Tại sao cần bảo mật website WordPress?
WordPress là một công cụ, phần mềm mã nguồn mở (Open Source Software) được phát triển bởi Michel Valdrighi và Mike Little. Chức năng chính của WordPress là dùng để tạo lập, xuất bản các blog. Chạy trên tới 4.5% của toàn bộ website trên thế giới Internet, WordPress là nền tảng quản trị nội dung lớn nhất thế giới. Tuy nhiên, điều đáng buồn khi WordPress là CMS dễ bị hack nhất trên thế giới. Đây là thông tin trong thông từ báo cáo hack của Securi – một công ty chuyên về bảo mật.
Mỗi tuần, Google đều liệu kê một blacklists khoảng 20.000 website có chứa malware và khoảng 50.000 là phishing (những website lừa đảo).
Do đó, để website của mình an toàn, bạn cần nghiêm túc quan tâm đến vấn đề bảo mật.Bật mí 11 cách bảo mật website WordPress
#1. Bảo mật tên người dùng và mật khẩu quản trị
Đặt mật khẩu phức tạp – phương thức bảo mật đơn giản nhất và hiệu quả nhất. Một mật khẩu mạnh bao gồm chữ in hoa, chữ thường, số, kí tự đặc biệt. Mật khẩu đủ mạnh, đủ khó sẽ bảo vệ bạn, tránh bị hacker dò mật khẩu.#2. Chủ động cập nhật và sử dụng phiên bản mới nhất của WordPress và Plugins
WordPress là một mã nguồn mở. Nó sẽ cập nhật liên tục những bản vá lỗi. Và WordPress thông báo update chủ yếu bao gồm có bản vá bảo mật cùng với các tính năng bổ sung cần thiết để chạy các plugin mới nhất. Chỉ cần dùng phiên bản mới nhất, được chỉnh lỗi nhiều nhất, bạn sẽ bảo vệ được website WordPress của mình rất nhiều.#3. Thiết lập chế độ xác thực 2 bước.
Bằng cách xác thực qua mã capcha, sms hoặc 1 mã OTP… , bạn sẽ khiến không ít hacker “bỏ cuộc”. Dù có cố gắng, hacker cũng không thể đăng nhập được. Hack được đồng thời mật khẩu và số điện thoại của bạn, đó là điều không tưởng!
Dùng mã OTP để bảo vệ website WordPress
#4. Bảo mật trước mọi cố gắng đăng nhập trang quản trị
Xâm nhập để chiếm quyền quản trị website của bạn, hacker có thể phá hoại cả website. Bạn có 2 hướng để chống lại quá trình này diễn ra: Một là, thay đổi URL đăng nhập trang quản trị WordPress của bạn. Thông thường, URL đăng nhập trang web WordPress là domain.com/wp-admin. Thay đổi URL, bạn có thể phòng việc hacker lợi dụng URL tấn công. Hai là, cài đặt giới hạn đăng nhập trang quản trị- Limit Login Đặt giới hạn đăng nhập là một cách làm rất khả quan vì hacker bị hạn chế được việc dò mật khẩu vào website.#5. Chú ý sao lưu dữ liệu
Thế giới không có gì hoàn hảo. Và công nghệ cũng không có gì là 100% an toàn. Backup là bước bảo mật đầu tiên chống lại bất kỳ cuộc tấn công nào. Có rất nhiều WordPress backup plugin miễn phí và trả phí. TinoHost khuyên bạn lưu trữ dữ liệu MỖI NGÀY trên một dịch vụ đám mây như: Amazon, Dropbox, hay một đám mây cá nhân như Stash.#6. Thực hiện quy trình quét thường xuyên
Nhằm phát hiện các lỗ hổng bảo mật trong hệ thống, bạn cần cài đặt tiện ích WP Security Scan và tiến hành quét thường xuyên. Song song đó, việc thay đổi wp_ thành bất tiền tố tùy chỉnh sẽ giúp bạn tránh khỏi sự nhòm ngó của hacker.#7. Bảo vệ trước các cuộc tấn công DDoS
DDoS được xem là một nỗ lực làm cho những người dùng không thể sử dụng tài nguyên của một máy tính hoặc website. DDoS thường không gây tổn hại cho trang web của bạn. DDoS sẽ làm cho trang web của bạn bị down trong một vài giờ hoặc vài ngày tùy theo mức độ, những người dùng thật sẽ không thể truy nhập được website của bạn.#8. Mã hóa thông tin đăng nhập
Khi truy cập ở nơi công cộng, bạn đã vô tình tạo cơ hội dành cho hacker. Tuy nhiên, bằng plugin Chap Secure Login sẽ giúp bạn giảm thiểu điều này. Plugin Chap Secure Login có chức năng chính là gán thêm những đoạn mã hash ngẫu nhiên vào chuỗi ký tự mật khẩu, sau đó tiến hành xác nhận tính hợp pháp của tài khoản với giao thức CHAP.
Cài đặt Plugin: bạn chỉ cần vào add plugin và gõ vào trình search: Chap Secure Login.#9. Luôn sử dụng kết nối an toàn khi FTP
Hãy yêu cầu các nhà cung cấp đảm bảo rằng hosting WordPress của bạn có hỗ trợ các phương pháp như cung cấp để kết nối ftp an toàn như FTP; SFTP hoặc SSH. SFTP hoặc Secure File Transfer Protocol (giao thức truyền file SSH). So với chuẩn FTP, phương pháp này an toàn hơn. Một số tool hỗ trợ kết nối SFTP:- Filezilla (Free – MAC or PC)
- WinSCP (Free – PC)
- FlashFXP (Premium – PC)
- Cyberduck (Free – MAC or PC)
- Transmit (Premium – MAC)
