Mẹo tăng cường bảo mật WordPress
Đối với người mới bắt đầu blog WordPress, hãy đảm bảo rằng bạn luôn được cập nhật phiên bản mới nhất. Bên cạnh đó, hãy tham khảo những mẹo dưới đây để tăng cường bảo mật cho Word Press của bạn nhé.
1. Thay đổi tiền tố "wp_" mặc định
Trang web của bạn có thể bị đe doạ vì một số lỗ hổng (ví dụ: SQL Injection) nếu bạn đang sử dụng tiền tố wp_ có thể dự đoán được trong các bảng cơ sở dữ liệu. Bạn có thể thay đổi tiền tố wp_ mặc định để tăng cường bảo mật.
2. Ẩn thông báo lỗi đăng nhập
Thông báo đăng nhập lỗi có thể cung cấp cho tin tặc một ý tưởng nếu họ đã nhận được tên người dùng đúng / không chính xác, ngược lại. Nó là khôn ngoan để ẩn nó khỏi đăng nhập trái phép.
Để ẩn thông báo lỗi đăng nhập, bạn chỉ cần đặt đoạn mã sau vào functions.php:
3. Bảo vệ thư mục wp-admin
Giữ thư mục "wp-admin" trong tình trạng được bảo vệ nghĩa là bạn đã thêm vào một lớp bảo vệ. Bất cứ ai cố gắng truy cập các tập tin hoặc thư mục sau "wp-admin" sẽ bị nhắc đăng nhập. Bảo vệ thư mục "wp-admin" của bạn bằng thông tin đăng nhập và mật khẩu có thể được thực hiện theo nhiều cách:
- Plugin WordPress: Sử dụng WordPress HTTP Auth.
- cPanel: Nếu lưu trữ của bạn hỗ trợ đăng nhập quản trị viên cPanel, bạn có thể dễ dàng thiết lập bảo vệ trên bất kỳ thư mục nào thông qua giao diện đồ họa người dùng Password Protect Directories của cPanel.
- .htaccess + htpasswd: Thực hiện bảo vệ thư mục bằng mật khẩu thông qua việc đặt các thư mục bạn muốn bảo vệ bên trong .htaccess và.htpasswd.
4. Duy trì sao lưu
Việc giữ các bản sao lưu của toàn bộ blog WordPress cũng quan trọng như giữ cho trang web an toàn trước các tin tặc. Nếu mọi nỗ lực bảo mật đều thất bại, ít nhất bạn vẫn có các tệp sao lưu để khôi phục. Có hai loại sao lưu là Sao lưu toàn bộ và Sao lưu gia tăng.
Bản sao lưu đầy đủ sẽ bao gồm mọi thứ trong trang web như các tệp và cơ sở dữ liệu. Phương pháp này chiếm không gian nhiều hơn mức cần thiết và có thể gây ra sự gia tăng đột biến về mức độ sử dụng CPU và đĩa khi thực hiện sao lưu. Vì vậy, bạn không nên chọn sao lưu toàn bộ nếu trang web của bạn có nguồn lực hạn chế.
Mặt khác, bản sao lưu dữ liệu gia tăng trên nền tảng sẽ chỉ lưu đầy đủ dữ liệu trong lần đầu tiên, sau đó thêm vào các mục thay đổi theo thời gian. Có một số tùy chọn cho loại sao lưu này trong WordPress yêu cầu người dùng trả khoản phí khá lớn như VaultPress và WP Time Capsule.
5. Ngăn chặn duyệt thư mục
Một lỗ hổng bảo mật lớn khác của WordPress là để các thư mục và các tệp bị lộ và có thể truy cập công khai. Trước tiên, bạn hãy thử kiểm tra xem các thư mục WordPress của bạn có được bảo vệ tốt không bằng cách nhập URL https://www.domain.com/wp-includes/ trong trình duyệt. Nếu nó không hiển thị hoặc chuyển hướng bạn trở lại trang chủ thì nghĩa là thư mục của bạn an toàn. Tuy nhiên, nếu bạn thấy màn hình tương tự như hình ảnh bên dưới thì nghĩa là trang của bạn chưa được bảo vệ.
