Hướng dẫn bảo mật WordPress từng bước cơ bản
Bảo mật WordPress là một vấn đề vô cùng quan trọng đối với những người sở hữu trang web. Google đưa vào danh sách đen hơn 10.000 trang web vì có phần mềm độc hại và hơn 50.000 trang web lừa đảo mỗi ngày.
Nếu quan tâm nghiêm túc, bạn nên tìm hiểu cách để bảo mật trang WordPress của mình. Trong bài hướng dẫn này, chúng tôi sẽ chia sẻ những cách bảo mật WordPress tốt nhất để giúp bảo vệ trang web của bạn khỏi các hacker và malware.
Bạn đang xem: Hướng dẫn bảo mật WordPress từng bước cơ bản
Mặc dù phần cốt lõi của WordPress khá là an toàn, được hàng trăm lập trình viên kiểm tra thường xuyên, vẫn còn rất nhiều điều cần làm để đảm bảo trang web của bạn được an toàn.
Chúng tôi tin rằng bảo mật không chỉ là loại bỏ các mối nguy hiểm đã có, mà còn là phòng chống, giảm thiểu đi các mối nguy hiểm sau này. Là một người sở hữu trang web, có rất nhiều thứ bạn có thể làm để cải thiện bảo mật cho trang WordPress của mình (kể cả khi bạn không phải là người quá hiểu biết về công nghệ).
Có nhiều bước mà bạn có thể sử dụng để bảo vệ trang web của mình khỏi các lỗ hổng bảo mật. Chúng tôi sẽ chia bài hướng dẫn thành 3 phần là: Vài điều cơ bản về bảo mật WordPress, Bảo mật WordPress với các bước đơn giản (không cần code) và Bảo mật WordPress bằng cách thủ công.
Hãy cùng bắt đầu nào!
Nội Dung
Vài điều cơ bản về bảo mật WordPress
Tại sao bảo mật trang web lại quan trọng?
Một trang WordPress bị hack có thể thể làm ảnh hưởng nghiêm trọng đến việc kinh doanh và uy tín của bạn. Các hacker có thể đánh cắp dữ liệu người dùng, mật khẩu, cài đặt phần mềm độc hại và thậm chí có thể phát tán malware đến các người dùng truy cập trang web của bạn.
Tệ hơn, bạn có thể mất quyền truy cập và bị tống tiền để mở khoá lấy lại trang web của mình.
Tháng 3, 2016, Google đã ghi nhận có hơn 50 triệu người dùng đã được cảnh báo là trang web họ đang cố truy cập có thể chứa malware hoặc đánh cắp thông tin.
Nếu trang web sử dụng với mục đích kinh doanh, bạn nên quan tâm đặc biệt đến bảo mật trang WordPress của bạn.
Tương tự như việc chủ kinh doanh bảo vệ các văn phòng của họ, là một người kinh doanh trực tuyến bạn cũng cần phải bảo mật cho trang trang web kinh doanh của mình.
Giữ WordPress luôn được cập nhật
WordPress là một nền tảng mã nguồn mở thường xuyên được bảo trì và cập nhật. Mặc định, WordPress sẽ tự động cài đặt các bản cập nhật nhỏ. Đối với các bản cập nhật lớn, bạn cần phải tự làm thủ công.
WordPress cũng cung cấp hàng nghìn plugin và theme mà bạn có thể cài đặt trên trang web của mình. Những plugin và theme này được bảo trì bởi các lập trình viên bên thứ ba, họ cũng thường xuyên đưa ra các bản cập nhật.
Những bản cập nhật WordPress này rất quan trọng cho bảo mật và sự ổn định của trang WordPress. Hãy đảm bảo rằng WordPress, các plugin và theme của trang web bạn luôn được cập nhật mới nhất.
Đặt mật khẩu mạnh và cấp quyền cho các user
Một nỗ lực phổ biến để hack trang WordPress đó là đánh cấp password đăng nhập. Bạn có thể ngăn chặn điều này bằng cách cài đặt mật khẩu mạnh hơn cho trang web của mình. Không chỉ là mật khẩu trang admin WordPress, mà còn cả tài khoản FTP, database, tài khoản hosting WordPress và địa chỉ email đăng ký tên miền của bạn.
