà cung cấp có danh tiếng về bảo mật tốt.

Kiểm tra các tính năng, hỗ trợ và tùy chọn sao lưu của họ. Khi bạn ưu tiên môi trường lưu trữ an toàn, nó sẽ giúp bảo vệ trang web và dữ liệu của bạn.

2.2 Bảo mật trang web WordPress của bạn

Bây giờ chúng ta hãy thảo luận về một số cách hiệu quả nhất để bảo mật trang web WordPress của bạn, bao gồm cách ngăn chặn truy cập trái phép, bảo vệ dữ liệu của bạn và giảm nguy cơ bị tấn công mạng.

Sử dụng các chủ đề và plugin bảo mật

Khi chọn chủ đề và plugin cho trang WordPress của bạn, điều quan trọng là chọn chúng từ các nguồn uy tín như trang chính thức. Kho lưu trữ WordPress or MyThemeShop.

Các nguồn này tiến hành kiểm tra bảo mật kỹ lưỡng và liên tục cung cấp các bản cập nhật để đảm bảo tính bảo mật cho sản phẩm của họ.

Tuy nhiên, điều quan trọng là tránh sử dụng các chủ đề hoặc plugin từ các nguồn không xác định hoặc không đáng tin cậy, đặc biệt là các chủ đề hoặc plugin không có giá trị. Chúng có thể chứa các lỗ hổng hoặc mã độc hại có thể gây nguy hiểm cho bảo mật trang web của bạn.

Trước khi cài đặt một chủ đề hoặc plugin, hãy dành thời gian xem lại xếp hạng, đọc phản hồi của người dùng và đánh giá tần suất cập nhật để đảm bảo nó đáng tin cậy và được duy trì tích cực.

Điều này đảm bảo rằng trang web của bạn vẫn an toàn và cập nhật với các biện pháp bảo mật mới nhất.

Thường xuyên sao lưu trang web WordPress của bạn

Thường xuyên sao lưu dữ liệu trang web của bạn là điều cần thiết để bảo vệ dữ liệu khỏi các sự cố bảo mật, mất dữ liệu và các sự cố trang web. Với các bản sao lưu gần đây, bạn có thể khôi phục trang web của mình một cách nhanh chóng trong trường hợp bị tấn công mạng và giảm thiểu thời gian ngừng hoạt động.

Thường nên tạo bản sao lưu hàng ngày, đặc biệt đối với các trang web có nhiều nội dung và lưu lượng truy cập cao.

Ngoài ra, điều quan trọng là phải kiểm tra các bản sao lưu của bạn định kỳ để đảm bảo độ tin cậy của chúng. Một cách để đơn giản hóa quá trình sao lưu là sử dụng các plugin cung cấp các tính năng như sao lưu theo lịch trình và tùy chọn lưu trữ từ xa.

Bạn có thể tham khảo bài viết chi tiết của chúng tôi trên sao lưu trang web WordPress của bạn.

Hạn chế Đăng nhập Đăng nhập

Một cách khác để bảo mật trang web của bạn là hạn chế số lần đăng nhập vào trang web của bạn, điều này hạn chế số lần đăng nhập không thành công từ một địa chỉ IP duy nhất.

Điều này khiến tin tặc khó truy cập trái phép hơn bằng cách đoán thông tin đăng nhập của bạn.

Khi bạn giới hạn số lần đăng nhập, bạn có thể thêm một lớp bảo vệ chống lại các cuộc tấn công vũ phu trên trang web WordPress của mình.

Đây là cách bạn có thể hạn chế số lần đăng nhập trang web của mình:

Đặt khoảng thời gian khóa cho các địa chỉ IP bị chặn.
Tùy chọn, bật thông báo qua email để nhận thông báo về việc khóa hoặc các nỗ lực đăng nhập đáng ngờ. Bạn có thể thấy tùy chọn này trong Cài đặt chung.

Sau khi thiết lập đúng cách, số lần đăng nhập trang web của bạn sẽ bị hạn chế và bất kỳ địa chỉ IP nào vượt quá số lần đăng nhập thất bại đã chỉ định của bạn sẽ tạm thời bị chặn truy cập vào trang đăng nhập.

Kích hoạt 2FA (Xác thực hai yếu tố)

Kích hoạt xác thực hai yếu tố (2FA) sẽ thêm một lớp bảo mật bổ sung cho trang web WordPress của bạn bằng cách yêu cầu người dùng cung cấp hai hình thức xác minh để đăng nhập.

Tương tự như Google, Facebook và Twitter, bạn có thể củng cố trang web WordPress của mình bằng tính năng này, giảm đáng kể nguy cơ truy cập trái phép, ngay cả khi mật khẩu của bạn bị xâm phạm.

