Bảo mật WordPress – 24 mẹo để bảo mật trang web của bạn khỏi tin tặc

Bảo mật WordPress nên là ưu tiên hàng đầu khi quản lý một trang web. Bạn thiết kế trang web của mình, xuất bản nội dung, bán sản phẩm trực tuyến, nhưng nếu bạn không coi trọng bảo mật WordPress, trang web của bạn có thể bị hack bất cứ lúc nào. 


Mỗi ngày 30.000 trang web bị tấn công và hơn 2.000 trang web bị Google đưa vào danh sách đen. Bạn không phải là một ngoại lệ. Nếu một trang web của chính phủ có thể bị hack, thì tại sao không phải là của bạn?

Một buổi sáng, bạn thức dậy và thấy trang web WordPress của mình không thể truy cập và thấy các tin nhắn ngẫu nhiên như,

Trang web của bạn bị hack bởi xyz, – trang web bị hack

Trang web phía trước có chứa phần mềm độc hại, được liệt kê vào danh sách đen của Google

Đây là điều tồi tệ nhất bạn có thể gặp phải với trang web của bạn.

Nhưng, tại sao WordPress?

WordPress có hơn 31% (80 triệu) tổng số trang web trên web. Dựa theo W3Tech, WordPress có 60% thị phần CMS nhiều hơn các nền tảng khác, đó là một lý do khá vững chắc để thu hút tin tặc.

Nhưng don lồng hoảng. Bảo vệ an ninh WordPress rất dễ dàng và bạn cũng có thể làm điều đó.

Trong bài viết này, tôi sẽ chia sẻ 24 mẹo bảo mật WordPress tốt nhất để bảo vệ trang web của bạn khỏi tin tặc và phần mềm độc hại.

Tại sao không làm cho cánh cổng đến cung điện của bạn biến mất trước khi họ phát hiện ra nó? – WPMyWeb

Contents

Các sự cố bảo mật WordPress phổ biến

Trước khi chúng tôi đi sâu vào các thực tiễn tốt nhất về bảo mật WordPress, trước tiên, hãy hiểu một vài vấn đề bảo mật WordPress phổ biến.

Nhiều người dùng tin rằng WordPress là một nền tảng an toàn để sử dụng cho doanh nghiệp, điều này hoàn toàn không đúng. Điều này là do thiếu kiến ​​thức về bảo mật WordPress, quản trị hệ thống kém, sử dụng các phần mềm và plugin WordPress lỗi thời, v.v..

Nhiều người mới bắt đầu WordPress cho rằng việc tạo một trang web là kết thúc và nó không yêu cầu bảo trì. Đây là cách bạn rời khỏi trang web của bạn dễ bị tổn thương.

Khi tin tặc tìm thấy lỗ hổng trong trang web của bạn, họ có thể dễ dàng khai thác trang web của bạn.

Hãy cùng kiểm tra một số vấn đề phổ biến về bảo mật WordPress.

1. Tấn công vũ phu: 

Trong cuộc tấn công vũ phu, một tập lệnh tự động được sử dụng để tạo ra các kết hợp khác nhau của tên người dùng và mật khẩu. Hacker sử dụng trang đăng nhập WordPress, để chạy tấn công vũ phu. 

Nếu bạn đang sử dụng tên người dùng và mật khẩu đơn giản, thì bạn có thể là nạn nhân tiếp theo của cuộc tấn công này.

2. Tập lệnh chéo trang web (XSS):

Cross Site Scripting là một kiểu tấn công trong đó những kẻ tấn công tiêm mã / tập lệnh độc hại vào một trang web đáng tin cậy. Phương pháp hack này hoàn toàn vô hình đối với người dùng đang lướt web.

Các tập lệnh độc hại này tải ẩn danh và đánh cắp thông tin từ trình duyệt của người dùng. Ngay cả khi người dùng nhập bất kỳ dữ liệu nào vào bất kỳ dạng nào, dữ liệu vẫn có thể bị đánh cắp.

3. Tiêm SQL:

WordPress sử dụng cơ sở dữ liệu MySQL để lưu trữ thông tin blog.

SQL tiêm xảy ra khi tin tặc có quyền truy cập vào cơ sở dữ liệu WordPress. Bằng cách hack cơ sở dữ liệu WordPress, tin tặc có thể tạo tài khoản quản trị viên mới với toàn quyền truy cập vào trang web của bạn.

Họ cũng có thể chèn dữ liệu vào cơ sở dữ liệu MySQL của bạn và thêm liên kết đến các trang web độc hại hoặc spam.

4. Cửa hậu:

Với tên gọi là Cửa sau, bạn có thể hiểu ý nghĩa của nó. 

Backdoor là một phương pháp hack cho phép tin tặc xâm nhập vào một trang web bằng cách bỏ qua quá trình xác thực thông thường và thậm chí không bị phát hiện từ chủ sở hữu trang web.

Sau khi hack một trang web, tin tặc thường để lại dấu chân của chúng, để chúng có thể phản ứng lại với trang web ngay cả khi hack bị xóa.

5. hack dược phẩm:

WordPress Pharma hack là một loại spam trang web lấp đầy kết quả của công cụ tìm kiếm với nội dung dược phẩm bị cấm trên web như Viagra, Nexium, Cialis, v.v..

Không giống như các hack WordPress khác, kết quả hack dược phẩm chỉ hiển thị cho các công cụ tìm kiếm. Vì vậy, bạn có thể phát hiện ra vụ hack bằng cách chỉ xem trang web của bạn hoặc mã nguồn.

Truy cập Google và gõ trang web: domain.com. Nếu kết quả tìm kiếm hiển thị nội dung trang web của bạn (không phải nội dung của nhà thuốc), thì trang web của bạn không bị ảnh hưởng bởi hack dược phẩm.

Mục tiêu của vụ hack này là khai thác các trang có giá trị nhất của bạn bằng cách ghi đè thẻ tiêu đề bằng các liên kết có hại. Chưa kể, nếu bạn không kiểm tra vấn đề sớm, các công cụ tìm kiếm như Google, Bing có thể đưa vào danh sách đen trang web của bạn để cung cấp nội dung độc hại.

6. Chuyển hướng độc hại:

Chuyển hướng độc hại WordPress là một loại hack trong đó khách truy cập trang web của bạn được tự động chuyển hướng đến các trang web spam như cờ bạc, khiêu dâm, các trang web hẹn hò. Vụ hack này xảy ra khi mã độc được tiêm vào trang web hoặc tệp cơ sở dữ liệu của bạn.

Nếu trang web của bạn chuyển hướng khách truy cập đến các trang web bất hợp pháp hoặc độc hại, trang web của bạn có thể sẽ bị Google đưa vào danh sách đen.

Tại sao bảo mật WordPress lại quan trọng?

Trang web của bạn đại diện cho thương hiệu, doanh nghiệp của bạn và quan trọng nhất là lần tiếp xúc đầu tiên với khách hàng của bạn.

Có lẽ bạn phải mất vài năm với rất nhiều nỗ lực để đứng vững trong công việc kinh doanh và tăng lưu lượng truy cập của bạn. Khán giả của bạn yêu thích bài viết của bạn và tin tưởng vào sản phẩm của bạn, đó là lý do tại sao họ giữ liên lạc với bạn.

Nếu trang web WordPress của bạn không an toàn, có nhiều cách cả trang web và khách hàng của bạn sẽ bị ảnh hưởng. Tin tặc có thể đánh cắp thông tin cá nhân, mật khẩu, chi tiết thẻ tín dụng, thông tin giao dịch và có thể phân phối phần mềm độc hại cho người dùng của bạn.

Nếu trang web của bạn bị hack, bạn sẽ thấy lưu lượng truy cập của mình đang giảm mạnh. Hơn nữa, Google sẽ đưa vào danh sách đen trang web của bạn.