Nhiều người dùng mới không thích sử dụng mật khẩu mạnh vì nó khó nhớ. Điều tốt là bạn không cần phải tự ghi nhớ mật khẩu nữa, bạn có thể dùng các trình quản lý mật khẩu để chúng lưu lại cho bạn.
Một cách khác để giảm thiểu rủi ro là không cấp quyền truy cập admin trang WordPress của bạn cho bất kỳ ai trừ khi thật sự cần thiết. Nếu bạn có một team lớn hoặc các tác giả viết bài cho trang của mình, cần đảm rằng bạn hiểu rõ về các quyền hạn cấp cho người dùng WordPress trước khi bạn thêm các user và tác giả mới vào trang WordPress của bạn.
Tầm quan trọng của dịch vụ hosting WordPress
Dịch vụ hosting WordPress chiếm một vai trò quan trọng trong việc bảo mật trang WordPress của bạn. Một nhà cung cấp hosting tốt như Bluehost hoặc Siteground sẽ có những biện pháp bổ xung để bảo vệ server của họ khỏi các mối đe dọa.
Dưới đây là cách mà một nhà cung cấp hosting làm để bảo vệ trang web và dữ liệu của bạn:
- Liên tục giám sát mạng lưới của họ để phát hiện hoạt động đáng ngờ.
- Có công cụ để ngăn chặn các cuộc tấn công DDOS quy mô lớn.
- Luôn cập nhật phần mềm và phần cứng để ngăn chặn hacker khai thác lỗ hổng bảo mật từ các phiên bản cũ.
- Cung cấp kế hoạch khôi phục để bảo vệ dữ liệu của bạn khi trường hợp không mong muốn xảy ra.
Nếu sử dụng gói shared hosting, bạn sẽ chia sẻ tài nguyên server với nhiều khách hàng khác. Điều này mở ra mối nguy hiểm lây nhiễm chéo, tin tặc có thể dùng các trang web lân cận để tấn công trang web của bạn.
Sử dụng một dịch vụ hosting WordPress được quản lý tốt sẽ cung cấp một nền tảng bảo mật hơn cho trang web của bạn. Các nhà cung cấp hosting được quản lý tốt sẽ cho phép tự động sao lưu dữ liệu, tự động cập nhật WordPress và nhiều thiết lập bảo mật nâng cao khác để bảo vệ trang web của bạn.
Bảo mật WordPress với các bước cơ bản (không cần code)
Chúng ta biết rằng việc thực hiện các thiết lập bảo mật WordPress có thể khá là kinh khủng đối với những người dùng mới. Đặc biệt nếu bạn không phải là một người rành công nghệ.
Chúng tôi sẽ hướng dẫn bạn cách cải thiện bảo mật WordPress chỉ với vài cú click chuột (không cần phải code gì cả).
Nếu bạn biết cách sử dụng chuột, hãy bắt đầu nào :))))
Cài đặt một giải pháp sao lưu cho WordPress
Sao lưu dữ liệu là một trong những cách phòng thủ cơ bản đầu tiên của bạn trước các cuộc tấn công. Nên nhớ là không có gì là an toàn 100% cả, các trang của chính phủ còn có thể bị hack, trang của bạn cũng vậy.
Việc sao lưu cho phép bạn nhanh chóng khôi phục lại trang WordPress của mình trong trường hợp xấu nhất xảy ra.
Có rất nhiều plugin sao lưu WordPress miễn phí lẫn có phí cho bạn lựa chọn. Một điều quan trọng nhất bạn cần biết là khi sao lưu thì bạn phải lưu trữ dữ liệu toàn bộ trang web của mình ở một vị trí khác (không phải trên tài khoản hosting bạn đang dùng cho trang web đó).
