Nếu bạn đang chạy một blog hoặc trang web nhỏ cho doanh nghiệp nhỏ của mình, bạn có thể nghĩ rằng trang web của bạn sẽ không bị nhắm mục tiêu bởi tin tặc và bạn không phải thực hiện các biện pháp để bảo mật trang web của mình. Điều xấu là hầu hết các cuộc tấn công trực tuyến là các botnet tự động, và họ không thực sự quan tâm nếu bạn đang điều hành một doanh nghiệp nhỏ hay lớn.

Trong bài viết này, chúng tôi sẽ giới thiệu cho bạn một số biện pháp bảo mật mà bạn có thể thực hiện để bảo mật trang đăng nhập WordPress của mình.

1. Tích hợp xác thực hai yếu tố

Xác thực hai bước hoặc hai yếu tố hiện đã trở thành một bước không thể tránh khỏi để đảm bảo bất kỳ tài khoản trực tuyến nào. Người dùng chủ yếu sử dụng lớp bảo mật này cho các tài khoản trực tuyến quan trọng nhất của họ. Đó là thời gian bạn kích hoạt nó cho trang web WordPress của bạn.

Plugin mà chúng tôi đề xuất là Google Authenticator vì nó được cập nhật thường xuyên và dễ cài đặt. Trước khi bắt đầu, hãy đảm bảo bạn tải xuống Ứng dụng Authenticator trên thiết bị di động của mình. Ứng dụng này có sẵn trên Android, iOS và Blackberry.

1. Cài đặt plugin Google Authenticator và kích hoạt nó.

2. Chuyển đến “Người dùng -> Tiểu sử của bạn” và cuộn xuống Cài đặt Google Authenticator.

3. Nhấp vào hộp bên cạnh "Hoạt động" và thêm mô tả nhỏ vào trường Mô tả. Mô tả sẽ giúp bạn xác định trang web của mình trên ứng dụng dành cho thiết bị di động nếu bạn đã thiết lập nhiều mã.

4. Nhấp vào nút “Quét QR” để hiển thị mẫu. Mở ứng dụng dành cho thiết bị di động và quét mẫu QR này. Điều này sẽ tạo ra một mã gồm sáu chữ số mà bạn có thể thêm vào trong lần đăng nhập của mình.

Mã này thay đổi sau mỗi mười giây, vì vậy bạn phải thêm mã trong khoảng thời gian đó. Bất cứ khi nào bạn đăng nhập vào trang web WordPress của mình, hãy mở ứng dụng Authenticator trên thiết bị của bạn. Hãy nhớ rằng bạn chỉ có mười giây để nhập mã và nhấn nút Đăng nhập.

2. Sử dụng các Plugin bảo mật

Có rất nhiều plugin bảo mật, nhưng danh sách bên dưới chứa các plugin có ý nghĩa bảo vệ Trang Đăng nhập.

  • WPS Hide Login: trang WordPress mặc định là “wp-login.php.” Với plugin này, bạn có thể thay đổi trang đăng nhập thành URL tùy chỉnh mà bạn chọn.
  • Những nỗ lực đăng nhập giới hạn WP: Plugin này hoạt động như một phòng thủ chống lại các cuộc tấn công bạo lực. Nó cho phép bạn đặt số lần đăng nhập cho người dùng. Nếu người dùng không đăng nhập được trong số lần thử nhất định thì IP của người dùng sẽ tạm thời bị chặn khỏi trang web. Ngoài ra, nó cũng cho biết thêm một xác minh captcha để loại bỏ các bot.
  • Trình đăng nhập: Đây là plugin tất cả-trong-một để bảo vệ trang đăng nhập của bạn khỏi bạo lực và các cuộc tấn công khác. Nó có hai yếu tố Auth, reCAPTCHA, PasswordLess Đăng nhập và nhiều tính năng bảo mật khác đặc biệt cho đăng nhập.

3. Chỉ cho phép một địa chỉ IP nhất định truy cập trang đăng nhập

Nếu chỉ có một vài người dùng cho trang web của bạn, bạn có thể thêm danh sách trắng các địa chỉ IP có thể truy cập trang đăng nhập. Để làm như vậy, bạn chỉ cần tạo một tập tin ".htaccess" trong thư mục "wp-admin" của bạn (sử dụng cPanel của máy chủ web của bạn).

Thêm mã sau vào tệp ".htaccess" mới được tạo:

 AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "Kiểm soát truy cập quản trị WordPress" AuthType Basic  từ chối đơn đặt hàng, cho phép từ chối tất cả địa chỉ IP của # Ab cho phép từ xx.xx.xx.xxx # Địa chỉ IP của Ketul cho phép từ xx.xx.xx.xxx # Địa chỉ IP của John cho phép từ xx.xx.xx.xxx

Chỉ cần thay đổi “xx” bằng địa chỉ IP mà bạn muốn đưa vào danh sách trắng. Ngoài ra, bạn có thể thêm nhận xét ở trên để chỉ định người dùng. Điều này sẽ chỉ cho phép các địa chỉ IP được đề cập truy cập trang “wp-admin”. Nó sẽ hiển thị lỗi 403 nếu được truy cập từ một địa chỉ IP khác. Bằng cách này, bạn có thể giới hạn quyền truy cập vào trang đăng nhập của bạn và tăng cường bảo mật trang web của bạn.

4. Chuyển sang HTTPS

Nếu bạn thực sự quan tâm đến bảo mật của trang web hoặc blog WordPress của mình, thì HTTPS là giao thức bạn chắc chắn nên nâng cấp lên. HTTPS về cơ bản mã hóa kết nối giữa trình duyệt web của bạn và máy chủ web, khiến cho kẻ tấn công khó có thể giả mạo dữ liệu đang được chuyển. Nó có thể bảo vệ bạn khỏi một tập lệnh độc hại ẩn trên thiết bị máy tính của bạn, một tập lệnh có thể lấy cắp dữ liệu từ các biểu mẫu đăng nhập và các trường nhập khác.

Ngoài bảo mật, bạn cũng có được lợi thế so với các trang web không phải HTTPS khác trên kết quả tìm kiếm của Google. Hơn nữa, các chứng chỉ SSL cần thiết cho một kết nối HTTPS đã trở nên rẻ hơn nhiều so với trước đây.

Phần kết luận

Bảo vệ trang đăng nhập WordPress của bạn là bước đầu tiên để đảm bảo trang web của bạn được bảo mật. Với các bước được đề cập ở trên, bạn sẽ có một trang đăng nhập mạnh mẽ có thể chịu được một cuộc tấn công bạo lực và hầu hết các hack trên mạng.