Hãy nhìn lại lối sống của bạn.

Bảo mật WordPress trong một vài bước đơn giản và hiệu quả

0 12.147

- Advertisement -

Bạn đang làm web với mã nguồn WordPress và đang lo lắng vấn đề bảo mật trang ? Sợ người khác hack trang của mình ? Đọc ngay bài này để bảo mật WordPress trong một vài bước dễ dàng cho bạn. Hãy bắt đầu thôi nào.

Bảo mật WordPress luôn là vấn đề để suy nghĩ. Mặc dù hầu hết các bản cập nhật mới nhất liên quan đến các vấn đề bảo mật của WordPress. Nhưng vẫn còn rất nhiều việc có thể được thực hiện để cải thiện bảo mật đó, ngay cả khi chúng ta ít hiểu biết về công nghệ. Ở đây, tôi muốn liệt kê một số đề xuất về cách cải thiện bảo mật trên trang web WordPress của bạn để bảo mật WordPress tốt nhất.

1. Không sử dụng admin làm tên người dùng

Nghĩ về điều này. Đây có lẽ là bước cơ bản dễ dàng nhất để bảo mật WordPress mà bạn có thể thực hiện với tư cách là người dùng WordPress. Nó không tốn kém gì, và việc cài đặt giúp bạn dễ dàng thực hiện. Phần lớn các cuộc tấn công ngày nay nhắm vào các điểm truy cập wp-admin / wp-login của bạn bằng cách sử dụng kết hợp admin và một số mật khẩu trong  các cuộc tấn công Brute Force . Thông thường sẽ ra lệnh rằng nếu bạn loại bỏ admin , bạn cũng sẽ tiêu diệt hoàn toàn cuộc tấn công.

Có một số kẻ tấn công vẫn có thể liệt kê ID và Tên người dùng và trong một số trường hợp có thể lấy tên người dùng mới. Không thể phủ nhận điều này. Tuy nhiên, hãy nhớ rằng, Bảo mật không phải là loại bỏ rủi ro , mà là giảm thiểu rủi ro.

Đối với mỗi ngày, tự động tấn công Brute Force, loại bỏ các mặc định admin hoặc admintor tên người dùng sẽ đã giúp rất nhiều. Bạn ít nhất làm cho hacker khó đoán tên người dùng hơn một chút . Để rõ ràng, hãy hiểu rằng khi chúng tôi nói adminchúng tôi chỉ nói riêng với tên người dùng chứ không phải vai trò.

Chỉ cần tạo một người dùng mới trong WordPress tại Người dùng => Người dùng mới và biến người dùng đó có quyền Quản trị viên. Sau đó, xóa adminngười dùng. Đừng lo lắng về bài đăng hoặc các trang mà người dùng quản trị đã tạo. WordPress sẽ hỏi bạn: Người dùng nên làm gì với nội dung do người dùng này sở hữu? Hãy chọn giữ nguyên hoặc thay thế.

2. Tạo một tài khoản biên tập cho chính mình

Ngoài những điều trên, khi bạn viết /chỉnh sửa các bài đăng trên blog của mình, tên tác giả của bạn có thể xuất hiện ở góc dưới bên trái của trình duyệt khi bạn di chuột qua tên tác giả trong bài đăng. Nếu tên tác giả của bạn giống với tên quản trị viên của bạn, bạn đã cung cấp cho bất kỳ tin tặc nào một nửa nỗ lực hack thành công.

Cách khắc phục rất đơn giản: tạo tên người dùng cho chính bạn chỉ có đặc quyền biên tập viên, sau đó bất cứ khi nào bạn đăng nhập để viết và chỉnh sửa bài đăng, hãy sử dụng tên đó; và nó sẽ có trên tất cả các bài viết của bạn như là kết quả. Tin tặc của bạn sẽ cho rằng đó là tên quản trị viên của bạn và sẽ lãng phí một lượng thời gian vô ích khi cố gắng hack với tên người dùng chỉ có đặc quyền chỉnh sửa. Những gì trả thù đơn giản và tuyệt vời trên những người ác!

Ngoài ra, có các plugin bảo mật cho WordPress nhằm hạn chế các lần đăng nhập và báo cáo tin tặc vào email của bạn để bạn có thể biết liệu có một nỗ lực hack nào sử dụng tên quản trị viên thực sự của bạn hay không. Điều này cho bạn biết đã đến lúc phải chú ý hơn đến bảo mật của bạn trước khi họ xóa mật khẩu.

