Hướng dẫn toàn diện về cách bảo mật WordPress dành cho người mới

Nếu bạn đang làm việc trên môi trường Internet, đặc biệt là Website hay Blog có thể bảo mật là mối quan tâm hàng đầu của bạn.

Thật ra thế giới internet cũng như thế giới thực mà chúng ta đang sống. Luôn có những rủi ro sẽ tác động đến công việc kinh doanh của bạn.

Chẳng hạn như ở bên ngoài bạn luôn phải đối mặt với nạn trộm cắp tài sản thì Internet cũng không kém phần bằng viêc đánh cắp các dữ liệu quan trọng.

Thậm chí những rủi ro trực tuyến này sẽ ảnh hưởng không nhỏ về mặt kinh tế.

Vì vậy nếu là chủ một nền tảng trực tuyến như WordPress bạn cần trang bị những kinh nghiệm cần thiết để tránh và hạn chế những điều không muốn với website/blog của mình.

Mình biết bạn ngại với các kiến thức kỹ thuật mà một chuyên gia bảo mật, phải tích lũy nhiều năm trời mới có được. Nhưng nếu bạn là người thông minh bằng cách có một website bằng WordPress thì mọi thứ dễ dàng hơn rất nhiều.

Ngoài việc bạn có thể trở thành một nhà quản trị và thiết kế “nói không với code” thì việc trở thành chuyên gia bảo mật cho riêng bạn cũng chẳng có gì khó khăn cả.

Ở hướng dẫn này mình sẽ dắt dắt bạn từ những điều cơ bản nhất về bảo mật cho đến những thao tác thực hành có thể áp dụng trên WordPress của bạn.

Mình hứa nó sẽ dễ dàng hơn bạn tưởng rất nhiều, vì vậy bạn không việc gì căng thẳng hay tự nghĩ rằng nó quá khó. Hãy thoái mái như bao hướng dẫn mà mình đã chia sẻ trên Blog này!

Okay, bây giờ thoải mái rồi thì hãy lướt qua một chút về những điều cơ bản nhất về bảo mật.

Tại sao bảo mật WordPress lại quan trọng với Blog?

Bạn có biết mỗi năm có hàng ngàn website bị hack và giá trị thiệt hại lên tới hàng triệu đô la. Đó là một con số không hề nhỏ về mặt kinh tế.

Những website bị hack còn đánh mất các dữ liệu về khách hàng thậm chí là tống tiền (có lẽ bạn đã nghe quá nhiều về trường hợp này).

Nếu không bảo mật tốt Website của bạn, các hacker sẽ tấn công và có thể làm bất kỳ điều gì trên đó.

Dưới đây là một số hậu quả phổ biến sẽ xảy ra nếu bạn không bảo mật tốt website của mình:

  • Khóa quyền truy cập của người quản trị (bạn).
  • Website của bạn không thể truy cập vào bất kỳ nội dung nào.
  • Các quảng cáo không muốn tự nhiên xuất hiện – thường là do mã độc
  • Hiệu suất (Tốc độ tải trang giảm).
  • Tự động điều hướng tới những trang bạn không biết (spam liên kết).
  • Giả danh chủ website để lừa đảo
  • Đe dọa tống tiền để đổi lại sự an toàn.
  • Đánh cắp tài khoản ngân hàng của khách – Thường xảy ra với các website bán hàng Online.

Quạn trọng nhất là khi công cụ tìm kiếm như Google phát hiện Blog của bạn bị hack và có mã độc thì không còn gì tệ hơn. Khi đó mọi nội dung đã được lập chỉ mục của bạn trên trang kết quả tìm kiếm sẽ bị đánh mất cho dù đó là top 10 hay top 100.

Điều này có nghĩa là công sức của bạn xây dựng bao lâu nay “Đổ sông đổ bể” và chẳng có khách hàng nào tự tìm đến bạn.

Đó là lý do tại sao bạn nên tiếp thu một chút kinh nghiệm bảo mật Website cho bản thân mình.

Dưới dây là toàn bộ giải pháp bảo mật WordPress tốt nhất mà mình đã tích lũy trong thời gian qua. Nó cũng không có gì khó khăn cả, chỉ cần tập trung nhìn vào các bước thực hành là bạn sẽ làm được. Ngoài ra bạn có thể nhìn vào khả năng của mình mà thực hiện các cấp độ phù hợp.

