Mình đã từng viết bài hướng dẫn bảo mật WordPress cách đây 2 năm trên blog này, lần này cũng với nội dung như thế, mình sẽ bổ sung thêm cho các bạn những mẹo hay có thể áp dụng để nâng cao tính bảo mật cho blog WordPress của bạn.
WordPress hiện đang là mã nguồn blog phổ biến nhất hiện nay, và nó cũng được sử dụng trên tổng số 25% website toàn cầu. Như bạn đã biết, cái gì phổ biến quá thì sẽ bị người khác dòm ngó, họ sẽ khai thác các lỗ hổng bảo mật để phá hoại hoặc trục lợi cá nhân. Hacker sẽ tập trung vào các lỗ hổng bảo mật trên plugin, trên giao diện hoặc thậm chí là nhân của WordPress.
Đừng để đến khi blog của bạn bị hack thì mới tiến hành nghiên cứu cách để đảm bảo an toàn, “mất bò mới lo làm chuồng” thì coi như xong rồi. Trong bài viết này mình sẽ chia sẻ cho các bạn một vài mẹo để nâng cao tính bảo mật WordPress, bạn có thể áp dụng một vài cách trong này hoặc cũng có thể áp dụng toàn bộ.
Mục lục nội dung
- 1 Sao lưu, cập nhật và lặp lại
- 2 Tài khoản và mật khẩu
- 3 Thay đổi table prefix
- 4 Phân quyền cho tập tin và thư mục
- 5 Ẩn thông báo đăng nhập
- 6 Xóa phiên bản WordPress ở thẻ head
- 7 Sử dụng SSL cho back-end
- 8 Thay đổi khóa bảo mật
- 9 Giữ cho nhà của bạn luôn sạch đẹp
- 10 Sử dụng plugin bảo mật WordPress
- 11 Kết luận
Sao lưu, cập nhật và lặp lại
Đây là 3 quy tắc chính trong khâu bảo mật WordPress, bạn luôn nhớ là trang web của bạn rất có thể sẽ bị hack bất kỳ lúc nào, do vậy bạn hãy thường xuyên sao lưu dữ liệu, kể cả cơ sở dữ liệu và thư mục wp-content.
Trước khi làm bất kỳ một thao tác nào thì bạn cũng nên sao lưu dữ liệu trước. Trong khâu cập nhật cho WordPress cũng vậy, hãy sao lưu dữ liệu trước khi bạn thực hiện thao tác này. Luôn cập nhật WordPress lên phiên bản mới nhất, cập nhật plugin và giao diện lên phiên bản mới nhất có thể.
Xem thêm: Cập nhật WordPress an toàn
Việc cập nhật cho WordPress sẽ giúp bạn loại bỏ lỗ hổng bảo mật trên phiên bản cũ, công việc này nên được thực hiện thường xuyên. Hơn nữa, thao tác sao lưu và cập nhật nên được lặp đi lặp lại mỗi ngày hoặc hàng tuần.
Tài khoản và mật khẩu
Cho dù trang WordPress của bạn là phiên bản mới nhất đi chăng nữa mà bạn sử dụng tên tài khoản và mật khẩu kém an toàn thì coi như mọi cố gắng của bạn cũng trở nên vô ích. Tránh sử dụng các tên tài khoản mà người ta hay khai thác như admin, tránh sử dụng các mật khẩu đơn giản mà thay vào đó là bạn nên sử dụng mật khẩu mạnh.
Xem thêm: Mật khẩu yếu được sử dụng nhiều
Ngoài tài khoản admin của bạn ra, bạn còn chú ý tới các tài khoản khác của người dùng nếu như trang blog của bạn cho phép người khác đăng ký, có nhiều tác giả và nhiều admin. Bạn nên lưu ý mọi người nâng cao tính bảo mật bằng cách sử dụng mật khẩu mạnh, đặt tên tài khoản cho hợp lý.
Thay đổi table prefix
Table prefix hay dịch ra Tiếng Việt là tiền tố của các bảng trong cơ sở dữ liệu, đây là các chữ cái bắt đầu cho tất cả các bảng trong cơ sở dữ liệu của WordPress.
Mặc định, WordPress sẽ sử dụng prefix wp_ cho tất cả các bảng, bạn nên thay đổi thành từ khác theo sở thích của bạn hoặc thay thành bất kỳ thứ gì cũng được thay vì sử dụng wp_.
Cái này bạn nên áp dụng ngay từ đầu khi cài đặt, nếu như sau khi cài đặt mà bạn muốn làm điều này thì sẽ khó nếu các bạn chưa biết cách thực hiện.
Phân quyền cho tập tin và thư mục
Đối với các tập tin thì bạn để CHMOD 644, đối với thư mục thì bạn để CHMOD 755, đối với thư mục uploads thì bạn để CHMOD 777. Ngoài ra, bạn cũng có thể CHMOD cho tập tin wp-config.php thành 600.
Nếu plugin hoặc giao diện đòi hỏi thư mục phải có CHMOD 777 thì bạn thực hiện thao tác này trên thư mục cần thiết. Không nên để CHMOD 777 cho toàn bộ thư mục của WordPress, điều này sẽ gây nguy hiểm cho trang web của bạn.
Ẩn thông báo đăng nhập
Khi bạn đăng nhập vào hệ thống, nếu bạn điền sai tên người dùng hoặc sai mật khẩu thì hệ thống sẽ thông báo chính xác các câu như: tài khoản này không tồn tài, mật khẩu không đúng,… điều này sẽ giúp cho hacker rút ngắn thời gian tìm kiếm tài khoản và mật khẩu người dùng trên trang của bạn.
add_filter('login_errors', create_function('$a', "return null;"));
Bây giờ bạn có thể hạn chế các thông báo này bằng cách thêm vào tập tin functions.php của giao diện đoạn code bên trên.
