10 cách bảo mật trang WordPress của bạn khỏi hacker tấn công

By Thế Khương | Wordpress

Sep 09

Thế Khương

Bạn đang đọc bài viết trên blog của Thế Khương. Nhấn vào đây để tìm hiểu thêm.
Tips: Nếu như bạn là người mới, hoặc chưa thành thạo Wordpress. Bạn nên tìm đến khóa học bài bản về Wordpress để có lộ trình từng bước vững chắc. Đây là khóa học mà mình khuyến nghị: 7 giờ học Wordpress

WordPress được ra đời vào năm 2003 được biết đến là một mã nguồn mở hỗ trợ việc xây dựng blog, website bán hàng,… có số lượng người dùng nhiều nhất trên thế giới.

Nói về ưu điểm mà WordPress mang lại thì có rất nhiều, trong đó phải kể đến như:

  • Mã nguồn mở, miễn phí (chỉ tốn chi phí đầu tư cho domain & hosting nếu bạn muốn làm chuyên nghiệp).
  • Dễ dàng sử dụng, bất cứ ai dù không biết tí gì về code đều có thể tự làm website WordPress như ý muốn.
  • Có nhiều chức năng hỗ trợ, ngày nhiều plugin, themes miễn phí giúp bạn có được một trang web đẹp mắt, thân thiện người dùng..v.v..

Tuy nhiên, tồn tại song song với việc WordPress là một nền tảng xây dựng website phổ biến nhất, cộng đồng người sử dụng đông đảo nhất thì vấn đề bảo mật website là một yếu tố đáng được lưu tâm hàng đầu sau khi bạn đã có được trang web hoàn chỉnh.

WordPress chỉ là nền tảng để làm web, tự nó không có khả năng bảo vệ website của bạn.

Thay vào đó, bạn phải tự trang bị kiến thức về bảo mật website, tự tiến hành cài đặt một số thao tác không quá khó khăn để ngăn chặn việc website bị tấn công và mất sạch dữ liệu.

Nghe có vẻ khá khó khăn tuy nhiên bài hướng dẫn này sẽ giúp bạn dễ dàng làm được những công việc cần thiết để bảo vệ website khỏi những đợt tấn công có chủ đích từ hacker.

GỢI Ý

Ưu đãi Special 2.0 có thể giúp bạn dễ dàng bắt đầu hoặc có nhiều kết quả hơn với kiếm tiền online hoặc kinh doanh online.

Tại sao phải bảo vệ website?

Nếu bạn đã xây dựng website sau một thời gian dài, có thể là vài tháng đến hơn 1 năm trời ròng rã, tốn nhiều tiền, nhiều thời gian để viết content, làm SEO, tối ưu,… và bỗng nhiên một ngày website bạn bị hack.

Bạn truy cập vào website bằng mọi cách nhưng không được, trang web không hiển thị hoặc hiển thị một dòng chào Hello từ hacker, đồng nghĩa mọi nguồn thu nhập, các tệp khách hàng tiềm năng đến từ website của bạn cũng biến mất.

Khôi phục trang web lúc này vẫn có thể làm được nếu bạn thuê người có chuyên môn và thường thì giá không hề rẻ. Như vậy bạn bắt buộc phải tự bảo vệ cho website của mình trước những đợt tấn công.

Xây dựng website, phát triển trang web ngày càng được nhiều người biết đến và mang về thu nhập là một chuyện, nhưng bảo vệ cho trang web luôn được duy trì ổn định lại là một câu chuyện khác.

Đối với những người mới khi bắt đầu làm web, vì website bạn khi đó còn “newbie”, chưa có độ cạnh tranh cao và chưa khiến ai phải chú ý nên khả năng bị chơi xấu là rất ít.

Sau một thời gian khi website đủ độ lớn, bắt đầu tăng dần traffic, ranking được nhiều từ khóa thì bạn dễ dàng nằm trong tầm nhắm của những đợt chơi xấu từ đối thủ hoặc từ những hacker tấn công có chủ đích.

Vì vậy, phòng bệnh hơn chữa bệnh, bạn bắt buộc học cách bảo vệ website, thực hiện ngay những cài đặt cần thiết để giữ website được an toàn. Tránh tình trạng mất toàn bộ công sức, tiền bạc và thời gian mà bạn đã xây dựng.

3 Lý do chính dẫn đến website bị hack

Nói về việc hack thì có rất nhiều cách và nhiều nguyên nhân dẫn tới việc bị hack website, nhưng mình sẽ chỉ nói 3 lý do chính thường gặp:

  • Theme hoặc plugin bạn đang dùng bị dính virus, bạn “thích” sử dụng themes, plugins miễn phí được share tràn lan trên mạng.
  • Host của bạn bị hacker tấn công.
  • Để người khác biết mật khẩu quản trị viên website của bạn.

Cẩn thận hết sức có thể sẽ giúp bạn an tâm hơn trong quá trình xây dựng nội dung cho website. Giờ, mình sẽ chia sẻ cho bạn 10 cách bảo mật trang web làm bằng WordPress của bạn.

