18 bước bảo mật wordpress cho người sử dụng

Theo thống kê từ internetlivestats.com mỗi ngày có trên 60000 website wordpress bị hack mà hầu hết đều do sự chủ quan hoặc đôi khi là vô tình tạo ra các lỗ hổng  trên website của bạn, từ đó hacker có thể tấn công và phá hoại dữ liệu của bạn và kết quả là website bị hack. 

18 bước bảo mật wordpress cho người sử dụng

Đó là lý do tại sao nó lại vô cùng quan trọng đáng để bạn sẵn sàng bỏ ra một khoảng thời gian cần thiết để  tìm hiểu và theo dõi các khuyến nghị dưới đây để bảo mật ngay cho các website sử dụng mã nguồn wordpress.

1- Lựa chọn nhà cung cấp hosting wordpress uy tín, bảo mật và an toàn dữ liệu

Là một trong những yêu cầu hàng đầu khi chọn hosting cho website wordpres của bạn, bạn nên lựa chọn nhà cung cấp có Hosting WordPress là máy chủ cứng có cấu hình phần cứng khỏe và bảo mật, thường xuyên được update nâng cấp các phiên bản mới nhất của hệ điều hành, update các bản vá lỗi khác của hệ thống

Ngoài ra yêu cầu hệ thống máy chủ hosting được trang bị Firewall, tối thiểu phải có firewall mềm hoặc tốt hơn là có thiết bị firewall cứng, nó sẽ hỗ trợ và loại bỏ phần lớn các cuộc tấn công mạng từ các hacker hoặc các kết nối không rõ ràng tới máy chủ nơi hosting website của bạn.

Ở Việt Nam hiện có nhiều nhà cung cấp hosting wodpress chuyên nghiệp, bạn có thể lựa chọn cho mình 1 nhà cung cấp phù hợp. Thông tin về hosting WordPress bạn có thể tham khảo thêm tại đây.

18 bước bảo mật wordpress cho người sử dụng

2- Bảo mật tên người dùng và mật khẩu quản trị

Đáng ngạc nhiên là một trong những cách tốt nhất để  bảo mật WordPress của bạn chỉ đơn giản là sử dụng tên người dùng và mật khẩu  một cách thông minh. Nghe có vẻ khá dễ dàng ? đúng vây, bạn có thể xem danh sách các mật khẩu thông dụng thường bị đánh cắp theo thống kế mới nhất từ SplashData.

Danh sách các mật khẩu thông dụng thường dễ bị trộm, bạn không nên sử dụng các mật khẩu kiểu này:

  • 123456
  • password
  • abcd@123
  • 12345678
  • qwerty
  • 123456789
  • matkhau

Vì vậy khi thiết lập mật khẩu cho wordpress bạn nên cài đặt mật khẩu đảm bảo khó, tránh các mật khẩu thông dụng dễ bị hacker dò mật khẩu. Bạn cũng có thể sử dụng công cụ Strong Password Generator để gen mật khẩu.

Tiếp theo là việc chọn tên người dùng, khi cài đặt WordPress bạn đừng bao giờ sử dụng tên người dùng mặc định là “admin” , nếu đã cài bạn có thể đổi một tên khác cho bạn. Ví dụ như tên bạn: hautx, huong, hoặc quantri..v..v..

Bạn chỉ cần tạo một tên người dùng WordPress duy nhất cho tài khoản quản trị và xóa các “admin” người sử dụng nếu nó đã tồn tại.

Bạn có thể làm điều này bằng cách thêm một người dùng mới trong “User” trong trang quản trị và gán cho nó quyền “Administrator” (như bên dưới).

18 bước bảo mật wordpress cho người sử dụng

Một khi bạn đã gán tài khoản mới trong vai trò quản trị, bạn có thể quay trở lại và xóa các “Administrator” ban đầu sử dụng. Hãy chắc chắn rằng khi bạn chọn “Attribute all content to” để tùy chọn gán các bài viết của user cũ vào user mới rồi sau đó mới bấm Xóa.

Điều này sẽ chỉ định người đó là tác giả của những bài viết đã được viết bởi user cũ, tránh bị mất khi xóa tài khoản.