Xóa phiên bản WordPress ở thẻ head
Bạn mở tập tin functions.php của giao diện lên và thêm vào đoạn code như bên dưới:
remove_action('wp_head', 'wp_generator');
Đoạn code này sẽ hủy chức năng xuất phiên bản của WordPress ra trong thẻ head của blog. Cái này bạn có thể áp dụng thêm hoặc bỏ qua cũng được.
Sử dụng SSL cho back-end
Nếu bạn có sử dụng SSL thì bạn mở tập tin wp-config.php lên và thêm vào dòng sau:
define('FORCE_SSL_ADMIN', true);
Dòng khai báo này sẽ giúp hệ thống luôn để đường dẫn trong back-end là https thay vì http như thông thường.
Thay đổi khóa bảo mật
Khóa bảo mật là những dòng được khai báo trong tập tin wp-config.php của blog.
define('AUTH_KEY', '{4$gXfIerhU-hvv9hw`MH-0|Ux61+O-@5UpEx|>!Dg?ya<|;WZ-=DG5Hj-Sl$VbD'); define('SECURE_AUTH_KEY', 'Ab?cHV|F -m[e}bfnZ*g.D-l_CnsF7<u-YTXiLA:#R^@g4zbc)u`#|0|uls+58]G'); define('LOGGED_IN_KEY', 'Vg%X85|a@6x}FZlor[ ANK#hPc^y+r<sgeU1dcYP[C=p?1-!UXC#-h1|W2K,.jAg'); define('NONCE_KEY', 'Bz{!bsyY2r(J)|(U_wf^?.7jHrRS$[?Vq(}[ 53NblWWu};H&1+-|KR~(|:V43x='); define('AUTH_SALT', 'Mesop2s/Ti{R73M|=VC<vy*r,^n4|VX[- o5:$Z<=1pipggnmh|mOCNU^ :.iv$x'); define('SECURE_AUTH_SALT', '1#iD9=tx_>gO+m}r%| }-kKMxS{[lpm,w81zzm.S~v{n*SF?J!ABwB6giOzLjk c'); define('LOGGED_IN_SALT', 'z-xTW#<i0Rre]q[$Q>33s)S=>?yX/|XO<]PHQeirL.`R8vqrO!F&->;>;{/C&-m['); define('NONCE_SALT', '|5ev*+Dh1NG}Hm=g+DdXNcl&+)EI;^:U~}#F@|u~XF0C{2y@|6f[H+!P}=|s1W>>');
Nếu bạn đang nghi ngờ trang của bạn đang bị hack hoặc trang của bạn đã bị người ta truy cập trái phép trước đó thì bạn nên thay lại các đoạn mã này bằng cách vào trang API của WordPress và sao chép đoạn mã thay vào đoạn mã trong tập tin wp-config.php của bạn.
Giữ cho nhà của bạn luôn sạch đẹp
Luôn loại bỏ những thứ không cần thiết trên blog của bạn, việc cài đặt plugin sẽ tạo nên rác trong cơ sở dữ liệu. Bạn có thể dùng plugin optimize để làm sạch cơ sở dữ liệu của bạn. Thường xuyên kiểm tra định kỳ các tập tin và thư mục trên hosting, nếu có tập tin hoặc thư mục nào khả nghi thì bạn nên xóa bỏ nó đi.
Sau khi thực hiện công việc vệ sinh cho blog thì bạn lại quay về bước 1 để sao lưu dữ liệu và lặp đi lặp lại quá trình này.
Sử dụng plugin bảo mật WordPress
Có rất nhiều plugin giúp bạn nâng cao tính bảo mật cho WordPress, mình liệt kê cho các bạn một vài plugin hay được nhiều người sử dụng. Đối với các plugin có cùng chức năng thì bạn nên chọn và sử dụng 1 plugin duy nhất.
Bên cạnh các mẹo bên trên, bạn cũng có thể áp dụng các tính năng bảo mật khác trên hosting như đặt mật khẩu cho thư mục wp-admin, sử dụng tập tin .htaccess để nâng cao bảo mật,… mấy cách này thì bạn tìm hiểu thêm nhé.
Kết luận
Như vậy, qua 2 bài viết bảo mật WordPress hy vọng bạn sẽ có thêm được kiến thức để áp dụng vào trang blog của mình, không cần bạn phải áp dụng toàn bộ, cái nào bạn có thể thực hiện được thì nên làm.
Nếu bạn còn có những cách khác để bảo mật cho WordPress thì hãy để lại bình luận trao đổi cùng mọi người. Chúc bạn thành công.
Mua host tốt, đắt tiền nữa bạn ơi. Hạn chế mua host giá rẻ để tránh bị hack do lỗi nhà quản trị
Admin oi, cho mình hỏi, phần Thay đổi khóa bảo mật.
Mục đích của những khóa này để sữ dụng ở đâu vậy anh.
Thanks
có nhiều cái lạ quá. Mình chỉ sự iThemes Security để bảo mật. Như vậy có ổn không bạn
Bạn dùng cái nào cũng được, quan trọng là ở yếu tố người dùng.
Mình đang dùng Sucuri thấy cũng ổn. Lâu lâu có đợt toàn thấy thông báo qua email đăng nhập sai. Liên hoàn mười mấy lần như vậy đó. Ghệ thiệt