Đây là cách:

Cài đặt và kích hoạt “Bảo mật đăng nhập Wordfence" cắm vào. Sau khi kích hoạt, hãy chuyển đến menu 'Bảo mật đăng nhập'.
Tìm mã QR và nhập mã trong tab 'Xác thực hai yếu tố'. Vì vậy, bạn sẽ cần quét nó để kích hoạt trình xác thực trên trang web của mình.

Tiếp theo, tải xuống và cài đặt Ứng dụng Google Authenticator trên điện thoại của bạn; bạn sẽ sử dụng nó để quét mã QR để kích hoạt trên trang web của mình.
Mở ứng dụng và chọn 'Quét mã QR' để quét mã hoặc nhập khóa thiết lập theo cách thủ công.
Sau khi ứng dụng xác minh mã, nó sẽ cung cấp một mã duy nhất. Sao chép mã này vào trường được chỉ định trong phần mã khôi phục.
Click vào KÍCH HOẠT để hoàn tất thiết lập.

Đừng quên tải xuống năm mã khôi phục bằng cách sử dụng TẢI VỀ cái nút. Các mã này rất quan trọng trong trường hợp bạn mất điện thoại, đảm bảo quyền truy cập liên tục vào trang web của bạn.

Sử dụng giải pháp chống thư rác mạnh mẽ

Thư rác có thể gây khó chịu và mang lại rủi ro bảo mật, ảnh hưởng đến trải nghiệm người dùng và tác động tiêu cực đến hiệu suất trang web của bạn.

Vì vậy, để ngăn chặn thư rác hiệu quả trên trang web của bạn, bạn có thể sử dụng tính năng “Chống thư rác Akismet” Plugin WordPress.

Akismet là một plugin lọc thư rác mạnh mẽ được phát triển bởi Automattic, công ty đứng sau WordPress. Nó thường được cài đặt sẵn với WordPress và bạn chỉ cần kích hoạt nó và lấy khóa API.

Để lấy khóa API, bạn cần phải đăng ký trên trang web Akismet rồi nhập khóa đó vào trường Khóa API trên trang plugin trong bảng điều khiển WordPress của bạn.

Khi bạn đã kết nối thành công Khóa API, plugin Akismet sẽ sử dụng các thuật toán nâng cao để tự động phân tích nhận xét và gửi biểu mẫu trên trang web của bạn, lọc thư rác một cách hiệu quả.

Ngoài ra, bạn có thể chọn “Antispam Bee” plugin, phục vụ mục đích tương tự.

Thay đổi tên người dùng quản trị mặc định

Trong quá trình cài đặt trang web WordPress, tên người dùng mặc định thường được đặt là 'quản trị viên'. Tuy nhiên, có những trường hợp người dùng nhầm lẫn để nguyên tên người dùng này.

Tin tặc thường nhắm mục tiêu vào tên người dùng “quản trị viên” vì nó được công nhận rộng rãi, điều này tạo điều kiện thuận lợi cho các nỗ lực độc hại của chúng. Để nâng cao tính bảo mật cho trang web của bạn, điều quan trọng là phải thay đổi tên người dùng quản trị viên, khiến kẻ tấn công khó đoán và truy cập trái phép hơn.

Thật không may, WordPress không cung cấp tùy chọn trực tiếp để sửa đổi tên người dùng sau khi quá trình cài đặt hoàn tất.

Vì vậy, để bỏ qua điều này, bạn nên cài đặt và kích hoạt plugin “Thay đổi tên người dùng”. Sau khi kích hoạt, hãy truy cập Người dùng → Tất cả người dùng, chọn người dùng có tên người dùng là “quản trị viên” và nhấp vào “Chỉnh sửa”.

Trên trang Hồ sơ, tìm tùy chọn 'Tên người dùng' và nhấp vào Thay đổi. Sau đó, chọn tên người dùng mới cho tài khoản quản trị viên, tốt nhất là tên nào đó độc đáo và không liên quan đến tên trang web của bạn.

Cuối cùng, cuộn xuống cuối trang và nhấp vào Cập nhật hồ sơ nút để lưu các thay đổi. WordPress sẽ tự động cập nhật tên người dùng quản trị viên.

Việc thay đổi tên người dùng quản trị viên sẽ không ảnh hưởng đến nội dung hoặc cài đặt trang web của bạn. Thay đổi duy nhất sẽ là tên người dùng để truy cập bảng điều khiển quản trị viên.

Thay đổi URL “wp-đăng nhập” mặc định

Mọi người đều biết rằng URL đăng nhập mặc định của trang web do WordPress cung cấp thường kết thúc bằng “wp-login”.

Tuy nhiên, bạn sẽ cần phải thay đổi mẫu URL này để khiến mọi người gặp khó khăn hơn khi truy cập URL đăng nhập của bạn, chứ đừng nói đến việc cố gắng sử dụng chi tiết đăng nhập của bạn.

