Bạn có phải là một trong nhiều quản trị web có cách tiếp cận thụ động đối với bảo mật WordPress không? Nếu vậy, bạn đang chơi với lửa, vì thực tế là chỉ cần một vi phạm an ninh có thể đủ để biến toàn bộ doanh nghiệp trực tuyến của bạn thành cát bụi!
Khi nói đến việc điều hành một doanh nghiệp trực tuyến, bảo mật trang web được cho là (và đáng buồn) là một trong những lĩnh vực quan trọng nhất và nhiều người không nhận ra tác động tàn phá đối với một doanh nghiệp mà vi phạm có thể có. an ninh.
Tất nhiên, việc mất lưu lượng truy cập và doanh số khá dễ dàng để đo lường, nhưng làm thế nào để bạn định lượng chi phí tiềm năng của danh tiếng và / hoặc xếp hạng của các công cụ tìm kiếm bị hư hỏng vĩnh viễn? Trên thực tế, nhiều công ty đã bị hủy hoại bởi một vi phạm an ninh cao cấp và tôi chắc chắn các công ty này cũng sẽ không phải là công ty cuối cùng.
Trong bài đăng này, tôi hy vọng sẽ tăng cường bảo mật trang web của bạn bằng cách giới thiệu cho bạn một số plugin và dịch vụ bảo mật WordPress tốt nhất.
Mẹo bảo mật WordPress nhanh
Điều đầu tiên trước tiên: Khi nói đến bảo mật trang web, một cách tiếp cận chủ động luôn luôn là, luôn luôn, tốt hơn một phản ứng. Ngăn chặn một vấn đề trước khi nó xảy ra sẽ giúp bạn tiết kiệm thời gian, căng thẳng và tiền bạc, và tốt hơn nhiều so với việc giải quyết hậu quả của một vi phạm an ninh sau khi nó đã xảy ra!
Luôn cập nhật mọi thứ
Hãy chắc chắn tuân theo tất cả các thực tiễn bảo mật cơ bản, như luôn cập nhật mọi thứ (plugin, chủ đề và kernel) và thường xuyên sao lưu trang web của bạn (trong trường hợp có sự cố và bạn cần quay lại phiên bản trước đó đã tồn tại trước khi xảy ra sự cố xấu).
Nhưng bạn có làm một trang web WordPress không? thậm chí an toàn hơn? Như thường lệ, trong thế giới WordPress, hãy bắt đầu với việc chọn một máy chủ có uy tín. Và câu ngạn ngữ cũ chưa bao giờ được xác thực: bạn có được những gì bạn phải trả cho.
Nếu bạn chỉ đơn giản là tìm mua không gian máy chủ, bạn chắc chắn có thể tìm thấy một dịch vụ lưu trữ được chia sẻ với giá dưới 10 đô la một tháng. Tuy nhiên, nếu bạn thức dậy với một trang web bị tấn công, đừng hy vọng những máy chủ này sẽ giơ ngón tay giúp bạn; nhân viên của bạn có thể không có thời gian cũng như kiến thức.
Quản lý WordPress Hosting: Đầu tư tốt nhất vào bảo mật trang web?
Những gì bạn thực sự cần là một dịch vụ lưu trữ WordPress được quản lý. Vâng, các dịch vụ này đắt hơn một chút, nhưng chúng đảm nhiệm phần lớn các nhiệm vụ bảo mật của WordPress.
Ví dụ: hầu hết tất cả các lưu trữ được quản lý sẽ tự động cập nhật lõi WordPress và một số thậm chí có thể gửi các bản cập nhật cho chủ đề của họ và các plugin (quan trọng nhất) khi cần thiết để đảm bảo rằng trang web của họ luôn cập nhật nhất có thể.
Tại sao điều này quan trọng? Bởi vì có hàng triệu người dùng WordPress, nhiều người trong số họ sử dụng cùng một plugin. Tin tặc chỉ cần đào lỗ hổng trong các plugin phổ biến, sau đó chúng có thể khai thác hàng triệu trang web.
Hầu hết các cập nhật plugin đóng lỗ hổng được biết đến. Đây là lý do tại sao các plugin lỗi thời là tin xấu và tại sao các dịch vụ lưu trữ được quản lý đảm bảo rằng mọi thứ được cập nhật thường xuyên.