3. Sử dụng mật khẩu ít phổ biến hơn

Một điều dễ nhớ là KDĐ: Khó đoán. Dài nhất có thể. Độc nhất vô nhị. 😀

Hãy đặt mật khẩu dài từ 15 ký tự trở lên, các ký tự ngẫu nhiên, độc nhất kèm theo các ký tự đặc biệt như: @,!,#,%,&,…

4. Thêm xác thực hai yếu tố

Ngay cả khi bạn không sử dụng ‘admin’ và đang sử dụng mật khẩu mạnh, được tạo ngẫu nhiên, các cuộc tấn công của Brute Force vẫn có thể là một vấn đề. Để giải quyết vấn đề này, những thứ như Xác thực hai yếu tố là chìa khóa để giúp giảm nguy cơ bị tấn công như vậy.

Ồ, tôi biết, xác thực hai yếu tố rắc rối là. Nhưng bây giờ, đó là Fort Knox của bạn. Bản chất của xác thực hai yếu tố để bảo mật WordPress chính xác như được ngụ ý trong tên, hai hình thức xác thực. Hôm nay là tiêu chuẩn để tăng cường bảo mật tại các điểm truy cập của bạn. Bạn đã sử dụng xác thực hai yếu tố cho Gmail, Paypal và các tác phẩm (ít nhất là bạn nên như vậy), tại sao không thêm nó vào bộ công cụ bảo mật WordPress của bạn. Ipstenu (Mika Epstein) đã làm một bài viết về chủ đề mà bạn có thể muốn đọc: Xác thực hai yếu tố .

Có một plugin cho điều đó:  Google Authenticator . Một giải pháp thay thế có cách tiếp cận hơi khác cho cùng một mục đích là Plugin Rublon .

5. Nguyên tắc tối thiểu cho nhân viên

Nhóm WordPress.org tập hợp một bài viết tuyệt vời trong Codex WordPress về Vai trò và Khả năng . Chúng tôi khuyến khích bạn đọc nó và làm quen với nó vì nó áp dụng cho bước này.

Khái niệm về đặc quyền tối thiểu là đơn giản, cấp quyền cho:

  • Những người cần nó,
  • Khi họ cần nó và
  • Chỉ trong thời gian họ cần nó.

Nếu ai đó yêu cầu quản trị viên truy cập trong giây lát để thay đổi cấu hình, hãy cấp nó, nhưng sau đó xóa nó sau khi hoàn thành nhiệm vụ. Tin tốt là bạn không cần phải làm gì nhiều ở đây, ngoài việc sử dụng các thực tiễn tốt nhất.

Trái với niềm tin phổ biến, không phải mọi người dùng truy cập vào ví dụ WordPress của bạn cần được phân loại theo vai trò quản trị viên . Chỉ định mọi người vào các vai trò phù hợp và bạn sẽ giảm được rất nhiều rủi ro bảo mật.

6. Ẩn wp-config.php.htaccess

Điều này tương đối dễ làm, nhưng làm sai có thể khiến trang web của bạn không thể truy cập được. Tạo một bản sao lưu và tiến hành thận trọng.

Để bảo mật WordPress tốt hơn, bạn cần thêm phần này vào .htaccesstệp của mình để bảo vệ wp-config.php:

<Files wp-config.php>
order allow,deny 
deny from all
</Files>

Điều đó sẽ ngăn chặn các tập tin được truy cập. Bằng cách này, mã tương tự có thể được sử dụng cho .htaccesstệp của bạn :

<Files .htaccess>
order allow,deny 
deny from all
</Files>

Bạn có thể làm được. Đó không phải là khoa học tên lửa.

7. Sử dụng khóa bảo mật WordPress để xác thực

Khóa xác thực và muối hoạt động kết hợp với nhau để bảo vệ cookie và mật khẩu của bạn trong quá trình chuyển đổi giữa trình duyệt và máy chủ web. Các khóa xác thực này về cơ bản là một tập hợp các biến ngẫu nhiên. Các khóa đó cải thiện bảo mật (mã hóa) thông tin trong cookie. Để thay đổi điều này trong wp-config.php, chỉ cần lấy một bộ khóa mới ở đây và thêm chúng. Các phím này thay đổi khi làm mới trang đó, vì vậy bạn sẽ luôn có được một bộ mới.