18 bước bảo mật wordpress cho người sử dụng

3. Luôn luôn sử dụng phiên bản mới nhất của WordPress và Plugins

Một cách rất quan trọng phải làm để bảo mật WordPress của bạn là luôn luôn giữ cho nó được cập nhật những phiên bản mới nhất. Điều này bao gồm các file cốt yếu của WordPress luôn được bổ sung và vá lỗi từ các bản wordpress cũ bao gồm những cải tiến bảo mật và sửa lỗi.

18 bước bảo mật wordpress cho người sử dụng

Thật không may, hàng triệu người dùng hiện đang vẫn chạy các phiên bản cũ của phần mềm WordPress, và họ vẫn tin rằng họ đang làm đúng. Họ không lường trước việc phiên bản cũ ẩn chứa nhiều lỗ hổng mà hacker có thể lợi dụng tấn công website của họ.

Họ đưa ra 1 số lý do để không muốn nâng cấp lên phiên bản mới như “trang web của họ sẽ bị vỡ cấu trúc” hay “đối mặt với lỗi phát sinh” hoặc “plugin X sẽ không làm việc” hoặc “họ không cần các chức năng mới”.

Trong thực tế, các trang web phá vỡ chủ yếu là do đã có các lỗi trong phiên bản WordPress cũ. Việc sửa đổi các file cốt yếu không bao giờ được đề nghị bởi các chuyên gia wordpress trong các bản nâng cấp, những họ hiểu rất rõ những rủi ro liên quan. Và WordPress thông báo update chủ yếu bao gồm có bản vá bảo mật cùng với các tính năng bổ sung cần thiết để chạy các plugin mới nhất.

Bạn có biết rằng wordpress đã được cảnh cáo rằng 55,9% lỗ hổng từ plugins wordpress được biết đến bởi hacker ?  Đó là những gì WordFence tìm thấy trong một nghiên cứu năm 2016, nơi họ đã phỏng vấn hơn 1.000 chủ sở hữu trang web WordPress đã từng là nạn nhân của các cuộc tấn công. Bằng cách cập nhật các plugin của bạn, sẽ tốt hơn để đảm bảo rằng bạn không phải là một trong những nạn nhân này.

18 bước bảo mật wordpress cho người sử dụng

Làm thế nào để cập nhật cho Core WordPress ?

Có một vài cách đơn giản để cập nhật cài đặt WordPress của bạn, nếu bạn là khách hàng của iNET khi cài đặt wordpress bạn có thể tùy chọn update tự động. Nếu bạn đã cài đặt thành công, bạn có thể vào trang quản trị và update WordPress lên phiên bản mới.

18 bước bảo mật wordpress cho người sử dụng

Làm thế nào để cập nhật WordPress Plugins ?

Việc cập nhật các plugin WordPress giống với việc cập nhật phiên bản WordPress.

Nhấn vào “Update” trong bảng điều khiển WordPress của bạn, chọn các plugin bạn muốn cập nhật, và bấm vào “Update Plugins.

Làm thế nào để cập nhật WordPress Plugins ?  Việc cập nhật các plugin WordPress giống với việc cập nhật phiên bản WordPress.  Nhấn vào "Update" trong bảng điều khiển WordPress của bạn, chọn các plugin bạn muốn cập nhật, và bấm vào "Update Plugins."

4. Bảo mật trước mọi cố gắng  đăng nhập trang quản trị

Hacker có thể phá hoại website của bạn bằng cách cố gắng đăng nhập chiếm quyền quản trị website của bạn qua cấu trúc đăng nhập trang admin. Có 2 cách chống lại việc xâm nhập trái phép này.

Thực hiện thay đổi URL đăng nhập trang quản trị WordPress của bạn

Theo mặc định URL Đăng nhập trang web WordPress của bạn là domain.com/wp-admin. Điều này hacker biết rất rõ, bằng cách thay đổi đường dẫn URL  bạn có thể tránh được giảm thiểu các cuộc tấn công vào trang web của bạn.

