Trong phát triển web, rất phổ biến khi thấy các chủ sở hữu trang web WordPress bận rộn với các mối quan tâm về bảo mật.
Lý do chính bởi vì mã nguồn mở rất dễ bị tấn công bởi nhiều mối nguy hiểm khác nhau – cho nên tại bài viết này mình sẽ hướng dẫn mọi người một số mẹo bảo mật WordPress cơ bản giúp bạn yêu tâm sử dụng hơn.
1. Thiết lập chặn trang web và cấm người dùng
Tính năng khóa giới hạn số lần đăng nhập có thể giải quyết vấn đề này, vì tội phạm mạng sẽ không còn có thể sử dụng requets kiểm tra check mật khẩu. Bất cứ khi nào ai đó cố gắng hack bằng mật khẩu sai liên tục, trang web sẽ bị sập và bạn sẽ được thông báo về hoạt động trái phép này .
iThemes Security plugin là một trong những plugin tốt nhất của loại hình này. Cho phép bạn chỉ định số lần đăng nhập, sau đó plugin sẽ cấm truy cập từ địa chỉ IP của kẻ tấn công. Bạn cũng có thể sử dụng plugin “ Wordfence Security – Firewall & Malware Scan ” do wordfence tạo ra để giải quyết vấn đề này.
2. Sử dụng xác thực hai yếu tố
Sử dụng xác thực 2 yếu tố (2FA) trên trang đăng nhập là một biện pháp bảo mật tốt khác. Trong trường hợp này, người dùng cung cấp chi tiết đăng nhập với hai thành phần khác nhau. Chủ sở hữu trang web quyết định hai yếu tố đó là gì. Nó có thể là một mật khẩu thông thường, theo sau là một câu hỏi bí mật, một mã bí mật, một bộ ký tự, v.v.
Plugin Google Authenticator có thể trợ giúp điều đó chỉ trong vài cú nhấp chuột. Cài đặt ứng dụng Google Authenticator trên điện thoại di động của bạn và truy cập trang web của bạn bằng quy trình 2FA an toàn.
3. Sử dụng email làm đăng nhập
Theo mặc định, bạn phải nhập tên người dùng của mình để đăng nhập. Sử dụng ID email thay vì tên người dùng là một cách tiếp cận an toàn hơn một chút để bảo vệ trang web của bạn. Lý do là khá rõ ràng. Tên người dùng rất đơn giản và dễ đoán, trong khi ID email thì phức tạp và khó đoán. Ngoài ra, bất kỳ tài khoản người dùng WordPress nào cũng luôn được tạo bằng một địa chỉ email duy nhất, làm cho nó trở thành một số nhận dạng đăng nhập hợp lệ.
Bạn nên cài WP-Email Login nó sẽ bắt đầu hoạt động ngay sau khi kích hoạt và không yêu cầu bất kỳ cấu hình nào.
4. Đổi tên URL đăng nhập của bạn
Thay đổi URL đăng nhập rất dễ thực hiện. Theo mặc định, bạn có thể dễ dàng truy cập trang đăng nhập WordPress bằng cách thêm wp-login.php hoặc wp-admin vào URL chính của trang.
Thủ thuật nhỏ này ngăn không cho ai đó vào trang đăng nhập. Chỉ ai đó có URL chính xác mới có thể làm điều này. Một lần nữa, plugin iThemes Security có thể giúp bạn thay đổi các URL đăng nhập của mình.
Bạn có thể thay đổi wp-login.php thành một cái gì đó duy nhất; ví dụ my_new_login
Và thay đổi / wp-admin / bằng một cái gì đó như my_new_admin
5. Đặt mật khẩu của bạn
Thay đổi mật khẩu trang web thường xuyên. Cải thiện độ bền của phím bằng cách thêm chữ hoa và chữ thường, số và các ký tự đặc biệt.
6. Bảo vệ thư mục wp-admin
Thư mục wp-admin là trung tâm của bất kỳ trang web WordPress nào. Do đó, nếu phần này của trang web của bạn bị tấn công, toàn bộ trang web có thể bị hỏng. Một cách giải quyết vấn đề này là đặt mật khẩu bảo vệ thư mục wp-admin. Với biện pháp bảo mật này, chủ sở hữu trang web có thể truy cập bảng điều khiển bằng hai mật khẩu.
Bạn có thể sử dụng plugin AskApache Password Protect để bảo vệ khu vực quản trị. Thao tác này tự động tạo tệp .htpasswd, mã hóa mật khẩu và định cấu hình quyền bảo mật của tệp.
7. Sử dụng SSL để mã hóa dữ liệu
Triển khai chứng chỉ SSL là một bước đi thông minh để bảo vệ bảng điều khiển quản trị của bạn. Chứng chỉ SSL đảm bảo việc truyền dữ liệu an toàn giữa trình duyệt của người dùng và máy chủ , giúp tin tặc khó xâm nhập hoặc làm sai lệch thông tin của bạn.
Để kích hoạt ssl bạn có thể đọc bài viết này: Hướng dẫn kích hoạt SSL miễn phí tại Hosting iNET
8. Thêm tài khoản người dùng một cách cẩn thận
Nếu bạn có một trang web WordPress với nhiều tác giả, bạn phải đối phó với nhiều người truy cập vào bảng điều khiển quản trị của bạn.
Bạn có thể sử dụng một plugin buộc người dùng của mình sử dụng mật khẩu mạnh để đảm bảo rằng họ sử dụng là mật khẩu.
9. Giám sát các tệp của bạn
Nếu bạn muốn thêm một số bảo mật bổ sung, bạn có thể theo dõi các thay đổi của tệp trang web thông qua các plugin như Wordfence.
10. Sao lưu trang web của bạn thường xuyên
Bất kể trang web của bạn an toàn đến đâu, bạn phải luôn đảm bảo có 1 bản backup. Và cuối cùng, giữ một bản sao lưu khỏi máy chủ gốc của bạn có lẽ là cách giải độc tốt nhất, bất kể là gì.
11. Chỉnh sửa tệp bị cấm
Nếu người dùng có quyền truy cập quản trị viên vào bảng điều khiển WordPress của bạn, họ sẽ có thể chỉnh sửa bất kỳ tệp nào nằm trong cài đặt. Điều này bao gồm tất cả các plugin và chủ đề.
Tuy nhiên, nếu bạn không cho phép chỉnh sửa tệp, ngay cả khi tin tặc có được quyền truy cập quản trị vào bảng điều khiển WordPress của bạn , họ sẽ không thể chỉnh sửa bất kỳ tệp nào.
Thêm phần sau vào tệp wp-config.php (ở cuối):
define (‘DISALLOW_FILE_EDIT’, true);
12. Đặt các quyền của thư mục một cách cẩn thận
Việc thay đổi quyền đối với tệp và thư mục là một quyết định tốt để bảo vệ trang web ở cấp độ hosting. Đặt quyền thư mục thành “755” và tệp thành “644” bảo vệ toàn bộ hệ thống tệp, thư mục, thư mục con và các tệp riêng.
Đó là tất cả- chúc các bạn thành công.