Để thay đổi URL “wp-login” mặc định, hãy làm theo các bước sau:

Cài đặt và kích hoạt “Đăng nhập ẩn WPS” plugin từ Thư mục Plugin WordPress.
Sau khi kích hoạt, hãy điều hướng đến Cài đặt → WPS Ẩn Đăng nhập, và nó sẽ đưa bạn đến cuối cài đặt chung của trang WordPress.
Tiếp theo, thêm URL đăng nhập tùy chỉnh duy nhất và không dễ đoán.

Sau đó, lưu các thay đổi và plugin sẽ tự động cập nhật URL đăng nhập.

Khi URL đăng nhập tùy chỉnh được đặt, bạn sẽ cần truy cập URL mới để đăng nhập vào bảng điều khiển quản trị viên WordPress. URL “wp-login” mặc định sẽ không thể truy cập được nữa.

Chúng tôi khuyên bạn nên chọn URL đăng nhập tùy chỉnh để bạn dễ nhớ nhưng khó đoán đối với người khác.

Thường xuyên quét trang web của bạn

Để giữ an toàn cho trang WordPress của bạn, điều cần thiết là phải thường xuyên quét các mối đe dọa bảo mật, phần mềm độc hại hoặc hoạt động đáng ngờ tiềm ẩn. Biện pháp chủ động này giúp duy trì tính toàn vẹn của trang web của bạn.

Cài đặt và kích hoạt plugin bảo mật như Sucuri An ninh từ Thư mục Plugin WordPress để thực hiện quét thường xuyên.

Sau khi kích hoạt, hãy điều hướng đến Bảo mật Sucuri → Bảng điều khiển, nơi bạn có thể bắt đầu quét. Plugin thực hiện quét hàng ngày theo mặc định, nhưng bạn có thể tùy chỉnh tần suất trong cài đặt.

Sau mỗi lần quét, hãy xem lại kết quả do plugin cung cấp và thực hiện các hành động cần thiết dựa trên kết quả phát hiện. Việc giám sát thường xuyên này đảm bảo tính bảo mật liên tục cho trang web WordPress của bạn.

cài đặt plugin Sucuri để bảo mật trang web WordPress

Một số kết quả quét có thể liên quan đến việc xóa phần mềm độc hại, cập nhật plugin hoặc chủ đề hoặc giải quyết các lỗ hổng đã xác định.

Luôn kiểm tra hoạt động của trang web và người dùng

Giám sát hoạt động của trang web và người dùng là rất quan trọng để đảm bảo tính bảo mật cho trang web WordPress của bạn.

Bằng cách theo dõi các hành động được thực hiện trên trang web của mình, bạn có thể nhanh chóng phát hiện mọi hoạt động đáng ngờ hoặc trái phép và thực hiện các hành động cần thiết để giải quyết chúng một cách hiệu quả.

Để theo dõi hoạt động của trang web, bạn có thể sử dụng Nhật ký kiểm toán tính năng của plugin Sucuri. Truy cập bảng điều khiển Sucuri và cuộn xuống cho đến khi bạn tìm thấy Nhật ký kiểm toán tab.

Những nhật ký này sẽ hiển thị cho bạn các chi tiết như số lần đăng nhập, sửa đổi tệp, cài đặt plugin, v.v.

Ngoài ra, bạn có thể điều hướng đến Lần đăng nhập cuối cùng phần để kiểm tra và theo dõi các hoạt động đăng nhập trang web của bạn, bao gồm cả những lần đăng nhập thành công và không thành công.

Nếu bạn phát hiện bất kỳ hoạt động đáng ngờ nào, hãy thực hiện hành động kịp thời để điều tra và giảm thiểu rủi ro bảo mật tiềm ẩn.

Một tùy chọn khác là sử dụng một plugin độc lập có tên 'Lịch sử đơn giản' để theo dõi nhật ký hoạt động trang web của bạn. Công cụ này cung cấp những hiểu biết có giá trị về hành động của người dùng và giúp duy trì môi trường WordPress an toàn.

Thiết lập hệ thống cảnh báo bảo mật

Thiết lập hệ thống cảnh báo bảo mật đảm bảo bạn nhận được thông báo kịp thời về các vấn đề hoặc thay đổi bảo mật tiềm ẩn trên trang web WordPress của mình.

Bằng cách nhận được cảnh báo kịp thời, bạn có thể giải quyết ngay mọi mối đe dọa hoặc lỗ hổng.

Bạn có thể sử dụng Cảnh báo tính năng trong plugin Sucuri để nhận thông báo hoạt động trang web của bạn. Điều hướng đến Cài đặt và chọn phần Cảnh báo tab.

Trong tạp chí Cảnh báo tab, thêm email để nhận thông báo, đặt tần suất và chỉ định loại cảnh báo bảo mật.

Xác minh rằng chi tiết liên hệ được cung cấp cho thông báo cảnh báo là chính xác và cập nhật. Tính năng này cũng thường thấy ở các plugin bảo mật khác.

2.3 Các biện pháp bảo mật nâng cao

Bây giờ chúng ta hãy khám phá một số biện pháp bảo mật nâng cao mà bạn có thể thực hiện để tăng cường bảo mật cho trang web WordPress của mình.