Theo Blog Google, số lượng trang web bị tấn công đang tăng khoảng 20% ​​trong năm 2016 so với năm 2015.

Trong một nghiên cứu, Securi báo cáo Google danh sách đen hơn 10.000 trang web mỗi ngày.

Nếu bạn nghiêm túc về công việc kinh doanh của mình, bạn cần chú ý hơn đến bảo mật WordPress của mình.

Bảo mật WordPress

Hướng dẫn bảo mật WordPress tốt nhất

  1. Nhận một WordPress Hosting tốt
  2. Cập nhật phiên bản WordPress
  3. Don Liên Sử dụng bất kỳ Chủ đề hoặc Plugin Nulled / Cracked
  4. Sử dụng mật khẩu mạnh
  5. Thêm (2FA) Xác thực hai yếu tố
  6. Thay đổi URL đăng nhập WordPress
  7. Hạn chế nỗ lực đăng nhập
  8. Sao lưu trang web của bạn thường xuyên
  9. Sử dụng plugin bảo mật WordPress
  10. Tự động đăng xuất người dùng nhàn rỗi
  11. Thêm câu hỏi bảo mật vào trang đăng nhập WordPress
  12. Thay đổi tên người dùng admin mặc định
  13. Chỉ định người dùng ở vai trò thấp nhất có thể
  14. Giám sát thay đổi tệp và hoạt động của người dùng
  15. Cài đặt chứng chỉ SSL
  16. Xóa các chủ đề và plugin không sử dụng
  17. Vô hiệu hóa chỉnh sửa tệp trong bảng điều khiển WordPress
  18. Mật khẩu bảo vệ trang đăng nhập WordPress
  19. Vô hiệu hóa duyệt thư mục
  20. Xóa số phiên bản WordPress của bạn
  21. Thay đổi tiền tố bảng cơ sở dữ liệu WordPress
  22. Chỉ sử dụng các chủ đề và plugin WordPress đáng tin cậy
  23. Vô hiệu hóa báo cáo lỗi PHP
  24. Thêm tiêu đề bảo mật HTTP vào WordPress

Sẵn sàng? Hãy bắt đầu.

1. Nhận một WordPress Hosting tốt

Lưu trữ WordPress đóng vai trò chính khi cải thiện bảo mật WordPress.

Bạn đang trả tiền cho dịch vụ lưu trữ và trang web của bạn nằm dưới sự kiểm soát của họ. Vì vậy, bạn nên cẩn thận trước khi chọn một lưu trữ WordPress tốt cho trang web của bạn.

Lưu trữ được chia sẻ như A2hosting, Bluehost, vv là các tùy chọn lưu trữ tốt nhất để chạy blog lưu lượng truy cập thấp. Nhưng trong lưu trữ được chia sẻ, sẽ luôn có cơ hội lây nhiễm chéo trang web.

Ô nhiễm chéo trang web xảy ra khi tin tặc có thể truy cập máy chủ web thông qua một trang web dễ bị tấn công và sau đó khai thác tất cả các trang web khác trên cùng một máy chủ web.

Chúng tôi khuyên bạn nên sử dụng nhà cung cấp dịch vụ lưu trữ WordPress được quản lý. Các công ty lưu trữ WordPress được quản lý cung cấp các tùy chọn bảo mật nhiều lớp cho các trang web. Nền tảng lưu trữ của họ được bảo mật cao và họ cung cấp quét phần mềm độc hại hàng ngày và ngăn chặn mọi cuộc tấn công bên ngoài. Nếu bằng mọi cách, họ tìm thấy phần mềm độc hại trên máy chủ của mình, họ chịu trách nhiệm và xóa nó ngay lập tức.

Họ cũng cung cấp sao lưu hàng ngày, chứng chỉ SSL miễn phí, hỗ trợ chuyên gia 24 × 7.

Chúng tôi khuyên bạn nên quản lý công ty lưu trữ WordPress WPEngine. Họ cung cấp nhiều lớp bảo mật để bảo vệ trang web WordPress của bạn. Với gói của họ, bạn sẽ nhận được bản sao lưu hàng ngày, SSL miễn phí, CDN toàn cầu và hỗ trợ chuyên gia 24 × 7.

Chuyến thăm WPEngine. [Mã giảm giá được thêm vào trong liên kết này]

Trở lại đầu trang

2. Cập nhật phiên bản WordPress

Luôn cập nhật trang web WordPress của bạn là một cách bảo mật tốt để tăng cường bảo mật WordPress của bạn. Bản cập nhật này bao gồm phiên bản WordPress, plugin và chủ đề.

Trong một nghiên cứu gần đây, Securi đã phân tích rằng 56% tổng số trang web bị nhiễm WordPress vẫn chưa được cập nhật. Nếu bạn là một trong số họ, bạn sẽ gặp nguy hiểm.

Mỗi ngày các lỗ hổng mới được phát hiện và ở đó, không có cách nào ngăn chặn chúng. Phần mềm và plugin lỗi thời có thể chứa lỗ hổng mà hacker có thể sử dụng để khai thác trang web.

Với mỗi bản cập nhật, nhà phát triển bao gồm các tính năng mới, vá các lỗ hổng bảo mật, sửa lỗi, v.v. Giống như phần mềm WordPress, bạn cũng cần cập nhật các chủ đề và plugin WordPress của mình.

Điều tốt là WordPress tự động tung ra các bản cập nhật và thông báo cho người dùng của mình.

Cập nhật phiên bản WordPress, plugin và chủ đề rất dễ dàng và bạn có thể thực hiện thông qua bảng điều khiển quản trị viên WordPress của mình.

Cách cập nhật WordPress, Plugin và Chủ đề?

Đầu tiên đăng nhập vào bảng điều khiển WordPress của bạn và đi đến bảng điều khiển> Cập nhật. Ở đó bạn có thể thấy nếu có một bản cập nhật mới.

Ghi chú: Trước khi cập nhật phiên bản WordPress của bạn, hãy sao lưu toàn bộ tệp và cơ sở dữ liệu của bạn. Trong trường hợp xảy ra lỗi, bạn có thể dễ dàng khôi phục trang web của mình về phiên bản trước. Bạn có thể dễ dàng sao lưu và khôi phục trang web của mình bằng BlogVault chỉ bằng một cú nhấp chuột.

Từ trang này, bạn có thể thấy được Phiên bản cập nhật của WordPress có sẵn. Bấm vào Cập nhật bây giờ nút để cập nhật phiên bản WordPress của bạn, quá trình này có thể mất vài giây.

Sau khi cập nhật hoàn tất, hãy cuộn xuống bên dưới để cập nhật các plugin WordPress của bạn. Chúng tôi khuyên bạn nên cập nhật từng plugin một. Đầu tiên, chọn một plugin và nhấp vào Cập nhật plugin.

Cách tương tự, cập nhật chủ đề của bạn dưới đây.

Cập nhật WordPress từ Bảng điều khiển

Tuy nhiên, quá trình cập nhật hơi phức tạp đối với một số người dùng, đặc biệt là những người không am hiểu về công nghệ.

Một số nhà cung cấp dịch vụ lưu trữ WordPress được quản lý như SiteGround, Kinsta, FlyWheel cung cấp cập nhật tự động đặc tính. Vì vậy, nếu bạn đang trong một lịch trình bận rộn hoặc lười cập nhật, điều này có thể hữu ích.

Cũng đọc, Cách cập nhật thủ công Phiên bản WordPress, plugin và Chủ đề

Trở lại đầu trang

3. Không cần sử dụng bất kỳ Chủ đề và Plugin nào bị loại bỏ / bẻ khóa

Không có gì ngạc nhiên khi các plugin và chủ đề cao cấp bao gồm nhiều chức năng hơn và trông chuyên nghiệp hơn. Nhưng, không có sản phẩm cao cấp nào là miễn phí. Nó đi kèm với một mức giá và sau khi mua bất kỳ sản phẩm cao cấp, người dùng cần nhập khóa sản phẩm để kích hoạt sản phẩm.

