Bảo Mật Website WordPress là điều ai cũng cần làm và thường xuyên phải chú ý. Xây dựng lên một website với WordPress không hề khó. Nhưng để duy trì một website hoạt động ổn định và an toàn sẽ không hề đơn giản.
Đối với người dùng bình thường như chúng ta cùng Blog/Website cơ bản. Chúng ta cũng không nên nghĩ quá nhiều, quá cao siêu đến vấn đề Bảo Mật. Nhưng cũng cần cấu hình những thứ cơ bản để an toàn hơn trước các cuộc tấn công nhẹ.
Dẫu biết rằng ngay cả các hệ thống lớn như ngân hàng, nhà nước còn bị hack. Blog/Website của chúng ta thì có cấu hình hay sử dụng các phương pháp cao hơn cũng chẳng ăn thua gì. Nhưng có còn hơn không, hãy cùng Blog Lại Văn Đức thực hiện những điều cơ bản trước đã.
Bảo Mật Website WordPress cơ bản
WordPress là một trong những mã nguồn mở được sử dụng nhiều nhất hiện nay. Cũng chính vì vậy, những hacker thường khai thác những lỗ hổng của WordPress. Việc bị khai thác có nhiều lý do, có thể là một cuộc tấn công thực sự hoặc cũng có thể là thử nghiệm khai thác.
Dù ở trong hoàn cảnh nào, việc bảo mật cho website WordPress chúng ta cũng phải cần thực hiện. Có những phương pháp rất cao siêu, cũng có những phương pháp đơn giản vẫn hiệu quả.
Bên dưới là những cách bảo mật website WordPress cơ bản mà gần như ai cũng có thể thực hiện được. Mời các bạn cùng tham khảo.
1. Cập nhật WordPress cho website
WordPress là một mã nguồn mở và được tung ra bản mới thường xuyên. Việc cập nhập website WordPress lên phiên bản mới là điều cần thiết chúng ta phải thực hiện. Mặc dù ai cũng biết điều này, nhưng thực tế theo thống kê chỉ có 22% bản cài WordPress chạy với phiên bản mới nhất trên thế giới. Như vậy, tức là có tới 78% website đang chạy phiên bản cũ.
Có nhiều lý do chúng ta không cập nhập WordPress thường xuyên như: Sợ theme và Plugin bị xung đột, sợ rằng bản mới bị lỗi và do quên …
Bảo Mật Website WordPress chúng ta nên sử dụng phiên bản mới nhất của WordPress. Vì trong những phiên bản mới luôn được cải tiến chức năng, bảo mật và nhiều thứ khác.
Xem hướng dẫn tại: Update WordPress lên phiên bản mới nhất
2. Bảo Mật Website WordPress bằng mật khẩu khó
Chúng ta luôn cố gắng làm mọi thứ thật đơn giản, ngay cả mật khẩu cũng vậy. Là một người làm việc online hoặc sử dụng máy tính thường xuyên. Chúng ta hay có thói quen sử dụng một mật khẩu cho hầu hết các dịch vụ khác.
Bên cạnh đó, chúng ta thường sẽ sử dụng mật khẩu đơn giản để dễ nhớ. Nhưng cũng chính vì sự đơn giản này mà việc bị lộ mật khẩu trên hàng loạt tài khoản dịch vụ là điều không thể tránh khỏi.
Bảo Mật Website WordPress hoặc tất cả các dịch vụ đang sử dụng. Các bạn nên sử dụng mật khẩu khó đoán và nên sử dụng nhiều mật khẩu khác nhau cho các website/dịch vụ mình đang sử dụng.
Khi đó, tất nhiên chúng ta sẽ không thể nhớ hết các mật khẩu khó đó. Vậy bạn hãy sử dụng các phần mềm hỗ trợ như: LastPass hoặc 1Password. Bản thân mình cũng đang sử dụng LastPass để tạo ra các mật khẩu phức tạp đồng thời giúp mình lưu trữ các mật khẩu đó.
3. Kích Hoạt Bảo Mật WordPress 2 Lớp (2FA)
Xác thực 2 bước là điều quan trọng để bảo mật cho website của bạn. Xác thực 2 bước bảo vệ trang web của bạn khỏi bị đánh cắp mật khẩu, lừa đảo và thậm chí cả các cuộc tấn công brute-force.
Cách đơn giản nhất là sử dụng Plugin Google Authenticator. Bạn hãy tìm và cài đặt Plugin này trong website của bạn. Sau đó, trên điện thoại di động của bạn cũng sẽ cài ứng dụng này. Ứng dụng Google Authenticator có cả cho IOS và Android.