Thiết lập chặn địa lý để chặn IP

Việc triển khai tính năng chặn GEO trên trang web WordPress của bạn cho phép bạn hạn chế quyền truy cập từ các quốc gia hoặc khu vực cụ thể bằng cách chặn các địa chỉ IP được liên kết với các vị trí đó.

Điều này có thể giúp nâng cao tính bảo mật cho trang web của bạn bằng cách ngăn chặn quyền truy cập từ các tác nhân độc hại tiềm ẩn hoặc các khu vực có nguy cơ cao.

Bạn có thể chặn IP thông qua bảng điều khiển WordPress, cPanel, plugin WordPress, .htaccess và tệp config.php.

Chặn GEO có thể chặn quyền truy cập từ các khu vực cụ thể một cách hiệu quả, nhưng nó có thể không an toàn.

Một số địa chỉ IP có thể được gán động hoặc dễ bị giả mạo, vì vậy chúng tôi khuyên bạn nên sử dụng tính năng chặn GEO cùng với các biện pháp bảo mật khác.

Kích hoạt tính năng bảo vệ tường lửa ứng dụng web

Tường lửa ứng dụng web (WAF) hoạt động như một hàng rào bảo vệ giữa trang web của bạn và các mối đe dọa tiềm ẩn bằng cách lọc lưu lượng truy cập độc hại và chặn các kiểu tấn công đã biết.

Bạn có thể bật tùy chọn bảo vệ WAF miễn phí bằng cách sử dụng Plugin bảo mật Wordfence. Vì vậy, bạn sẽ cần cài đặt và kích hoạt plugin trên trang web wordpress của mình.

Sau khi kích hoạt, hãy điều hướng đến Hàng rào từ → Tường lửa và kích hoạt Tường lửa Wordfence. Sau đó, quản lý cài đặt tường lửa theo sở thích của bạn, chẳng hạn như bật quy tắc WAF và các tùy chọn tường lửa nâng cao.

Sau đó, lưu cài đặt và plugin Wordfence sẽ bắt đầu cung cấp tính năng bảo vệ WAF cho trang web của bạn.

Bằng cách bật Wordfence WAF, trang web của bạn sẽ được bảo vệ khỏi các mối đe dọa bảo mật phổ biến, chẳng hạn như tiêm SQL, tấn công tập lệnh chéo trang (XSS) và các nỗ lực đăng nhập bạo lực.

WAF liên tục giám sát và lọc lưu lượng truy cập đến để chặn các yêu cầu độc hại trước khi chúng tiếp cận trang web của bạn.

Tắt Trackbacks và Pingbacks

Trackbacks và pingback là phương pháp WordPress sử dụng để thông báo cho các trang web khác khi trang web của bạn liên kết đến nội dung của họ. Tuy nhiên, chúng có thể bị những kẻ gửi thư rác lạm dụng cho mục đích xấu.

Để tắt trackback và pingback, hãy làm theo các bước sau:

Đăng nhập vào bảng điều khiển quản trị viên WordPress của bạn.
Điều hướng đến phần “Cài đặt” và nhấp vào “Thảo luận”.
Trong phần “Cài đặt bài đăng mặc định”, bỏ chọn hộp bên cạnh “Cho phép thông báo liên kết từ các blog khác (pingback và trackback) trên các bài đăng mới”.

Cuộn xuống và nhấp vào Lưu Thay đổi .

Việc vô hiệu hóa trackback và pingback sẽ ngăn trang web WordPress của bạn gửi hoặc nhận các thông báo này.

Điều này giúp giảm tải máy chủ không cần thiết và các rủi ro bảo mật tiềm ẩn liên quan đến thư rác hoặc các yêu cầu trackback/pingback độc hại.

Thiết lập quyền chính xác cho tệp

Quyền đối với Tệp xác định mức độ truy cập và kiểm soát những người dùng hoặc quy trình khác nhau có đối với các tệp và thư mục trên trang web của bạn.

Khi quyền truy cập tệp được định cấu hình đúng cách, bạn có thể hạn chế quyền truy cập trái phép và ngăn chặn các vi phạm bảo mật tiềm ẩn.

Để thiết lập quyền truy cập tệp chính xác cho trang web WordPress của bạn, hãy làm theo các nguyên tắc chung sau:

Sử dụng ứng dụng khách FTP hoặc bảng điều khiển lưu trữ để truy cập các tệp trên trang web của bạn.
Xác định các thư mục và tệp chính cần điều chỉnh quyền, chẳng hạn như thư mục wp-content, tệp wp-config.php và tệp .htaccess.
Đặt quyền 'thư mục' thành 755, cho phép chủ sở hữu đọc, ghi và thực thi tệp trong khi hạn chế người khác chỉ đọc và thực thi.