Nhưng, có nhiều trang web độc hại có sẵn cung cấp các chủ đề và plugin cao cấp miễn phí. Những chủ đề và plugin bị bẻ khóa don này yêu cầu một khóa nối tiếp để kích hoạt và không bao giờ được cập nhật.

Ở đây, ý của tôi là:

Ví dụ về plugin WordPress Nulled

Những chủ đề và plugin bị vô hiệu hóa rất nguy hiểm cho trang web của bạn. Tin tặc đặc biệt tiêm mã độc vào đó và tạo một cửa hậu cho trang web của bạn. Vì vậy, họ có thể dễ dàng truy cập trang web của bạn và hack trang web của bạn bao gồm cả cơ sở dữ liệu.

Vì vậy, không bao giờ sử dụng bất kỳ chủ đề và plugin WordPress bị vô hiệu hóa hoặc bị bẻ khóa.

Chúng tôi khuyên bạn chỉ nên tải xuống các chủ đề hoặc plugin miễn phí từ WordPress.org.

Chúng tôi hiểu rằng chủ đề miễn phí hoặc plugin có chức năng rất hạn chế. Nhưng, các chủ đề hoặc plugin miễn phí đó an toàn để sử dụng và được cập nhật thường xuyên.

Cũng đọc, 7 chủ đề viết blog cao cấp tốt nhất cho WordPress

Trở lại đầu trang

4. Sử dụng mật khẩu mạnh

Mật khẩu là chìa khóa chính để truy cập trang web WordPress của bạn. Nếu nó đơn giản và ngắn, thì tin tặc có thể dễ dàng bẻ khóa mật khẩu của bạn. Kết thúc 80% xảy ra vi phạm liên quan đến hack do mật khẩu yếu hoặc mật khẩu bị đánh cắp.

Trong một nghiên cứu gần đây, SplashData tiết lộ 100 mật khẩu tồi tệ nhất năm 2017.

Đây là một vài trong số họ:

  1. 123456
  2. mật khẩu
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. cho tôi vào
  8. 1234567
  9. bóng đá
  10. Tôi mến bạn
  11. quản trị viên
  12. chào mừng
  13. khỉ (lol)

Nếu mật khẩu của bạn đơn giản như trên, thì ngay lập tức thay đổi nó. Mật khẩu cường độ tốt phải có ít nhất 10 chữ số và chứa chữ hoa, chữ thường, số và ký tự đặc biệt.

Bạn có thể sử dụng một công cụ tạo mật khẩu trực tuyến tạo ngay lập tức hàng ngàn mật khẩu được bảo mật.

Bạn cũng cần lưu mật khẩu vào máy tính của mình.

Để dễ dàng hơn, bạn có thể sử dụng phần mềm quản lý mật khẩu để quản lý tất cả mật khẩu của mình như LastPass, Dashlane, v.v..

Thực thi mật khẩu mạnh cho người dùng

Theo mặc định, WordPress không có một chức năng ngăn người dùng nhập mật khẩu yếu. Hầu hết người dùng đặt mật khẩu yếu cho tài khoản của họ và hầu như không thay đổi mật khẩu.

Nếu bạn đang chạy một blog WordPress nhiều người dùng, thì bạn nên buộc người dùng sử dụng một mật khẩu mạnh.

Để làm cho quá trình này dễ dàng hơn, bạn có thể sử dụng một plugin. Cài đặt và kích hoạt Buộc mật khẩu mạnh Plugin và bạn đã hoàn thành. Điều này sẽ ngăn người dùng và thậm chí quản trị viên nhập mật khẩu yếu.

Trở lại đầu trang

5. Thêm xác thực hai yếu tố (2FA) 

Một phương pháp đơn giản khác để tăng cường bảo mật WordPress của bạn là thêm xác thực hai yếu tố (2FA) vào trang đăng nhập WordPress của bạn. Về cơ bản, xác thực hai yếu tố hoặc xác minh hai bước là một quy trình bảo mật yêu cầu hai phương pháp để xác minh danh tính của bạn.

Theo mặc định, chúng tôi thường nhập tên người dùng và mật khẩu để đăng nhập vào một trang web. Bằng cách thêm xác thực hai yếu tố sẽ yêu cầu bạn thêm quy trình xác minh như ứng dụng điện thoại thông minh để phê duyệt quy trình xác thực.

Vì vậy, nếu ai đó biết tên người dùng và mật khẩu của bạn, họ cần điện thoại thông minh của bạn để lấy mã xác minh để đăng nhập vào trang web của bạn.

Bằng cách thêm xác thực hai yếu tố, bạn không chỉ bảo mật trang đăng nhập WordPress của mình mà còn ngăn chặn các cuộc tấn công vũ phu.

Bạn có thể bật xác thực hai yếu tố một cách dễ dàng bằng cách sử dụng plugin WordPress xác thực hai yếu tố của Google.

Sau khi kích hoạt, đi đến Người dùng> Thông tin người dùng và kích hoạt plugin.

Cài đặt Google Authenticator

Sau đó tải xuống ứng dụng Google xác thực từ điện thoại của bạn và quét Mã vạch hoặc nhập Mã bí mật (xem ảnh chụp màn hình ở trên) từ trang web của bạn để thêm trang web của bạn.

Sau khi thêm, đăng xuất khỏi trang web của bạn. Trên trang đăng nhập, bạn sẽ thấy một trường bổ sung nơi bạn cần nhập mã xác minh từ ứng dụng di động Google Authenticator.

Trường Google Authenticator

Để biết hướng dẫn chi tiết, hãy xem hướng dẫn về cách thêm xác thực hai yếu tố của Google trên trang đăng nhập WordPress.

Trở lại đầu trang

6. Thay đổi URL trang đăng nhập WordPress

Theo mặc định, bất kỳ ai cũng có thể truy cập trang đăng nhập của bạn bằng cách thêm đơn giản là wp-admin wp-login.php.

Đoán xem! Tin tặc có thể chạy tấn công vũ phu bằng cách sử dụng trang đăng nhập của bạn. Nếu bạn đang sử dụng một mật khẩu rất đơn giản, thì tin tặc có thể dễ dàng bẻ khóa mật khẩu của bạn và vào trang web của bạn.

Nhưng chuyện gì sẽ xảy ra nếu họ không biết tấn công ở đâu? Có, bạn đoán đúng.

Nếu bạn ẩn hoặc đổi tên URL trang đăng nhập của mình, thì tin tặc sẽ có thể thực hiện một cuộc tấn công vũ phu.

Trong WordPress, bạn có thể dễ dàng ẩn hoặc đổi tên trang đăng nhập của mình bằng cách sử dụng plugin. Từ thư viện plugin WordPress, cài đặt và kích hoạt WPS Ẩn Đăng nhập cắm vào.

Sau khi kích hoạt, đi đến Cài đặt> Chung và ở phía dưới, bạn có thể tìm thấy Tùy chọn ẩn Hide WP.

WPS Ẩn cài đặt đăng nhập

Chỉ cần thay đổi URL đăng nhập “đăng nhập” đến một cái gì đó khó đoán và nhấp vào Lưu thay đổi.

Sau khi hoàn thành, đánh dấu trang đăng nhập mới và bạn đã hoàn tất.

