Điều gì tốt hơn một trang web được xây dựng tốt? Một trang web được xây dựng tốt với các tính năng bảo mật vững chắc.
Hãy đồng hành cùng tôi khi tôi khám phá một số phương pháp bảo mật tốt nhất cho trang web WordPress của bạn. Chúng không chỉ thân thiện với người mới bắt đầu mà còn có giá rất phải chăng, nếu không muốn nói là hoàn toàn miễn phí.
Đến cuối bài viết này, bạn sẽ có một kế hoạch hành động để bảo vệ trang web của mình khỏi tất cả các loại mối đe dọa trên mạng. Vì vậy hãy thắt dây an toàn và bắt đầu nào!
Trang web WordPress của bạn có an toàn không?
Mặc dù WordPress được coi là CMS phổ biến nhất cho đến nay, nhưng danh tiếng này có một số phân nhánh. Được sử dụng bởi hơn 35% trang web trên Internet, WordPress đang trở thành mục tiêu ưa thích của các cuộc tấn công phần mềm độc hại. Chỉ riêng trong năm 2018, Sucuri đã báo cáo rằng có khoảng 23.000 trang web WordPress bị vi phạm bảo mật.
Điều này có nghĩa là WordPress có một hệ thống bảo mật khủng khiếp?
Không có gì! Ngược lại, nguyên nhân chính dẫn đến vi phạm an ninh website là do sự thiếu ý thức bảo mật của người dùng.
Là một CMS danh tiếng, WordPress thường xuyên phát hành các bản vá bảo mật và cập nhật phần mềm. Tuy nhiên, những nâng cấp này sẽ không tạo ra nhiều khác biệt trừ khi bạn biết phải làm gì với chúng.
Nói tóm lại, bạn đóng một vai trò quan trọng trong việc bảo mật trang web của mình.
Bây giờ bạn đã biết vai trò và trách nhiệm của mình với tư cách là quản trị viên web, đã đến lúc tìm hiểu xem bạn có thể làm gì để cải thiện tính bảo mật cho trang web của mình. Hãy xem các phương pháp hay nhất về bảo mật bên dưới và thử triển khai chúng trên trang web của bạn.
Sử dụng tên người dùng và mật khẩu mạnh
Tạo thông tin xác thực đăng nhập mạnh có thể là phương pháp bảo mật dễ dàng nhất mà bất kỳ ai cũng có thể thực hiện, nhưng nhiều người dùng vẫn không thực hiện được. Tin hay không, 23,2 triệu tài khoản vẫn sử dụng “123456” làm mật khẩu của họ. Vấn đề tương tự cũng xảy ra với tên người dùng, trong đó nhiều người dùng sử dụng tên người dùng tiêu chuẩn như “quản trị viên” và “quản trị viên”.
Nếu bạn cần trợ giúp để phát triển mật khẩu mạnh, có rất nhiều trình tạo mật khẩu mà bạn có thể sử dụng miễn phí. Khi nói đến tên người dùng, bạn có thể thêm số và ký tự đặc biệt vào từ khóa của mình để làm cho chúng độc đáo hơn.
Sử dụng thông tin đăng nhập yếu sẽ khiến trang web của bạn dễ bị tấn công bằng vũ lực. Kiểu tấn công mạng này sử dụng thử và sai để đoán chi tiết đăng nhập của bạn. Vì vậy, tốt nhất là tránh sử dụng các từ khóa phổ biến trong thông tin đăng nhập.
Nếu bạn có thói quen quên mật khẩu, bạn có thể cân nhắc sử dụng LastPass để ghi nhớ và sử dụng nó chỉ bằng một cú nhấp chuột. Khi nói đến tên người dùng, bạn có thể thêm số và ký tự đặc biệt vào từ khóa của mình để làm cho chúng độc đáo hơn.
Ẩn thông tin đăng nhập WordPress
Thủ thuật đơn giản này có thể bảo vệ các trang WP của bạn khỏi những kẻ tấn công vũ phu. Sử dụng plugin miễn phí WPS Hide Login để thay đổi url đăng nhập của bạn thành một cái gì đó độc đáo.
Bật xác thực hai yếu tố
Khi bạn đã bảo mật thông tin đăng nhập quản trị viên của mình, bạn có thể hợp lý hóa hơn nữa quy trình đăng nhập bằng cách bật xác thực hai yếu tố. Quy trình bảo mật này tạo ra một lớp bảo vệ bổ sung yêu cầu người dùng lấy mã duy nhất từ ứng dụng xác thực. Bằng cách triển khai nó trên trang web của bạn, chỉ những người dùng có thông tin đăng nhập và mã hợp lệ mới có thể đăng nhập vào tài khoản của họ.