Đặt quyền 'tệp' thành 644, cho phép chủ sở hữu đọc và ghi tệp trong khi hạn chế người khác ở chế độ chỉ đọc.
Đối với các tệp nhạy cảm hơn, chẳng hạn như tệp wp-config.php, hãy đặt quyền thành 600, chỉ cấp quyền truy cập đọc và ghi cho chủ sở hữu.

Đây chỉ là cài đặt chung, vì vậy hãy liên hệ với bộ phận hỗ trợ của nhà cung cấp dịch vụ lưu trữ để được hướng dẫn cụ thể, vì các quyền truy cập tệp được đề xuất có thể khác nhau trong các môi trường lưu trữ khác nhau.

Tắt báo cáo lỗi

Vô hiệu hóa báo cáo lỗi là một biện pháp bảo mật quan trọng giúp bảo vệ trang web WordPress của bạn bằng cách ngăn chặn khả năng lộ thông tin nhạy cảm cho kẻ tấn công.

Nhật ký lỗi có thể vô tình tiết lộ chi tiết về cấu hình hoặc mã cơ bản của trang web của bạn, những thông tin này có thể bị các cá nhân độc hại khai thác.

Để tắt báo cáo lỗi, hãy làm theo các bước sau:

Truy cập thư mục gốc của trang web của bạn thông qua ứng dụng khách FTP hoặc cPanel.
Trong thư mục gốc hoặc public_html, tìm tệp wp-config.php.
Tải xuống bản sao lưu của tệp wp-config.php để đảm bảo an toàn.
Nhấp chuột phải vào tệp wp-config.php và chọn 'Chỉnh sửa' để mở tệp.
Xác định vị trí dòng có nội dung define('WP_DEBUG', true);
Thay thế 'true' bằng 'false', biến nó thành define('WP_DEBUG,' false); như hình dưới đây.

Đảm bảo rằng bạn lưu các thay đổi của mình sau khi sửa đổi tệp wp-config.php.

Việc tắt báo cáo nhật ký lỗi sẽ ngăn hiển thị các thông báo hoặc cảnh báo lỗi tiềm ẩn cho người dùng, bao gồm cả thông tin nhạy cảm có thể hữu ích cho kẻ tấn công.

Tuy nhiên, việc tắt báo cáo lỗi không có nghĩa là bạn nên bỏ qua lỗi hoàn toàn. Bạn vẫn nên theo dõi trang web của mình để phát hiện mọi vấn đề và giải quyết chúng kịp thời.

Bảo mật tệp wp-config.php của bạn

Tệp wp-config.php là một thành phần quan trọng trong quá trình cài đặt WordPress của bạn vì nó chứa thông tin nhạy cảm, chẳng hạn như thông tin xác thực cơ sở dữ liệu và khóa bảo mật.

Thực hiện các bước để bảo mật tệp này là điều cần thiết để bảo vệ trang web WordPress của bạn khỏi các vi phạm bảo mật tiềm ẩn.

Dưới đây là một số biện pháp được đề xuất để bảo mật tệp wp-config.php của bạn:

Hãy cân nhắc việc di chuyển tệp wp-config.php sang một thư mục bên ngoài thư mục gốc của web. Điều này ngăn cản việc truy cập trực tiếp vào tệp từ internet, khiến kẻ tấn công khó khai thác bất kỳ lỗ hổng nào hơn.
Đảm bảo rằng các quyền của tệp cho wp-config.php được định cấu hình đúng cách bằng cách sử dụng các quyền được đề xuất đã thảo luận trước đó.
Khi thiết lập trang web WordPress của bạn, hãy sử dụng thông tin xác thực cơ sở dữ liệu mạnh, độc đáo và phức tạp. Điều này bao gồm việc sử dụng tên người dùng và mật khẩu cơ sở dữ liệu mạnh.
Tăng cường bảo vệ cho tệp wp-config.php bằng cách thêm các quy tắc sau vào tệp .htaccess trên trang web của bạn.

<files wp-config.php>
order allow,deny
deny from all
</files>

Các quy tắc này có thể từ chối quyền truy cập vào tệp đối với tất cả các địa chỉ IP.

Vô hiệu hóa việc thực thi tệp PHP trong một số thư mục WordPress nhất định

Bạn cũng có thể tăng cường bảo mật cho trang web WordPress của mình bằng cách vô hiệu hóa việc thực thi tệp PHP trong các thư mục cụ thể. Điều này giúp ngăn các tệp PHP trong các thư mục đó được thực thi hoặc chạy trên trang web của bạn.

Để vô hiệu hóa việc thực thi tệp PHP, hãy sửa đổi tệp .htaccess trong thư mục đích, thường là nơi chứa nội dung do người dùng tạo, như wp-content/uploads thư mục.

Bạn có thể thực hiện việc này bằng cách mở tệp .htaccess trong trình soạn thảo văn bản và thêm các dòng sau:

<Files *.php>
deny from all
</Files>

Tiếp theo, lưu tệp này dưới dạng .htaccess và tải nó lên /wp-content/uploads/ các thư mục trên trang web của bạn bằng ứng dụng khách FTP hoặc Trình quản lý tệp.