Giải pháp này đơn giản là một mẹo nhỏ mà chắc chắn có thể giúp bảo vệ bạn. Để thay đổi URL đăng nhập WordPress của bạn, chúng tôi khuyên bạn nên sử dụng WPS Plugin Hide Login miễn phí.

Sau khi kích hoạt chỉ cần thay đổi URL đăng nhập WordPress của bạn theo “General” trong cài đặt:

18 bước bảo mật wordpress cho người sử dụng

Cài đặt giới hạn đăng nhập trang quản trị- Limit Login

Trong khi các giải pháp nêu trên áp dụng thay đổi URL đăng nhập admin của bạn sẽ giảm một phần trong những nỗ lực đăng nhập xấu, đặt Limit Login cũng có thể rất hiệu quả. Bạn có thể dùng plugin  Cerber Limit Login Attempts là một cách tuyệt vời để dễ dàng thiết lập Limit Login. Cài đặt thành công bạn có thể thiết lập thời gian khóa IP cho những lần đăng nhập sai, chặn block IP vào whilelist hoặc blaclist.

Cài đặt giới hạn đăng nhập trang quản trị- Limit Login  Trong khi các giải pháp nêu trên áp dụng thay đổi URL đăng nhập admin của bạn sẽ giảm một phần trong những nỗ lực đăng nhập xấu, đặt Limit Login cũng có thể rất hiệu quả. Bạn có thể dùng plugin  Cerber Limit Login Attempts là một cách tuyệt vời để dễ dàng thiết lập Limit Login. Cài đặt thành công bạn có thể thiết lập thời gian khóa IP cho những lần đăng nhập sai, chặn block IP vào whilelist hoặc blaclist

Nếu bạn đang tìm kiếm một giải pháp đơn giản hơn, một plugin miễn phí thay thế Plugin trên là  Login Lockdown. Login Lockdown ghi địa chỉ IP và log thời gian của mọi nỗ lực đăng nhập thất bại. Nếu có nhiều hơn một số lượng nhất định được phát hiện cố gắng login trong một khoảng thời gian ngắn từ 1 địa chỉ IP, nó sẽ vô hiệu hóa chức năng đăng nhập cho tất cả các yêu cầu từ IP phạm vi đó.

Nếu bạn đang tìm kiếm một giải pháp đơn giản hơn, một plugin miễn phí thay thế Plugin trên là  Login Lockdown. Login Lockdown ghi địa chỉ IP và log thời gian của mọi nỗ lực đăng nhập thất bại. Nếu có nhiều hơn một số lượng nhất định được phát hiện cố gắng login trong một khoảng thời gian ngắn từ 1 địa chỉ IP, nó sẽ vô hiệu hóa chức năng đăng nhập cho tất cả các yêu cầu từ IP phạm vi đó.

5. Thiết lập chế độ xác thực 2 bước.

Đương nhiên, chúng ta không thể không nói tới việc thực hiện xác thực hai bước, trong hầu hết các trường hợp đây là cách hiệu quả 100% trong việc ngăn chặn các cuộc tấn công vào trang web WordPress của bạn. Bằng cách xác thực qua mã capcha, sms hoặc 1 mã OTP… sẽ gây khó khăn cho hacker khi cố gắng thực hiện đăng nhập website của bạn. Kẻ tấn công không thể có được đồng thời mật khẩu và số điện thoại của bạn, khi đó sẽ không thể đăng nhập được.

Nếu bạn đang tìm kiếm một lựa chọn hoàn toàn miễn phí thì plugin Google Authenticator  là một giải pháp thay thế tuyệt vời. Nó không giới hạn số lượng người sử dụng. Sau khi cài đặt bạn có thể nhấp vào Your Profile , đánh dấu Active và tạo ra một khóa bí mật mới hoặc quét mã QR.

18 bước bảo mật wordpress cho người sử dụng

Sau đó bạn có thể sử dụng một trong những Authenticator Apps miễn phí trên điện thoại của bạn:

  • Android Google Authenticator App
  • iPhone Google Authenticator App
  • Windows Phone Authenticator App

Sau khi kích hoạt thành công khi login sẽ yêu cầu mật khẩu thông thường của mình để đăng nhập cộng với mã từ ứng dụng Google Authenticator trên điện thoại của bạn. Ngoài ra, plugin này là hoàn toàn tương thích với plugin Hide Login WPS mà chúng tôi đã đề cập trước đó.

