WordPress là một trong những nền tảng phổ biến nhất dành cho các blog và trang web tự lưu trữ. Bản thân WordPress là một nền tảng rất an toàn. Mặc dù WordPress khá an toàn nhưng luôn có những cá nhân muốn gây rắc rối bằng cách tìm cách đột nhập vào tài khoản hoặc trang web để gây thiệt hại hoặc đưa các liên kết Spam ẩn vào. Đó là lý do tại sao điều quan trọng là đảm bảo rằng cài đặt WordPress của bạn an toàn nhất có thể. Ở đây chúng tôi có một số mẹo, hãy áp dụng cho blog WordPress bảo mật & Bảo vệ.
Mẹo để bảo mật blog WordPress của bạn
Dưới đây là một số mẹo của chúng tôi để giữ cho trang web hoặc blog WordPress của bạn an toàn hơn và ít bị tấn công độc hại hơn.
Hãy chắc chắn rằng bạn đã cập nhật
Nếu bạn không chạy phiên bản WordPress mới nhất, hãy nâng cấp ngay. Rời khỏi trang web của bạn trên phiên bản cũ cũng giống như việc bạn không khóa cửa khi đi nghỉ. Theo nguyên tắc chung, mỗi khi lõi WordPress hoặc plugin bạn đang sử dụng có bản cập nhật sẵn có, hãy áp dụng nó. Các bản cập nhật mang đến các tính năng mới nhưng cũng có các bản sửa lỗi bảo mật. Mặc dù WordPress có cập nhật nền tự động kể từ phiên bản 5.7bạn phải luôn theo dõi chúng vì đôi khi các bản cập nhật tự động có thể không hoàn thành.
Plugin cũng là một phần nhạy cảm trong quá trình cài đặt WordPress của bạn. Đừng quên cập nhật chúng ngay khi có bản cập nhật.
Không có hệ thống phần mềm nào miễn nhiễm với các lỗi và lỗ hổng. Các lỗ hổng bảo mật sẽ được phát hiện và kẻ xấu sẽ tìm mọi cách để khai thác chúng. Luôn cập nhật phần mềm của bạn là một cách tốt để ngăn chặn các cuộc tấn công vì các nhà cung cấp phần mềm đáng tin cậy sẽ sửa sản phẩm của họ sau khi tìm thấy lỗ hổng bảo mật.
Chọn một mật khẩu mạnh
Ngoài việc thêm khóa bí mật vào tệp wp-config.php, bạn cũng nên cân nhắc việc thay đổi mật khẩu người dùng của mình thành mật khẩu mạnh và độc đáo. WordPress sẽ cho bạn biết độ mạnh của mật khẩu, nhưng mẹo hay là tránh các cụm từ phổ biến, sử dụng chữ hoa và chữ thường và bao gồm cả số. Bạn cũng nên thay đổi mật khẩu thường xuyên – chẳng hạn sáu tháng một lần.
Một mật khẩu mạnh có:
- ít nhất 15 ký tự
- chữ in hoa
- chữ viết thường
- con số
- các ký hiệu, chẳng hạn như ` ! ” ? $ ? % ^ & * ( ) _ – + = { [ } ] :
Một mật khẩu mạnh không phải là:
- thông tin đăng nhập hoặc tên người dùng của bạn
- tên của bạn, tên bạn bè của bạn, tên thành viên gia đình của bạn hoặc tên chung
- một từ điển
- giống như mật khẩu trước đây của bạn
- ngày sinh của bạn
- mẫu bàn phím, chẳng hạn như qwerty, asdfghjkl hoặc 12345678
Sử dụng Khóa bí mật trong tệp WP-Config của bạn
Trong WordPress, tệp wp-config.php là tệp lưu trữ thông tin cơ sở dữ liệu mà WordPress cần để kết nối mạch của nó, có thể nói như vậy. Tệp này chứa tên, địa chỉ và mật khẩu của cơ sở dữ liệu MySQL lưu trữ tất cả thông tin người dùng, bài đăng trên blog và nội dung quan trọng khác của bạn.
Sử dụng một chìa khoá bí mậtbạn có thể khiến người khác khó truy cập vào tài khoản của bạn hơn nữa.
Đi đến https://api.wordpress.org/secret-key/1.1/ và sao chép kết quả vào phần này của tệp wp-config.php nếu bạn chưa thiết lập khóa bí mật.
Chọn một tên người dùng ngẫu nhiên
Những kẻ tấn công biết rằng hầu hết mọi người đang sử dụng tên người dùng như “quản trị viên” hoặc url trang web của họ. Bằng cách chọn một tên người dùng ngẫu nhiên, bạn đang khiến nhiệm vụ của họ trở nên khó khăn hơn.
Sử dụng .htaccess để bảo vệ đăng nhập wp
Mật khẩu bảo vệ tệp wp-login.php của bạn có thể thêm một lớp bổ sung vào máy chủ của bạn. Bởi vì mật khẩu bảo vệ wp-admin có thể phá vỡ bất kỳ plugin nào sử dụng ajax ở giao diện người dùng, nên chỉ cần bảo vệ wp-login.php là đủ.
Để thực hiện việc này, bạn cần tạo tệp .htpasswd. Để làm như vậy, hãy đi tới trình tạo htpasswd và làm theo hướng dẫn. Khi bạn đã sẵn sàng tệp, hãy tải nó lên máy chủ của bạn.