Trở lại đầu trang

7. Hạn chế nỗ lực đăng nhập

Theo mặc định, WordPress không giới hạn số lần đăng nhập thông qua biểu mẫu đăng nhập. Điều đó có nghĩa là bất cứ ai cũng biết URL đăng nhập của bạn có thể thử chức năng đăng nhập bao nhiêu lần tùy ý. Bằng cách này, tin tặc thực hiện một cuộc tấn công vũ phu để bẻ khóa tên người dùng của bạn và mật khẩu của bạn để truy cập trang web của bạn.

Bằng cách hạn chế các nỗ lực đăng nhập, bạn có thể tăng cường bảo mật WordPress và bảo vệ trang đăng nhập của bạn khỏi các cuộc tấn công vũ phu.

Bạn có thể đặt số lần đăng nhập không chính xác tối đa mà người dùng có thể thực hiện từ cùng một địa chỉ IP. Nếu người dùng vượt quá giới hạn, IP của người dùng sẽ bị chặn trong một thời gian cụ thể.

Để hạn chế các lần thử đăng nhập trong WordPress, hãy cài đặt Đăng nhập LockDown cắm vào. Sau khi kích hoạt, đi đến Cài đặt> Đăng nhập LockDown để cấu hình plugin.

Đăng nhập Cài đặt LockDown

Để biết hướng dẫn chi tiết, hãy xem hướng dẫn của chúng tôi về cách hạn chế các lần thử đăng nhập trong WordPress

Trở lại đầu trang

8. Sao lưu trang web của bạn thường xuyên

Sao lưu giống như Time Machine. Nếu bạn có nó, trang web của bạn an toàn.

Tuy nhiên, sao lưu trang web don lồng bảo vệ trang web của bạn khỏi tin tặc nhưng nó giúp bạn khôi phục trang web của bạn.

Chẳng hạn, nếu có sự cố xảy ra với trang web của bạn trong quá trình cập nhật hoặc trang web của bạn bị hack, bạn sẽ sửa chữa trang web của mình như thế nào? Bạn có thể mất trang web của bạn.

Nhưng nếu bạn có bản sao lưu của trang web của mình, bạn có thể dễ dàng khôi phục trang web của mình trước thời điểm nó bị hack hoặc bị sập.

Đó là lý do tại sao chúng tôi khuyên bạn nên sử dụng một plugin sao lưu WordPress đáng tin cậy. Tuy nhiên, nhiều công ty lưu trữ cung cấp sao lưu trang web miễn phí, nhưng họ có thể đảm bảo tính khả dụng của trang web của bạn nếu có sự cố nghiêm trọng. Vì vậy, bạn cần lưu các bản sao lưu vào một vị trí từ xa như Google Drive, Amazon S3, Dropbox, v.v..

Rất may, điều này có thể được thực hiện bằng cách sử dụng Plugin sao lưu BlogVault hoặc BackUpBuddy WordPress. Cả hai đều cung cấp sao lưu hàng ngày và khôi phục bằng một cú nhấp chuột. Bạn cũng có thể tạo một trang dàn dựng mà không mất thêm chi phí.

Trở lại đầu trang

9. Sử dụng Plugin bảo mật WordPress

Điều tiếp theo bạn cần để làm cứng Bảo mật WordPress là một plugin bảo mật. Có rất nhiều plugin bảo mật WordPress có sẵn sẽ khóa trang web của bạn khỏi tin tặc và phần mềm độc hại.

Các plugin bảo mật WordPress sẽ phát hiện và loại bỏ phần mềm độc hại nếu nó hiện diện trong trang web của bạn. Bên cạnh đó, họ giám sát hoạt động của người dùng trong thời gian thực, thông báo cho bạn nếu có bất cứ điều gì thay đổi, nếu một plugin có chứa phần mềm độc hại, chặn lưu lượng spam và nhiều hơn nữa.

Chúng tôi khuyên dùng Plugin Securi WordPress Security. Securi Security cung cấp một loại tính năng bảo mật khác nhau như kiểm tra hoạt động bảo mật, giám sát trang web, tường lửa trang web,  và nhiều thứ khác nữa.

Bí mật

Điều tốt nhất về Securi là nếu trang web của bạn bị Google hack hoặc đưa vào danh sách đen trong khi sử dụng dịch vụ của họ, họ đảm bảo rằng họ sẽ sửa chữa trang web của bạn.

Hầu hết các chuyên gia bảo mật WordPress tính phí hơn 300 đô la để sửa một trang web bị tấn công, trong khi bạn sẽ chỉ nhận được tất cả các dịch vụ bảo mật $ 199 mỗi năm. Nó là một khoản đầu tư tốt để tăng cường bảo mật WordPress của bạn.

Trở lại đầu trang

10. Tự động đăng xuất người dùng nhàn rỗi

Nếu người dùng không sử dụng hoặc không hoạt động trên trang web của bạn quá lâu, điều này có thể gây ra cuộc tấn công vũ phu.

Khi người dùng không hoạt động quá lâu, tin tặc có thể sử dụng phương thức chiếm quyền điều khiển cookie hoặc phiên để truy cập trái phép vào trang web của bạn. Đó là lý do tại sao hầu hết các trang web liên quan đến giáo dục và tài chính như ngân hàng và các trang web cổng thanh toán sử dụng chức năng hết thời gian phiên của người dùng. Vì vậy, khi người dùng điều hướng khỏi trang và không tương tác với nhau sau một khoảng thời gian, trang web sẽ tự động đăng xuất người dùng không hoạt động.

Chức năng tương tự bạn có thể thêm vào trang web WordPress của mình để cải thiện bảo mật WordPress của bạn. Thêm tự động đăng xuất người dùng nhàn rỗi trên WordPress cực kỳ đơn giản. Tất cả bạn cần để cài đặt một plugin.

Đầu tiên, tải xuống và cài đặt Thoát khỏi không hoạt động Plugin WordPress. Sau đó kích hoạt nó và đi đến Cài đặt> Thoát khỏi không hoạt động để cấu hình plugin.

Cài đặt Plugin đăng xuất không hoạt động

Từ cài đặt, bạn có thể thay đổi thời gian chờ không hoạt động. Vì vậy, sau thời gian, tất cả người dùng trong trang web của bạn sẽ tự động đăng xuất.

Bạn cũng có thể thay đổi tin nhắn hết thời gian chờ và sửa đổi các cài đặt khác nếu cần.

Sau khi hoàn thành, nhấp vào Lưu thay đổi để lưu trữ các cài đặt.

Để biết hướng dẫn chi tiết, hãy xem hướng dẫn của chúng tôi về cách tự động đăng xuất người dùng nhàn rỗi trong WordPress

Trở lại đầu trang

11. Thêm câu hỏi bảo mật vào trang đăng nhập WordPress

Bằng cách thêm câu hỏi bảo mật vào trang đăng nhập WordPress của bạn, bạn sẽ không chỉ bảo vệ trang đăng nhập WordPress của mình mà còn tăng cường bảo mật WordPress.

Câu hỏi bảo mật bổ sung thêm một lớp bảo mật để xác thực thêm danh tính của bạn trong quá trình đăng nhập. Điều này rất hữu ích nếu bạn đang chạy một blog WordPress đa tác giả.

Nếu bất kỳ người dùng nào của bạn, hoặc mật khẩu của bạn đã bị đánh cắp, thì câu hỏi bảo mật có thể cứu mạng.

Bởi vì tên người dùng và mật khẩu có thể bị hack dễ dàng, nhưng việc chọn đúng câu hỏi và câu trả lời bảo mật là không thể. Bằng cách này, bạn có thể lưu trang đăng nhập WordPress của mình khỏi tin tặc và tấn công vũ phu.

Để thêm câu hỏi Bảo mật trên trang đăng nhập WordPress, hãy cài đặt Câu hỏi bảo mật WP cắm vào.

Cài đặt câu hỏi bảo mật WP

Sau khi kích hoạt, đi đến Câu hỏi bảo mật WP > Cài đặt plugin để cấu hình plugin.