18 bước bảo mật wordpress cho người sử dụng

6. Sử dụng mã hóa kết nối HTTPS – Chứng thư số SSL

Một trong những cách bảo mật WordPress là bạn có thể mua một giấy chứng thư số SSL và chạy trang web của bạn qua HTTPS. HTTPS (Hyper Text Transfer Protocol Sercurity) là một cơ chế cho phép trình duyệt của bạn hoặc ứng dụng web để kết nối an toàn với một trang web.

6. Sử dụng mã hóa kết nối HTTPS - Chứng thư số SSL  Một trong những cách bảo mật WordPress là bạn có thể mua một giấy chứng thư số SSL và chạy trang web của bạn qua HTTPS. HTTPS (Hyper Text Transfer Protocol Sercurity) là một cơ chế cho phép trình duyệt của bạn hoặc ứng dụng web để kết nối an toàn với một trang web.

7. Bảo vệ file wp-config.php web của bạn

File wp-config.php là tập tin quan trọng nhất, nó giống như trái tim và linh hồn của website WordPress của bạn. Nó chứa thông tin đăng nhập cơ sở dữ liệu, các khóa bảo mật để xử lý thông tin mã hóa trong cookie. Dưới đây là một vài điều bạn có thể làm để bảo vệ tốt hơn tập tin quan trọng này.

Di chuyển wp-config.php tới 1 nơi khác

Theo mặc định file wp-config.php của bạn nằm trong thư mục gốc cài đặt WordPress của bạn (thư mục public_html).  Để di chuyển tập tin wp-config.php của bạn chỉ đơn giản là vào 1 thư mục tùy ý và tạo 1 file với tên tùy ý và sao chép tất cả mọi thứ từ file wp-config.php cũ của lưu vào file mới tạo. Trong file wp-config.php cũ bỏ nội dung của nó đi và bạn đặt 1 code chỉ ra đường dẫn nơi lưu file cấu hình mới :

<?php
include('/home/yourname/wp-config.php');

Cập nhật WordPress khóa bảo mật

WordPress security key là một chuỗi biễn ngẫu nhiên cải thiện mã hóa lưu trữ trong cookie của bạn, kể từ WordPress 2.7 đã có 4 phím khác nhau bao gồm AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY,  NONCE_KEY. Khi bạn cài đặt WordPress này được tạo ngẫu nhiên cho bạn. Tuy nhiên, nếu bạn đã di chuyển code qua nhiều nơi, hoặc bạn mua lại website từ 1 đơn vị khác, bạn nên làm mới lại chuỗi ngẫu nhiên này.

WordPress có một công cụ Generate random keys miễn phí mà bạn có thể sử dụng để tạo ra các chuỗi ngẫu nhiên này. Bạn có thể cập nhật các chuỗi biến hiện tại của bạn được lưu trữ trong file wp-config.php.

18 bước bảo mật wordpress cho người sử dụng

Phân quyền

Thông thường các tập tin trong thư mục gốc của một trang web WordPress sẽ được thiết lập để 644, điều đó có nghĩa các tập tin có thể được đọc và ghi được bởi chủ sở hữu,đọc bởi người dùng trong nhóm chủ sở hữu của tập tin đó và có thể đọc được bởi những người khác.

Theo tài liệu WordPress, các điều khoản trên các tập tin wp-config.php nên được thiết lập đến 440 hoặc 400 để ngăn chặn người dùng khác trên máy chủ từ việc đọc nó. Bạn có thể dễ dàng thay đổi điều này bằng cách đặt phân quyền trên hosting.