8. Vô hiệu hóa chỉnh sửa tập tin

Nếu tin tặc xâm nhập, cách dễ nhất để thay đổi tệp của bạn là vào Giao diện> Trình chỉnh sửa trong WordPress. Để nâng cao bảo mật WordPress của bạn, bạn có thể vô hiệu hóa việc ghi các tệp này thông qua trình chỉnh sửa đó. Một lần nữa, mở wp-config.php và thêm dòng mã này:

1define('DISALLOW_FILE_EDIT', true);

Bạn vẫn có thể chỉnh sửa các mẫu của mình thông qua ứng dụng FTP yêu thích của bạn; bạn sẽ không thể làm điều đó thông qua chính WordPress.

9. Hạn chế nỗ lực đăng nhập

Tấn công như một cuộc tấn công Brute Force, nhắm mục tiêu hình thức đăng nhập của bạn. Cụ thể đối với bảo mật WordPress, plugin All in One WP Security & Firewall có một tùy chọn chỉ đơn giản là thay đổi URL mặc định (/ wp-admin /) cho biểu mẫu đăng nhập đó.

Bên cạnh đó, bạn cũng có thể giới hạn số lần thử đăng nhập từ một địa chỉ IP nhất định. Có một số plugin WordPress để giúp bạn bảo vệ biểu mẫu đăng nhập của mình khỏi các địa chỉ IP kích hoạt vô số lần đăng nhập theo cách của bạn. Chúng tôi chưa thử nghiệm tất cả, nhưng hãy cho tôi biết kinh nghiệm của bạn.

10. Hãy chọn lọc với XML-RPC

XML-RPC là một giao diện chương trình ứng dụng (API) đã xuất hiện được một thời gian. Nó được sử dụng bởi một số plugin và chủ đề, vì vậy chúng tôi cảnh báo những người ít kỹ thuật nên chú ý đến cách họ thực hiện mẹo làm cứng cụ thể này.

Trong khi chức năng, vô hiệu hóa có thể đi kèm với một chi phí. Đó là lý do tại sao chúng tôi không khuyên bạn nên vô hiệu hóa mọi thứ, nhưng hãy chọn lọc hơn về cách thức và những gì bạn cho phép truy cập. Trong WordPress, nếu bạn sử dụng Jetpack, bạn sẽ muốn cẩn thận hơn ở đây.

Có một số bổ trợ giúp bạn rất chọn lọc theo cách bạn triển khai và vô hiệu hóa XML-RPC theo mặc định.

11. Bảo mật Hosting & WordPress

Trong những năm qua đánh giá trang web , chúng tôi đã có những chia sẻ của chúng tôi về các chủ sở hữu trang web nói rằng công ty lưu trữ của họ không thể giúp đỡ về vấn đề này, hoặc biết về điều đó. Các công ty lưu trữ chỉ đơn giản là xem trang web của bạn khác nhau . Không có quy tắc đơn giản để quyết định về công ty lưu trữ WordPress của bạn  Nhưng sự lựa chọn của một công ty lưu trữ có vấn đề khi tối ưu hóa bảo mật WordPress của bạn.

Mỗi bài viết trên các công ty lưu trữ hoặc lưu trữ dường như bắt đầu bằng cách nói với bạn rằng cái rẻ nhất có lẽ không phải là cái tốt nhất.

Hầu hết các gói lưu trữ rẻ hơn sẽ không có hỗ trợ để giúp bạn thoát khỏi một trang web bị tấn công. Các kế hoạch này bao gồm rất ít để bảo mật trang web của bạn, ví dụ như thiết lập Tường lửa trang web (nhiều hơn về Tường lửa trang web Sucuri sau này). Ví dụ, lưu trữ được chia sẻ ngụ ý rằng máy chủ lưu trữ của bạn cũng là nhà của các trang web khác. Chúng có thể có các vấn đề bảo mật của riêng chúng, điều này cũng có thể ảnh hưởng đến bảo mật trang web của chính bạn.

Bảo mật WordPress dường như là một trong những USP chính được cung cấp trong các sản phẩm lưu trữ WordPress chuyên dụng, giống như sản phẩm được cung cấp bởi  GoDaddy . Họ cung cấp các bản sao lưu, tường lửa dự phòng, quét phần mềm độc hại và bảo vệ DDoS và cập nhật WordPress tự động với giá cả rất hợp lý (dưới mức).

Hãy chú ý đến tài khoản máy chủ

Một trong những thách thức lớn nhất với máy chủ là trong cấu hình tài khoản của họ dành cho chủ sở hữu trang web. Chủ sở hữu trang web có thể cài đặt và định cấu hình bao nhiêu trang web theo ý muốn và điều này thúc đẩy môi trường giống như bếp súp súp.