Theo mặc định, plugin có nhiều câu hỏi phổ biến được thêm vào. Nhưng, bạn có thể thêm hoặc xóa bất kỳ câu hỏi bảo mật nào khỏi danh sách.

Ở phía dưới, bạn có thể kích hoạt câu hỏi bảo mật trên trang đăng nhập, đăng ký và quên trang mật khẩu. Sau khi plugin được định cấu hình, don Nhận quên nhấp vào Lưu cài đặt.

Ghi chú: Chỉ người dùng mới có thể đặt câu hỏi và câu trả lời bảo mật của họ trong quá trình đăng ký. Vì vậy, người dùng đã đăng ký cần tự đặt câu hỏi và câu trả lời bảo mật. Bạn cũng có thể đặt câu hỏi bảo mật và câu trả lời cho họ. Điều này có thể được thực hiện từ Thông tin người dùng trang.

Thêm nhiều câu hỏi bảo mật WP

Để biết hướng dẫn chi tiết, hãy xem hướng dẫn của chúng tôi về cách thêm câu hỏi bảo mật vào trang đăng nhập WordPress

Trở lại đầu trang

12. Thay đổi tên người dùng mặc định của Admin Admin

Sau khi cài đặt WordPress, bạn có thể thay đổi mật khẩu của mình bao nhiêu lần bạn muốn. Nhưng bạn có thể thay đổi tên người dùng của mình sau khi cài đặt không? Không có quyền?

Theo mặc định, WordPress không cho phép người dùng thay đổi tên người dùng. Nhưng tại sao bạn nên thay đổi nó?

Nếu bạn đang sử dụng một tên người dùng rất phổ biến như là admin admin, thì tin tặc có thể chạy brute force kèm theo sự trợ giúp của tên người dùng của bạn.

Nhưng don lồng hoảng. Có một số cách bạn có thể thay đổi WordPress của mình một cách dễ dàng.

Tuy nhiên, để làm cho quá trình dễ dàng hơn, chúng tôi sẽ sử dụng một plugin. Đầu tiên, tải xuống và cài đặt thay đổi tên người dùng cắm vào. Sau đó đi đến Người dùng> Hồ sơ của bạn và tìm tùy chọn tên người dùng. Ở đó bạn sẽ tìm thấy tùy chọn Thay đổi tên người dùng.

Thay đổi tên người dùng WordPress

Bấm vào Thay đổi tên người dùng nút và nhập tên người dùng mới của bạn. Sau khi hoàn thành, nhấp vào Cập nhật hồ sơ.

Nếu bạn muốn thay đổi tên người dùng của mình theo cách thủ công (không có plugin), hãy xem bài viết 3 cách khác nhau để thay đổi tên người dùng WordPress.

Trở lại đầu trang

13. Gán người dùng ở vai trò thấp nhất có thể

Nếu bạn đang chạy một trang web WordPress đa tác giả, thì bạn cần cẩn thận trước khi gán vai trò cho người dùng.

Nhiều lần chủ sở hữu trang web WordPress gán vai trò người dùng cao hơn cho người dùng mới, theo cách này, bạn đang trao tất cả các đặc quyền cho người dùng và kết quả là, bất kỳ người dùng nào cũng có thể thực hiện bất kỳ nhiệm vụ nào họ muốn.

Ví dụ: nếu bạn không biết vai trò người dùng Trình chỉnh sửa nào có thể thực hiện và bạn gán vai trò cho người dùng thông thường, thì người dùng có thể xóa tất cả bài đăng của bạn, chỉnh sửa liên kết, tạo bài đăng spam, thêm liên kết độc hại vào blog của bạn bài viết. Đây là cách người dùng có thể dễ dàng phá hỏng trang web của bạn.

Theo mặc định, WordPress đi kèm với 5 vai trò người dùng khác nhau.

  • Người quản lý
  • Biên tập viên
  • Tác giả
  • Cộng tác viên
  • Người đăng kí
  1. Người quản lý: Quản trị viên là vai trò người dùng mạnh mẽ nhất trong một trang web WordPress. Họ có thể tạo, chỉnh sửa và xóa tài khoản người dùng, có thể thực hiện bất kỳ tác vụ nào trong toàn bộ bảng quản trị WordPress, có quyền kiểm soát trên toàn bộ khu vực nội dung và cũng có thể nhận xét vừa phải. 
  2. Biên tập viên: Người dùng có vai trò Biên tập viên có toàn quyền kiểm soát toàn bộ nội dung. Họ có thể tạo, chỉnh sửa và xóa bất kỳ bài đăng nào, kể cả các bài đăng được tạo bởi người dùng khác. Họ cũng có thể kiểm duyệt bình luận và sửa đổi liên kết.
  3. Tác giả: Tác giả chỉ có thể xuất bản, chỉnh sửa hoặc xóa bài viết của riêng họ. Họ có thể tải lên các tập tin phương tiện để sử dụng vào bài viết của họ. Họ có thể xem các bình luận nhưng có thể phê duyệt hoặc xóa bất kỳ bình luận nào.
  4. Cộng tác viên: Người dùng có vai trò Cộng tác viên chỉ có thể viết, chỉnh sửa hoặc xóa bài đăng chưa được công bố của họ, nhưng họ có thể xuất bản bài đăng của riêng họ.
  5. Người đăng kí: Người đăng ký chỉ có thể chỉnh sửa thông tin tài khoản của họ bao gồm mật khẩu, nhưng họ không có quyền truy cập vào nội dung hoặc cài đặt trang. Họ có khả năng thấp nhất trong một trang web WordPress.

Bằng cách hiểu vai trò người dùng WordPress, bạn có thể dễ dàng quản lý chúng mà không gặp rủi ro.

Chúng tôi cũng khuyên bạn nên đặt Vai trò mặc định của người dùng mới là Người đăng ký. Chuyển đến Cài đặt> Cài đặt chung và từ bộ của họ Vai trò mặc định của người dùng mới Người đăng kí và bấm vào Lưu thay đổi.

Vai trò mặc định của người dùng WordPress mới

Để biết thêm chi tiết, hãy đọc Hướng dẫn dành cho người mới bắt đầu với Vai trò và khả năng của người dùng WordPress

Trở lại đầu trang

14. Theo dõi sự thay đổi tập tin và hoạt động của người dùng

Một cách thông minh khác để tăng cường bảo mật WordPress là theo dõi các hoạt động của người dùng và thay đổi tệp. 

Nếu bạn đang chạy một trang web WordPress nhiều người dùng, thì bạn nên theo dõi hành vi của người dùng để hiểu rõ hơn về hoạt động của họ trên trang web WordPress của bạn.

Ai biết được, nếu người dùng đang thực hiện một số công việc đáng ngờ hoặc cố gắng hack trang web của bạn? Làm thế nào bạn có thể biết điều đó?

Cách duy nhất để theo dõi các hoạt động của người dùng và thay đổi tệp là sử dụng plugin WordPress hoạt động của người dùng. Bằng cách sử dụng plugin hoạt động người dùng trong WordPress, bạn có thể:

  • xem ai đã đăng nhập và họ đang làm gì trong thời gian thực
  • khi người dùng đăng nhập và đăng xuất
  • Đã bao nhiêu lần người dùng cố gắng đăng nhập nhưng không thành công

Ngoài ra, nếu một biên tập viên thực hiện bất kỳ thay đổi nào đối với bài đăng hoặc trang mà không có sự cho phép của bạn, thì bạn có thể dễ dàng tìm thấy nó và hoàn nguyên lại. Điểm hay của plugin hoạt động người dùng là nó ngay lập tức gửi cho bạn một thông báo email nếu có sự cố xảy ra.