Phân quyền  Thông thường các tập tin trong thư mục gốc của một trang web WordPress sẽ được thiết lập để 644, điều đó có nghĩa các tập tin có thể được đọc và ghi được bởi chủ sở hữu,đọc bởi người dùng trong nhóm chủ sở hữu của tập tin đó và có thể đọc được bởi những người khác.  Theo tài liệu WordPress, các điều khoản trên các tập tin wp-config.php nên được thiết lập đến 440 hoặc 400 để ngăn chặn người dùng khác trên máy chủ từ việc đọc nó. Bạn có thể dễ dàng thay đổi điều này bằng cách đặt phân quyền trên hosting

8. Disable XML-RPC

Trong những năm qua XML-RPC đã trở thành một mục tiêu ngày càng lớn đối với các cuộc tấn công . Một trong những tính năng ẩn của XML-RPC là bạn có thể sử dụng phương pháp system.multicall thực hiện nhiều phương pháp bên trong một yêu cầu duy nhất. Đó là rất hữu ích vì nó cho phép các ứng dụng để vượt qua nhiều lệnh trong cùng một yêu cầu HTTP. Nhưng điều gì  sẽ xảy ra khi nó được sử dụng cho mục đích xấu.

Có một vài plugin WordPress như Jetpack dựa trên XML-RPC, nhưng đã số là không sử dụng đến nó. Nếu không chắc chắn XML-RPC hiện đang chạy trên trang web của bạn, bạn có thể kiểm tra bằng công cụ XML-RPC Validator qua đó để xem nếu nó có XML-RPC được sử dụng hay không. Nếu có, bạn sẽ thấy một thông báo lỗi như thể hiện trong hình ảnh dưới đây và ngược lại:

18 bước bảo mật wordpress cho người sử dụng

Để vô hiệu hóa hoàn toàn này bạn có thể cài đặt các plugin miễn phí như Disable XML-RPC  . Hoặc đơn giản bạn có thể thêm đoạn code sau vào file .htaccess

<Files "xmlrpc.php">
  Order Deny,Allow
  Deny from all
</Files>

Nếu website đang chạy trên nền NGINX bạn có thể chèn vào file cấu hình:

location ~* ^/xmlrpc.php$ {
return 403;
}

Hoặc không thì bạn có thể xóa bỏ file xmlrpc.php trên thư mục gốc đi.

9. Ẩn thông báo phiên bản WordPress mà bạn đang sử dụng

Ẩn phiên bản wordpress là thêm 1 bước nữa để bảo mật cho website của bạn để người khác ít có thể biết về cấu trúc website của bạn hơn. Theo mặc định, các phiên bản WordPress hiện trong phần đầu của mã nguồn trang web của bạn. Một lần nữa, chúng tôi khuyên bạn chỉ đơn giản là đảm bảo cài đặt WordPress của bạn luôn luôn được cập nhật, do đó bạn không cần phải lo lắng về điều này, hãy ẩn phiên bản wordpress của bạn đi để tránh người khác “dòm ngó“.

18 bước bảo mật wordpress cho người sử dụng

Đơn giản chỉ cần thêm dòng sau vào file functions.php theme WordPress của bạn là có thể ẩn thông tin phiên bản wordpress hiện tại

function wpversion_remove_version() {
return '';
}
add_filter('the_generator', 'wpversion_remove_version');

Một cách khác, trong thư mục gốc có file readme.html khi gõ domain.com/readme.html bạn có thể thấy thông tin phiên bản WordPress. Bạn có thể xóa bỏ file này đi.

18 bước bảo mật wordpress cho người sử dụng

10. Thêm bảo mật tiêu đề HTTP mới nhất

Thêm một bước nữa để tăng cường bảo mật cho wordpress đó là thêm bảo mật tiêu đề HTTP . Chúng thường được cấu hình trên server và chỉ cho trình duyệt hiểu làm thế nào để trao đổi khi xử lý nội dung trang web của bạn. Có rất nhiều các tiêu chí bảo mả mật tiêu đề HTTP khác nhau, nhưng dưới đây là điển hình là những tiêu chí quan trọng nhất.