Mình đã phân ra 3 cấp độ khác nhau dành cho bạn theo lộ trình từ cơ bản đến nâng cao, bạn cứ theo thứ tự này thực hành thì mình đảm bảo việc bảo mật website WordPress dễ dàng hơn bạn tưởng rất nhiều.

Đây là 3 cấp độ bạn sẽ phải trải qua:

  • Thứ nhất là cơ bản: Thao tác bảo mật đơn giản từ cách tạo Website bằng WordPress cho đến những bước làm quen.
  • Thứ 2 là trung bình: Những tính năng bảo mật mà một website có thể trang bị, đừng lo lắng về điều này vì đã có Plugin lo.
  • Cuối cùng là nâng cao: Can thiệp vào các đoạn mã WordPress và Hosting của bạn, sẽ hơi khó một chút nhưng nếu chú ý bạn hoàn toàn có thể làm được.

Giờ thì hãy hãy cùng mình nói sâu hơn về từng cấp độ nào.

A. Bảo mật WordPress cơ bản

Đã nói là cơ bản thì đã là giải pháp dễ nhất, bạn sẽ bắt gặp nó ngay từ những bước chập chững học làm website bằng WordPress.

Nếu bạn là một Fan trung thành của mình khi vừa bắt đầu với những hướng dẫn dành cho người mới thì dường như mình đã tích hợp ngay trong đó cho bạn. Chỉ là mình không nói hoặc không nói rõ đó là cách bảo mật website mà thôi.

1. Chọn nhà cung cấp hosting chất lượng

Có một hosting chất lượng sẽ đáp ứng một tiêu chí bảo mật rất lớn cho Website của bạn. Tuy nhiên đôi khi bạn chỉ nghĩ đơn thuần hosting chỉ cần chứa dữ liệu về website của bạn và làm cho nó thực hiện các chức năng trực tuyến là xong.

Đó thực ra là điều cơ bản, cái quan trọng là công nghệ của hosting đó như thế nào cũng như hỗ trợ kỹ thuật ra sao mới là chủ chốt.

 

Không ít những dịch vụ web hosting tự thổi phồng chất lượng này nọ đủ tiêu chí như dung lượng, tốc độ, quản trị dễ dàng…mà hiếm khi nhắc tới bảo mật cũng như công nghệ được trang bị cho nó.

Vì vậy đây là điều bạn cần chú ý đặc biệt nếu bạn là người mới!

Hiện nay thì dịch vụ cung cấp hosting rất nhiều, bạn chỉ cần gõ từ khóa “mua hosting” hay “mua hosting giá rẻ” thì có cả ngàn kết quả trả về cho bạn. Trong đó quảng cáo chiếm phần lớn

Vì phần lớn chúng ta không rành về CNTT thì thường chỉ biết bỏ tiền ra đầu tư với những quảng cáo hấp dẫn, nhất là từ khóa “Giá rẻ”.

Mình không nói tất cả nhưng cũng không ít người đã mất công việc kinh doanh với Website chỉ vì chọn nhầm một nhà cung cấp lởm. Khi họ sử dụng những công nghệ lỗi thời và kém chất lượng kèm theo một “món quà” là bộ phận hỗ trợ không ai có kinh nghiệm tốt trong vấn đề bảo mật.

Thay vì phải tìm kiếm mất thời gian nhưng lại không đúng mong đợi như bao newbie mắc phải.

Mình khuyên bạn nên sử dụng Hosting từ những nhà cung cấp hosting quốc tế vì họ trang bị những công nghệ tốt nhất cho khách hàng của mình, về đội ngũ hỗ trợ thì luôn có những chuyên gia bảo mật hỗ sẵn sàng giúp đỡ bạn bất kỳ lúc nào.

Có không ít nhà cung cấp hosting trên thế giới được biết đến là tốt nhất, tuy nhiên với những người vừa mới làm website bằng WordPress thì lựa chọn tốt nhất nên là Hawkhost.

Họ được biết đến với giá phù hợp cho người  ít kinh phí nhưng chất lượng và tiêu chí bảo mật cũng tuyệt đối an toàn bởi các  công nghệ mới nhất và đội ngũ hỗ trợ tài năng.