Chúng tôi khuyến khích bạn lưu trữ sao lưu trên các dịch vụ đám mây như Amazon, Dropbox hoặc dịch vụ lưu trữ riêng tư như Stash.
Tuỳ thuộc vào mức độ thường xuyên cập nhật trang web của bạn, thiết lập sao lưu tối ưu có thể là một lần một ngày hoặc là sao lưu theo thời gian thực.
Quá trình này có thể dễ dàng thực hiện bằng cách sử dụng các plugin như VaultPress hoặc UpdraftPlus. Chúng đều đáng tin cậy và quan trọng nhất là rất dễ sử dụng (bạn không cần phải viết code gì cả!).
Plugin bảo mật WordPress tốt nhất
Sau khi sao lưu dữ liệu, điều tiếp theo chúng ta cần làm là cài đặt một hệ thống kiểm soát và giám sát theo dõi mọi thứ xảy ra trên trang web của bạn. Quá trình này bao gồm theo dõi tính toàn vẹn của các tập tin, các lần đăng nhập thất bại, quét malware,…
Các bước này có thể được thực hiện dễ dàng nhờ vào plugin bảo mật WordPress miễn phí tốt nhất – Sucuri Scanner.
Trước tiên bạn cần cài đặt và kích hoạt plugin miễn phí Sucuri Scanner.
Sau khi cài đặt, hãy vào menu Sucuri trên trang admin WordPress của bạn. Đầu tiên bạn sẽ tạo một mã API, điều này cho phép kích hoạt chức năng ghi lại nhật ký kiểm tra, kiểm tra toàn vẹn tập tin, cảnh báo email và các chức năng quan trọng khác.
Tiếp theo, hãy nhấn vào tab ‘Hardening’ từ menu ‘Settings’, xem qua các tùy chọn và nhấn vào nút ‘Apply Hardening’ để kích hoạt chúng.
Những tùy chọn này giúp ngăn chặn các lỗ hổng phổ biến hacker sử dụng để tấn công trang web của bạn. Có một tùy chọn duy nhất yêu cầu bạn cập nhật lên phiên bản trả phí đó là ‘Web Application Firewall’, tạm thời bỏ qua, chúng ta sẽ đề cập đến nó sau.
Chúng tôi cũng sẽ đề cập đến nhiều tùy chọn ‘Hardening’ khác trong bài viết này cho những người muốn thực hiện thủ công mà không cần sử dụng plugin hoặc muốn thực hiện các bước bổ xung như “Database Prefix change” hoặc “Changing the Admin Username”.
Sau khi thực hiện các bước tăng cường bảo mật xong, những tùy chọn mặc định khác của plugin đã đủ tốt cho hầu hết các trang web, bạn không cần phải thiết lập gì thêm cả. Thứ duy nhất chúng tôi khuyên bạn nên tùy biến lại đó là ‘Email Alerts’.
Các thiết lập thông báo qua email mặc định có thể khiến hộp thư của bạn trở nên lộn xộn vì những thông báo gửi đến. Chúng tôi đề xuất rằng bạn chỉ nên thiết lập thông báo cho các hành động thiết yếu như sự thay đổi về các plugin, khi có user đăng ký mới,…Bạn có thể tùy chỉnh các thông báo bằng cách vào Settings > Alerts của Sucuri.
Xem thêm : Làm thế nào để tùy chỉnh menu trong WordPress
Plugin bảo mật WordPress này rất hiệu quả, hãy xem qua các tab và thiết lập để xem mọi thứ nó có thể làm như quét malware, lưu lại nhật ký quét, giám sát các lần đăng nhập không thành công,…
Kích hoạt WAF (Web Application Firewall)
Cách dễ dàng nhất để bảo vệ trang web và tự tin về bảo mật WordPress của bạn đó là sử dụng WAF (Web Application Firewall).
Firewall của một trang web sẽ ngăn chặn tất cả các traffic gây hại trước khi chúng xâm nhập được vào trang web của bạn.
DNS firewall cho trang web – Những firewall này sẽ định tuyến các traffic vào trang web của bạn qua cloud proxy server của họ trước. Điều này sẽ chỉ cho phép những traffic an toàn truy cập vào trang web của bạn.