Những dòng này hướng dẫn máy chủ từ chối quyền truy cập vào bất kỳ tệp nào có phần mở rộng .php trong thư mục được chỉ định.

Ngoài ra, bạn có thể thực hiện việc này chỉ bằng 1 cú nhấp chuột bằng tính năng Hardening trong plugin Sucuri được đề cập ở trên.

2.4 Các biện pháp an ninh bổ sung

Hãy để chúng tôi thảo luận về các biện pháp bảo mật bổ sung mà bạn có thể thực hiện để bảo mật trang web WordPress hơn nữa.

Tự động đăng xuất người dùng nhàn rỗi trong WordPress

Khi người dùng vẫn đăng nhập nhưng không hoạt động trong một khoảng thời gian nhất định, điều đó có nguy cơ bị truy cập trái phép hoặc giả mạo tài khoản.

Vì vậy, bạn sẽ cần phải đăng xuất những người dùng nhàn rỗi để giảm thiểu lỗ hổng bảo mật này.

Để làm điều này, bạn sẽ cần phải cài đặt và kích hoạt Đăng xuất không hoạt động cắm vào. Sau khi kích hoạt, hãy truy cập Cài đặt → Đăng xuất không hoạt động để định cấu hình cài đặt plugin.

Bằng cách tự động đăng xuất những người dùng không hoạt động, bạn sẽ giảm nguy cơ phiên của họ bị tấn công hoặc tài khoản của họ bị thay đổi trái phép.

Điều này đặc biệt quan trọng đối với các trang web xử lý thông tin nhạy cảm hoặc có tài khoản người dùng có đặc quyền quản trị.

Ẩn phiên bản WordPress

Hiển thị công khai phiên bản WordPress có thể giúp kẻ tấn công dễ dàng nhắm mục tiêu vào các lỗ hổng liên quan đến phiên bản WordPress cụ thể đó.

Để ẩn phiên bản WordPress, hãy sửa đổi tệp tin.php của chủ đề hoặc sử dụng plugin bảo mật.

Có sẵn một số phương pháp khác nhau nhưng chúng tôi khuyên bạn nên tham khảo hướng dẫn của chúng tôi về cách ẩn phiên bản WordPress để có hướng dẫn chi tiết.

Ẩn tên chủ đề trang web WordPress của bạn

Khi kẻ tấn công có thể dễ dàng xác định chủ đề WordPress bạn đang sử dụng trên trang web của mình, chúng sẽ dễ dàng khai thác mọi lỗ hổng đã biết liên quan đến chủ đề đó.

Bằng cách ẩn tên chủ đề, bạn khiến kẻ tấn công gặp khó khăn hơn trong việc thu thập thông tin về thiết lập trang web của bạn và có khả năng khai thác bất kỳ điểm yếu nào. Điều này bổ sung thêm một lớp bảo mật cho trang web WordPress của bạn.

Để ẩn tên chủ đề trang web của bạn, hãy làm theo hướng dẫn từng bước của chúng tôi trên cách ẩn tên chủ đề WordPress.

Vô hiệu hóa chỉnh sửa tệp trong bảng điều khiển WordPress

WordPress có trình chỉnh sửa mã tích hợp cho phép bạn chỉnh sửa các tệp chủ đề và plugin từ khu vực quản trị WordPress của bạn.

Nếu tin tặc có được quyền truy cập trái phép vào bảng điều khiển WordPress của bạn, chúng có thể cố gắng sửa đổi một số tệp nhất định bằng cách tiêm mã độc.

Vì vậy, chúng tôi khuyên bạn nên tắt tính năng này vì nó có thể gây ra mối đe dọa bảo mật. Để thực hiện việc này, bạn cần thêm đoạn mã sau vào trang web của mình wp-config.php tập tin.

// Disallow file edit

define( 'DISALLOW_FILE_EDIT', true );

Khi thay đổi này được triển khai, người dùng có quyền truy cập quản trị viên sẽ không thể truy cập trình chỉnh sửa chủ đề và plugin trong bảng quản trị WordPress của bạn nữa.

Nhưng ngay cả sau khi vô hiệu hóa tính năng chỉnh sửa tệp này, bạn vẫn có thể thực hiện các thay đổi đối với tệp chủ đề và plugin của mình bằng cách truy cập chúng thông qua FTP hoặc Trình quản lý tệp.

Thay đổi tiền tố bảng cơ sở dữ liệu mặc định của bạn

Theo mặc định, WordPress sử dụng tiền tố “wp_” cho các bảng cơ sở dữ liệu của nó, điều này có thể giúp kẻ tấn công xác định và nhắm mục tiêu trang web của bạn dễ dàng hơn.