Update phiên bản WordPress mới nhất

Với mỗi lần WordPress ra phiên bản mới, có thể vấn đề về an ninh, bảo mật sẽ được cập nhật tốt hơn.

Vì vậy cứ mỗi lần có phiên bản WordPress mới nào, bạn sẽ được thông báo ở Admin Dashboard và việc bạn cần làm ở đây rất đơn giản, nhấn vào update để cập nhật lên phiên bản WordPress mới nhất.

Theo thống kê trên thế giới thì 1 triệu trang wordpress top đầu của Alexa chỉ có 18,55% luôn cập nhật các phiên bản mới của WordPress, và tỉ lệ nhiễm mã độc, dính virus, bị hack chiếm tỉ lệ cao ở 81,45% các website còn lại.

Sử dụng theme và plugin bản quyền

Hầu hết các website của mình đều dùng các theme mua trả phí từ các nhà cung cấp lớn trên thế giới nên được đảm bảo về chất lượng cũng như không chứa mã độc hại cho website.

Các nhà cung cấp họ đều có đội ngũ công nghệ làm việc 24/7 để update real time và tung ra những bản cập nhất mới nhất để tránh tình trạng bị tấn công mã độc.

Bạn có thể vào những trang như Mythemeshop, Codecanyon… để tìm mua những Theme phù hợp & có bản quyền

Về phần plugin thì mình sẽ chỉ dùng các plugin từ các thương hiệu lớn đã được review và có nhiều nhận xét tích cực. Có một số plugin mình trả phí để sử dụng, cũng có một số plugin miễn phí rất tốt mà mình thường dùng như Yoast SEO, Akismet anti-spam, Wpdiscuz,…

Hãy từ bỏ việc download & sử dụng các themes, plugins từ người khác chia sẻ trên internet ngay hôm nay để tránh những hệ quả xấu cho website.

Không để tên đăng nhập mặc định là “Admin”

Một trong những cách bảo mật hiệu quả đó là không sử dụng tài khoản có tên đăng nhập là “admin” vì nó dễ đoán.

Có lẽ bạn đang nghĩ rằng đây là một điều cơ bản và không ai sẽ đặt username mặc định là admin.

Nhưng rất nhiều cuộc báo cáo và thống kê cho thấy rằng vẫn có hàng loạt các trường hợp website bị mất quyền kiểm soát do đặt tên đăng nhập là “admin” vì đây là tên đăng nhập cơ bản được tạo lúc bạn cài wordpress cho website.

Nên đặt tên đăng nhập phức tạp và chỉ có bạn dễ nhớ

Việc bạn cần làm đó là thay đổi username đăng nhập khác đi so với admin là được.

Những hacker họ luôn test rất nhiều trường hợp, kể cả trường hợp cơ bản đặt username là admin và password là admin họ vẫn không bỏ qua.

Cài đặt plugin bảo mật cho website

Bên cạnh những plugins hỗ trợ nhiều tính năng về giao diện, trải nghiệm thì các plugins bảo mật trang web WordPress cũng được các developer trên thế giới đặc biệt quan tâm.

Từ đó đã cho ra đời khá nhiều plugin chất lượng nhằm hỗ trợ website của bạn khỏi các cuộc tấn công của hacker.

Một trong số những plugin bảo mật website miễn phí mà bạn có thể sử dụng đó là Wordfence Security.

Plugin này có bản miễn phí và cả trả phí, nếu bạn là một người mới thì dùng miễn phí cũng được.

Không đưa tài khoản admin cho bất kỳ ai

Nếu bạn có đang nhờ ai đó giúp đỡ cài đặt hoặc sửa lỗi cho website thì bạn nên Teamviewer để họ thao tác trực tiếp cho bạn xem.

Còn nếu bên dưới bạn có nhiều người làm việc, xây dựng content cho website thì bạn có thể tạo các tài khoản phù hợp với quyền hạn của họ.

Giới hạn số lần đăng nhập sai

Có thể một ngày nào đó, các hacker cố tình đăng nhập vào website bạn, để tránh tình trạng này bạn nên cài đặt plugin hỗ trợ ngăn chặn đăng nhập nếu như 1 thiết bị nhập sai quá nhiều lần.

Một trong những Plugin hỗ trợ công việc khá tốt là plugin Login Lockdown. Plugin này sẽ phát hiện số lần đăng nhập sai ở mỗi IP.

Nếu có số lần đăng nhập sai cho phép, plugin sẽ khóa không cho đăng nhập nữa trong thời gian nhất định (1 giờ), hoặc có thể sử dụng plugin trả phí có tích hợp chức năng trả phí như WP Security Hero.

Backup dữ liệu thường xuyên

Đây là một công việc vô cùng quan trọng, việc backup (sao lưu dữ liệu) sẽ giúp bạn khôi phục lại website nhanh chóng nếu như bị tấn công và mất database.

Ví dụ như trang web của bạn gặp vấn đề gì, bị phá, bị hack mất database thì vẫn còn có bản sao lưu, nếu bạn không sao lưu, khả năng cao trang web của bạn sẽ mất hoàn toàn dữ liệu.