Firewall thông qua ứng dụng – Những plugin firewall này sẽ kiểm tra các traffic một khi nó đã truy cập vào server. Phương pháp này không hiệu quả bằng sử dụng DNS trong việc ngăn chặn quá tải cho server.
Chúng ta có thể sử dụng plugin Sucuri đã đề cập ở trên vì nó là một trong những plugin firewall tốt nhất cho WordPress.
Sucuri đảm bảo rằng họ sẽ sửa chữa lại trang web của bạn nếu nó bị hack. Đây là một gói bảo hành rất tốt vì việc sửa lại một trang web bị hack khá tốn kém. Các chuyên gia bảo mật thường thu phí 250$ một giờ, trong khi gói bảo mật Sucuri chỉ có phí 199$ một năm.
Sucuri không phải là nhà cung cấp DNS Firewall duy nhất, một đối thủ phổ biến khác của họ đó là Cloudflare.
Chuyển trang WordPress của bạn sang giao thức SSL/HTTPS
SSL (Secure Sockets Layer) là một giao thức mã hoá dữ liệu truyền đi giữa trang web của bạn và người dùng trình duyệt web. Sự mã hoá này khiến thông tin khó bị đánh cắp hơn.
Một khi đã kích hoạt SSL, trang web sẽ dùng HTTPS thay vì HTTP, bạn sẽ thấy một ký hiệu ổ khóa bên cạnh địa chỉ trang web của bạn trong trình duyệt.
Giấy phép SSL được cấp phép bởi CA (Certificate Authority) và giá phải trả cho họ sẽ là 80$ đến hàng ngàn đô mỗi năm. Vì chi phí phát sinh này, các chủ trang web thường chọn sử dụng các giao thức kém an toàn hơn.
Để khắc phục điều này, một tổ chức phi lợi nhuận là Let’s Encrypt đã quyết định đưa ra một chứng chỉ SSL miễn phí cho những người sở hữu trang web. Dự án của họ đã được hỗ trợ bởi Google Chrome, Facebook, Mozilla và nhiều tập đoàn khác.
Hiện tại mọi thứ trở nên dễ dàng hơn để bắt đầu sử dụng SSL cho WordPress, nhiều công ty hosting giờ đã cung cấp một chứng chỉ SSL miễn phí cho trang web của bạn.
Nếu công ty hosting của bạn không có, bạn có thể mua ở Domain.com. Họ cung cấp SSL tốt, đáng tin cậy nhất trên thị trường với bảo hành bảo mật 10,000$ và con dấu bảo mật TrustLogo cho trang web của bạn.
Bảo mật WordPress bằng cách thủ công
Nếu đến bạn đã làm mọi thứ mà chúng tôi đề cập phía trên thì trang web của bạn đang ở trong một trạng thái bảo mật khá tốt. Nhưng như thường lệ, sẽ có thêm nhiều cách khác để tăng cường bảo mật hơn nữa cho WordPress. Để thực hiện một vài bước dưới đây, bạn có thể sẽ cần biết một chút kiến thức về coding.
Thay đổi username ‘admin’ mặc định
Trước đây, username quản trị mặc định của WordPress là ‘admin’, username là phần chiếm một nửa thông tin đăng nhập rồi, điều này dẫn tới hacker sẽ dễ dàng có cách thâm nhập vào trang của bạn hơn.
May mắn là WordPress đã thay đổi điều không tốt này bằng cách yêu cầu bạn nhập một username admin tự chọn khác trong quá trình cài đặt WordPress.
Tuy nhiên một vài trình cài đặt WordPress 1-click vẫn để mặc định username là “admin”. Nếu bạn nhận thấy vấn đề này, tốt hơn hết là hãy thay đổi hosting web của mình.