  • Content-Security Policy
  • X-XSS-Protection
  • Strict-Transport-Security
  • X-Frame-Options
  • Public-Key-Pins
  • X-Content-Type

Bạn có thể kiểm tra website của mình hiện tại có được hosting trên máy chủ đã cấu hình bảo mật tiêu đều HTTP chưa bằng cách sử dụng công cụ miễn phí  securityheaders.io

Trang web được bảo mật tiêu đều HTTP

18 bước bảo mật wordpress cho người sử dụng

Trang web không được bảo mật tiêu đều HTTP

18 bước bảo mật wordpress cho người sử dụng

11. Sử dụng các Plugins bảo mật cho WordPress

Và tất nhiên, chúng ta phải kể tới một số plugin bảo mật WordPress. Hiện có rất nhiều các nhà phát triển lớn và các công ty ra có mà cung cấp các giải pháp tuyệt vời để bảo vệ tốt hơn trang web WordPress của bạn. Dưới đây là một vài trong số họ.

  • Sucuri Security
  • iThemes Security
  • WordFence Security
  • WP fail2ban

Dưới đây là một số tính năng điển hình và sử dụng các plugin trên:

  • Bắt buộc bạn sử dụng mật khẩu mạnh khi tạo ra người dùng mới
  • Ghi lại các trạng thái của người sử dụng
  • Cập nhật dễ dàng các khóa bảo mật WordPress
  • Quét mã độc
  • Xác thực 2 bước
  • Nhập mã capchra
  • Firewalls
  • IP whitelisting
  • IP blacklisting
  • Nhật ký thay đổi tập tin
  • Chặn mạng độc hại
  • Xem thông tin về khách viếng thăm

Một plugin tuyệt vời xứng đáng để sử dụng là WP Security Audit Log . Plugin này là tuyệt vời cho những trên site multi-WP hoặc chỉ đơn giản là trang web nhiều tác giả. Nó giúp đảm bảo hiệu quả người dùng và cho phép quản trị viên nhìn thấy tất cả mọi thứ đang được thay đổi; chẳng hạn như thông tin đăng nhập, thay đổi mật khẩu, thay đổi chủ đề, thay đổi phụ tùng, bài mới, cập nhật WordPress, v..v..

18 bước bảo mật wordpress cho người sử dụng

12. Bảo mật database

Có một vài cách để tốt hơn an ninh trên cơ sở dữ liệu WordPress của bạn.

Việc đầu tiên là sử dụng một tên cơ sở dữ liệu một cách thông minh. Bằng cách thay đổi tên cơ sở dữ liệu của bạn với một số mơ hồ nào đó nó giúp bảo vệ trang web của bạn, gây khó khăn hơn cho hacker để xác định và chi tiết truy cập cơ sở dữ liệu của bạn.

Thứ Mặc định prefix của tên database là wp_…..Thay đổi này đến một cái gì đó tùy ý chẳng hạn như 39xw_ có thể được an toàn hơn nhiều. Khi bạn cài đặt WordPress nó yêu cầu một tiền tố bảng (như bên dưới).

18 bước bảo mật wordpress cho người sử dụng

13. Luôn sử dụng kết nối an toàn khi FTP

Đảm bảo rằng hosting WordPress của bạn có hỗ trợ các  phương pháp như cung cấp để kết nối ftp an toàn như FTP;  SFTP hoặc SSH. SFTP hoặc Secure File Transfer Protocol (còn được gọi là giao thức truyền file SSH), là một giao thức mạng được sử dụng để truyền file. Nó là một phương pháp an toàn hơn so với chuẩn FTP với hầu hết đều sử dụng port 22 để kết nối sFTP. Có nhiều tool hỗ trợ kết nối SFTP mà bạn nên sử dụng như

  • Filezilla (Free – MAC or PC)
  • WinSCP (Free – PC)
  • FlashFXP (Premium – PC)
  • Cyberduck (Free – MAC or PC)
  • Transmit (Premium – MAC)

Sau đó bạn sẽ cần phải cấu hình máy khách SFTP của bạn với các thiết lập sau đây:

  • Connection type: SFTP (not regular FTP)
  • Address/URL/Hostname: Use your IPv4 Address.
  • Username:
  • Password:
  • Port:

Và luôn luôn cẩn thận khi đăng nhập vào trang web WordPress của bạn tại các địa điểm mạng công cộng không an toàn.