WP Security Audit Log là plugin tốt nhất để theo dõi các hoạt động của người dùng và thay đổi tệp trong thời gian thực. Dưới đây, một ảnh chụp màn hình bên dưới cách plugin hoạt động.

Trình xem nhật ký kiểm toán WordPress

Cũng đọc, 5 plugin tốt nhất để theo dõi hoạt động của người dùng trong WordPress (plugin thay thế)

Trở lại đầu trang

15. Triển khai SSL và HTTPS

Bảo mật WordPress Có thể cải thiện được nếu không có chứng chỉ SSL. SSL (Lớp cổng bảo mật) là xương sống của bảo mật trang web.

SSL là một công nghệ bảo mật tiêu chuẩn tạo ra các liên kết được mã hóa giữa máy chủ và trình duyệt web trong giao tiếp trực tuyến như giao dịch trực tuyến. Vì vậy, tất cả các dữ liệu nhạy cảm như mật khẩu, chi tiết thẻ tín dụng, vv đều thông qua các liên kết được mã hóa.

Nếu bạn điều hành một doanh nghiệp trực tuyến hoặc một blog nơi bạn chấp nhận thanh toán, thì chứng chỉ SSL là bắt buộc. Nó sẽ giữ cho dữ liệu khách hàng của bạn an toàn khỏi tin tặc. Đối với các cửa hàng trực tuyến hoặc trang web WooC Commerce, chi phí chứng chỉ SSL có giá khoảng $ 20- $ 170.

Trong trường hợp bạn đang chạy một blog WordPress, thì bạn không cần chứng chỉ SSL trả phí. Nếu bạn đang sử dụng lưu trữ cPanel như SiteGround, WPEngine thì bạn có thể cài đặt chứng chỉ SSL miễn phí chỉ bằng một cú nhấp chuột.

Đầu tiên, đăng nhập vào tài khoản cPanel lưu trữ của bạn và điều hướng đến Bảo vệ.  (Ở đây, một ảnh chụp màn hình bên dưới từ cPanel lưu trữ SiteGround.)

SG SSL

Đi đến Trình quản lý SSL / TLS và bấm vào Cài đặt chứng chỉ SSL. Từ trang, chọn tên miền của bạn và nhấp vào Tự động điền theo tên miền. Quá trình này là tự động nên bạn không cần chỉnh sửa hoặc sửa đổi bất cứ điều gì.

Trang web Ground Cài đặt chứng chỉ SSL

Bây giờ bấm vào Cài đặt chứng chỉ nút để kết thúc quá trình thiết lập.

Sau khi hoàn tất, hãy đăng nhập vào bảng điều khiển quản trị viên WordPress của bạn để sửa đổi URL trang web của bạn. Đi đến Cài đặt> Chung và thêm thay thế HTTP bằng HTTPS trước URL trang web của bạn. Dưới đây, một ảnh chụp màn hình bên dưới.

HTTPS WP

Sau khi cập nhật, bấm vào Lưu thay đổi.

Cách chuyển hướng HTTP sang HTTPS trong WordPress

Nếu bạn đã cài đặt đúng chứng chỉ SSL, thì trang web của bạn có thể truy cập bằng HTTPS.

Nhưng nếu ai đó chỉ nhập tên trang web của bạn (tức là domain.com) trên thanh địa chỉ trình duyệt, thì trang web đó có thể hiển thị Kết nối đường mật không bảo mật tin nhắn. Điều đó có nghĩa là trang web của bạn có thể truy cập bằng HTTP.

Để khắc phục sự cố, bạn cần buộc HTTPS trong WordPress, vì vậy trang web của bạn sẽ chỉ tải bằng HTTPS. Bạn có thể dễ dàng buộc HTTPS trong WordPress.

Đầu tiên đăng nhập vào cPanel lưu trữ của bạn và đi đến thư mục gốc của trang web của bạn và tìm .htaccess tập tin. Chỉnh sửa tệp .htaccess và cuối cùng thêm mã sau đây.

RewriteEngine On
RewriteCond% {HTTPS} tắt
RewriteRule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]

Lưu tập tin và bạn đã hoàn tất. Bây giờ trang web của bạn chỉ có thể truy cập bằng HTTPS.

Nếu nhà cung cấp dịch vụ lưu trữ web của bạn không cung cấp chứng chỉ SSL miễn phí, thì bạn có thể cài đặt chứng chỉ SSL theo cách thủ công. Dưới đây, hướng dẫn về cách cài đặt chứng chỉ SSL miễn phí.

Trở lại đầu trang

16. Xóa chủ đề và plugin không sử dụng

Khi nói đến việc tăng cường bảo mật WordPress, chúng ta không nên bỏ qua bất kỳ bước nhỏ nào có thể khiến trang web của bạn dễ bị tổn thương. 

Hầu hết thời gian chủ sở hữu trang web WordPress cài đặt các chủ đề và plugin khác nhau để kiểm tra chủ đề nào trông đẹp hơn trên trang web của họ hoặc plugin nào có nhiều chức năng hơn. Vậy là được rồi. Nhưng việc giữ các chủ đề và plugin không sử dụng đó làm cho trang web của bạn dễ bị tổn thương.

Bởi vì việc giữ nhiều chủ đề và plugin WordPress cần cập nhật thường xuyên như ứng dụng bạn đang sử dụng. Nếu bạn không cập nhật chúng, chúng sẽ trở nên dễ bị tấn công và tin tặc có thể dễ dàng khai thác trang web của bạn thông qua các chủ đề và plugin dễ bị tấn công. Bên cạnh đó, việc giữ quá nhiều chủ đề và plugin khiến trang web WordPress chậm hơn.

Vì vậy, bạn nên luôn luôn xóa các chủ đề và plugin không sử dụng để cải thiện hiệu suất trang web và bảo mật WordPress.

Để xóa một plugin không sử dụng, hãy đi đến bổ sung> Plugin đã cài đặt. Sau đó tìm plugin mà bạn không cần nữa. Đầu tiên, hủy kích hoạt plugin và nhấp vào Xóa bỏ.

Xóa plugin WordPress

Tương tự, để xóa một chủ đề, đi đến Xuất hiện> Chủ đề và bấm vào Chi tiết chủ đề. Sau đó ở dưới cùng bên phải, nhấp vào Xóa bỏ.

Xóa chủ đề

Trở lại đầu trang

17. Vô hiệu hóa chỉnh sửa tệp trong Bảng điều khiển WordPress

Theo mặc định, WordPress cho phép người dùng chỉnh sửa tệp chủ đề và plugin trực tiếp từ bảng điều khiển WordPress. Đây là một tùy chọn hữu ích cho người dùng thường xuyên cần chỉnh sửa tập tin chủ đề và plugin.

Trình chỉnh sửa chủ đề WordPress

Tuy nhiên, việc giữ chức năng này được kích hoạt có thể là một vấn đề bảo mật nghiêm trọng. Nếu tin tặc truy cập trang web của bạn, chúng thường để lại dấu chân của chúng bằng cách tiêm mã độc vào các tệp của trang web. Nếu chức năng chỉnh sửa tệp WordPress của bạn được bật, thì tin tặc có thể dễ dàng tiêm mã độc vào tệp chủ đề hoặc plugin mà bạn không biết.

Để cải thiện bảo mật WordPress, bạn cần tắt chức năng chỉnh sửa tệp khỏi bảng điều khiển WordPress của mình. Vô hiệu hóa chủ đề WordPress và trình chỉnh sửa plugin trong WordPress là quá trình rất dễ dàng.

Đầu tiên, bạn cần đăng nhập vào tài khoản cPanel lưu trữ của bạn và vào thư mục gốc của trang web WordPress của bạn. Từ đó, tìm wp-config.php. Nhấp vào chỉnh sửa và thêm mã sau vào cuối.

