Ngày nay, việc khởi chạy trang web WordPress của riêng bạn khá dễ dàng. Thật không may, sẽ không mất nhiều thời gian để tin tặc bắt đầu nhắm mục tiêu trang web của bạn.
Cách tốt nhất để đảm bảo an toàn cho trang WordPress là hiểu mọi điểm yếu khi chạy một trang WordPress. Sau đó, cài đặt bảo mật thích hợp để chặn tin tặc ở từng điểm đó.
Trong bài viết này, bạn sẽ tìm hiểu cách bảo mật tốt hơn miền, thông tin đăng nhập WordPress của mình cũng như các công cụ và plugin có sẵn để bảo mật trang web WordPress của bạn .
Tạo miền riêng
Ngày nay, việc tìm một miền có sẵn quá dễ dàng và mua nó với giá rất rẻ. Hầu hết mọi người không bao giờ mua bất kỳ phần bổ trợ miền nào cho miền của họ. Tuy nhiên, một tiện ích bổ sung mà bạn nên luôn cân nhắc là Bảo vệ quyền riêng tư.
Có ba cấp độ bảo vệ quyền riêng tư cơ bản với GoDaddy, nhưng những tiện ích này cũng phù hợp với các dịch vụ của hầu hết các nhà cung cấp miền.
Thông thường, nâng cấp miền của bạn lên một trong những cấp độ bảo mật này chỉ yêu cầu chọn nâng cấp từ trình đơn thả xuống trên trang danh sách miền của bạn.
Bảo vệ miền cơ bản khá rẻ (thường khoảng $ 9,99 / năm) và mức độ bảo mật cao hơn không 'không đắt hơn nhiều.
Đây là một cách tuyệt vời để ngăn những kẻ gửi thư rác lấy thông tin liên hệ của bạn ra khỏi cơ sở dữ liệu WHOIS hoặc những người khác có mục đích xấu muốn truy cập vào thông tin liên hệ của bạn.
Ẩn wp- Các tệp config.php và .htaccess
Khi bạn cài đặt WordPress lần đầu tiên, bạn sẽ cần bao gồm ID quản trị và mật khẩu cho cơ sở dữ liệu WordPress SQL của mình trong tệp wp-config.php .
Dữ liệu đó được mã hóa sau khi cài đặt, nhưng bạn cũng muốn chặn tin tặc có thể chỉnh sửa tệp này và phá vỡ trang web của bạn. Để thực hiện việc này, hãy tìm và chỉnh sửa tệp .htaccess trên thư mục gốc của trang web của bạn và thêm mã sau vào cuối tệp.
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
Để ngăn các thay đổi đối với. htaccess chính nó, hãy thêm phần sau vào cuối tệp.
# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
Lưu tệp và thoát khỏi trình chỉnh sửa tệp.
Bạn cũng có thể cân nhắc việc nhấp chuột phải vào từng tệp và thay đổi quyền để xóa hoàn toàn quyền truy cập Ghi cho mọi người.
Mặc dù thực hiện việc này trên tệp wp-config.php sẽ không gây ra bất kỳ sự cố nào, nhưng thực hiện trên .htaccess có thể gây ra sự cố. Đặc biệt nếu bạn đang chạy bất kỳ plugin WordPress bảo mật nào có thể cần chỉnh sửa tệp .htaccess cho bạn.
Nếu bạn nhận được bất kỳ lỗi nào từ WordPress, bạn luôn có thể cập nhật quyền để cho phép quyền truy cập Ghi trên. lại tệp htaccess.
Thay đổi URL đăng nhập WordPress của bạn
Vì trang đăng nhập mặc định cho mọi trang web WordPress là yourdomain / wp-admin.php, tin tặc sẽ sử dụng URL này để thử và hack vào trang web của bạn.
Họ sẽ thực hiện điều này thông qua những gì được gọi là tấn công "bạo lực", nơi họ sẽ gửi các biến thể của tên người dùng và mật khẩu điển hình mà nhiều người thường sử dụng. Tin tặc hy vọng rằng họ sẽ gặp may mắn và có được sự kết hợp phù hợp.
Bạn có thể ngăn chặn hoàn toàn các cuộc tấn công này bằng cách thay đổi URL đăng nhập WordPress của mình thành thứ gì đó không chuẩn.
Có rất nhiều plugin WordPress để giúp bạn làm điều này. Một trong những phần mềm phổ biến nhất là WPS Ẩn đăng nhập.
Plugin này thêm một phần vào tab Chungtrong Cài đặttrong WordPress.
Tại đó, bạn có thể nhập bất kỳ URL đăng nhập nào bạn muốn và chọn Lưu thay đổiđể kích hoạt URL đó. Lần tới khi bạn muốn đăng nhập vào trang web WordPress của mình, hãy sử dụng URL mới này.
Nếu bất kỳ ai cố gắng truy cập vào URL wp-admin cũ của bạn, họ sẽ được chuyển hướng đến trang 404 trên trang web của bạn.
Lưu ý: Nếu bạn sử dụng plugin bộ nhớ cache, hãy đảm bảo thêm URL đăng nhập mới của bạn vào danh sách các trang web khôngvào bộ nhớ cache. Sau đó, hãy nhớ xóa bộ nhớ cache trước khi bạn đăng nhập lại vào trang web WordPress của mình.
Cài đặt một Plugin bảo mật cho WordPress
Có rất nhiều Các plugin bảo mật WordPress để chọn từ. Trong số đó, Wordfence là phần mềm được tải xuống phổ biến nhất, vì lý do chính đáng.