Đề xuất: Hướng dẫn mua hosting giá rẻ làm Website tại Hawkhost mới nhất 2019 (Có mã giảm giá)

Ngoài ra bạn cũng có thể tham khảo thêm những nhà cung cấp khác như DreamsHost, StableHost, Hostgator cũng được nhiều người tin dùng.

Xem thêm: Hosting là gì? 5 Lưu ý cần biết trước khi quyết định mua hosting

Mã hóa dữ liệu với chứng chỉ SSL

Là một trong những tiêu chuẩn bảo mật hàng đầu dành cho mọi website bao gồm cả WordPress. Đây là một giao thức giúp đảm bảo độ an toàn trong quá trình truyền dữ liệu giữa máy chủ và trình duyệt web.

SSL cũng là một yếu tố trong SEO mà Google đặt ra nếu bạn muốn xếp hạng cao trên công cụ tìm kiếm. Và quan trọng SSL sẽ làm tăng độ tin cậy cho website của bạn với ổ khóa màu xanh cùng tiền tố https:// trên địa chỉ trình duyệt.

Chúng được giới thiệu bởi những dịch vụ liên quan về web với giá cũng khá chát, thường thì khoảng $50 trở lên hoặc may ra có những chương trình khuyến mãi sẽ rẻ hơn.

Tuy nhiên thực tế không cần thiết phải mất một ít kinh phí như vậy, nhất là khi bạn chỉ vừa bắt đầu công việc kinh doanh Online nên tiết kiệm được bao nhiêu thì hay bấy nhiêu. Hiện nay đã có rất nhiều SSL miễn phí được cung cấp bởi những tổ chức phi lợi nhuận.

Nếu bạn sử dụng WordPress thì không có gì phức tạp, đặc biệt với những nhà cung cấp  hosting như trên mình đã nói đều đã hỗ trợ SSL trong Cpanel của họ. Bạn chỉ cần một vài bước đơn giản thì đã có thể trang bị SSL cho WordPress của mình.

Liên quan: SSL là gì? Hướng dẫn nhận SSL miễn phí cho website WordPress của bạn

Thay đổi tên đăng nhập mặc định

Khi bạn tạo WordPress trong khu vực điền thông tin đăng nhập là Usename và Password. Thì username sẽ mặc định là Admin, nhiều bạn mới lại thường để nguyên nó và chỉ cần tạo mật khẩu mới.

cach-thay-doi-ten-dang-nhap-trong-wordpress

 

Điều này mình thường xuyên thấy khi trước đây là làm Freelancer.

Tuy nhiên bạn nên nhớ rằng WordPress là một mã nguồn thông dụng nhất thế giới, không ít hacker “dòm ngó”  những website màu mỡ chạy trên nền tảng này.

Những công cụ quét có thể dễ dàng thêm mặc định “Admin” vào phần UserName và phần còn lại chỉ cần họ dò ra mật khẩu là xong. Nếu mật khẩu của bạn ở mức thấp thì nguy cơ bị hack là khó có thể tránh khỏi.

Vì vậy mà khi tạo Website bằng WordPress thì bạn nên thay đổi tên “Admin” thành một cái tên nào đó khác và dài một chút. Khoảng trên 10 ký tự là tốt nhất. Bạn cũng không nên dùng tên công khai trên Blog hoặc tên Website để làm Username vì các tool quét có thể dễ dàng nhận ra điều này.

Mật khẩu mạnh

Nếu bạn là người không chuyên về công nghệ, có thể bạn sẽ quen thuộc với những dạng mật khẩu chỉ có số và chữ được sử dụng trên các tài khoản đăng nhập.

Kể cả mình cách đây và năm cũng đã từng như vậy.

Tuy nhiên khi internet phát triển nhanh chóng thì các mật khẩu dành cho đăng nhập cũng cần được đảm bảo về tính bảo mật cũng như độ mạnh.

Điều này thì giải quyết quá dễ dàng!

Thay vì trước đây bạn chỉ để mật khẩu có mỗi số và chữ thì bây giờ bạn hãy thêm những ký tự đặt biệt và chữ in hoa vào các vị trí khác nhau.

Ví dụ mật khẩu trước đây của mình trước đây là namdenroi123 thì bây giờ mình có thể thay đổi thành [email protected]! chẳng hạn. Mật khẩu kiểu này thì các hacker hay tool có quét dò không biết đến khi nào mới ra được.