Các dịch vụ lưu trữ được quản lý cũng thường hỗ trợ quét tường lửa và phần mềm độc hại WordPress chuyên dụng, ngoài ra họ có hệ thống riêng để quản lý và chặn các mối đe dọa tiềm ẩn và đã biết (nghĩ về các cuộc tấn công vũ phu và tương tự). Có lẽ quan trọng nhất trong tất cả, họ sẽ có đội ngũ được đào tạo chuyên nghiệp để giúp đỡ (bấm vào đây để đọc thêm về những khác biệt quan trọng khác giữa dịch vụ lưu trữ được quản lý và chia sẻ).
Thông tin đăng nhập mạnh mẽ
Ngoài lưu trữ được quản lý, còn có một số điều đặc biệt đơn giản khác mà bạn có thể thực hiện đòi hỏi ít nỗ lực từ phía bạn, chẳng hạn như đảm bảo thông tin đăng nhập của bạn được an toàn, không sử dụng bất kỳ thứ gì đơn giản như 'quản trị viên' cho bạn tên người dùng và sử dụng mật khẩu mạnh.
Các plugin và dịch vụ bảo mật WordPress tốt nhất
Tùy thuộc vào kích thước và tầm quan trọng của trang web của bạn (và sự an tâm mà bạn đang tìm kiếm), nó trả tiền để chú ý đến tính bảo mật của trang web. Dưới đây chúng tôi đã liệt kê mười một plugin và dịch vụ bảo mật đặc biệt của WordPress (cả miễn phí và cao cấp; một số đơn giản và phức tạp) mà chúng tôi khuyên bạn nên biết và cân nhắc. Tất nhiên, tùy thuộc vào những gì máy chủ web của bạn đã cung cấp, dĩ nhiên sẽ không cần nhiều người: mẹo là giữ được những thứ có sẵn và quyết định những gì bạn cần cho doanh nghiệp của bạn Trước khi quá muộn!
Hãy bắt đầu.
iTheme Security Pro (từ $ 80)
Vì iTheme là một trong những tên tuổi lớn nhất trong bảo mật WordPress (và đã được một thời gian), không có gì ngạc nhiên khi plugin bảo mật tất cả trong một của nó, iTheme Security Pro, là một trong những công ty dẫn đầu thị trường.
Plugin này giải quyết tất cả các lỗ hổng trên trang web chính, bắt đầu bằng các cuộc tấn công vũ phu. Để tránh những kẻ xấu, iTheme Security Pro di chuyển trang đăng nhập mặc định của WordPress, thực thi mật khẩu siêu mạnh và chặn người dùng sau quá nhiều lần thử đăng nhập.
Nếu điều đó không đủ bảo mật đăng nhập, iTheme Security Pro cũng hỗ trợ ủy quyền hai yếu tố: Điều này sẽ gửi mã truy cập đến thiết bị di động của người dùng, được yêu cầu cùng với mật khẩu tiêu chuẩn.
Nếu bạn biết bạn là người duy nhất truy cập quản trị viên của mình, plugin cũng hữu ích cho bảng điều khiển WordPress. Về cơ bản, điều này sẽ khóa bảng khi bạn sẽ không sử dụng nó, như khi bạn đang ngủ.
Chức năng quan trọng khác của nó là phát hiện thay đổi tập tin. Khi một hacker truy cập trang web của bạn, điều đầu tiên họ có thể sẽ làm là chỉnh sửa một trong những tệp chính. Plugin sẽ theo dõi loại hoạt động này và gửi cho bạn thông báo qua email mỗi khi có điều gì đó đáng ngờ xảy ra.
Chỉ với 80 đô la một năm, iTheme Security Pro sẽ chăm sóc tất cả các nhu cầu bảo mật của trang web của bạn. Nếu bạn muốn mang nó đi lái thử, phiên bản iTheme Security Lite miễn phí có sẵn và đó là một trong những plugin bảo mật miễn phí tốt nhất theo đúng nghĩa của nó, vì vậy nó đáng để kiểm tra.
Trang web chính thức
Bảo mật và tường lửa tất cả trong một WP (MIỄN PHÍ)
Tên của plugin này cho bạn biết mọi thứ bạn cần biết về những gì nó làm.
Đầu tiên và quan trọng nhất, Security và All-In-One Firewall WP cung cấp bảo vệ WordPress toàn diện với hàng loạt tính năng mạnh mẽ. Plugin nặng về bảo vệ chống lại các cuộc tấn công vũ phu, giúp bạn chống lại hình thức vi phạm bảo mật trang web phổ biến nhất.
