WordPress là một trong những hệ thống quản lý nội dung (CMS) được sử dụng nhiều nhất để xuất bản các trang web và blog. Mặc dù đây là một nền tảng rất vững chắc, nhưng nhiều người dùng vẫn gặp phải các cuộc tấn công vì nhiều lý do khác nhau.
Điều tồi tệ hơn, các hacker thường nhắm mục tiêu vào phần backend, tức là trang quản trị WordPress. Lý do đằng sau việc này tất nhiên là để giành quyền kiểm soát hoàn toàn trang web. Đó là lý do bạn cần đặc biệt quan tâm đến WP-Admin (trang quản trị WordPress).
Để giúp bạn bảo vệ trang web của mình, dưới đây là một số mẹo bảo mật rất hữu ích để giữ cho trang web hoặc blog của bạn không gặp phải các lỗ hổng, cho phép bạn làm việc một cách yên tâm.
1. Tạo Đường Dẫn Đăng Nhập Tùy Chỉnh
Rõ ràng rằng để truy cập trang quản trị WordPress, ai cũng phải nhập URL của trang web kèm với đuôi ‘/wp-login.php’. Tuy nhiên, nếu bạn sử dụng cùng một mật khẩu cho nhiều nơi và mật khẩu đó bị xâm nhập, thì việc hack trang web của bạn sẽ trở nên rất dễ dàng.
Một plugin có tên Solid Security cho phép bạn tạo các đường dẫn tùy chỉnh để đăng nhập, đăng xuất và quản trị cho trang web WordPress của bạn.
Bạn cũng có thể kích hoạt chế độ ngăn người dùng truy cập trực tiếp vào ‘wp-login.php’. Sau đó, bạn có thể thiết lập đường dẫn đăng nhập của mình thành một địa chỉ khó đoán hơn.
Điều này sẽ không đảm bảo bảo mật tuyệt đối cho trang web của bạn, nhưng nếu ai đó phá được mật khẩu của bạn, điều này sẽ khiến họ khó tìm được trang đăng nhập thực sự. Ngoài ra, điều này cũng ngăn chặn các bot được sử dụng cho mục đích độc hại truy cập vào tệp ‘wp-login.php’ của bạn và cố gắng phá mật khẩu.
2. Chọn một mật khẩu mạnh
Đây là một bước có vẻ rất rõ ràng, nhưng đôi khi vẫn chưa được nhấn mạnh đủ mức. Đừng sử dụng cùng một mật khẩu ở nhiều nơi. Hãy cố gắng tạo mỗi mật khẩu khác nhau và khó đoán.
Sử dụng plugin tạo mật khẩu mạnh của WordPress có tên Password Policy Manager để tạo mật khẩu mạnh.
Ngoài ra, bạn nên thay đổi mật khẩu định kỳ. Bằng cách này, ngay cả khi ai đó đã đoán được mật khẩu của bạn, họ sẽ không thể sử dụng được khi bạn đã thay đổi.
3. Giới hạn số lần đăng nhập trang quản trị WordPress
Đôi khi, hacker có thể nghĩ rằng họ biết mật khẩu hoặc họ có thể tạo một tập lệnh để đoán mật khẩu, điều này còn nguy hiểm hơn. Trong trường hợp này, bạn cần giới hạn số lần thử đăng nhập.
Bạn có thể dễ dàng thực hiện việc này bằng cách sử dụng một plugin có tên Limit Login Attempts. Plugin này sẽ chặn người dùng nếu họ nhập sai mật khẩu vượt quá số lần cho phép được chỉ định trong cài đặt của plugin.
Người dùng sẽ bị khóa trong một khoảng thời gian mà bạn cũng có thể thiết lập trong cài đặt. Tất cả các thiết lập này có thể được kiểm soát thông qua trang quản trị WordPress.
4. Sử dụng trang đăng nhập bảo mật với SSL
Trang đăng nhập SSL cho phép bạn đăng nhập vào trang quản trị WordPress thông qua các kênh được mã hóa bằng SSL, tức là URL của phiên đăng nhập sẽ có dạng ‘https://’.
Bạn cần xác nhận với nhà cung cấp dịch vụ hosting của mình xem bạn có SSL chia sẻ (Shared SSL) hay không, hoặc bạn có chứng chỉ SSL riêng.
Sau khi xác nhận, dán đoạn mã sau vào tệp ‘wp-config.php’ của bạn:
define('FORCE_SSL_ADMIN', true);
Ngoài ra, có một plugin tên là Really Simple Security, plugin này sẽ bắt buộc sử dụng SSL trên tất cả các trang. Plugin này dễ sử dụng hơn và tương thích với tất cả các phiên bản WordPress.
5. Hạn chế truy cập bằng địa chỉ IP
Bạn có thể giới hạn quyền truy cập vào thư mục wp-admin chỉ cho phép một số địa chỉ IP cụ thể. Để làm điều này, hãy tạo tệp .htaccess trong thư mục ‘/wp-admin/’ (nếu chưa có). Sau đó, dán đoạn mã sau:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic order deny,allow deny from all # Cho phép IP của Asllan allow from xx.xx.xx.xxx # Cho phép IP của Aline allow from xx.xx.xx.xxx # Cho phép IP ở nhà allow from xx.xx.xx.xxx # Cho phép IP ở nơi làm việc allow from xx.xx.xx.xxx
Hãy thay thế xx.xx.xx.xxx bằng các địa chỉ IP mà bạn muốn cấp quyền truy cập.
Nhược điểm của phương pháp này là nếu bạn muốn truy cập từ một nơi khác, bạn sẽ phải thêm địa chỉ IP mới vào tệp .htaccess.
6. Không bao giờ sử dụng tên người dùng ‘admin’
Đây là tài khoản mặc định được tạo khi WordPress được cài đặt. Bạn không nên sử dụng hoặc giữ tài khoản này vì nó là một trong những nguyên nhân chính dẫn đến xâm nhập.
Hãy tạo một tài khoản khác bằng cách sử dụng trang quản trị WordPress và gán vai trò quản trị viên cho nó. Cố gắng chọn tên người dùng không quá phổ biến để hacker khó đoán hơn. Sau đó, xóa tài khoản admin để đảm bảo an toàn.
7. Xóa thông báo lỗi trên trang đăng nhập
Thông báo lỗi mặc định xuất hiện khi bạn nhập sai mật khẩu hoặc tên người dùng không hợp lệ có thể giúp hacker xác định thông tin. Vì vậy, bạn nên xóa hoàn toàn thông báo lỗi này.
Mở tệp functions.php trong thư mục giao diện của bạn và dán đoạn mã sau:
add_filter('login_errors', create_function('$a', 'return null;'));
Ngoài ra, bạn có thể sử dụng plugin Solid Security, plugin này cũng thực hiện việc xóa thông báo lỗi và có nhiều tính năng bảo mật khác.
8. Bảo vệ trang quản trị WordPress với AntiVirus
Plugin AntiVirus dành cho WordPress là một giải pháp thông minh và hiệu quả để bảo vệ blog của bạn khỏi các lỗ hổng bảo mật và các mã tiêm nhiễm spam.
Tính năng đặc biệt của plugin này là kiểm tra thủ công với kết quả tức thì về các tệp bị nhiễm và tự động kiểm tra hàng ngày với thông báo qua email nếu phát hiện vấn đề.
9. Plugin Tường lửa WordPress
Plugin NinjaFirewall phát hiện, chặn và ghi lại các tham số đáng ngờ, ngăn chúng gây tổn hại đến WordPress. Plugin này cũng bảo vệ hầu hết các plugin khác của WordPress khỏi các cuộc tấn công tương tự.
Ngoài ra, plugin có thể được cấu hình để tải đầu tiên nhằm tối đa hóa bảo mật. Nó cung cấp tùy chọn gửi email thông báo về các cuộc tấn công tiềm ẩn, kèm theo thông tin hữu ích về cách chặn.
10. Cập nhật các phiên bản WordPress mới nhất
Cuối cùng, nhưng chắc chắn không kém phần quan trọng, là việc luôn cập nhật phiên bản mới nhất của WordPress. Mỗi bản phát hành thường đi kèm với các bản sửa lỗi và vá lỗ hổng của phiên bản trước đó.
Nếu không nâng cấp, trang quản trị WordPress của bạn có thể bị đe dọa bởi các lỗ hổng bảo mật đã được khắc phục trong phiên bản mới.