Nếu bạn muốn thay đổi mật khẩu WordPress hiện tại thì có thể truy cập Users > Your Profile sau đó kéo xuống và điền vào phần PassWord mới (đừng quên lưu lại).

Vai trò của người dùng khi đăng ký

Quản lý người dùng là một tính năng cần thiết mà mọi website cần phải có nhằm giúp công việc quản lý dễ dàng và hiệu quả nhất nếu website của bạn lớn hoặc có nhiều tác giả. Tuy nhiên đôi khi không biết tận dụng tính năng này có thể là một mối nguy hiểm cho website của bạn.

WordPress hỗ trợ cho bạn một số nhóm quyền khác nhau để cấp cho người dùng và mỗi nhóm quyền có thể truy cập vào một số chức năng nhất định.

Những chủ sở hữu website như mình và bạn là những người nắm quyền cao nhất với Administrator, nếu bạn không chung vốn với người khác thì tốt nhất không cho ai sử dụng quyền này.

Khi cần thuê biên tập viên (editor) hoặc khi ai đó muốn viết bài viết khách (Guest Post) để xây dựng liên kết thì bạn có thể cấp quyền phù hợp cho họ.

Hoặc ai đó muốn đăng ký Blog của bạn thì chỉ nên để mặc định là Subcriber, nhưng nếu muốn độc giả đăng ký thì bạn nên sử dụng dịch vụ thu thập email sẽ tốt hơn cả về tính bảo mật và Marketing Online sau này.

Để biết cách phân quyền truy cập bạn có thể xem cách quản lý và tạo người dùng trong WordPress của mình.

Cập nhật các phần mềm mới trên WordPress

Nếu bạn biết tới WordPress một thời  gian (khoảng 1 tuần) thì bạn sẽ thường xuyên thấy các thông báo cập nhật những phần mền như Plugins, Themes hoặc một vài tháng thì có thể là phiên bản WordPress mới nhất.

Sở dĩ có những bản cập nhật này là vì WordPress luôn co những thay đổi đáng kể với mục đích tốt hơn cho người dùng. Ngoài việc bạn sẽ nhận được các tính năng mới, hiệu suất tốt hơn thì bên cạnh đó còn là bảo mật cho website của bạn.

Vì vậy khi có thông báo về cập nhật trên WordPress bạn hãy dành chút thời gian nhấn vào nút “Cập nhật” để sử dụng những tính năng mới nhất và đảm bảo được tính bảo mật.

Xem thêm về cách cập nhật trong bài viết Tìm hiểu khu vực Dashboard trên trang quản trị WordPress (Xem cách cập nhật ở mục update).

 Trang bị Firewall (tường lửa) cho WordPress

Nghe thì có vẻ nghiêng nhiều về mặt kinh nghiệm trong bảo mật. Nhưng bạn chỉ cần hiểu đơn giản đây là một công nghệ cho phép chúng ta ngăn chặn những cuộc tấn công và hàng loạt chức năng trong bảo mật web.

Điều này tưởng như dành cho các chuyên gia nhiều năm kinh nghiệm thì với WordPress bạn chỉ cần giải quyết mọi thứ chỉ với một Plugin Fireware là đủ.

Có không ít plugin từ miễn phí đến trả phí cho phép bạn làm điều này, nếu bạn chưa có nhiều kinh phí thì nên sử dụng một trong 3 plugin sau. Wordfence Security, Sucuri, All In One WP Security & Firewall. Đây là 3 plugin miễn phí tốt nhất mà mình đã từng sử dụng.

Nếu khi site của bạn đã lớn và không ngại đầu tư thì có thể nâng cấp lên trả phí để có những tính năng bảo mật an toàn nhất và có được sự hỗ trợ từ các chuyên gia của họ.

Bảo mật WordPress ở mức trung bình

Ở cấp độ này chúng ta sẽ làm việc  hầu hết với các Plugin vì khi cần một tính năng bảo mật nào bạn chỉ cần tìm cài cài đặt nó.

Xác thực 2 yếu tố

Là một trong những giải pháp bảo mật tốt và dễ dàng nhất thường được mọi người ưu chuộng. Với cách này khi bạn điền thông  tin tài khoản đăng nhập của mình bạn sẽ không được truy cập vào trang quản trị ngay. Mà bạn phải làm một bước tiếp theo là xác thực nó trên một nơi khác qua Email hoặc điện thoại.

