6 lời khuyên cơ bản để bảo mật WordPress

Bài này thuộc phần 1 của 7 phần trong serie Bảo mật WordPress

Sự đa dạng về hình thức tấn công và khai thác nội dung trên WordPress cũng kéo theo nhiều cách bảo mật website từ đơn giản đến phức tạp. Trong khi ứng dụng những phương thức bảo mật WordPress phức tạp, hãy chắc chắn là bạn đã thiết lập website WordPress của mình bảo mật hơn vì đôi khi những thiết lập rất đơn giản lại là manh mối để các hacker đột nhập vào website.

Nếu bạn chưa chắc chắn website của mình có thiết lập bảo mật hay chưa, hãy kiểm tra các lời khuyên dưới đây và hãy làm ngay nếu bạn chưa làm.

6 lời khuyên đơn giản để bảo mật WordPress

1. Không sử dụng tài khoản tên “admin”

admin-username

Qua nhiều lần kiểm tra và hỗ trợ nhiều người, mình để ý là có rất nhiều người đặt tên tài khoản quản trị website với tên là “admin“, “administrator“. Đây quả thực là một sai lầm tai hại.

Việc sử dụng các tên tài khoản phổ biến kiểu thế này không an toàn là bởi trên thế giới hiện nay có một hình thức tấn công là Brute Force Attack; nghĩa là sẽ liên tục đăng nhập vào website của bạn với các danh sách tài khoản và mật khẩu có sẵn mà một cách nào đó hacker có được.

Do vậy, việc tài khoản phổ biến như “admin” có thể dễ dàng bị phát hiện ra mật khẩu thông qua hình thức Brute Force Attack này. Nên khi cài đặt website thì hãy đặt cho mình một cái username thật khác biệt và khó đoán như kiểu “thachdeptrainhatvietnam” chẳng hạn.

Còn nếu bạn đã lỡ dùng một username tên là “admin” thì cũng đừng có lo, bạn có thể dùng plugin iThemes Security (mục Advanced) để đổi trực tiếp từ user này.

2. Sử dụng mật khẩu phức tạp

strong-passwords

Cũng giống như việc dùng username là “admin”, việc sử dụng mật khẩu quá đơn giản có thể sẽ dễ bị các hình thức tấn công dò mật khẩu kiểu Brute Force Attack dò ra sau một thời gian nhất định.

Tốt nhất, hãy đặt mật khẩu bao gồm chữ hoa chữ thường, số và ký tự đặc biệt là tốt nhất. Bạn không cần quá lo về việc không thể nhớ mật khẩu này, bạn có thể sử dụng các phần mềm như LastPass, StickyPassword để lưu mật khẩu vào và tự động đăng nhập vào các lần sau.

Tips: Sử dụng công cụ Strong Password Generator để tạo mật khẩu mạnh.

3. Cập nhật plugin, theme, WordPress lên phiên bản mới nhất

plugin-update

Một lời khuyên nữa cũng rất quan trọng đó là thường xuyên cập nhật phiên bản các plugin, WordPress và theme bạn đang sử dụng trên website lên phiên bản mới nhất. Vì rất có thể các phiên bản cũ tồn tại một số lỗ hồng “chết người” nên việc cập nhật kịp thời sẽ tránh bạn được các nguy cơ đó.

Việc cập nhật plugin, phiên bản WordPress đơn giản cực kỳ, đó là mỗi khi nó có phiên bản mới sẽ đều thông báo và hiển thị trên website, vào đó chọn cập nhật là nó tự động lên phiên bản mới hết.

4. Sử dụng host chất lượng

dedicated-server

Nếu bạn đang sử dụng các dịch vụ host thông thường (Shared Host) thì việc quan trọng là nên dùng host tại nhà cung cấp nào để đảm bảo nhất.

