Bạn có thể đã biết các biện pháp bảo mật rõ ràng để bảo vệ trang web WordPress của mình.

Có thể bạn biết bạn phải làm cho mật khẩu của trang web của bạn “mạnh” (kết hợp các ký tự đặc biệt, chữ in hoa, chữ thường và số). Bạn không nên sử dụng "admin" làm tên người dùng và bạn nên thay đổi mật khẩu thường xuyên. Bạn có thể đã sử dụng xác thực hai yếu tố trên trang web WordPress của bạn và sao lưu trang web của bạn. Và bạn không bao giờ tải xuống các plugin cao cấp miễn phí hoặc từ các nguồn không xác định. Vậy còn gì nữa?

Ở đây chúng ta sẽ thảo luận thêm một số mẹo bảo mật WordPress bằng cách sử dụng các phương thức ít được biết đến nhưng hiệu quả sâu sắc mà bạn có thể, và nên sử dụng để bảo vệ trang WordPress của bạn.

1. Đổi tên hoặc di chuyển trang đăng nhập của bạn

Trang đăng nhập mặc định cho trang web của bạn là “www.websitename.com/wp-login.php” (hoặc “www.websitename.com/wp-admin”). Một trong những cách để bảo vệ trang web của bạn là ẩn hoặc che khuất trang đăng nhập để tin tặc không thể dễ dàng tìm thấy nó. Kiểm soát quyền truy cập đăng nhập của bạn bằng cách giới hạn số lần dùng thử đăng nhập mỗi lần và khoảng thời gian giữa các lần dùng thử đăng nhập cũng sẽ cải thiện tính bảo mật.

Nếu bạn đã cài đặt Jetpack, bạn có thể kích hoạt mô-đun “Brute Force Protection” của nó. Khi mô-đun này được kích hoạt, Jetpack sẽ cập nhật Dashboad với số lần đăng nhập độc hại vào trang web của bạn. Bạn cũng có tùy chọn danh sách trắng một số địa chỉ IP. Từ Jetpack, hãy chuyển đến “Cài đặt” và sau đó là “Bảo vệ”, tiếp theo là “Định cấu hình” và bạn sẽ thấy hình ảnh trông giống như hình bên dưới.

Cerber Security và Limit Login Attempt là một plugin thay thế cho Jetpack. Nếu bạn không muốn sử dụng Jetpack, giới hạn đăng nhập là một tùy chọn. Tính đến ngày viết, plugin đã được cài đặt trên 40.000 lần và duy trì danh tiếng gần như nguyên sơ khi 108 trong tổng số 111 người dùng xếp hạng 5 sao.

Hạn chế đăng nhập là khá dễ sử dụng, nhưng cấu hình của nó "cứng" phần cải thiện bảo mật trang web của bạn. Tất cả quyền truy cập vào máy chủ XML-RPC, bao gồm cả trackback và pingback, đều bị chặn theo mặc định. Nếu vì bất kỳ lý do gì bạn muốn truy cập vào API còn lại của WordPress (ví dụ, ứng dụng Android hoặc iOS của blog của bạn cần), thì hãy để API còn lại của WP & XML-RPC có thể truy cập được.

2. Lưu trữ ở nơi an toàn

Kể từ khi một con số khổng lồ bốn mươi mốt phần trăm vi phạm an ninh của trang web WordPress có nguồn gốc từ kết thúc của máy chủ và không phải là trang web riêng của mình, nó là commonsense để đảm bảo rằng máy chủ lưu trữ của bạn là an toàn. Trong thực tế, lưu trữ mang trọng lượng nhất khi nói đến an ninh. Chỉ có tám phần trăm của hack xảy ra do mật khẩu yếu, hai mươi chín phần trăm do chủ đề, và hai mươi hai phần trăm do bổ sung. Vì vậy, khoảng một nửa sự an toàn của trang web của bạn phụ thuộc vào lưu trữ.

Đảm bảo tài khoản của bạn bao gồm cách ly tài khoản nếu bạn sử dụng tính năng chia sẻ lưu trữ. Tài khoản của bạn sẽ được bảo vệ khỏi bất kỳ điều gì xảy ra trên trang web của người khác. Tuy nhiên, tốt nhất bạn nên sử dụng một dịch vụ được thiết kế dành cho người dùng WordPress. Các dịch vụ như vậy sẽ bao gồm tường lửa WordPress, bảo vệ chống phần mềm độc hại zero-day, cập nhật MySQL và PHP, các máy chủ WordPress chuyên dụng và dịch vụ khách hàng có hiểu biết về WordPress. Các máy chủ như WP Engine, Siteground và Pagely có hồ sơ theo dõi an toàn mạnh mẽ.

3. Luôn cập nhật và chỉ sử dụng phần mềm cập nhật

Bạn biết rằng bạn phải sử dụng tính năng chống vi-rút được cập nhật và bảo vệ chống phần mềm độc hại có liên quan khác cho máy tính của mình. Đề phòng này cũng đi cho các plugin và chủ đề. Giữ cho chúng được cập nhật và nếu bạn có bất kỳ chủ đề hoặc plugin nào trong kho lưu trữ không được sử dụng, hãy xóa chúng. Nếu nó phù hợp với trang web của bạn, hãy xem xét cài đặt các plugin và chủ đề của bạn để cập nhật tự động. Để thiết lập cập nhật tự động, hãy đặt một số mã vào tệp wp-config.php của bạn . Sau đây là mã cho các plugin:

 add_filter ('auto_update_plugin', '__return_true');