Để làm điều này bạn có thể sử dụng Plugin miễn phí như  Two Factor Authentication hoặc  Google Authenticator. Sau khi cài đặt và kích hoạt bạn sẽ  thực hiện một số thiết lập và tải một ứng dụng về điện thoại.

Tiếp đó là kết nối chúng với nhau và có thể thực hiện mở khóa qua việc quét mã vạch hoặc thủ công bằng tay. Thao tác với cách ày có phần hơi phức tạp cho người mới và kém về công nghệ.

Vì vậy mà nếu có điều điện bạn có thể sử dụng các Plugin trả phí như Securiy hoặc WordFence Security để  đơn giản hơn bằng cách nhận mã xác thực qua email và số điện thoại.

Câu hỏi bảo mật

Đây cũng là cách đơn giản mà mình khuyên bạn nên tích hợp nó trên WordPress của mình. Thay vì chỉ có mỗi username và Password thì bạn có thể đăng nhập thì bạn cần trả lời thêm một câu hỏi cá nhân đã được thiết lập trước đó.

Nếu không đúng thì hệ thống sẽ ngăn chặn việc đăng nhập của bạn.

hien-thi-khu-vuc-dang-nhap-plugin-them-cau-hoi-bao-mat

 

Thông thường thì các câu hỏi cá nhân sẽ rất ít người khác biết được, kể cả những người thân nhất bên cạnh bạn đôi khi cũng không thể đoán được. Chính vì vậy mà việc bảo mật là cực kỳ an toàn.

Để có thể thêm một câu hỏi bảo mật trong phần đăng  nhập WordPress bạn cần cài đặt Plugin WP Security Questions sau đó sẽ tiến hành một số thao tác thiết lập đơn giản và chọn câu hỏi bảo mật.

Xem hướng dẫn chi tiết tại đây!

URL đăng nhập

Theo mặc định của WP, đường dẫn đăng nhập của bạn sẽ dạng https://domaincuaban.com/wp-admin trong đó wp-admin là tiền tố đăng nhập của mỗi website chạy trên WordPress.

Các hacker sẽ dễ dàng nhận ra URL đăng nhập của bạn khi họ đã biết được domain từ đó họ có thể thực hiện các cuộc tấn công để cố đăng nhập vào trang quản trị của bạn.

Tuy nhiên bạn có thể thay đổi tiền tố wp-admin thành một cái khác để họ không thể truy tìm ra và tất hiên không thể đến được trang đăng nhập. Cách thay đổi nhanh nhất bạn có thể làm là tìm và cài đặt một plugin có tên WPS Hide Login sau đó đi tới phần Setting > General > WPS Hide Login >Login URL và điền tiền tố bạn muốn thay đổi.

Đừng quên nhấn Save để lưu lại các thay đổi của bạn.

Ngăn chặn những ai đang cố gắng đăng nhập

Bạn đã bao giờ quên mật khẩu khi đăng nhập một tài khoản nào đó, tuy không nhớ nhưng bạn vẫn cứ thử 1 lần…2 lần…3 lần…nhiều lần.

Cho đến khi bạn nhận được một thông báo đại loại như “Bạn đã đăng nhập quá số lần cho phép, vui lòng thử lại sau x phút” (thay x bằng một con số).

Đơn giản hơn bạn có thể nhìn thấy ngay trên chiếc điện thoại của bạn khi bạn vẽ  sai quá nhiều lần.

Không phải mà tự nhiên họ cài đặt cho bạn giới hạn ở một vài lần đăng nhập. Thật ra giới hạn điều này để hạn chế ai đó đang cố gắng truy cập vào tài khoản của bạn, đúng hơn thì thường là các công cụ quét với hàng trăm ngàn cho tới cả triệu lần thử.

Nếu thiết lập số lần đăng nhập sai và hệ thống sẽ khóa trong một thời gian thì bạn sẽ giảm thiểu được nó.

Để có được tính năng này bạn cần cài plugin Login LockDown sau đó điền những thông số cần thiết.

