WordPress là một trong những CMS mã nguồn mở được sử dụng phổ biến nhất hiện nay bởi các công ty thiết kế website và lập trình viên chuyên nghiệp. Cũng bởi tính thông dụng, các website trên nền tảng WordPress càng dễ bị đe dọa bởi những rủi ro bị tấn công. Bởi vậy, vấn đề to lớn cho những nhà quản trị chính là làm sao để tìm được phương pháp bảo mật WordPress hữu hiệu, khắc phục lỗ hổng bảo mật tốt nhất.
Tại sao cần bảo mật WordPress?
Thống kê cho thấy, cứ mỗi tuần Google lại liệt kê một list dài những hơn 20.000 website chứa malware (mã/phần mềm độc hại) và hơn 50.000 phishing (website lừa đảo).
Mặc dù source code của nền tảng WordPress vẫn được đánh giá cao bởi tính an toàn, thường xuyên được kiểm tra bởi hàng ngàn các nhà phát triển. Nhưng với phát minh nào cũng đều có lỗ hổng. Nếu không tự bảo vệ tốt cho website của bạn thì sẽ chẳng ai cứu được nữa.
Hãy cứ thử tưởng tượng, nếu website WordPress của bạn là một trang bán hàng, nơi giúp bạn thu về một khoản doanh thu cùng danh tiếng to lớn. Nhưng bỗng một ngày dính virus hay phần mềm độc hại nào đó. Các thông tin bảo mật của bạn bị lộ, thậm chí còn khiến những phần mềm độc hại bị phát tán tới những người dùng khác khi họ click truy cập vào website của bạn.
Điều tệ nhất dễ thấy là bạn sẽ phải bỏ ra một khoản tiền nhất định để các hacker hỗ trợ “cứu vớt” lại quyền làm chủ website của bạn và loại bỏ những phần mềm độc hại. Tiếp theo, tệ hơn chính là bạn bị mất đi một khoản doanh thu, một lượng khách hàng nhất định trong thời gian website của bạn gặp vấn đề.
Các phương pháp bảo mật WordPress hữu hiệu nhất hiện nay
Có thể thấy, bảo mật cho website luôn là vấn đề cực kỳ quan trọng. Nhưng sử dụng phương pháp nào tối ưu, đảm bảo an toàn nhất cho website đây? Dưới đây là một số gợi ý chúng tôi dành cho bạn.
Bảo mật WordPress bằng mã hóa thông tin đăng nhập
Mã hóa thông tin đăng nhập website là cách đơn giản nhất giúp bạn tránh khỏi rắc rối bị “nhòm ngó”. Đặc biệt là trong các trường hợp bạn truy cập vào máy tính không chính chủ, truy cập các nơi công cộng.
Với vấn đề này, bạn chỉ cần tăng cường bảo mật bằng plugin Chap Secure Login. Plugin cung cấp cho bạn một đoạn mã hash ngẫu nhiên vào chuỗi ký tự mật khẩu. Sau khi cài đặt và tiến hành xác nhận tính hợp pháp tài khoản giao thức Chap là bạn có thể yên tâm rồi.
Để sử dụng plugin này, bạn vào “Add Plugin” – tìm kiếm “Chap Secure Login” và tiến hành thao tác cài đặt.
Bảo mật bằng mật khẩu
Cài đặt mật khẩu cũng là một cách đơn giản giúp ngăn chặn bị rò rỉ thông tin và đánh cắp website. Nhưng không phải ai cũng sử dụng mật khẩu đúng tiêu chuẩn.
Lời khuyên dành cho bạn khi sử dụng mật khẩu bảo mật là lựa chọn mật khẩu phức tạp nhưng vẫn dễ nhớ đối với bạn. Không nên dùng những chuỗi thông tin quá quen thuộc như: tên bạn, tên người thân, số điện thoại, địa chỉ,… Hãy kết hợp các con số, ký tự, ký tự đặc biệt, các chữ hoa, chữ thường,… vào một mật khẩu sau cho bạn dễ nhớ mà người khác khó đoán. Như vậy sẽ đản bảo độ an toàn hơn rất nhiều.
Ngăn chặn Brute Force Attack
Brute Force Attack có thể dễ dàng đánh gãy mật khẩu đăng nhập cũng như các thông tin xác nhận của người dùng. Để giảm nguy cơ này, nhà quản trị nên sử dụng plugin nhằm ngăn chặn Brute Force Attack. Ví dụ như: Plugin Login LockDown dành cho mã nguồn WordPress.
Với Plugin Login LockDown, các thông tin khi yêu cầu truy từ một địa chỉ IP nào đó cần thực hiện đăng nhập nhiều lần vào hệ thống WordPress. Sau một cơ số lần đăng nhập nhất định, nếu thất bại số lượng lần nhất định thì hệ thống sẽ khóa chức năng truy cập cũng như tất cả các yêu cầu khác từ địa chỉ IP đó.
Ẩn thư mục plugins
Tất cả danh sách plugin của hệ thống sẽ hiển thị trong thư mục http://yourwebsite.com/wp – content/plugins. Nhưng nếu bạn không muốn cho các thông tin này hiển thị, bạn chỉ cần mở 1 ứng dụng chỉnh sửa text bất kỳ, sau đó lưu thành index.html. Đồng thời, bạn sử dụng chương trình FTP và tải file index.html vào thư mục wp – content/plugins của bạn là “giấu” được thư mục plugins đi rồi.