Vì WordPress mặc định không cho phép bạn thay đổi username, sau đây là 3 cách bạn có thể dùng để đổi username:
- Tạo một username admin mới và xóa cái cũ đi
- Sử dụng plugin thay đổi username
- Cập nhật username trong phpMyAdmin
Chú ý: Chúng ta đang nói về việc thay đổi username có tên là “admin”, không phải là thay đổi quyền admin.
Vô hiệu hóa chỉnh sửa file
WordPress cung cấp một trình chỉnh sửa code tích hợp sẵn cho phép bạn sửa đổi giao diện và file plugin ngay trong trang admin WordPress. Mặt trái là tính năng này có thể mở ra nhiều mối đe dọa bảo mật, vì thế chúng tôi khuyên bạn nên tắt nó đi.
Bạn có thể thực hiện dễ dàng bằng cách thêm những dòng code sau vào file ‘wp-config.php’.
// Disallow file edit
define( ‘DISALLOW_FILE_EDIT’, true );
Bạn cũng có thể vô hiệu hoá code editor dễ dàng hơn bằng cách sử dụng thiết lập có sẵn trong plugin Sucuri mà chúng ta đã dùng ở trên.
Vô hiệu hoá PHP File Execution đối với một vài thư mục của WordPress
Một cách khác để tăng cường bảo mật WordPress đó là vô hiệu hoá PHP file execution ở những thư mục không cần thiết như /wp-content/uploads/.
Bạn có thể làm điều này bằng cách mở một trình chỉnh sửa text như Notepad và dán vào đoạn code sau:
<Files *.php>
deny from all
</Files>
Tiếp theo, lưu file này lại với tên .htaccess và upload nó vào thư mục /wp-content/uploads/ trên trang của bạn bằng FTP.
Một cách khác đơn giản hơn đó là sử dụng tùy chọn có sẵn trong plugin Sucuri ở trên để thực hiện bước này.
Giới hạn số lần đăng nhập thất bại
Mặc định WordPress cho phép các user cố đăng nhập lập lại không giới hạn. Điều này khiến trang WordPress của bạn dễ dàng bị hack hơn, hacker có thể bẻ khoá mật khẩu của bạn bằng cách thử nhiều mật khẩu khác nhau mà không bị hạn chế.
Có thể khắc phục vấn đề này bằng cách giới hạn lại số lần đăng nhập thất bại. Nếu bạn sử dụng firewall web bằng ứng dụng đã đề cập ở trên thì nó đã giới hạn sẵn số lần đăng nhập cho bạn.
Tuy nhiên nếu bạn không cài đặt firewall, hãy thực hiện cách bước dưới đây.
Đầu tiên bạn cần cài đặt và kích hoạt plugin Login LockDown. Sau khi kích hoạt, vào phần Settings > Login LockDown để bắt đầu thiết lập
Thêm Xác thực hai yếu tố
Xác thực hai yếu tố yêu cầu user đăng nhập bằng phương pháp xác thực 2 bước. bước thứ nhất là nhập username và password, bước thứ hai là yêu cầu xác thực trên một thiết bị hoặc ứng dụng khác.
Hầu hết các trang web trực tuyến như Google, Facebook, Twitter,…cho phép bạn kích hoạt xác thực hai yếu tố trên tài khoản của mình. Bạn cũng có thể thêm chức năng tương tự trên trang WordPress.
Đầu tiên hãy cài đặt plugin Two Factor Authentication. Sau khi kích hoạt, bạn cần nhấn vào mục ‘Two Factor Auth’ trên thanh công cụ bên trái trong trang admin WordPress.
Tiếp theo, cài đặt và mở một ứng dụng xác thực trên điện thoại của bạn, một vài cái tiêu biểu là Google Authentication, Authy hoặc LastPass Authtenticator. Chúng tôi khuyên bạn nên dùng Authy hoặc LastPass Authenticator bởi vì cả hai đều cho phép bạn sao lưu tài khoản của mình lên đám mây. Tính năng này rất hữu ích trong trường hợp điện thoại của bạn bị mất, reset hoặc bạn mua một điện thoại mới, tất cả các tài khoản bạn đã đăng nhập đều sẽ được lưu trữ lại.