Để tăng cường bảo mật, hãy cân nhắc việc thay đổi tiền tố bảng, khiến việc khai thác tiềm năng trở nên khó khăn hơn.

Việc điều chỉnh tiền tố liên quan đến việc sửa đổi tệp wp-config.php và phpMyAdmin. Quy trình thủ công này có nguy cơ phá vỡ trang web của bạn nếu không được định cấu hình chính xác.

Vì vậy, chúng tôi khuyên bạn nên sử dụng phương pháp plugin.

Vì vậy, hãy cài đặt và kích hoạt Tiền tố Brozzme DB & Tiện ích bổ sung công cụ cắm vào. Sau khi kích hoạt, hãy điều hướng đến Công cụ → TIỀN TỆ DB.

Thay đổi tiền tố bảng cơ sở dữ liệu trong plugin thành sự kết hợp duy nhất và ít dự đoán hơn giữa các chữ cái, số và dấu gạch dưới. Tránh các ký tự đặc biệt hoặc dấu cách.

Trước khi thực hiện thay đổi, sao lưu cơ sở dữ liệu trang web của bạn. Đảm bảo wp-config.php có thể ghi được trên máy chủ của bạn và xác minh rằng quyền ALTER của MySQL được bật để tránh các sự cố tiềm ẩn.

Cách tiếp cận thận trọng này đảm bảo quá trình chuyển đổi suôn sẻ hơn với rủi ro tối thiểu đối với chức năng trang web của bạn.

Sau khi thực hiện các điều chỉnh cần thiết, hãy lưu các thay đổi của bạn bằng cách nhấp vào Thay đổi tiền tố DB .

Vô hiệu hóa XML-RPC trong WordPress

XML-RPC là một tính năng của WordPress tạo điều kiện kết nối giữa trang web của bạn và các ứng dụng web hoặc thiết bị di động. Nó được kích hoạt tự động bắt đầu từ WordPress 3.5.

Tuy nhiên, nó cũng có thể đóng vai trò như một công cụ tiềm năng để khuếch đại các cuộc tấn công vũ phu hoặc DDoS trên trang web của bạn.

Khi bật XML-RPC, tin tặc có thể sử dụng một chức năng duy nhất để thực hiện nhiều lần đăng nhập với hàng nghìn mật khẩu, không giống như không có nó, trong đó mỗi mật khẩu sẽ phải thực hiện các lần thử riêng biệt. Điều này đặt ra một rủi ro bảo mật đáng kể.

Để tránh rủi ro này, bạn nên tắt XML-RPC nếu bạn không chủ động sử dụng nó bằng cách thêm mã vào tệp .htaccess trên trang web của mình.

Truy cập các tệp của trang web của bạn bằng ứng dụng khách FTP hoặc bảng điều khiển lưu trữ của bạn, tìm tệp .htaccess trong thư mục gốc và thêm mã sau:

# Disable XML-RPC
<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

Nhưng nếu bạn không muốn sử dụng phương pháp này, bạn có thể sử dụng plugin bảo mật WordPress như Đơn giản Vô hiệu hóa XML-RPC.

Cài đặt và kích hoạt plugin, điều hướng đến Đơn giản Vô hiệu hóa XML-RPC sau khi kích hoạt, hãy kiểm tra Vô hiệu hóa XML-RPC tùy chọn và lưu các thay đổi của bạn.

Nếu bạn đang sử dụng tường lửa ứng dụng web được đề cập trước đó thì tường lửa có thể giải quyết vấn đề này.

Tắt liên kết nóng

Vô hiệu hóa liên kết nóng là một biện pháp bảo mật giúp bảo vệ băng thông trang web của bạn và ngăn người khác liên kết trực tiếp đến hình ảnh trang web của bạn và các tệp phương tiện khác.

Liên kết nóng đề cập đến việc sử dụng URL hình ảnh hoặc phương tiện được lưu trữ trên trang web của bạn trên các trang web khác, sử dụng tài nguyên máy chủ của bạn mà không có sự cho phép của bạn.

Để dễ dàng vô hiệu hóa hotlinking, hãy cài đặt và kích hoạt Bảo mật tất cả trong một (AIOS) Plugin WordPress.

Sau khi kích hoạt, hãy truy cập Bảo mật WP → Bảo mật hệ thống tập tinvà chọn Bảo vệ tệp chuyển hướng. Cuộn xuống và bật Ngăn chặn liên kết nóng hình ảnh phần, như hình dưới đây.

Hãy nhớ lưu cài đặt của bạn.

Vô hiệu hóa lập chỉ mục và duyệt thư mục

Vô hiệu hóa lập chỉ mục và duyệt thư mục là một biện pháp bảo mật quan trọng nhằm ngăn chặn truy cập trái phép vào nội dung của các thư mục trang web của bạn.

Theo mặc định, một số máy chủ web cho phép lập chỉ mục thư mục, có nghĩa là nếu không có tệp chỉ mục nào (như index.html hoặc index.php) trong một thư mục, máy chủ sẽ hiển thị danh sách các tệp và thư mục trong thư mục đó.