Như tên của nó, plugin cũng thêm tường lửa vào trang web của bạn. Tường lửa này có một số cài đặt trước có thể được kích hoạt chỉ với một nút bấm, cho phép bạn chọn mức độ bảo vệ bạn muốn.
All in One WP Security và Firewall cũng đi kèm với sao lưu, các biện pháp chống thư rác và bảo vệ bản sao phía trước. Nó cũng bảo vệ cơ sở dữ liệu WordPress, trao đổi tiền tố "WP" mặc định. Và, để đảm bảo các tệp cốt lõi của bạn được bảo vệ, plugin liên tục quét các thay đổi phía sau hậu trường.
Mặc dù vậy, tốt nhất trong tất cả, All in One là một trong những plugin bảo mật dễ sử dụng nhất. Chỉ định trang web của bạn một điểm bảo mật, rất hữu ích cho việc theo dõi các cải tiến và trước khi thay đổi cài đặt plugin, nó sẽ cho bạn biết điều này sẽ ảnh hưởng đến điểm bảo mật tổng thể của bạn như thế nào – đây cũng là một cách tuyệt vời để tìm hiểu thêm. Các khía cạnh quan trọng của bảo mật trang web.
Trang web chính thức
Jetpack (MIỄN PHÍ và Premium từ $ 99 một năm)
Jetpack nổi tiếng trong cộng đồng WordPress. Là một phần của gia đình Automattic (những người đứng sau WordPress.com), Jetpack được mô tả tốt nhất là sự kết hợp của các tính năng tải hoàn toàn không liên quan. Có lẽ đáng ngạc nhiên, sự kết hợp hoạt động và plugin Jetpack là cực kỳ phổ biến.
Nếu bạn muốn phiên bản Jetpack miễn phí tăng cường bảo mật trang web của mình, bạn sẽ cần kích hoạt mô-đun (bạn có thể đọc thêm về các mô-đun Jetpack riêng lẻ tại đây), để bảo vệ bạn khỏi các cuộc tấn công vũ phu.
Tuy nhiên, đây là phiên bản trả phí của Jetpack có tất cả các tính năng bảo mật nghiêm trọng. Jetpack trả phí có hai loại:
Với 99 đô la một năm, bạn có thể lấy Giấy phép Jetpack, cung cấp quét phần mềm độc hại hàng ngày, sao lưu trang web ngoài trang web theo lịch trình và khôi phục trang web tự động.
Giấy phép Jetpack đưa giấy phép Premium tiến thêm một bước, cung cấp sao lưu thời gian thực và phân tích phần mềm độc hại theo yêu cầu. Nó có sẵn cho $ 299 một năm.
Cả hai giấy phép cũng bao gồm quyền truy cập vào nhóm hỗ trợ được đào tạo chuyên sâu của Automattic cho tất cả các vấn đề liên quan đến bảo mật trang web.
Trang web chính thức
VaultPress (từ $ 9 mỗi tháng)
Tiếp theo là VaultPress – Một thành viên khác trong gia đình Automattic. VaultPress là an toàn, đáng tin cậy và siêu có thể sử dụng, làm cho nó có thể là dịch vụ sao lưu trang web chuyên dụng tốt nhất.
Bây giờ, không có trang web là hoàn toàn an toàn. Cho dù bạn có nỗ lực bao nhiêu để bảo vệ trang web của mình, vi phạm vẫn có thể xảy ra, đó là lý do tại sao bạn sao lưu trang web của mình. Thật không may, không có đủ quản trị web bắt đầu làm theo lời khuyên này: đừng tự mình mắc bẫy này!
Một bản sao lưu trang web về cơ bản là một bản sao làm việc của trang web của bạn. Nếu có lỗi xảy ra và trang web của bạn bị lỗi hoặc bị hack, bạn chỉ cần kích hoạt "bản sao" gần đây nhất và khôi phục nó để hoạt động.
Đây là nơi VaultPress đến.
VaultPress tạo các bản sao lưu theo lịch trình hoặc thời gian thực, tùy thuộc vào cấp độ thành viên của bạn, được lưu trữ ngoài trang web một cách an toàn. Những bản sao lưu này có thể được khôi phục trong vài giây trong trường hợp xấu nhất xảy ra.
VaultPress cũng quét trang web của bạn để tìm virus và phần mềm độc hại, có thể được gỡ bỏ chỉ bằng một nút bấm. Đối với những người đang xem xét VaultPress, hãy nhớ xem hướng dẫn WinningWP VaultPress tại đây.