Bảo mật WordPress nâng cao

Ngăn chặn chỉnh sửa tập tin

Tập tin là nơi hết sức quan trọng với Website của bạn, mọi chức năng để website hoạt động đều phải dựa vào nó. Vì vậy đôi khi người khác có thể truy cập và chỉnh sửa là hết sức nguy hiểm.

Nhẹ thì xảy ra các lỗi lặt vặt nặng thì bị dính mã độc hoặc thậm chí website bị sập.

Vì vậy bạn nên ngăn chặn điều này ngay lập tức bằng cách thêm một đoạn code đơn giản trong tệp wp-config.php.

DISALLOW_FILE_EDIT

Lưu ý: Để sửa được file wp-config.php thì bạn cần phải nắm bắt được kỹ năng quản trị file trên hosting thông qua cpanel hoặc FTP.

Thay đổi tiền tố của cơ sở dữ liệu

Cơ sở dữ liệu là nơi cực kỳ quan trọng với mọi website (không riêng gì với WordPress) vì nó lưu trữ toàn bộ thông tin quan trọng như thông tin khách hàng, các trang, bài viết,..và hàng loạt nội dung khác.

Chính vì vậy mà CSDL cũng là một nơi mà các hacker muốn nhắm tới với mục đích khai thác thông tin của bạn.

Tương tự như tên đăng nhập hoặc URL đăng nhhập mình đã nói trên, CSDL cũng có tiền tố bảng mặc định khi bạn tạo blog WordPress là wp_

Những thứ mặc định như vậy rất kém an toàn vì những hacker có thể dựa vào đó để tìm ra các lõ hổng và tiến hành những cuộc tấn công và khai thác dữ liệu. Tuy nhiên bạn có thể ngăn chặn nó bằng cách thay đổi tiền tố này thành những cái tên khác để họ không thể đoán ra được.

Chẳng hạn như csdlwp_ hay wpcuatoi_ thì khả năng đoán ra là không hề dễ dàng.

Để thay đổi tiền tố này bạn cần phải có một chút kiến thức làm việc trên hosting và kinh nghiệm với các truy vấn trong SQL. Nhưng nếu muốn đơn giản hơn thì bạn có thể sử dụng plugin WP-DBManager.

Ngăn chặn các cuộc tấn công DDoS

DDos (Distributed Denial of Service) Phân phối từ chối dịch vụ là một dạng tấn công không mấy phổ biến nhưng rất khó phát hiện đối với những chủ website WordPress.

ddos-security-bao-mat-wp

 

 

Tại đây những người tấn công sử dụng nhiều chương trình tấn công làm quá tải máy chủ của bạn. Điều này sẽ dẫn đến tình trạng sập web hay nói cách khác là người truy cập không thể truy cập vào nội dung của bạn và sẽ thấy một thông báo về sự cố máy chủ.

Nhiều người tưởng rằng đây là do quá nhiều khách truy cập cùng một lúc sẽ dẫn đến quá  tải và đôi khi sẽ làm bạn nhầm tưởng và nâng câp lên một hosting cao cấp khác.

Điều này sễ phát sinh không ít chi phí trong khi đó không phải là cách giải quyết.

Để ngăn chặn điều này cách đơn giản nhất là bạn nên sử dụng Cloudflare. Đây là dịch vụ miễn phí với những giải pháp ngăn chặn DDoS một cách hoàn toàn. Hơn nữa bạn sẽ còn được cải thiện về hiệu suất trang rất nhiều.

Vô hiệu hóa lập chỉ mục và duyệt thư mục

Trình duyệt thư mục là nơi dẫn đến những tập tin quan trọng về website của bạn, tại đây các hacker thậm chí là người dùng có thể truy cập và xem các thông tin về website WordPress của bạn.

Từ đó họ có thể khai thác những lỗ hổng để tiến hành các cuộc tấn công để chiếm quyền truy cập hoặc chèn các đoạn mã độc có tính năng theo dõi hoặc các liên kết quảng cáo spam.

Để ngăn chặn điều này, việc bạn cần làm là không cho phép người dùng có quyền truy nhữ cập vào đường dẫn chứa tập tin của bạn.

Cụ thể hơn bạn sẽ thêm một đoạn code  đặc biệt trong tệp .htaccess. Bạn có thể mở tệp này bằng nhiều cách khác nhau như trình quản lý file trong Cpanel, ứng dụng FTP, hoặc đơn giản hơn là khu vực chỉnh sửa file .htaccess được hỗ trợ trong Yoast SEO.