định nghĩa (‘DISALLOW_FILE_EDIT’, đúng);

Bây giờ hãy lưu tệp và làm mới bảng điều khiển WordPress của bạn. Bạn sẽ thấy tùy chọn trình chỉnh sửa chủ đề và plugin đã biến mất. Với thủ thuật nhỏ này, bạn có thể dễ dàng cải thiện bảo mật WordPress.

Đọc hướng dẫn chi tiết về cách tắt trình chỉnh sửa chủ đề và plugin trong WordPress

Trở lại đầu trang

18. Mật khẩu bảo vệ trang đăng nhập WordPress

Một cách tuyệt vời khác để cải thiện bảo mật WordPress là mật khẩu bảo vệ trang đăng nhập WordPress.

Bằng mật khẩu bảo vệ thông tin đăng nhập WordPress của bạn (/wp-login.php) hoặc quản trị viên (https://cdn.wpmyweb.com/wp-admin), bạn có thể ngăn chặn tin tặc truy cập trang đăng nhập của mình vì nó yêu cầu mật khẩu để truy cập trang đăng nhập. Hộp bật lên yêu cầu xác thựcSau khi kích hoạt tính năng này, trang web của bạn sẽ nhắc tất cả người dùng truy cập trang đăng nhập bằng tên người dùng và cửa sổ mật khẩu. Nói tóm lại, tất cả người dùng cần đăng nhập hai lần với tên người dùng và mật khẩu khác nhau trước khi truy cập bảng điều khiển quản trị viên WordPress của bạn.

Bằng cách đó, bạn có thể tăng cường bảo mật WordPress của mình và thêm một lớp bảo mật bổ sung vào trang đăng nhập của bạn.

Đọc hướng dẫn chuyên sâu của chúng tôi về cách bảo vệ mật khẩu trang đăng nhập WordPress.

Trở lại đầu trang

19. Vô hiệu hóa duyệt thư mục trong WordPress

Theo mặc định, hầu hết các máy chủ web như Apache, NGINX và LiteSpeed ​​cho phép bất kỳ người dùng nào duyệt các thư mục có chứa các tệp và thư mục WordPress. Họ cũng có thể xem chủ đề và plugin nào bạn đang sử dụng và biết thêm về cấu trúc trang web của bạn.

Trang chỉ mục của trang web WordPress

Thông tin này có thể dẫn đến trang web WordPress của bạn dễ bị tổn thương và giúp đỡ hacker khi cố gắng thỏa hiệp trang web của bạn.

Để tăng cường bảo mật WordPress, chúng tôi khuyên bạn nên tắt tùy chọn này. Để vô hiệu hóa duyệt thư mục trong WordPress, chỉ cần thêm dòng sau vào .htacces tập tin.

Tùy chọn Tất cả các chỉ số

Để được hướng dẫn chi tiết, hãy đọc hướng dẫn của chúng tôi về cách tắt duyệt thư mục trong WordPress

Trở lại đầu trang

20. Xóa phiên bản WordPress của bạn

Theo mặc định, WordPress tự động thêm thẻ meta ở các vị trí khác nhau hiển thị phiên bản WordPress bạn đang sử dụng.

Đây là điều: nếu tin tặc biết bạn đang chạy phiên bản WordPress lỗi thời, chúng có thể khai thác trang web của bạn thông qua các lỗ hổng đã biết có trong phiên bản WordPress cũ hơn.

Vì vậy, tốt hơn hết là bạn nên gỡ bỏ phiên bản WordPress của mình để cải thiện bảo mật WordPress. Có một số nơi WordPress thêm các thẻ meta như, trong bảng điều khiển WordPress, trong tiêu đề, theo phong cách và javascript và trong nguồn cấp dữ liệu RSS.

Xóa phiên bản WordPress khỏi tiêu đề và RSS

Để xóa phiên bản khỏi tiêu đề và RSS, hãy thêm dòng sau vào cuối của bạn Hàm.php tập tin.

hàm remove_wordpress_version () {
trở về ”;
}
add_filter (‘the_generator’, ‘remove_wordpress_version’);

Xóa số phiên bản WordPress khỏi Tập lệnh và CSS

Để xóa phiên bản WordPress khỏi CSS và tập lệnh, hãy thêm dòng sau vào cuối của bạn Hàm.php tập tin.

// Chọn số phiên bản từ tập lệnh và kiểu
chức năng remove_version_from_style_js ($ src) {
if (strpose ($ src, ‘ver =’. get_bloginfo (‘phiên bản’)))
$ src = remove_query_arg (‘ver’, $ src);
trả lại $ src;
}
add_filter (‘style_loader_src’, ‘remove_version_from_style_js’);
add_filter (‘script_loader_src’, ‘remove_version_from_style_js’);

Sau khi hoàn tất, hãy lưu tệp tin.php..

Đó là nó. Với thủ thuật đơn giản này, bạn chắc chắn có thể cải thiện bảo mật WordPress của mình. Tuy nhiên, chúng tôi luôn khuyên bạn nên thường xuyên cập nhật phiên bản WordPress cũng như chủ đề và plugin.

Để được hướng dẫn chi tiết, hãy đọc hướng dẫn của chúng tôi về cách ẩn hoặc xóa phiên bản WordPress

Trở lại đầu trang

21. Thay đổi tiền tố bảng cơ sở dữ liệu WordPress

Trong quá trình cài đặt WordPress, nó hỏi bạn có muốn sử dụng tiền tố cơ sở dữ liệu khác không. Chúng tôi thường bỏ qua bước này, vì vậy WordPress tự động sử dụng (WP_) làm tiền tố bảng cơ sở dữ liệu mặc định. Chúng tôi khuyên bạn nên thay đổi thứ gì đó mạnh mẽ và độc đáo.

Sử dụng tiền tố mặc định (WP_) làm cho cơ sở dữ liệu WordPress của bạn dễ bị tấn công SQL SQL. Các cuộc tấn công như vậy có thể được ngăn chặn bằng cách thay đổi tiền tố cơ sở dữ liệu (WP_) thành một cái gì đó độc đáo.

Sau khi cài đặt WordPress, bạn có thể dễ dàng thay đổi tiền tố bảng cơ sở dữ liệu mặc định bằng cách sử dụng plugin hoặc thủ công. Các plugin như BackupBuddy, Brozzme DB Prefix cho phép bạn thay đổi tiền tố bảng chỉ bằng một cú nhấp chuột.

Vì mục đích của hướng dẫn, tôi đang hướng dẫn cách thay đổi nó bằng cách sử dụng plugin Brozzme DB Prefix.

Ghi chú: Trước khi bạn làm bất cứ điều gì với cơ sở dữ liệu của bạn, hãy đảm bảo bạn sao lưu trang web và cơ sở dữ liệu của bạn. Trong trường hợp có sự cố, bạn có thể khôi phục trang web của mình.

Đầu tiên, cài đặt và kích hoạt Tiền tố DB Brozzme cắm vào. Từ bảng điều khiển WordPress của bạn, đi đến Công cụ> Tiền tố DB và nhập tên duy nhất mới cho tiền tố cơ sở dữ liệu.

Tiền tố DB Brozzme

Sau khi nhập tiền tố mới của bạn, nhấp vào Thay đổi tiền tố DB.

Đối với quy trình thủ công, hãy đọc cách thay đổi tiền tố bảng cơ sở dữ liệu bằng cách sử dụng phpMyAdmin

Trở lại đầu trang

22. Chỉ sử dụng Plugin WordPress đáng tin cậy

WordPress đi kèm với hơn 48.000 plugin. Điều đó không có nghĩa là tất cả các plugin đều hữu ích và an toàn khi sử dụng.