Thay đổi địa chỉ đăng nhập
Bảo vệ thư mục wp – admin sẽ là một trong những cách giúp ngăn chặn bị hack mất thông tin website. Thông thường, đường dẫn tới trang quản trị website trên WordPress sẽ là wp – admin, điều này khiến cho hacker dễ dàng xác định được địa chỉ đăng nhập khi đã có đủ thông tin về tài khoản quản trị của bạn.
Bởi vậy, bạn cần thay đổi địa chỉ đăng nhập bằng cách sử dụng Plugin Better Wp Security nhằm tăng cường tính bảo mật cho website. Thông qua Better WP Security, bạn có thể thay đổi địa chỉ đường dẫn theo ý mình dễ dàng.
Cài đặt Plugin Better WP Security – vào Security – chọn “Hide” và điền tên đường dẫn mới cho các trang bạn quản trị, địa chỉ đăng nhập hay các trang đăng ký,…
Thay đổi username (tên đăng nhập)
Tên đăng nhập của admin có thể góp phần dễ dàng cho việc tấn công của các hacker. Bởi vậy, bạn cũng nên đổi username của mình đi. Để đổi tên đăng nhập, bạn mở users, tạo thêm 1 tài khoản, sau đó gán quyền administrator và đăng nhập lại bằng tài khoản vừa tạo.
Tiếp theo, bạn truy cập vào địa chỉ users, đánh dấu check vào ô bên cạnh admin và chọn Delete. Sau khi hệ thống hiển thị cửa sổ xác nhận thông báo, bạn chọn “Attribute all posts and links to”, rồi chọn tài khoản vừa tạo trong dropdown. Như vậy, các bài viết sẽ được chuyển hết sang tài khoản mới, bạn chỉ cần nhấn chọn Confirm Deletion là hoàn thành thay đổi.
Luôn cập nhập phiên bản mới
Thông thường, các phiên bản cập nhất mới sẽ luôn được cải tiến và có tính bảo mật tốt hơn so với các phiên bản WordPress cũ. Bởi vậy, bạn hãy dùng đến tính năng cập nhật này nhé.
Tuy nhiên, để chắc chắn tính năng nâng cấp, khi có phiên bản mới, hãy tìm hiểu những thay đổi nâng cao của phiên bản đó để sử dụng thuận lợi hơn.
Quét bảo mật thường xuyên
Việc quét bảo mật thường xuyên sẽ giúp bạn dễ dàng phát hiện ra lỗ hổng bảo mật trong hệ thống và có hướng khắc phục tốt hơn. Bạn có thể sử dụng tiện ích trong WP Security Scan cho mục đích này.
Không chỉ vậy, quá trình quét thường xuyên còn giúp bạn tránh khỏi sự “nhòm ngó” của hacker tốt hơn.
Tạo mật khẩu cho trang quản trị
Bạn có thể tạo thêm lớp bảo vệ cho trang quản trị bằng mật khẩu riêng. Lớp đăng nhập này sẽ được tạo bằng chức năng của Password Protect Directories trong cPanel của các hosting.
Khi vào thư mục wp – admin, bạn tạo thêm đăng nhập và mật khẩu, ấn chọn “Add/modify authorized user”, gõ tên folder cần bảo vệ vào (wp – admin), sau đó tích chọn “Password Protect this directory” và cuối cùng là Save.
Sau khi cài đặt mật khẩu cho trang quản trị, mỗi khi bạn đăng nhập vào quyền admin đều phải điền tên đăng nhập và mật khẩu.
Bảo mật bằng cách phân quyền cho file/thư mục
Sử dụng lệnh CHMOD để phân quyền xem, xóa, chỉnh sửa các thông tin dữ liệu trên hosting cũng sẽ là một cách bảo mật tốt trên website WordPress mà bạn nên thử.
CHMOD có thể can thiệp thay đổi quyền đọc, thực thi, chỉnh sửa của các chủ sở hữu thư mục, nhóm thành viên và tất cả những người còn lại.
Bạn có thể sử dụng lệnh CHMOD bằng 2 cách:
- Cách 1: Tiến hành truy cập, mở trình upload FTP, sau đó chọn thư mục/file cần CHMOD sau đó lên lệnh.
- Cách 2: Vào File Manager của trang quản trị, chọn Change Permission.
Nếu như bạn gặp khó khăn trong CHMOD thì có thể sử dụng Plugin File Permission & Size Check để hỗ trợ CHMOD và theo dõi các thư mục trong trang quản trị tốt hơn.
Thường xuyên sao lưu cơ sở dữ liệu
Việc sao lưu cơ sở dữ liệu thường xuyên sẽ giúp giảm thiểu khả năng website bị tấn công. Đồng thời giúp giảm mức độ thiệt hại khi website WordPress bị tấn công bằng cách phục hồi cơ sở dữ liệu.
Không chỉ vậy, theo cube-web, backup cơ sở dữ liệu còn là cách để phục hồi blog hay các thông tin sau khi tiến hành chỉnh sửa liên quan tới cơ sở dữ liệu.
Với sao lưu cơ sở dữ liệu trên WordPress, bạn có thể tham khảo WP Complete Backup. Công cụ này sẽ giúp bạn sao lưu tự động các dữ liệu, đồng thời còn giúp đồng bộ hóa tài khoản trên Google Drive, Skydrive và tự động gửi dữ liệu được sao lưu lên Drive nhằm bảo toàn dữ liệu cho bạn.
Trên đây là các phương pháp bảo mật WordPress cơ bản giúp bạn tránh khỏi những rủi ro lỗ hổng bảo mật website tốt hơn. Hãy áp dụng để bảo vệ thông tin dữ liệu cho website và tránh các vấn đề không đáng có nhé.
Comments are closed