14. Kiểm tra phân quyền trên hosting của bạn cho File, Thư mục.

Phân quyền tập tin trên WordPress của bạn trên hosting là rất quan trọng để giữ cho trang web của bạn an toàn. Nếu phân quyền là quá lỏng  lẻo ai đó có thể dễ dàng truy cập vào trang web của bạn và phá hoại. Mặt khác, nếu việc phân quyền của bạn quá nghiêm ngặt lại cũng có thể phá vỡ chức năng trên trang web của bạn.

Phân quyền cho file:

  • Quyền đọc được chỉ định nếu người dùng có quyền đọc tập tin.
  • Quyền ghi được chỉ định nếu người dùng có quyền viết hoặc sửa đổi các tập tin.
  • Quyền thực thi được chỉ định nếu người dùng có quyền để chạy các tập tin hoặc thực hiện nó như một script.

Phân quyền cho thư mục:

  • Quyền đọc được chỉ định nếu người dùng có quyền truy cập nội dung của thư mục xác định.
  • Quyền ghi được chỉ định nếu người dùng có quyền để thêm hoặc xóa các tập tin được chứa bên trong thư mục.
  • Quyền thực thi được chỉ định nếu người dùng có quyền truy cập vào các thư mục thực tế và thực hiện các chức năng và lệnh, bao gồm khả năng để xóa các dữ liệu trong thư mục.

Bạn có thể sử dụng một plugin miễn phí như iThemes Security để scan các quyền trên trang web WordPress của bạn. Dưới đây là một số khuyến nghị tiêu biểu về phân quyền khi nói đến tập tin và thư mục cho phép trong WordPress.

  • Tất cả các file cần thiết lập quyền 644 hoặc 640. Trừ wp-config.php nên có 440 hoặc 400 để ngăn chặn người dùng khác trên máy chủ từ việc đọc nó.
  • Tất cả các thư mục này cần thiết lập quyền 755 hoặc 750.
  • Đảm bảo không có thư mục nào ở quyền 777, kể cả các thư mục upload.

15. Vô hiệu chức năng chỉnh tập tin trong WordPress Dashboard

Rất nhiều các trang web WordPress có nhiều người dùng và quản trị viên, để bảo về website của bạn tránh bị chỉnh sửa hoặc thay đổi bởi những người dùng không mong muốn. Tốt nhất mọi thực hiện chỉnh sửa cần được thực hiện và upload khi có sự thay đổi qua giao thức FTP mà không chỉnh sửa trực tiếp trên giao diện trang quản trị web, vì vậy để đảm bảo ta nên chặn chức năng nay.

18 bước bảo mật wordpress cho người sử dụng

Mặt khác, khi trang web của bạn bị hack điều đầu tiên mà họ có thể làm là cố gắng để chỉnh sửa một tập tin PHP hoặc chủ đề qua Editor Appearance. Đây là một cách nhanh chóng cho họ để thực thi mã độc hại trên trang web của bạn. Nếu họ không có quyền truy cập từ bảng điều khiển, nó có thể giúp bạn ngăn chặn các cuộc tấn công.

Đặt mã sau trong file wp-config.php của bạn để loại bỏ các ‘edit_themes’, ‘edit_plugins’ và khả năng ‘edit_files‘ của tất cả người dùng.

define('DISALLOW_FILE_EDIT', true);

16. Ngăn chặn các Hotlinking

Khái niệm về hotlinking là rất đơn giản, bạn tìm thấy một hình ảnh trên Internet một nơi nào đó và sử dụng URL của hình ảnh trực tiếp trên trang web của bạn. Hình ảnh này sẽ được hiển thị trên trang web của bạn, nhưng nó sẽ phục vụ cho một vị trí khác. Điều này thực sự là hành vi trộm cắp vì nó là sử dụng băng thông trên trang web của bạn.