Bởi vì có rất nhiều plugin có sẵn trong thư viện plugin WordPress mà không được cập nhật từ lâu và thường chúng trở nên dễ bị tấn công. Ngoài ra, bạn sẽ không nhận được bất kỳ sự hỗ trợ nào nếu plugin phá vỡ trang web của bạn.

Trước khi bạn sử dụng bất kỳ plugin miễn phí nào, hai điều quan trọng bạn cần kiểm tra,

  • Kiểm tra khi plugin được cập nhật lần cuối: Nếu plugin không được cập nhật thường xuyên hoặc không còn được nhà phát triển plugin duy trì, thì bạn nên tránh plugin.

Phiên bản Plugin WordPress lỗi thời

  • Kiểm tra xem plugin có xếp hạng tích cực tối đa không: Điều tiếp theo bạn cần kiểm tra xem plugin có xếp hạng tích cực hay tiêu cực tối đa hay không. Nếu plugin có xếp hạng tiêu cực tối đa, bạn không nên sử dụng nó.

Plugin xếp hạng thấp của WordPress

Bạn cũng có thể kiểm tra trang Hỗ trợ và Đánh giá của plugin để xem người dùng khác nói gì về plugin.

Nhưng, đừng lo lắng. Có rất nhiều plugin tương tự có sẵn mà bạn có thể tìm thấy từ thư viện plugin WordPress.

Nếu bạn muốn sử dụng một plugin cao cấp, thì bạn không cần phải lo lắng về nó. Các plugin cao cấp được cập nhật thường xuyên và bạn sẽ nhận được hỗ trợ 24x từ nhà phát triển plugin.

Trở lại đầu trang

23. Vô hiệu hóa báo cáo lỗi PHP

Một cách tuyệt vời khác để tăng cường bảo mật WordPress là vô hiệu hóa báo cáo lỗi PHP trong WordPress. Rất nhiều lần, khi bạn cài đặt một plugin hoặc chủ đề lỗi thời, bạn có thể thấy cảnh báo lỗi PHP.

Cảnh báo lỗi WordPress PHPTuy nhiên, nó có thể dẫn đến trang web của bạn dễ bị tổn thương nếu tin tặc có được nó vì nó hiển thị mã và vị trí tệp. Để giảm thiểu rủi ro, bạn có thể tắt báo cáo lỗi PHP trong WordPress.

Vô hiệu hóa cảnh báo lỗi PHP trong WordPress là rất dễ dàng. Đầu tiên, chỉnh sửa của bạn wp-config.php tập tin và tìm dòng có mã này:

định nghĩa (‘WP_DEBUG’, sai);

Bạn có thể thấy những người thật sự khác thay vì những người khác. Bây giờ thay thế dòng bằng mã sau đây.

ini_set (‘display_errors,, Off Off);
ini_set (‘error_Vporting, E_ALL);
định nghĩa (‘WP_DEBUG, sai);
định nghĩa (‘WP_DEBUG_DISPLAY, sai);

Lưu tập tin và bạn đã hoàn tất.

Chúng tôi cũng khuyên bạn nên sử dụng các plugin cập nhật và được đánh giá tốt để tránh loại sự cố này.

Trở lại đầu trang

24. Thêm tiêu đề bảo mật HTTP vào WordPress

Một cách tuyệt vời khác để tăng cường bảo mật WordPress là thêm tiêu đề bảo mật HTTP vào trang web WordPress của bạn.

Khi ai đó truy cập trang web của bạn, trình duyệt sẽ yêu cầu máy chủ web của bạn. Sau đó, máy chủ web đáp ứng với các yêu cầu cùng với các tiêu đề HTTP. Các tiêu đề HTTP này truyền thông tin như mã hóa nội dung, kiểm soát bộ đệm, loại nội dung, kết nối, v.v..

Bằng cách thêm các tiêu đề phản hồi HTTP an toàn, bạn có thể cải thiện bảo mật WordPress của mình và cũng ngăn chặn các cuộc tấn công và lỗ hổng bảo mật.

Dưới đây, các tiêu đề HTTP dưới đây:

  • Bảo mật truyền tải nghiêm ngặt HTTP (HSTS): HTTP Strict Transport Security (HSTS) bắt buộc trình duyệt web chỉ sử dụng các kết nối an toàn (HTTPS) khi giao tiếp với một trang web. Điều này ngăn chặn hack giao thức SSL, chiếm quyền điều khiển cookie, tước SSL, v.v..
  • Tùy chọn khung X: Tùy chọn khung X là một loại tiêu đề HTTP chỉ định xem trình duyệt có được phép hiển thị trang web trong khung hay không. Điều này ngăn chặn các cuộc tấn công clickjacking và đảm bảo trang web của bạn không được nhúng vào các trang web khác bằng cách sử dụng .
  • Bảo vệ X-XSS: X-XSS-Protection là một tính năng tích hợp sẵn của trình duyệt Internet Explorer, Google Chrome, Firefox và Safari, chặn các trang tải nếu tập lệnh độc hại được chèn từ đầu vào của người dùng.
  • Tùy chọn loại nội dung X: Tùy chọn loại nội dung X là một loại tiêu đề phản hồi HTTP với giá trị trung bình giá trị ngăn trình duyệt web MIME đánh hơi một phản hồi từ loại nội dung được khai báo.
  • Chính sách giới thiệu: Chính sách giới thiệu là một tiêu đề phản hồi HTTP để ngăn chặn rò rỉ giới thiệu tên miền chéo.

Để thêm các tiêu đề bảo mật HTTP trong WordPress, chỉ cần thêm các dòng mã sau vào .htaccess tập tin.

Tiêu đề đặt Strict-Transport-Security "tuổi tối đa = 31536000" env = HTTPS
Tiêu đề luôn nối thêm SAMEORIGIN tùy chọn X-Frame
Bộ tiêu đề X-XSS-Protection "1; chế độ = khối"
Tiêu đề đặt X-Content-Type-Options nosniff
Chính sách giới thiệu người giới thiệu: không giới thiệu-khi-hạ cấp

Kiểm tra tiêu đề bảo mật

Bây giờ đi đến bảo mật.com để kiểm tra xem các mã có hoạt động hay không. Chúng tôi đã thêm vào Chính sách bảo mật nội dung của chúng tôi vì nó có thể phá vỡ trang web của bạn. Tuy nhiên, nó đủ để làm cho trang web WordPress của bạn an toàn.

Trở lại đầu trang

Phần kết luận

Có nhiều cách bạn có thể làm cứng Bảo mật WordPress chẳng hạn như: sử dụng lưu trữ WordPress được quản lý, sử dụng mật khẩu mạnh cho tài khoản, theo dõi hoạt động của người dùng, sử dụng plugin bảo mật WordPress, triển khai SSL và HTTPS và nhiều hơn nữa.

Bảo mật WordPress cứng là khoa học tên lửa. Bạn có thể dễ dàng bảo mật trang web WordPress của mình bằng cách triển khai các thực tiễn tốt nhất về bảo mật WordPress mà chúng tôi đã chia sẻ trong bài viết này. Bằng cách triển khai chúng, bạn sẽ không chỉ bảo mật trang web WordPress của mình mà còn ngăn chặn tin tặc truy cập trang web của bạn.

Sau khi hoàn thành, bạn sẽ cần phải lo lắng về bảo mật WordPress của mình. Hơn nữa, bạn có thể làm việc hiệu quả hơn và không bị căng thẳng.

Bây giờ đến lượt bạn. Đọc bài viết kỹ lưỡng và thực hiện chúng vào trang web của bạn. Bạn sẽ được hạnh phúc bạn đã làm điều đó. ��

Chúng tôi đã bỏ lỡ bất kỳ mẹo bảo mật WordPress quan trọng để đề cập ở đây? vui lòng cho chúng tôi biết trong phần bình luận.

Infographic bảo mật WordPress

WordPress-Security-Infographic-Small-Size

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map