Chúng tôi sẽ sử dụng LastPass Authenticator trong bài hướng dẫn này. Tuy nhiên các bước sẽ tương tự trên các ứng dụng khác. Mở ứng dụng xác thực sau đó nhấn vào nút ‘Add’.
Bạn sẽ được hỏi là muốn nhập vào trang web bằng cách thủ công hay sử dụng cách quét mã QR. Chọn quét QR sau đó đưa camera điện thoại của bạn vào mã QR hiển thị trên trang cài đặt của Plugin.
Vậy là xong, ứng dụng authentication sẽ lưu trang web của bạn lại. Lần tiếp theo khi bạn đăng nhập vào trang web, bạn sẽ được yêu cập nhập vào mã xác thực sau khi nhập password.
Chỉ cần mở app xác thực trên điện thoại và nhập dòng mã mà bạn thấy vào là bạn có thể đăng nhập vào trang admin của mình.
Thay đổi tiền tố cho database WordPress
Mặc định, WordPress sử dụng “wp_” là tiền tố cho các table trong database WordPress. Nếu trang WordPress của bạn cũng sử dụng tiền tố mặc định này, nó sẽ khiến hacker dễ dàng tìm ra tên các table database của bạn. Đó là lý do vì sao bạn nên thay đổi chúng.
Ghi chú: Nếu thực hiện không đúng cách có thể làm trang web của bạn bị hỏng. Chỉ thực hiện nếu bạn tự tin với khả năng coding của mình.
Mật khẩu bảo vệ cho trang admin và login WordPress
Thông thường các hacker có thể gửi yêu cầu đến thư mục wp-admin và trang login của bạn mà không có bất cứ hạn chế nào. Điều này cho phép tin tặc thực hiện các thủ thuật hack hoặc tấn công DDOS vào trang WordPress của bạn.
Bạn có thể thêm một mật khẩu bảo vệ bổ xung ở cấp độ server, nó sẽ ngăn chặn hiệu quả những request vào trang admin với mục đích xấu.
Vô hiệu hoá index và duyệt thư mục
Duyệt trong thư mục có thể được các hacker sử dụng để tìm ra bạn có bất kỳ file nào có lỗ hổng đã biết hay không, chúng sẽ lợi dụng các tệp này để giành quyền truy cập vào trang của bạn.
Duyệt thư mục cũng có thể cho phép những người khác xem file của bạn, copy hình ảnh, tìm ra cấu trúc thư mục và các thông tin khác. Đây là lý do vì sao bạn nên tắt chức năng index và duyệt thư mục trên trang của mình.
Hãy kết nối đến trang web của bạn bằng FTP hoặc trình quản lý file của cPanel. Tiếp theo, xác định vị trí file ‘.htaccess’ trong thư mục gốc của trang web. Nếu bạn không thấy tập tin này thì có thể FTP chưa được thiết lập để xem file ẩn hoặc là file .htaccess chưa được tạo.
Sau khi tìm được file ‘htaccess’, bạn cần thêm dòng lệnh sau vào cuối file:
Options -Indexes
Đừng quên save và upload lại file vào trang web của bạn.
Vô hiệu hoá XML-RPC trong WordPress
Tính năng XML-RPC được bật mặc định trên WordPress 3.5 vì nó giúp kết nối trang WordPress của bạn với các ứng dụng web và di động.
Vì đây là một công cụ khá là mạnh, nó có thể bị lợi dụng để tăng sức mạnh cho các cuộc tấn công của tin tặc vào trang của bạn.
Ví dụ như, bình thường hacker muốn thử 500 mật khẩu đăng nhập khác nhau trên trang của bạn, chúng phải thực hiện 500 lần đăng nhập khác nhau, điều này có thể dễ dàng bị phát hiện và ngăn chặn bởi plugin Login LockDown mà ta đã dùng ở trên.
Những vơi XML-RPC, một hacker có thể thực hiện chức năng system.multicall để thử hàng ngàn password khác nhau chỉ với 20-50 request. Vì thế, bạn nên vô hiệu hoá XML-RPC nếu bạn không sử dụng đến nó.