WordPress có rất nhiều plugin xác thực hai yếu tố để lựa chọn. Một số tốt nhất là Google Authenticator, Xác thực hai bước và Hai yếu tố.
Thay đổi tiền tố cơ sở dữ liệu WordPress
Cơ sở dữ liệu trang web là mục tiêu phổ biến nhất cho các cuộc tấn công SQL injection. Các kiểu tấn công mạng này buộc cơ sở dữ liệu thực thi mã độc hại, cho phép tin tặc tự do sửa đổi hoặc loại bỏ dữ liệu trong đó. Do các cuộc tấn công SQL injection chiếm khoảng 80% số lần tấn công mỗi tháng, nên không nên đánh giá thấp mối đe dọa này.
Một yếu tố khiến cơ sở dữ liệu dễ bị tấn công SQL injection là việc sử dụng tiền tố cơ sở dữ liệu mặc định wp_. Sử dụng cơ sở dữ liệu có thể dự đoán, tiền tố cho phép tin tặc đoán tên bảng của bạn và phá hoại cơ sở dữ liệu của bạn. Do đó, tôi thực sự khuyên bạn nên thay đổi nó càng sớm càng tốt.
Dưới đây là hướng dẫn chi tiết về cách thay đổi tiền tố cơ sở dữ liệu WordPress. Bạn cũng có thể dùng thử Plugin Thay đổi bảng tiền tố.
Vô hiệu hóa báo cáo lỗi PHP
Tính năng báo cáo lỗi PHP giúp bạn xác định vị trí lỗi trong các tệp PHP nhanh hơn nhiều. Tuy nhiên, nó cũng cho phép người khác nhìn thấy các lỗ hổng trên trang web của bạn. Do đó, tôi khuyên bạn nên tắt hoàn toàn tính năng này.
WordPress tắt báo cáo lỗi theo mặc định. Nếu nó được kích hoạt vì lý do nào đó, bạn nên tắt nó theo cách thủ công bằng cách sửa đổi tệp wp-config.php. Tùy thuộc vào dịch vụ lưu trữ, một số nhà cung cấp dịch vụ lưu trữ cũng cho phép bạn quản lý cài đặt này từ bảng điều khiển của họ.
Cập nhật WordPress
Để theo kịp các loại tấn công mạng ngày càng gia tăng, WordPress phát hành định kỳ các bản cập nhật với các bản vá bảo mật mới nhất. Cải tiến này không chỉ áp dụng cho lõi WordPress mà còn cho các plugin và chủ đề. Điều đó đang được nói, sử dụng phần mềm lỗi thời là một công thức dẫn đến thảm họa.
Mặc dù WordPress tự động triển khai các bản cập nhật phần mềm nhỏ, nhưng bạn vẫn phải thực hiện các bản cập nhật lớn theo cách thủ công. Do đó, hãy nhớ thường xuyên kiểm tra các bản cập nhật mới trong phần Cập nhật của quản trị viên WordPress của bạn để tránh các lỗ hổng bảo mật trang web.
Ngoài ra còn có một plugin Easy Update Manager miễn phí mà bạn có thể sử dụng để kiểm soát cách cập nhật lõi, chủ đề và plugin của WordPress.
Vô hiệu hóa duyệt thư mục
Duyệt qua các thư mục cho phép bạn truy cập nhanh vào cấu trúc của trang web và các thư mục riêng lẻ. Tuy nhiên, nó có thể trở thành con dao hai lưỡi nếu người khác cũng có quyền truy cập vào nó. Tin tặc thường sử dụng nó để tìm các tệp, plugin và chủ đề dễ bị tổn thương, sau đó khai thác chúng để có quyền truy cập vào trang web của bạn.
Nếu bạn đang lưu trữ trang web WP của mình trên một nền tảng cao cấp, bạn có thể không cần phải lo lắng vì họ sẽ đảm nhận việc tối ưu hóa này. Tuy nhiên, nếu bạn đang tự lưu trữ hoặc cần tắt nó theo cách thủ công, hãy xem bài viết này để biết cách tắt duyệt thư mục trong WordPress.
Xóa số phiên bản WordPress
WordPress liên tục phát hành các bản cập nhật để sửa các lỗ hổng trong phiên bản trước. Các phiên bản cũ hơn có xu hướng bị ảnh hưởng bởi nhiều lỗ hổng hơn. Do đó, đặt phiên bản WordPress của bạn ở chế độ công khai không phải là ý tưởng tốt nhất cho hệ thống bảo mật trực tuyến của bạn.