Để ngăn truy cập vào tất cả các thư mục, hãy đặt mã này trong tệp .htaccess của bạn:
Nếu trang web của bạn chạy trên nginx, bạn có thể thêm vào như sau:
6. Luôn cập nhật các tệp & plugin WordPress Core
Một trong những cách hiệu quả nhất để giữ an toàn cho trang web WordPress của bạn là đảm bảo các tệp luôn được cập nhật lên bản phát hành mới nhất. Hiện tại, WordPress đã tích hợp bản cập nhật tự động, bạn chỉ cần đảm bảo rằng bạn hoặc nhà phát triển không tắt chức năng này.
7. Chọn mật khẩu mạnh
WordPress hiện có một trường gợi ý mật khẩu mạnh giống như ảnh bên dưới khi tạo tài khoản mới hoặc cập nhật mật khẩu mới. Nó sẽ đánh giá mật khẩu của bạn mạnh hay yếu. Bạn nên chọn mật khẩu mạnh, nhưng nhược điểm của việc này là bạn có thể không nhớ rõ các ký tự trong dãy mật khẩu. Bạn cũng có thể sử dụng một trình quản lý mật khẩu như 1Password hoặc LastPass.
8. Xóa quản trị viên
Bản cài đặt điển hình của WordPress thường đi kèm với một người dùng mặc định có tên là "admin". Vì lý do bảo mật, bạn không nên sử dụng luôn tài khoản quản trị viên đó để vào blog WordPress của mình.
Cách tiếp cận an toàn hơn để đăng nhập là tạo quản trị viên mới và xóa "admin" mặc định. Bạn có thể thể thực hiện theo các bước sau:
- Đăng nhập vào bảng điều khiển WordPress
- Chuyển đến Users ->Add New
- Thêm người dùng mới với vai trò Administrator và hãy chọn một mật khẩu mạnh.
- Đăng xuất khỏi WordPress, đăng nhập lại với quản trị viên mới của bạn.
- Chuyển đến Users
- Xóa tài khoản "admin"
Nếu bạn đã từng dùng tài khoản "admin" để đăng nội dung, thì đừng quên tìm lại thuộc tính của tất cả các bài đăng rồi liên kết với tài khoản người dùng mới.
9. Vô hiệu hóa XMLRPC
XMLRPC trong WordPress là một điểm tấn công phổ biến của tin tặc. Bạn có thể vô hiệu hóa nó khi trang web không yêu cầu XMLRPC, hoặc hạn chế điểm cuối XMLRPC đối với một số IP nhất định trong trường hợp cần thiết, ví dụ:
10. Thêm tiêu đề bảo mật HTTP
Thêm các tiêu đề bảo mật HTTP cũng là một cách để tăng cường lớp bảo mật cho trang web của bạn, giúp giảm thiểu các cuộc tấn công mạng. Các tiêu đề sẽ xâm nhập vào trình duyệt để thay đổi theo hướng nhất định được đặt trong các tiêu đề. Ví dụ: X-Frame-Options sẽ cho phép bạn kiểm tra xem trang web có thể được nhúng trong iframe hay không. Các loại tiêu đề khác bạn có thể thêm bao gồm: X-XSS-Protection, Strict-Transport-Security, X-Content-Type-Options, Content-Security-Policy, và Referrer-Policy.
Ngoài những phương pháp trên, bạn cũng có thể đăng ký WPVulnDB để xác định lỗ hổng trong bảo mật trang web của mình. WPVulnDB sẽ kiểm tra WordPress Core và các Plugins, cho biết loại lỗ hổng, phiên bản nào bị ảnh hưởng và đã được sửa lại hay chưa.
Bên cạnh đó, các bạn tham khảo thêm về cách bảo mật đăng nhập WordPress tại đây.