Sau khi mở được tệp .htaccess điều bạn cần làm là coppy đoạn code bên dưới dán vào vị trí cuối cùng  và lưu lại.

Options -Indexes

Vậy là bạn đã tắt tính năng xem file dành cho người dùng, sẽ không  còn ai có thể trruy cập và khai thác lỗ hổng qua tính năng này.

Backup dữ liệu thường xuyên

Backup là một nhiệm vụ vô cùng quan trọng luôn song hành với bảo mật. Trong những trường hợp bạn bị tấn công ngoài ý muốn bạn cũng chẳng cần phải lo lắng khi có trong tay một bản sao lưu trước một thời gian khi chưa bị hack.

Bạn chỉ cần yêu cầu nhà cung cấp hosting reset lại mọi thứ sau đó chỉ cần upload tệp backup là mọi thứ đã hoạt động trở lại bình thường.

Có không ít cách giúp bạn backup dữ liệu của mình, tuy nhiên nhanh và hiệu quả nhất thì bạn nên sử dụng Plugin vì họ có các tính năng cho phép bạn đặt nó ở những dịch vị lưu trữ như Google Driver, Dropbox,…

Xem hướng dẫn của mình về cách backup dữ liệu WordPress bằng UpdraftPlus.

Kiểm tra bảo mật WordPress

Phát hiện các vấn đề về bảo mật là điều không hề dễ dàng bằng bất thường chứ huống gì chúng ta không biết nhiều về code. Nhưng rất may là có rất nhiều Tool miễn phí hỗ trợ bạn quét blog của mình một cách đơn giản chỉ bằng nhập URL.

Mình thường sử dụng công cụ quét của WordFence Security một plugin bảo mật WordPress hàng đầu mình thương đề xuất.

Sau khi quét bạn sẽ được trả kết quả về tình trạng bảo mật website của mình. Bên cạnh đó còn là một số đề xuất để cải thiện bảo mật tốt hơn cho site của bạn.

Lời kết

Đó là tất cả kiến thức bảo mật mình nghĩ nó sẽ bảo vệ an toàn cho Website WordPress của bạn. Hy vọng bạn sẽ vận dụng nó và áp dụng cho riêng mình.

Bạn không cần phải làm tất cả nhưng mình khuyên bạn nên áp dụng càng nhiều càng tốt để hạn chế tối thiểu khả năng bị hack hoặc đánh cắp dữ liệu.

Tránh tình trạng “Mất bò mới lo làm chuồng” thì lúc đó có khi đã quá muộn.

Lời khuyên tốt nhất từ mình là bạn nên trang bị 2 plugin bắt buộc là backup và tường lửa, chúng hoàn toàn miễn phí nên chẳng dại gì mà không dùng cả.

Với Backup bạn có thể sử dụng UpdraftPlus (miễn phí) hoặc BackupBuddy (trả phí).

Với tường lửa bạn có thể sử dụng Ithemes Security hoặc WordFence Security hoặc Sucuri.

Hãy cho mình biết hoặc thắc  mắc nào về bài viết này, mình sẽ cố gắng phản hồi sớm nhất cho bạn. Chúc website WordPress của bạn luôn an toàn trong quá trình vận hành.

 

Truyền bá tình yêu cho bài viết này tới:
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

gravata-author-nam-nguyen

Nam Nguyễn

Về tác giả


Blogger thích nghiên cứu về WordPress và các yếu tố tiếp thị liên quan đến nó. Biến giấc mơ làm chủ website, kinh doanh Online trở thành điều đơn giản với mọi người. Bạn có thể theo dõi mình trên Facebook, Twitter, LinkedIn.

Đừng quên tham gia bản tin của mình để nhận các kiến thức bổ ích mới nhất.

>

Bạn có muốn tự tay làm Website chuyên nghiệp và đơn giản?

Kinh doanh trực tuyến hay kiếm tiền Online đều cần phải có Website/Blog là nền tảng phát triển nội dung cho bạn.

Mình có một hướng dẫn miễn phí về cách làm Website chuyên nghiệp dành cho người không biết gì về lập trình. Bạn có muốn lấy hướng dẫn này không?

arrow-down