Phiên bản miễn phí của Wordfence bao gồm một công cụ quét mạnh mẽ tìm kiếm các mối đe dọa từ cửa sau, mã độc hại trong các plugin của bạn hoặc trên trang web của bạn, các mối đe dọa tiêm MySQL, v.v. Nó cũng bao gồm một tường lửa để chặn các mối đe dọa đang hoạt động như các cuộc tấn công DDOS.
Nó cũng sẽ cho phép bạn ngăn chặn các cuộc tấn công bạo lực bằng cách hạn chế các lần đăng nhập và khóa những người dùng thực hiện quá nhiều lần đăng nhập không chính xác.
Có khá nhiều cài đặt trong phiên bản miễn phí. Quá đủ để bảo vệ các trang web vừa và nhỏ khỏi hầu hết các cuộc tấn công.
Ngoài ra, bạn có thể xem lại trang tổng quan hữu ích để theo dõi các mối đe dọa và cuộc tấn công gần đây đã bị chặn.
Sử dụng WordPress Password Generator và 2FA
Điều cuối cùng bạn muốn là tin tặc có thể dễ dàng đoán được mật khẩu của bạn. Thật không may, có quá nhiều người sử dụng mật khẩu rất đơn giản và dễ đoán. Một số ví dụ bao gồm việc sử dụng tên trang web hoặc tên riêng của người dùng làm một phần của mật khẩu hoặc không sử dụng bất kỳ ký tự đặc biệt nào.
Nếu bạn đã nâng cấp lên phiên bản WordPress mới nhất, bạn có quyền truy cập vào các công cụ bảo mật mật khẩu mạnh mẽ để bảo mật trang web WordPress của mình.
Bước đầu tiên để cải thiện bảo mật mật khẩu của bạn là truy cập từng người dùng cho trang web của bạn, cuộn xuống phần Quản lý tài khoản và chọn nút Tạo mật khẩu.
Điều này sẽ tạo ra một mật khẩu dài, rất an toàn bao gồm các chữ cái, số và các ký tự đặc biệt. Lưu mật khẩu này ở nơi an toàn, tốt nhất là trong tài liệu trên ổ đĩa ngoài mà bạn có thể ngắt kết nối khỏi máy tính của mình khi đang trực tuyến.
Chọn Đăng xuất mọi nơi khácđể đảm bảo tất cả các phiên hoạt động đã đóng.
Cuối cùng, nếu bạn đã cài đặt plugin bảo mật Wordfence, bạn sẽ thấy nút Kích hoạt 2FA. Chọn tùy chọn này để bật xác thực hai yếu tố cho thông tin đăng nhập người dùng của bạn.
Nếu không sử dụng Wordfence, bạn cần cài đặt bất kỳ plugin 2FA phổ biến nào sau đây.
Những lưu ý quan trọng khác về bảo mật
Bạn có thể làm một số điều nữa để bảo mật hoàn toàn trang web WordPress của mình.
Cả hai Các plugin WordPress và phiên bản của chính WordPress phải được cập nhật mọi lúc. Tin tặc thường cố gắng khai thác các lỗ hổng trong các phiên bản mã cũ hơn trên trang web của bạn. Nếu bạn không cập nhật cả hai điều này, bạn đang khiến trang web của mình gặp rủi ro.
1. Thường xuyên chọn Pluginvà Plugins đã cài đặttrong bảng điều khiển quản trị WordPress của bạn. Xem lại tất cả các plugin để biết trạng thái cho biết đã có phiên bản mới.
Khi bạn thấy một cái đã lỗi thời, hãy chọn cập nhật ngay bây giờ. Bạn cũng có thể cân nhắc chọn Bật tự động cập nhật cho các plugin của mình.
Tuy nhiên, một số người cảnh giác khi làm điều này vì các bản cập nhật plugin đôi khi có thể phá vỡ trang web hoặc chủ đề của bạn. Vì vậy, bạn nên kiểm tra các bản cập nhật plugin trên trang web thử nghiệm WordPress cục bộ trước khi bật chúng trên trang web trực tiếp của mình.
2. Khi đăng nhập vào trang tổng quan WordPress, bạn sẽ thấy thông báo rằng WordPress đã lỗi thời nếu bạn đang chạy phiên bản cũ hơn.
Một lần nữa, hãy sao lưu trang web và tải nó vào một trang web kiểm tra cục bộ trên PC của riêng bạn để kiểm tra xem bản cập nhật WordPress không làm hỏng trang web của bạn trước khi bạn cập nhật nó trên trang web trực tiếp của mình.
3. Tận dụng các tính năng bảo mật miễn phí của máy chủ lưu trữ web của bạn. Hầu hết các máy chủ web cung cấp nhiều dịch vụ bảo mật miễn phí cho các trang web bạn lưu trữ ở đó. Họ làm điều này vì nó không chỉ bảo vệ trang web của bạn mà còn giữ an toàn cho toàn bộ máy chủ. Điều này đặc biệt quan trọng khi bạn đang sử dụng tài khoản lưu trữ dùng chung trong đó các khách hàng khác có trang web trên cùng một máy chủ.
Những thứ này thường bao gồm bảo mật SSL miễn phí lượt cài đặt cho trang web của bạn, sao lưu miễn phí, khả năng chặn các địa chỉ IP độc hại và thậm chí là một trình quét trang web miễn phí thường xuyên quét trang web của bạn để tìm bất kỳ mã độc hại hoặc lỗ hổng bảo mật nào.
Chạy một trang web không bao giờ đơn giản như cài đặt WordPress và chỉ đăng nội dung. Điều quan trọng là làm cho trang web WordPress của bạn càng an toàn càng tốt. Tất cả các mẹo trên đều có thể giúp bạn làm điều đó mà không tốn quá nhiều công sức.