Để vô hiệu hoá XML-RPC, chỉ cần thêm dòng code sau vào file .htaccess của bạn:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>
Nếu bạn sử dụng plugin firewall ứng dụng web mà ta đã thảo luận ở trên, nó sẽ lo phần bảo mật này luôn cho bạn.
Tự động đăng xuất các user không hoạt động trong WordPress
Các user đã đăng nhập có thể sẽ rời khỏi màn hình mà quên đăng xuất, và điều này có thể gây ra rủi ro. Ai đó có thể xâm nhập vào phiên làm việc của user đó, thay đổi password hoặc thực hiện các thay đổi trên account của họ.
Vì lý do này mà nhiều trang web tài chính và ngân hàng tự động đăng xuất người dùng không hoạt động. Bạn có thể thêm chức năng tương tự vào trang WordPress của mình.
Đầu tiên bạn cần cài đặt plugin Inactive Logout. Sau khi kích hoạt plugin, hãy vào trang cài đặt Settings > Inactive Logout để thiết lập.
Bạn chỉ cần thiết lập thời gian và vài dòng thông báo khi đăng xuất, đừng quên nhấn ‘save’ để áp dụng thay đổi của bạn!
Thêm câu hỏi bảo mật vào trang login WordPress
Thêm câu hỏi bảo mật trên màn hình đăng nhập WordPress của bạn khiến sẽ khiến việc xâm nhập bất chính vào trang web của bạn trở nên khó khăn hơn.
Bạn có thể thêm câu hỏi bảo mật bằng cách cài đặt plugin WP Security Question. Sau khi cài hãy vào trang Settings > Security Question để thiết lập theo ý bạn.
Quét WordPress để tìm ra malware và các lỗ hổng
Nếu bạn đã cài đặt plugin bảo mật WordPress, những plugin này sẽ thường xuyên kiểm tra các malware và dấu hiệu vi phạm bảo mật trên trang của bạn.
Tuy nhiên nếu bạn nhận thấy sự suy giảm traffic hoặc xếp hạng tìm hiếm của trang web mình, thì có thể bạn sẽ cần thực hiện quét thủ công. Bạn có thể sử dụng plugin bảo mật WordPress đã cài để quét hoặc dùng các trình quét online như Sucuri SiteCheck, IsItWP Security Scanner, Google Safe Browsing,…
Những trình quét online này khá là dễ dùng, bạn chỉ cần nhập URL trang web và chờ kết quả. Hãy ghi nhớ rằng các trình quét bảo mật WordPress chỉ có thể quét trang web của bạn, chúng không thể loại bỏ malware hoặc làm sạch trang web đã bị hack.
Điều này dẫn tới mục tiếp theo – làm sạch trang WordPress nhiễm malware và bị hack.
Sửa chữa một trang WordPress đã bị hack
Hầu hết người dùng WordPress không nhận ra tầm quan trọng của việc sao lưu và bảo mật trang web cho đến khi trang web của họ bị hack.
Làm sạch một trang WordPress có thể khá khó khăn và tốn nhiều thời gian. Lời khuyên của chúng tôi là hãy để một chuyên gia làm việc đó cho bạn.
Các tin tặc sẽ cài đặt backdoor vào trang web, và nếu những backdoor này không được sửa đúng cách thì trang web của bạn sẽ dễ dàng bị hack các lần sau.
Để một công ty bảo mật chuyên nghiệp như Sucuri sửa trang web của bạn sẽ đảm bảo rằng trang web bạn an toàn để sử dụng lại, và cũng sẽ ngăn ngừa được các cuộc tấn công khác trong tương lai.
Tổng kết
Đó là tất cả, chúng tôi hy vọng bài viết này giúp bạn biết những cách bảo mật WordPress tốt nhất cũng như khám phá ra các plugin bảo mật WordPress phù hợp nhất cho trang web của mình.
Nguồn: https://25giay.vn
Danh mục: Wordpress