Việc bạn nên làm là sao lưu dữ liệu của bạn, nếu bạn không có thời gian để làm hoặc quên thì nên xài các plugin để hỗ trợ công việc này như VaultPress, Backup Buddy, WP Security Hero ,….Bạn có thể đặt lịch công việc backup này hàng ngày, hàng giờ,…

Backup là công việc cực kì quan trọng và bạn nên bắt đầu tìm hiểu, học backup ngay từ hôm nay nếu bạn thật sự nghiêm túc với website của bản thân.

Kiemtiencenter đã có hướng dẫn backup bằng plugin BackupBuddy đơn giản & dễ thao tác để bạn tự làm dễ dàng, bạn có thể ấn vào link bên dưới để tham khảo.

Ưu tiên chọn hosting, VPS quốc tế

Lựa chọn hosting (dịch vụ lưu trữ) cho website là một trong những yếu tố hàng đầu bảo vệ website của bạn.

Những nhà cung cấp hosting, VPS tốt sẽ có những đội ngũ chuyên về bảo mật và họ sẽ có những biện pháp ngăn chặn các cuộc tấn công từ các hacker. Đồng nghĩa khi bạn dùng những host của các nhà cung cấp uy tín này thì việc bảo vệ sẽ được duy trì tốt hơn.

Mình khuyến nghị bạn nên sử dụng các dịch vụ hosting, VPS của quốc tế.

Sử dụng giao thức HTTPS

SSL (Secure Sockets Layer) là một giao thức chuyển dữ liệu trang web của bạn tới trình duyệt người dùng một cách bảo mật và an toàn. Chứng chỉ SSL này sẽ giúp hạn chế được việc người khác tiếp cận và đánh cắp thông tin trên website của bạn.

Việc cài đặt chứng chỉ SSL sẽ giúp bảo vệ việc bảo mật của phía website và cũng như là bảo mật từ phía người dùng. Bên cạnh đó, khi bạn cài đặt chứng chỉ SSL cho website thì website bạn sẽ chuyển từ giao thức http sang https, đây là một điều mà Google rất quan tâm.

Thay đổi URL đăng nhập của bạn

Khi dùng wordpress đa phần các bạn sẽ đăng nhập vào website với đường dẫn là: yourdomain.com/wp-admin, đây là một trong những vấn đề ảnh hưởng đến sự bảo mật mà bạn cần quan tâm.

Giả sử một ai đó đã lỡ biết được username và password của bạn, sau đó họ sẽ tìm đến website bạn, đăng nhập vào và thực hiện hành vi phá hoại.

Việc thay đổi URL đăng nhập mà chỉ có mình bạn biết sẽ giúp cho các hacker gặp khó khăn hơn trong việc tấn công website của bạn.

Đổi URL đăng nhập không phải là cách quá mạnh mẽ để chống lại hacker, nhưng đây là một việc bạn nên làm để hạn chế việc bị người khác muốn phá website của bạn.

Một trong những cách đơn giản nhất đó là sử dụng plugin để thay đổi URL đăng nhập, bạn có thể tham khảo và dùng các plugin như: WPS Hide Login, Custom Login URL, HC Custom WP-admin URL,…

Lưu ý: Mếu bạn có thực hiện cài đặt plugin WPS Hide Login như hình mà mình đã cài, sau khi các bạn active plugin này lên nó sẽ tự động logout bạn ra khỏi trang website.

Và bạn sẽ không thể login vào website với đường dẫn: https://yourdomain.com/wp-admin được nữa mà thay vào đó là đường dẫn: https://yourdomain.com/login

Sau đó bạn có thể vào cài đặt và chỉnh lại đường url đăng nhập tùy ý của bạn.

Kết

Trên đây là 10 cách cơ bản giúp bạn bảo vệ website và hạn chế được các cuộc tấn công từ hacker.

Hy vọng bài viết sẽ giúp ích cho bạn trong việc bảo vệ và phát triển website. Bạn nên tiến hành thao tác ngay một hoặc nhiều cách trên để ngăn chặn việc bị tấn công càng sớm càng tốt.

Nếu có thắc mắc nào trong quá trình thực hành đừng quên để lại bình luận để nhận được sự hỗ trợ nhé!

Đôi chút về Thế Khương

Sáng lập Kiemtiencenter - Kiếm tiền với affiliate từ 2013 // Thế mạnh : Inbound marketing, UI // Thích đọc bài trên Quora & lướt Reddit. Thích chia sẻ về MMO, marketing trên blog & xây dựng cộng đồng. Tìm hiểu thêm

Theo dõi mình trên Facebook
Xem tất cả bài viết

Ưu đãi Special có thể mang lại cho bạn nhiều kiến thức cốt lõi hơn, tăng tỉ lệ thành công của bạn với kiếm tiền online/kinh doanh online trong 2018 này. 7000+ độc giả Kiemtiencenter đã nhận thành công.

bình luận. Để lại câu hỏi & nhận trả lời nhanh qua email.

avatar