Lần tới khi đăng nhập vào WordPress, bạn sẽ được yêu cầu cung cấp mã trên điện thoại của mình. Bạn hãy mở ứng dụng trên điện thoại để lấy mã. Việc cài đặt và cấu hình đơn giản nhưng vô cùng hiệu quả trong việc Bảo Mật Website WordPress.
4. Tắt báo cáo lỗi PHP Error
Trong quá trình thiết lập website hoặc cấu hình chức năng. Báo cáo lỗi PHP Error giúp chúng ta biết được hiện trạng của website đang gặp phải. Từ đó giúp chúng ta dễ dàng tìm và sửa lỗi.
Tuy nhiên, PHP Error luôn hiển thị cho tất cả mọi người. Điều này rất nguy hiểm trong vấn đề bảo mật website WordPress. Cách khắc phục rất đơn giản, bạn hãy mở file wp-config.php và dán đoạn code bên dưới vào cuối cùng của file là xong.
error_reporting(0); @ini_set(‘display_errors’, 0);
5. Không sử dụng Theme – Plugin Null
“không có bữa ăn nào miễn phí” – Không ai rảnh rỗi mà xây dựng một website chỉ để chia sẻ miễn phí Theme cao cấp và Plugin cao cấp. Không ai giàu có đến mức mua hàng ngàn Theme và Plugin rồi chia sẻ lại cho chúng ta cả.
Hầu hết chúng ta đều biết như vậy nhưng vẫn cố gắng tải về để sử dụng. Chúng ta muốn Bảo Mật Website WordPress trong trạng thái an toàn. Nhưng ngay bước đầu tiên xây dựng website chúng ta đã làm sai quy trình. Chúng ta sử dụng Theme và Plugin không rõ nguồn gốc.
Về cơ bản, không phải ai cũng có kiến thức kiểm tra Theme hoặc Plugin đó có an toàn hay không. Nếu cẩn thân, chúng ta sử dụng các phần mềm diệt virut để quét xem có virut không ? Xin thưa, các phần mềm diệt virut không quét được mã độc trong code. Nó chỉ quét được file chứa virut mà thôi.
Có thể ngay sau khi cài đặt theme và plugin nulled này, website của chúng ta dính ngay lập tức. Có trường hợp lâu, rất lâu mã độc mới bắt đầu phát tán. Các trường hợp có thể kể đến như:
- Chiếm quền kiểm soát website của bạn
- Tự động đăng bài trong website của bạn
- Xóa bài viết/sản phẩm trong website
- Tạo ra các backlink từ website của bạn
- Tệ hơn nữa là website của bạn bị … biến mất
- ……………
Không dùng plugins và themes nulled ngay hôm nay là một trong các cách tốt nhất để bảo mật website WordPress. Chỉ đơn giản như vậy thôi.
6. Backup website thường xuyên và tự động
Bất kể website nào cũng có thể bị hack. Tin mình đi, có lần mình chỉ mới cài đặt WordPress rồi bẵng đi một thời gian không dùng đến. Khi quay lại thì website đã lên đường rồi.
Việc thường xuyên Backup dữ liệu website là điều cần thiết. Cho dù website của bạn là nhỏ hay mới hoặc chẳng có gì để hack cũng cần backup thường xuyên.
Trong thời điểm hiện tại, bạn không cần phải thực hiện thủ công cho vấn đề này nữa. Bạn có thể cấu hình tự động cho hệ thống backup và tải bản backup lên dropbox hoặc google drive một cách an toàn nhất.
Trước đó mình có giới thiệu những Plugin Backup WordPress tốt nhất. Cùng với đó là hướng dẫn cách cấu hình tự động backup website lên Google Drive hàng ngày với Plugin UpdraftPlus.
7. Tắt chức năng File Editing trong Admin
Thông thường, bạn có thể chỉnh sửa file của Theme và Plugin ngay trong Admin của bạn như hình bên dưới.
Chức năng này vô cùng tuyệt vời để chúng ta có thể tùy chỉnh, thêm hoặc xóa các dòng Code. Nhưng đó là khi bạn đang cấu hình, thiết lập website của bạn. Còn sau khi đã hoàn tất mọi thứ, bạn hãy tắt chức năng này đi để bảo mật website WordPress của bạn.
Để tắt chức năng này, bạn hãy chèn đoạn code bên dưới vào file wp-config.php
define( 'DISALLOW_FILE_EDIT', true );
Khi nào bạn muốn mở lại chức năng này, hãy xóa dòng code này đi là được.