Sau khi hoàn tất, bạn cần cho .htaccess biết nó ở đâu. Giả sử bạn đã đặt .htpasswd trong thư mục chính của người dùng và tên người dùng htpasswd của bạn là mysecretuser, thì bạn đặt cái này vào tệp .htaccess của mình:
# Stop Apache from serving .ht* files <Files ~ "^\.ht"> Order allow,deny Deny from all </Files> # Protect wp-login <Files wp-login.php> AuthUserFile ~/.htpasswd AuthName "Private access" AuthType Basic require user mysecretuser </Files>
Nếu bạn đang tìm kiếm một plugin thay vì tự mình thực hiện, hãy xem Hỏi Bảo vệ mật khẩu Apache. Tuy nhiên, xin lưu ý rằng nó đã không được cập nhật trong một năm. Tôi chưa tự mình thử nên tôi thực sự không thể khuyên cũng như không khuyên dùng plugin này.
Loại bỏ các thông báo lỗi không cần thiết
Thông báo lỗi đăng nhập rất hữu ích nhưng thật không may, chúng cũng có thể cung cấp thông tin cho những kẻ tấn công.
Để loại bỏ các lỗi đăng nhập hiển thị trên trang wp-login.php của bạn, hãy mở tệp tin.php. Và thêm mã bên dưới vào đó:
add_filter('login_errors',create_function('$a', "return null;"));
Hãy cẩn thận với các plugin và chủ đề
Về cơ bản, mọi thứ bạn thêm vào bản cài đặt WordPress (Chủ đề và Plugin) đều có khả năng chứa mã dễ bị tấn công. Trên thực tế, bất kỳ ai cũng có thể viết và cung cấp plugin hoặc chủ đề.
Khi chọn plugin hoặc chủ đề, hãy đảm bảo rằng:
- Bạn lấy nó từ một nguồn đáng tin cậy, chẳng hạn như kho lưu trữ chính thức của WordPress.org
- Plugin/chủ đề được duy trì tốt và được cập nhật gần đây
- Plugin có số lượt cài đặt và/hoặc xếp hạng đáng kể
Các chủ đề và plugin cao cấp mà bạn có thể tìm thấy miễn phí thường có thể chứa mã độc được chèn vào chúng. Chắc chắn, một chủ đề hoặc plugin cao cấp là một khoản đầu tư, nhưng mức trung bình 60 USD bạn sẽ chi sẽ rẻ hơn rất nhiều so với sự trợ giúp của nhà phát triển hoặc chuyên gia bảo mật để giúp bạn khắc phục một trang web bị hỏng hoặc bị tấn công. Những người bán chủ đề/plugin cao cấp đã có uy tín như Elegant Themes, ThemeForest hoặc Themify rất coi trọng vấn đề bảo mật.
Vô hiệu hóa chỉnh sửa tập tin
WordPress có trình chỉnh sửa tệp tích hợp, có thể rất hữu ích để chỉnh sửa chủ đề của bạn một cách nhanh chóng. Thật không may, nếu kẻ tấn công giành được quyền truy cập vào bảng điều khiển WordPress của bạn với tư cách quản trị viên, hắn sẽ có thể chỉnh sửa các tệp của bạn và gây ra nhiều thiệt hại. Vì lý do này, bạn có thể muốn tắt trình chỉnh sửa tệp tích hợp của WordPress và thay vào đó sử dụng chương trình FTP thông thường để chỉnh sửa các tệp chủ đề của mình.
Để làm như vậy, chỉ cần dán mã bên dưới vào tệp wp-config.php, nằm ở thư mục gốc của bản cài đặt WordPress.
xác định (‘DISALLOW_FILE_EDIT’, đúng);
Tận dụng plugin Tường lửa & Bảo mật All In One WP
Plugin All In One WordPress Security sẽ đưa bảo mật trang web của bạn lên một tầm cao mới. Được thiết kế và viết bởi các chuyên gia, nó giúp giảm rủi ro bảo mật bằng cách kiểm tra các lỗ hổng cũng như bằng cách triển khai và thực thi các kỹ thuật và thực tiễn bảo mật WordPress mới nhất được đề xuất.
Lưu trữ trang web của bạn trên một máy chủ web đáng tin cậy
Đặc biệt nếu bạn đang sử dụng máy chủ dùng chung (đây là trường hợp của hầu hết các trang web nhỏ như blog cá nhân), kẻ tấn công có thể sử dụng các tệp bị hỏng trên máy chủ, ngay cả khi chúng không phải của bạn, để phát tán trên các trang web khác được lưu trữ trên máy chủ đó. máy chủ. Điều này một mình bạn không thể ngăn chặn hoàn toàn được, đây là lý do tại sao bạn cần chắc chắn rằng máy chủ web của bạn cực kỳ nghiêm túc về vấn đề bảo mật và cung cấp dịch vụ hỗ trợ khách hàng mạnh mẽ để luôn hữu ích trong trường hợp có sự cố xảy ra.
Đây là một số lời khuyên tốt nhất để Bảo mật blog WordPress của bạn khỏi các cuộc tấn công của hacker. Tôi hy vọng bạn thấy điều này hữu ích. Nếu có bất kỳ thắc mắc hoặc đề xuất nào, vui lòng thảo luận ở phần bình luận.