Điều này có thể làm lộ thông tin nhạy cảm và giúp kẻ tấn công xác định các lỗ hổng dễ dàng hơn.

Để ngăn chặn việc truy cập trái phép vào các tệp của bạn, sao chép hình ảnh và tiết lộ cấu trúc thư mục của bạn, bạn nên tắt tính năng lập chỉ mục và duyệt thư mục.

Truy cập các tập tin trang web của bạn thông qua ứng dụng khách FTP hoặc bảng điều khiển lưu trữ. Trong thư mục gốc của bản cài đặt WordPress, tìm tệp .htaccess.

Mở tệp .htaccess trong trình soạn thảo văn bản và thêm đoạn mã sau vào cuối:

# Disable Directory Indexing and Browsing
Options -Indexes

Lưu các thay đổi vào tệp .htaccess và tải nó trở lại máy chủ của bạn, thay thế tệp hiện có nếu cần.

Sử dụng tiêu đề bảo mật

Tiêu đề bảo mật hướng dẫn trình duyệt xử lý các khía cạnh nhất định của trang web của bạn, cung cấp khả năng bảo vệ bổ sung chống lại các lỗ hổng bảo mật phổ biến.

Dưới đây là một số tiêu đề bảo mật phổ biến và lợi ích của chúng:

Tiêu đề X-XSS-Protection chặn việc tiêm tập lệnh độc hại để ngăn chặn các cuộc tấn công tập lệnh chéo trang (XSS).
Tiêu đề X-Content-Type-Options ngăn chặn các lỗ hổng bảo mật do đánh hơi loại MIME gây ra.
Tiêu đề Strict-Transport-Security (HSTS) đảm bảo kết nối an toàn bằng cách thực thi HTTPS.
Tiêu đề Chính sách bảo mật nội dung (CSP) cho phép thiết lập các chính sách bảo mật để bảo vệ khỏi các cuộc tấn công khác nhau.

Vì vậy, để triển khai các tiêu đề bảo mật này trên trang web WordPress của bạn, bạn sẽ cần cài đặt và kích hoạt Trình tạo tiêu đề bảo mật plugin.

Sau khi cài đặt, điều hướng đến Tiêu đề bảo mật phần. Ở đó bạn có thể sắp xếp thời gian và định cấu hình plugin theo sở thích của mình.

Khi triển khai các tiêu đề bảo mật, điều cần thiết là phải kiểm tra kỹ trang web của bạn để đảm bảo rằng chúng không xung đột với bất kỳ chức năng hiện có nào vì chúng có xu hướng phá vỡ trang web.

Ngoài ra, bạn có thể sử dụng các công cụ trực tuyến như securityheaders.com để kiểm tra tính hiệu quả và việc triển khai chính xác các tiêu đề bảo mật của bạn.

Nếu bạn sử dụng các plugin bảo mật như “Bảo mật tất cả trong một (AIOS)” hoặc “Wordfence”, bạn có thể dễ dàng định cấu hình các tiêu đề bảo mật của trang web bằng các tùy chọn của chúng, loại bỏ nhu cầu sử dụng plugin trước đó.

3 Kết luận

Bảo mật trang web WordPress của bạn là rất quan trọng để bảo vệ nó khỏi các mối đe dọa và lỗ hổng tiềm ẩn.

Do đó, việc cài đặt một plugin bảo mật mạnh mẽ như “Bảo mật tất cả trong một (AIOS)” có thể hữu ích vì nó cung cấp nhiều tính năng bao gồm phần lớn các biện pháp bảo mật được thảo luận trong bài đăng này.

Tuy nhiên, chỉ cài đặt một plugin bảo mật là chưa đủ. Bạn cần dành thời gian để xem lại tất cả các tùy chọn có sẵn và tùy chỉnh cài đặt của plugin cho phù hợp với nhu cầu của mình.

Tuy nhiên, nếu bạn có các yêu cầu bảo mật riêng mà plugin không đáp ứng, hãy cân nhắc việc cài đặt các plugin bổ sung hoặc sử dụng mã tùy chỉnh để giải quyết các nhu cầu đó.

Bạn nên sao lưu trang web của mình trước khi thực hiện thay đổi mã hoặc kích hoạt plugin mới để giảm thiểu rủi ro.

Ngoài ra, thường xuyên cập nhật các plugin WordPress của bạn, xem xét thông báo hoặc kết quả và cập nhật các tin tức bảo mật mới nhất cũng như các phương pháp hay nhất có thể làm giảm đáng kể nguy cơ vi phạm bảo mật.

Bài đăng này có hỗ trợ bạn trong việc bảo mật trang web WordPress của bạn không? Nếu có, hãy chia sẻ suy nghĩ của bạn bằng cách Đang tweet @rankmathseo.

Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
nguồn: https://rankmath.com/blog/secure-wordpress-site/