Trang web chính thức
Bảo mật Sucuri (MIỄN PHÍ)
Sucuri là các chuyên gia bảo mật WordPress và vì vậy plugin miễn phí của họ được đánh giá cao và đáng để tải xuống.
Plugin Bảo mật Sucuri tự động quét trang web của bạn để tìm phần mềm độc hại và các tệp không đáng tin cậy. Đặc điểm cuối cùng này có tầm quan trọng đặc biệt. Sau khi cài đặt Sucuri, plugin sẽ lưu ý đến các tệp hiện có của bạn (cài đặt "nổi tiếng") và nếu một tệp bị lệch khỏi "nổi tiếng" này thì đó có thể là hậu quả của vi phạm bảo mật.
Nếu xảy ra vi phạm bảo mật tiềm ẩn, bạn có thể sử dụng Nhật ký giám sát hoạt động Sucuri để điều tra những gì có thể xảy ra và nếu trang web của bạn bị xâm phạm, bạn có thể khôi phục tệp về trạng thái đã biết. Những hồ sơ này được giữ an toàn và âm thanh trong đám mây Sucuri để tin tặc có thể xóa chúng.
Ngoài plugin, một dịch vụ Sucuri tuyệt vời khác đáng xem xét là Tường lửa trang web (Cloud WAF).
Trang web chính thức
SecuPress (từ $ 59)
SecuPress là đứa trẻ mới trên khối trong thế giới bảo mật WordPress. Đây là bản phát hành mới nhất từ WP Media, nhóm đã đạt được sự tăng trưởng đáng kinh ngạc với plugin WP Rocket, đã thấy nó thu hút sự chú ý, mặc dù đang trong giai đoạn tiền ra mắt.
Điểm bán hàng chính của plugin là trình quét SecuPress mạnh mẽ, quét trang web của bạn để tìm lỗ hổng bảo mật trong sáu lĩnh vực chính:
- Người dùng và đăng nhập
- Plugin và chủ đề
- Lõi WordPress
- Thông tin tinh tế
- Quét phần mềm độc hại
- Tường lửa
Sau khi quét đánh dấu các điểm yếu của trang web của bạn, bước tiếp theo là sửa chúng. Điều này không thể dễ dàng hơn: Plugin liệt kê tất cả các vấn đề bảo mật, chọn hộp kiểm cho các vấn đề bạn muốn khắc phục và sau đó cho phép plugin thực hiện công việc của mình. Với SecuPress đang làm việc chăm chỉ, bạn có thể giải quyết vô số vấn đề bảo mật chỉ bằng vài cú click chuột.
Nhiều tính năng sẽ được bao gồm khi phiên bản Pro giảm, bao gồm các biện pháp chống thư rác, sao lưu trang web và phân tích phần mềm độc hại. Với phiên bản Pro, bạn cũng có thể lên lịch quét để chạy tự động trong nền.
Trang web chính thức
BBQ: Chặn các truy vấn không chính xác (MIỄN PHÍ)
Bảo mật WordPress là một vấn đề phức tạp, vì vậy các plugin bảo mật được phân phối dễ hiểu với các màn hình thiết lập phức tạp. Đối với nhiều người mới bắt đầu, điều này thật đáng sợ và khó chịu, đến mức họ chỉ đơn giản là tránh tất cả các vấn đề bảo mật trên trang web.
May mắn thay, Add-on thịt nướng – viết tắt của Block Bad Queries – bắt kịp xu hướng. Nó là một plugin tường lửa không có chuông và còi, chỉ chứa các chức năng thiết yếu để tăng cường bảo mật cần thiết của tường lửa, làm cho nó trở thành một plugin nhẹ cũng siêu nhanh.
Trên hết, plugin là ‘‘ theo nghĩa thật nhất. Chỉ cần cài đặt nó và kích hoạt nó, và bạn đã sẵn sàng để đi, không cần thiết lập gì.
Trang web chính thức
Diệt virus miễn phí)
Các plugin chống vi-rút là khá tự giải thích. Nó quét trang web của bạn để tìm phần mềm độc hại và spam.