Đây là một thách thức bởi vì, trong nhiều trường hợp, một trang web sẽ bị xâm phạm thông qua một khái niệm được gọi là ô nhiễm chéo trang trong đó một trang web lân cận được sử dụng làm vectơ tấn công. Kẻ tấn công xâm nhập máy chủ, sau đó di chuyển sang các trang web lân cận trên máy chủ.

Cách tốt nhất để tính đến điều này là tạo hai tài khoản. Một tài khoản mà bạn coi là môi trường sản xuất – chỉ có các trang web trực tiếp trên trang này – và một tài khoản, trong đó bạn đặt mọi thứ khác.

11. Luôn cập nhật WordPress mới nhất

Luôn cập nhật là một tuyên bố dễ dàng để thực hiện, nhưng đối với chủ sở hữu trang web hàng ngày, chúng tôi nhận ra điều này có thể khó khăn như thế nào. Trang web của chúng tôi là những sinh vật phức tạp. Họ có 150 điều khác nhau xảy ra tại bất kỳ thời điểm nào và đôi khi rất khó để áp dụng các thay đổi một cách nhanh chóng. Một nghiên cứu gần đây cho thấy 56% cài đặt WordPress đã hết các phiên bản lõi .

Cập nhật cần mở rộng ra ngoài cốt lõi WordPress. Nghiên cứu tương tự cho thấy một tỷ lệ rất lớn các vụ hack trang web đến từ các phiên bản plugin lỗi thời, dễ bị tấn công.

Điều này có thể được kết hợp trong các môi trường thực sự phức tạp, trong đó các phụ thuộc làm cho nó sao cho không thể đạt được các bản sao lưu. Đây là lý do tại sao cá nhân chúng tôi sử dụng Tường lửa của Sucuri.  Tường lửa này hầu như vá lỗi và làm cứng trang web của chúng tôi ở rìa. Nó cho chúng tôi thời gian chúng tôi yêu cầu quay lại và áp dụng các bản cập nhật trong khung thời gian hợp lý hơn, cho phép chúng tôi thử nghiệm trong môi trường dàn dựng của mình trước, và chỉ sau đó mới được đưa vào sản xuất.

12. Các plugin & chủ đề bảo mật WordPress tốt nhất

Hầu hết người dùng WordPress có xu hướng áp dụng các chủ đề và plugin theo ý muốn cho bài đăng của họ. Trừ khi bạn làm điều này trên một máy chủ thử nghiệm cho mục đích duy nhất là kiểm tra chủ đề hoặc plugin đó, điều đó không có ý nghĩa gì, đặc biệt là không liên quan đến bảo mật WordPress. Hầu hết các plugin và rất nhiều chủ đề đều miễn phí, và trừ khi bạn có một mô hình kinh doanh vững chắc để đi kèm với các quà tặng miễn phí này. Nếu một nhà phát triển đang duy trì một plugin chỉ vì nó rất vui , rất có thể anh ta hoặc cô ta đã không dành thời gian để kiểm tra bảo mật thích hợp.

Cách chọn đúng plugin

Chỉ chọn cài đặt các Plugin cập nhật thường xuyên và tương thích với phiên bản WordPress mới nhất. Các Plugin mà có Rating cao từ 4,5 sao trở lên.

Có một điều khác bạn muốn kiểm tra. Nếu một plugin không được cập nhật trong hai năm, WordPress sẽ cho bạn biết điều đó. Điều đó không có nghĩa đó là một plugin tồi, nó cũng có thể có nghĩa là không cần phải cập nhật nó, đơn giản vì plugin vẫn hoạt động. Xếp hạng sẽ cho bạn biết điều đó và khả năng tương thích với phiên bản WordPress hiện tại, cũng được hiển thị trên trang plugin tại wordpress.org. Phải nói rằng, Sucuri thực sự khuyên bạn không nên sử dụng bất kỳ plugin nào chưa được cập nhật trong thời gian dài. Bạn nên lấy từ của họ cho nó.

Dựa trên những xếp hạng và khả năng tương thích này, bạn có thể chọn các plugin của mình ít ngẫu nhiên hơn và có cơ hội lớn hơn về một loại bảo mật nào đó được thêm vào.

Bạn muốn biết thêm:

Kết Luận:

Trên đây là các bước cơ bản để giúp bạn bảo mật trang web WordPress của mình tốt nhất. Chúc bạn thành công.

- Advertisement -

Để lại bình luận

Địa chỉ email của bạn sẽ không được công bố.

Website này sử dụng Akismet để hạn chế spam. Tìm hiểu bình luận của bạn được duyệt như thế nào.