Ngăn chặn hotlink trong Apache

Để ngăn chặn hotlinking trong Apache chỉ cần thêm đoạn mã sau vào file .htaccess

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://dropbox.com/hotlink-placeholder.jpg [NC,R,L]

Ngăn chặn kết nóng trong NGINX

Để ngăn chặn hotlinking trong nginx chỉ cần thêm đoạn mã sau vào tập tin cấu hình của bạn

location ~ .(gif|png|jpe?g)$ {
valid_referers none blocked ~.google. ~.bing. ~.yahoo yourdomain.com *.yourdomain.com;
if ($invalid_referer) {
return 403;
}
}

17. Hãy chú ý luôn sao lưu dữ liệu website.

Hầu hết các khuyến nghị trên là các biện pháp bảo mật mà bạn có thể làm để bảo vệ chính cho website của bạn được tốt hơn. Nhưng dù thế nào an toàn trang web của bạn sẽ không bao giờ là 100% an toàn. Vì vậy, bạn chú ý hãy luôn backup định kỳ để sẵn sàng trong trường hợp tồi tệ nhất sẽ xảy ra. Các nhà cung cấp Hosting WordPress quản lý hiện nay đều cung cấp sao lưu dữ liệu định kỳ hàng tuần. Nhưng tùy theo tính chất đặc thù website của bạn mà bạn cần phải thiết lập thêm cơ chế backup hàng ngày hoặc theo một ý muốn nào đó.

Điều này không quá khó khăn, bạn có thể dễ dàng thực hiện một cách thủ công là nén code và database web của bạn định kỳ hoặc thực hiện tự động với các plugin hỗ trợ

WordPress cho phép bạn lấy các bản sao lưu của bạn thông qua FTP hoặc tích hợp với một nguồn lưu trữ bên ngoài như Amazon S3, Google Drive hoặc Dropbox.

  • Duplicator
  • BackupBuddy
  • UpdraftPlus
  • BackUpWordPress
  • BackWPup

18. Bảo vệ trước các cuộc tấn công DDoS

DDoS là một kiểu tấn công DOS bằng cách huy động nhiều hệ thống được sử dụng để nhắm vào mục tiêu một hệ thống duy nhất gây ra một cuộc tấn công từ chối dịch vụ (DoS). Không giống như một ai đó hack trang web của bạn, những kiểu tấn công này thường không gây tổn hại cho trang web của bạn nhưng nó sẽ làm cho trang web của bạn bị down  trong một vài giờ hoặc vài ngày tùy theo mức độ, những người dùng thật sẽ không thể truy nhập được website của bạn.

Những gì bạn có thể làm để bảo vệ mình ? Một trong những khuyến nghị tốt nhất là sử dụng một dịch vụ an ninh bên thứ 3 có uy tín như CloudFlare. CloudFlare là một trong những mạng lưới bảo vệ công DDoS lớn nhất thế giới, được sử dụng để giảm thiểu các cuộc tấn công mọi hình thức và kích cỡ bao gồm những mục tiêu tới các giao thức UDP và ICMP, cũng như SYN/ACK, DNS và layer 7.

Các lợi ích khác như CloudFlare sẽ ẩn IP thật của bạn sau một proxy, làm phân tán các mục tiêu tấn công sang các IP khác. Nếu website của bạn đang bị DDOS hoặc nghi bị DDOS, hãy đổi DNS cho tên miền qua máy chủ DNS của Cloudflare

Tổng kết

Như bạn có thể thấy có rất nhiều cách bạn có thể làm để bảo mật WordPress của bạn. Sử dụng mật khẩu thông minh, bảo vệ core, bổ sung cập nhật, và chọn một máy chủ Hosting WordPress khỏe bảo mật và an toàn chỉ là một vài tiêu chí mà giúp cho trang web WordPress của bạn chạy một cách an toàn.

Đối với nhiều bạn, trang web WordPress của bạn là của cả doanh nghiệp hoặc đang đem lại cho bạn một lượng thu nhập lớn, vì vậy điều quan trọng và cần phải mất một thời gian để thực hiện một số hoạt động bảo mật tốt nhất đã đề cập ở trên, sớm hơn là sau này đến khi bị dính lỗi hoặc bị tấn công rồi mới lo tới việc ứng phó.

Bài viết được chúng tôi tổng hợp các cách thức mới nhất hiện nay được chia sẻ trên công đồng, nếu bạn có bất cứ lời khuyên bảo mật WordPress quan trọng mà chúng tôi chưa biết tới, bạn hãy chia sẻ cho chúng tôi được biết nhé.

inet