Plugin thực hiện các lần quét này chủ yếu trên các tệp cơ sở dữ liệu và chủ đề của nó và nếu tìm thấy bất cứ điều gì, nó sẽ thông báo cho bạn ngay lập tức qua email. Vì nó thông báo cho bạn càng nhanh càng tốt, bạn có thể phản hồi nhanh chóng để ngăn sự cố leo thang. Và, để cung cấp bảo vệ liên tục, bạn có thể lên lịch AntiVirus để chạy quét tự động trên trang web của mình hàng ngày.
Trang web chính thức
Bảo mật Wordfence (MIỄN PHÍ)
Với hơn 18 triệu lượt tải xuống và xếp hạng xuất sắc là 40,85 từ 5Wordfence là vua của các plugin bảo mật WordPress miễn phí.
Cũng như nhiều plugin bảo mật tất cả trong một, Wordfence rất quan trọng trong việc ngăn chặn bạo lực. Thực thi các mật khẩu mạnh, bao gồm tùy chọn xác thực hai yếu tố và chặn các nỗ lực đăng nhập quá mức. Wordfence cũng sử dụng mạng mở rộng của nó để ghi chú những kẻ tấn công đã biết, những người sau đó bị chặn truy cập vào tất cả các trang web Wordfence.
Các tính năng bảo mật hữu ích khác bao gồm tường lửa WordPress được tối ưu hóa, giám sát người dùng theo thời gian thực và quét bảo mật. Một lần nữa, Wordfence sử dụng tốt mạng của bạn, tìm kiếm trang web của bạn để tìm hơn 44.000 chữ ký phần mềm độc hại đã biết.
Trang web chính thức
Khóa đăng nhập (MIỄN PHÍ)
Chặn đăng nhập là một plugin đơn giản giúp ngăn chặn các cuộc tấn công vũ phu bằng cách đơn giản chặn bất kỳ địa chỉ IP nào đăng ký quá nhiều lần đăng nhập thất bại trong một khoảng thời gian ngắn.
Plugin mặc định có ba lần thất bại trong cửa sổ năm phút, nhưng điều này có thể được thay đổi thông qua màn hình cấu hình.
Đơn giản nhưng hiệu quả!
Trang web chính thức
Nhật ký bảo mật kiểm toán WP (MIỄN PHÍ)
Nếu bạn đã biết một chút về bảo mật WordPress, bạn có thể muốn có một cách tiếp cận thực tế hơn. Nếu vậy, Plugin Nhật ký kiểm tra bảo mật WP có thể chính xác là những gì bạn cần.
Plugin theo dõi những gì đang diễn ra đằng sau hậu trường của trang web WordPress của bạn. Đặc biệt, người dùng của nó, cho phép nó phát hiện ra trứng xấu trước khi họ làm bất cứ điều gì quá nghiêm trọng. Ví dụ: nếu người dùng hiện tại tạo tài khoản mới, chỉnh sửa bài đăng được xuất bản hoặc trao đổi vai trò người dùng của ai đó, đây là tất cả các chỉ số tiềm năng mà người dùng không thể làm bất cứ điều gì.
Nhật ký bảo mật WP Audit sẽ ghi lại tất cả các hành vi đáng ngờ này để bạn có thể đối xử với chúng phù hợp.
Trang web chính thức
Suy nghĩ cuối cùng
Bảo mật trang web là một vấn đề phức tạp, trở nên khó khăn hơn bởi thực tế là cảnh quan luôn thay đổi.
Mặc dù thật tốt khi hiểu những gì đang xảy ra, lời khuyên của tôi là luôn bảo mật trang web của bạn trước và đặt những câu hỏi cần thiết sau!
Nếu ngân sách của bạn không mở rộng cho dịch vụ lưu trữ được quản lý có uy tín (có lẽ là cách tốt nhất để bảo vệ trang web của bạn ngoài các biện pháp bảo mật cơ bản, như giữ mọi thứ cập nhật, không bao giờ chia sẻ thông tin đăng nhập và đảm bảo rằng tất cả mật khẩu được bảo mật), cách tốt nhất của bạn là chọn một trong những plugin tất cả trong một được trình bày ở trên, chẳng hạn như iTheme Security Pro, SecuPress, Wordfence Security hoặc WP All-in-One Security và Tường lửa.
Đi theo lộ trình này có lợi ích kép là yêu cầu đầu vào tối thiểu từ bạn: mọi thứ được xử lý tự động mà không cần phải nhấc ngón tay.
Điều đó, hy vọng, sẽ cho phép bạn tập trung vào việc quản lý doanh nghiệp trực tuyến của mình, với kiến thức rằng trang web của bạn an toàn nhất có thể.