8. Xóa Theme và Plugin không sử dụng
Thông thường khi làm website, chúng ta sẽ sử dụng một vài Theme để xem giao diện đẹp không. Cài đặt một mớ Plugin để xem có phù hợp với chức năng mình đang cần không. Sau khi đã chọn được Theme và Plugin cần thiết, chúng ta thường quên xóa những thứ không cần thiết.
Bạn hãy thường xuyên dọn dẹp website của mình cho sạch sẽ. Bởi vì những Theme và Plugin WordPress đó khi không sử dụng thì chúng ta thường sẽ không update cho nó. Nó luôn ở phiên bản cũ và có thể dính lỗ hổng bảo mật.
Bằng cách xóa plugins và themes chúng ta không sử dụng. Bạn đã giảm nguy cơ bị tấn công và giúp WordPress Site của bạn trở nên bảo mật hơn.
9. Bảo mật website WordPress SQL injections
Database là linh hồn của một website. Bất kỳ website động nào cũng có một database và chứa toàn bộ nội dung, cấu hình …. cho website đó. Đây cũng chính là mục tiêu chính cho tất cả các cuộc tấn công, trừ tấn côn ddos. Hầu hết các cuộc tấn công vào database là SQL injection.
Khi cài đặt WordPress, chúng ta thường để prefix mặc định của WordPress là wp_. Theo thống kê của WordFence, 1 trong 5 trường hợp hacking WordPresss là dựa vào SQL injections. Khi wp_ được đặt mặc định, hacker sẽ chọn giá trị này để tấn công trước.
Quan Trọng: Tránh trường hợp bị lỗi, bạn hãy backup database của bạn trước khi thực hiện theo hướng dẫn bên dưới.
Sau khi backup xong bạn mở file wp-config.php ra tìm đến đoạn sau và thay đổi thành tên mà các bạn muốn. Trong bài hướng dẫn này mình sẽ đổi wp_ thành laivanduc_ Các bạn muốn đổi thành tên khác thì lưu ý trong toàn bộ hướng dẫn bên dưới nhé:
$table_prefix = ‘wp_’; // đổi thành $table_prefix = 'laivanduc_';
Tiếp đó các bạn truy cập vào Database > Chuyển qua SQL như hình bên dưới:
Sau đó các bạn dán đoạn code sau vào và nhấn vào Go để thực hiện câu lệnh.:
Rename table wp_commentmeta to laivanduc_commentmeta; Rename table wp_comments to laivanduc_comments; Rename table wp_links to laivanduc_links; Rename table wp_options to laivanduc_options; Rename table wp_postmeta to laivanduc_postmeta; Rename table wp_posts to laivanduc_posts; Rename table wp_terms to laivanduc_terms; Rename table wp_term_relationships to laivanduc_term_relationships; Rename table wp_term_taxonomy to laivanduc_term_taxonomy; Rename table wp_usermeta to laivanduc_usermeta; Rename table wp_users to laivanduc_users;
Tiếp tục: Bạn tìm đến bảng wp_options và cũng chuyển qua SQL và dán đoạn code này vào:
SELECT * FROM `laivanduc_options` WHERE `option_name` LIKE '%wp_%'
Tiếp tục: Bạn tìm đến bảng wp_usermeta và cũng chuyển qua SQL và dán đoạn code này vào:
SELECT * FROM laivanduc_usermeta WHERE meta_key LIKE '%wp_%'
Hoàn thành, bạn đã giúp website của bạn thoát khỏi kiểu tấn công SQL injection.
Thế Thôi
WordPress là một nền tảng tuyệt vời giúp cho chúng ta có một website nhanh chóng. Chúng ta không thể phủ nhận sự tuyệt vời này vì trong nhiều trường hợp chúng ta chẳng cần biết Code là gì cũng đã có một website hoàn hảo.
Bảo Mật Website WordPress với những hướng dẫn cơ bản bên trên sẽ giúp website của bạn an toàn hơn. Mặc dù những điều này là cơ bản nhưng cũng đủ để website của bạn luôn ổn định. Chúng ta chưa nói đến các Plugin bảo mật cao cấp hoặc những thủ thuật wordpress lớn lao.
Nếu website của bạn là Blog cá nhân, website doanh nghiệp hoặc bán hàng nhỏ lẻ. Mình tin rằng những hướng dẫn này đủ để an toàn cho website của bạn.
Bài viết liên quan: