WordPress hiện đang hỗ trợ hàng triệu website. Con số cụ thể là bao nhiêu? Theo W3Techs, 31% trong top 10 triệu website hàng đầu sử dụng WordPress. Đó thực sự là một con số ấn tượng, đúng không? Điều khiến WordPress trở nên phổ biến chính là sự kết hợp của nhiều tính năng tuyệt vời.
Nhưng chúng ta sẽ không đi sâu vào những điều đó, vì bạn có lẽ đã biết rõ (tại sao bạn lại sử dụng WordPress, đúng chứ?). Thay vào đó, chúng ta sẽ nói về một trong những phần thường bị bỏ qua nhất của một trang WordPress: Bảo mật website. Lần cuối cùng bạn cân nhắc đến yếu tố bảo mật website là khi nào? Chưa bao giờ? Vậy thì hãy làm điều đó ngay bây giờ.
Chúng tôi biết rằng bạn có thể đang xem nhẹ vấn đề bảo mật website với suy nghĩ: “Ai sẽ tấn công website của tôi chứ?” Chúng tôi hiểu rằng khả năng website của bạn bị tấn công có thể rất thấp, nhưng khả năng sự sống xuất hiện trên Trái đất cũng rất thấp, và chúng ta đều biết điều đó đã diễn ra như thế nào, phải không? Vì vậy, đừng đánh cược, đặc biệt khi đó là vấn đề bảo mật website.
Để giữ cho website của bạn an toàn trước tin tặc, tôi đã chuẩn bị một danh sách kiểm tra nhanh gồm 11 điểm. Danh sách này bao gồm 11 bước bảo mật website cơ bản mà ai cũng có thể và nên thực hiện. Hãy bắt đầu nào!
Danh sách kiểm tra:
Chuyển đổi sang HTTPS
Bạn có muốn website của mình bị ảnh hưởng xấu đến thứ hạng SEO không? Bạn có muốn các trình duyệt hàng đầu cảnh báo người dùng khi họ truy cập vào website của bạn không? Bạn có muốn trở thành nạn nhân của các cuộc tấn công website không?
Nếu câu trả lời của bạn cho những câu hỏi này là “Không”, thì bạn cần chuyển website từ HTTP sang HTTPS. Để làm điều này, bạn cần cài đặt một chứng chỉ SSL.
Không hiển thị phiên bản WordPress của bạn
Một điều tôi không thích về WordPress là nó mặc định hiển thị phiên bản đang sử dụng. Điều này có thể gây rủi ro, vì nếu một website đang chạy phiên bản WordPress không an toàn, tin tặc có thể sử dụng thông tin này để thực hiện các cuộc tấn công mạng. Dưới đây là hướng dẫn đơn giản để ẩn phiên bản WordPress của bạn.
Cập nhật WordPress và Plugin
Nếu có một việc mà mọi quản trị viên website WordPress đều có thể và nên làm, thì đó là chạy phiên bản mới nhất của WordPress và các plugin của nó.
Các bản cập nhật đi kèm với các bản vá để sửa chữa những lỗ hổng trong các phiên bản cũ. Đó là lý do tại sao việc trì hoãn cập nhật không bao giờ là một ý tưởng hay. Nếu có thể, hãy bật tính năng cập nhật tự động.
Xóa tên người dùng ‘admin’ và sử dụng mật khẩu mạnh
Tấn công brute-force (tấn công dò mật khẩu) là một trong những công cụ được sử dụng phổ biến nhất trong bộ công cụ của tin tặc. Hiểu đơn giản, tấn công brute-force là một trò chơi đoán mò, trong đó tin tặc thử mọi loại kết hợp để cố gắng tìm ra thông tin đăng nhập đúng.
Như bạn biết, WordPress mặc định gán tên người dùng là ‘admin’. Điều này giúp tin tặc hoàn thành nửa công việc nếu bạn vẫn giữ ‘admin’ làm tên người dùng.
Vì vậy, rất khuyến khích bạn xóa tên người dùng này và thay thế bằng một cái gì đó khó đoán hơn. Và tất nhiên, bạn cần kết hợp với một mật khẩu mạnh chứa chữ cái, số và ký tự đặc biệt.
Bảo vệ tệp wp-config.php
Tệp wp-config.php là một trong những tệp quan trọng nhất đối với website WordPress của bạn. Lý do là vì tệp này chứa thông tin nhạy cảm về cài đặt của website.
Việc bảo vệ tệp này là cực kỳ quan trọng. Để làm điều đó, bạn cần thêm đoạn mã sau vào tệp .htaccess:
<Files wp-config.php> order allow,deny deny from all </Files>
Sử dụng xác thực hai yếu tố (2FA)
Điều tốt nhất bạn có thể làm để bảo mật trang đăng nhập của mình là triển khai xác thực hai yếu tố (2FA). Sau khi áp dụng, khả năng một bên thứ ba không được ủy quyền có thể xâm nhập vào trang đăng nhập của bạn gần như bằng không.
Đó là lý do tại sao nhiều tên tuổi lớn như Google, Apple, Dropbox, v.v., đã kích hoạt 2FA trên các nền tảng của họ. Đây là một giải pháp đơn giản nhưng vô cùng hiệu quả giúp củng cố cổng bảo mật website WordPress của bạn.
Cài đặt plugin bảo mật website tốt
Một plugin bảo mật đối với website WordPress giống như phần mềm antivirus đối với máy tính. Các plugin này sẽ quét website của bạn và cung cấp các báo cáo bảo mật cơ bản.
Tuy nhiên, bạn cần nghiên cứu kỹ khi chọn plugin phù hợp vì có hàng nghìn plugin bảo mật khác nhau. Nếu có thể, hãy chọn một plugin quét phần mềm độc hại hoặc lỗ hổng bảo mật; chúng đã chứng minh được tính hiệu quả rất cao.
Tôi đề nghị plugin Wordfence Security, một plugin bảo mật mạnh mẽ cho WordPress, cung cấp nhiều tính năng bảo vệ như tường lửa (firewall), quét phần mềm độc hại (malware), và bảo vệ đăng nhập.
Định nghĩa vai trò người dùng
Nếu bạn có một website với nhiều quản trị viên, bạn phải định nghĩa rõ những gì một quản trị viên có thể và không thể làm. Bất kỳ sai sót nào nhỏ nhất của người dùng cũng có thể gây ra hậu quả nghiêm trọng.
Ví dụ, một người nào đó có thể vô tình cài đặt một plugin không an toàn. Những sai lầm như vậy có thể gây ra thảm họa đối với bảo mật website.
Đó là lý do tại sao bạn không nên cho phép mọi người quyền làm mọi thứ. Hãy định nghĩa rõ vai trò người dùng và cấp quyền cho họ một cách hợp lý.
Sao lưu định kỳ
Hãy làm rõ một điều; không ai thích sao lưu — dù là tin nhắn hay dữ liệu website. Nhưng có một điều nữa mà không ai thích, đó là mất đi dữ liệu quan trọng của website.
Vì vậy, như một người có lý trí, bạn nên vượt qua sự ghét bỏ sao lưu để không phải tiếc nuối khi mất dữ liệu quan trọng.
Sử dụng Whitelist IP
Nếu bạn muốn cấp quyền truy cập cho một số người cụ thể, bạn có thể sử dụng danh sách trắng IP (IP Whitelist). Danh sách trắng IP cho phép bạn chấp thuận những người dùng đáng tin cậy để không ai không được phép có thể truy cập vào website. Việc thực hiện Whitelist IP trên trang đăng nhập là một ý tưởng đáng cân nhắc.
Xóa các plugin và theme đã lỗi thời
Chúng ta đều yêu thích các plugin của WordPress, và nếu bạn giống tôi, có thể bạn đã cài đặt rất nhiều plugin trên website của mình. Tuy nhiên, mặc dù plugin rất hữu ích, nhưng chúng cũng thường đóng vai trò là cổng vào cho các vấn đề bảo mật website.
Tôi khuyên bạn nên thực hiện một cuộc kiểm tra nhanh tất cả các plugin và theme của mình và loại bỏ những cái mà bạn không còn sử dụng nữa.
Trong quá trình kiểm tra, hãy kiểm tra ngày cập nhật cuối cùng của plugin hoặc theme. Nếu đã lâu rồi không cập nhật, đã đến lúc bạn nên loại bỏ nó (dù bạn không thích điều đó).
Lời kết
Bảo mật website không phải là vấn đề thực hiện vài bước để giữ cho website của bạn an toàn trong nhiều năm. Không phải như vậy vì dù bạn làm nhiều đến đâu, nó vẫn không đủ.
Bảo mật website đòi hỏi sự nỗ lực và chú ý liên tục từ phía bạn. Vì vậy, đừng ngồi yên nghĩ rằng chỉ cần thực hiện 11 bước này sẽ giúp website của bạn an toàn, điều đó sẽ không xảy ra.
Tuy nhiên, bạn cần bắt đầu từ đâu đó, và danh sách kiểm tra 11 điểm này chính là cách hoàn hảo để làm điều đó.