Theo mặc định, phiên bản WordPress của bạn hiển thị ở góc dưới bên phải của bảng quản trị và nguồn trang. Nó cũng xuất hiện ở những nơi ít rõ ràng hơn như RSS, CSS và tập lệnh trang web. Có một bài viết tuyệt vời hướng dẫn từng bước về cách xóa phiên bản WordPress của bạn khỏi những nơi này.
Vô hiệu hóa chỉnh sửa tập tin
Trình chỉnh sửa tệp WordPress tích hợp giúp sửa đổi plugin và tập lệnh chủ đề dễ dàng hơn nhiều. Tuy nhiên, tính năng này có thể ảnh hưởng đến trang web của bạn nếu nó rơi vào tay kẻ xấu. Vì lý do này, tốt nhất là tắt hoàn toàn chỉnh sửa tệp. Bạn có thể làm điều này bằng cách thêm bên dưới vào tệp wp-config.php của mình.
define('DISALLOW_FILE_EDIT', true);Thực hiện sao lưu thường xuyên
Sao lưu cũng quan trọng như bảo mật trang web của bạn. Tệ nhất, các bản sao lưu có thể giúp bạn không phải xây dựng lại trang web của mình từ đầu.
Quá trình này có vẻ tẻ nhạt, nhưng có rất nhiều plugin sao lưu như VaultPress và BlogVault có thể giúp bạn không gặp rắc rối. Mẹo hay, hãy sử dụng plugin có tính năng tự động sao lưu để tiết kiệm thời gian và tránh các bản sao lưu lỗi thời làm tắc nghẽn hệ thống của bạn.
Nếu bạn không thích sử dụng quá nhiều plugin, bạn có thể cân nhắc sử dụng iThemes Security Pro, điều quan tâm nhiều hơn ngay từ đầu.
Ngừng spam và SEO tiêu cực
Thư rác ở khắp mọi nơi và không ai thích nó.
Nếu bạn điều hành một trang web phổ biến và không có hệ thống ngăn chặn thư rác phù hợp, bạn có thể thu hút hàng nghìn người gửi thư rác mỗi ngày. Quá nhiều thư rác có hại cho SEO và trải nghiệm người dùng. Hãy tưởng tượng bạn có hàng trăm bình luận không liên quan trên một bài đăng trên blog.
Nói không với thư rác với giải pháp Antispam CleanTalk.
Sử dụng WAF
Một trong những khoản đầu tư tốt nhất bạn có thể thực hiện để bảo mật trang web của mình là sử dụng WAF (Tường lửa ứng dụng web). Nó giúp bảo mật trang web của bạn trước 10 lỗ hổng OWASP hàng đầu, các lỗ hổng đã biết và chưa biết, mã độc, các cuộc tấn công DDoS, v.v.
Có một số tùy chọn – SUCURI, Malcare, Cloudflare.
Quản lý chủ đề và plugin
Một trong những lợi thế lớn nhất của việc sử dụng WordPress là bộ sưu tập plugin và chủ đề khổng lồ của nó. Trớ trêu thay, các plugin và chủ đề WordPress mạo danh nguồn lỗ hổng lớn nhất có thể khiến trang web của bạn gặp rủi ro. Do đó, bạn nên chọn một cách khôn ngoan và quản lý cẩn thận những cái bạn đã cài đặt.
Cách dễ nhất để ngăn tin tặc truy cập trang web của bạn thông qua phần mềm bị lỗi là sử dụng các plugin và chủ đề có đánh giá và xếp hạng tốt. Đây là những thước đo tuyệt vời sẽ cho bạn biết chúng được bảo trì tốt và hoạt động bình thường. Ngoài ra, hãy kiểm tra định kỳ các bản cập nhật để cải thiện hiệu suất của chúng.
gói
Với các mối đe dọa mạng trên khắp thế giới không có kế hoạch sớm lùi bước, điều quan trọng là phải giữ cho trang web WordPress của bạn an toàn khỏi nguy cơ tiềm ẩn. May mắn thay, có rất nhiều phương pháp bảo mật dễ dàng nhưng hiệu quả mà bạn có thể làm theo để cải thiện bảo mật tổng thể cho trang web của mình.
Bài viết này chứng minh rằng bạn không cần phải có nhiều ngân sách hoặc kiến thức công nghệ cao để tuân theo một số phương pháp bảo mật tốt nhất. Câu hỏi là, bạn có sẵn sàng cho thử thách không?
Bạn muốn chấp nhận thanh toán qua trang web của mình? Dưới đây là các plugin tốt nhất để chấp nhận thanh toán trên các trang web WordPress.
Kết nối với:
Cách sử dụng Google Cloud SQL với WordPress.