Bởi vì các gói Shared Host đều nằm cùng trên một máy chủ, mà chỉ cần một website trong cả tập thể website có trên máy chủ bị nhiễm mã độc thì các website khác cũng sẽ có nguy cơ bị xâm nhập thông qua hình thức Local Attack. Tuy nhiên với các nhà cung cấp hosting sử dụng CloudLinux OS như AZDIGI, StableHost, A2Hosting,…thì bạn sẽ không cần phải lo việc này bởi vì mỗi người dùng là một hệ thống tập tin ảo hóa riêng, không bị ảnh hưởng khi website khác trên cùng máy chủ bị tấn công.

Do vậy, bạn hãy nên chọn ra các dịch vụ host có uy tín mà gửi gắm thay vì sử dụng các nhà cung cấp ít người dùng, chưa được xác minh.

Tham khảo: 7 dịch vụ Shared Host tốt nhất cho WordPress.

5. Tránh xa sản phẩm null – vi phạm bản quyền

Các sản phẩm null mà mình đang nói đến ở đây là các sản phẩm trả phí như plugin trả phí, theme trả phí được chia sẻ công khai rộng rãi tại một số website chuyên chia sẻ các mặt hàng này.

Bạn phải biết rằng, việc sử dụng các sản phẩm trả phí mà được chia sẻ như vậy không chỉ vi phạm nghiêm trọng đối với vấn đề bản quyền sản phẩm, mà bạn đang trực tiếp đưa mình đến gần hơn các loại mã độc.

Một bài nghiên cứu đã chỉ ra rằng, đa phần các sản phẩm null tràn lan trên mạng hiện nay đều có mã độc và nó có thể khai thác bất hợp pháp tài nguyên host của bạn, chèn backlink ẩn hoặc tệ hơn là đánh sập.

6. Tránh CHMOD 777

Nếu bạn chỉ nghe qua CHMOD mà chưa hiểu lắm về nó thì hãy khoan tìm hiểu vì nó khá dài dòng, mà mình chỉ cần cho các bạn biết là hãy tránh việc CHMOD thư mục thành 777. Với thiết lập phân quyền 777, nghĩa là bạn đang thiết lập thư mục đó với độ mở tối đa khiến tất cả user trên server đều có quyền ghi/xóa/thực thi thư mục đó và các tập tin bên trong, đây là nguyên nhân của việc tại sao website bạn bỗng dưng xuất hiện các loại mã độc không rõ lai lịch.

Nếu bạn sử dụng Shared Host, bạn cần biết rằng cách CHMOD chuẩn nhất phải là 755 cho thư mục, 644 cho các tập tin. Đối với tập tin nhạy cảm như wp-config.php thì hãy CHMOD thành 444 hoặc 440 hoặc 400.

Lời kết

Ở trên là tổng hợp 6 lời khuyên rất quan trọng trong quãng thời gian bạn quản trị website WordPress cần phải ghi nhớ để tránh các vấn đề đáng tiếc xảy ra, nhưng may mắn là 6 lời khuyên trên đều dễ dàng thực hiện.[/vc_column_text][/vc_column][/vc_row]

Thạch Phạm

AZDIGI's CEO. Đam mê công nghệ, WordPress, Server và xăm mình nữa.

Xem thêm bài viết Subscribe

Để lại bình luận

3 Bình luận trên "6 lời khuyên cơ bản để bảo mật WordPress"

avatar
Sắp xếp theo:   mới nhất | cũ nhất | đánh giá nhiều
Nguyễn Văn Thám
Khách

Dear Mr. Thạch Phạm!

mình có đọc bài viết bảo mật wordpress thấy các plugin trong đó rất hữu ích.

vậy mình muốn cài tất cả các plugin như:

Bảo vệ mật khẩu WordPress với Google Authenticator;
NinjaFirewall – Tường lửa nâng cao cho WordPress,
Dò lỗ hổng WordPress trên Linux với WPScan,
cài Wordfence Security cho WordPress,
sử dụng iThemes Security để bảo mật WordPress,
Cách CHMOD an toàn cho WordPress.

thì có ảnh hưởng gì không, hay chỉ nên cài 1 vài plugin này thôi.

mong bạn giúp đỡ.

mình xin cám ơn.

trân trọng.

Ngyễn Văn Thám

wpDiscuz
menu
menu