Và đối với các chủ đề, hãy sử dụng mã này:

 add_filter ('auto_update_theme', '__return_true');

Nếu bạn muốn một phương pháp tiếp cận để bảo trì trang web, bạn có thể xem xét tự động cập nhật WordPress. Tuy nhiên, lưu ý rằng việc thiết lập tự động cập nhật có thể làm hỏng trang web của bạn, đặc biệt nếu plugin không tương thích với bản cập nhật WordPress mới nhất chạy trên trang web của bạn. Để thiết lập bản cập nhật tự động cho trang WordPress của bạn, hãy chèn mã dưới đây vào tệp wp-config.php của bạn:

 # Cho phép tất cả các bản cập nhật cốt lõi, bao gồm cả nhỏ và lớn: define ('WP_AUTO_UPDATE_CORE', true);

4. Hủy bỏ trình soạn thảo chủ đề plugin và báo cáo lỗi PHP

Tắt trình chỉnh sửa tích hợp sẵn của bạn cho các plugin và chủ đề nếu bạn không thường xuyên chỉnh sửa và thay đổi cài đặt (hoặc chạy bất kỳ bảo trì nào khác trên các plugin và chủ đề của bạn). Điều này là để bảo mật cho trang web của bạn.

Người dùng WordPress được ủy quyền có quyền truy cập vào trình chỉnh sửa này, làm cho trang web của bạn dễ bị xâm phạm bảo mật nếu tài khoản của họ bị tấn công. Trên thực tế, tin tặc có thể gỡ bỏ trang web của bạn bằng cách sửa đổi mã trong trình chỉnh sửa đó. Để vô hiệu hóa trình soạn thảo, hãy chèn mã bên dưới vào tệp wp-config.php của bạn:

 xác định ('DISALLOW_FILE_EDIT', đúng);

Báo cáo lỗi là tốt. Nó giúp bạn khắc phục sự cố. Vấn đề duy nhất (và đó là một vấn đề lớn) là các thông báo lỗi cũng mang theo chúng đường dẫn máy chủ của bạn. Tin tặc có thể xem xét đường dẫn máy chủ của bạn và dễ dàng hiểu rõ cấu trúc trang web của bạn. Mặc dù báo cáo lỗi PHP là tốt, nhưng nó hoàn toàn bị vô hiệu hóa. Sử dụng đoạn mã dưới đây cho tệp wp-config.php của bạn:

 error_reporting (0); @ini_set ('display_errors', 0);

5. Sử dụng .htaccess để bảo vệ các tập tin có mục đích đặc biệt

Các tập tin .htaccess là quan trọng bởi vì nó là trái tim của trang web WordPress của bạn. Tệp này chịu trách nhiệm về cấu trúc và bảo mật permalinks của trang web của bạn. Bên ngoài #BEGIN WordPress#END WordPress thẻ #END WordPress, không có giới hạn về số đoạn mã mà bạn có thể thêm vào tệp .htaccess của mình để thay đổi mức độ hiển thị của các tệp bên trong thư mục trang web của bạn.

Nếu bạn chưa làm như vậy, hãy ẩn tệp wp-config.php trên trang web của bạn. Tệp đó là quan trọng đối với các hoạt động của trang web của bạn và chứa thông tin cá nhân của bạn cũng như các chi tiết quan trọng khác có liên quan đến trang web của bạn. Bạn có thể sử dụng đoạn mã dưới đây để ẩn nó.

 để cho phép, từ chối từ chối tất cả

Để hạn chế quyền truy cập quản trị, chỉ cần tạo một tệp .htaccess mới và tải nó lên thư mục “wp-admin” của bạn. Sau đó, chèn mã này:

 từ chối đơn hàng, cho phép từ 192.168.5.1 từ chối tất cả

Nhập địa chỉ IP của bạn vào đúng vị trí. Để cho phép truy cập vào wp-admin của bạn từ nhiều địa chỉ IP, hãy liệt kê các địa chỉ IP đó, mỗi địa chỉ trên một dòng riêng biệt, như được allow from IP Address . Bạn có thể hạn chế quyền truy cập vào tệp wp-login.php của bạn trong cùng một cách. Chỉ cần thêm đoạn mã này vào .htaccess của bạn:

 từ chối đơn hàng, cho phép Từ chối từ tất cả # cho phép truy cập từ địa chỉ IP của tôi cho phép từ 192.168.5.1

Nếu bạn không muốn chặn tất cả các địa chỉ IP, chỉ các địa chỉ IP cụ thể muốn truy cập vào wp-admin của bạn hoặc wp-login.php, bạn có thể chặn các địa chỉ IP riêng lẻ bằng cách sử dụng mã này:

 cho phép, từ chối từ 456.123.8.9 cho phép từ tất cả

Bạn cũng có thể chặn mọi người xem thư mục trang web của bạn bằng cách làm cho nó không thể duyệt được. Bạn có thể sử dụng đoạn mã này để làm điều đó:

 Tùy chọn All-Indexes

Phần kết luận

Đây là một hướng dẫn có thể thực hiện để giúp bạn cải thiện bảo mật trang web WordPress của mình. Điều quan trọng nhất trong các tùy chọn này là một tùy chọn khá đơn giản để thực hiện ngay bây giờ - hãy tìm một máy chủ có danh tiếng nguyên sơ về bảo mật vì một nửa số bảo mật của trang web của bạn nằm trên máy chủ của bạn.

Mẹo bảo mật nào hữu ích nhất cho bạn và tại sao? Bạn có bất kỳ mẹo bảo mật nào khác không được liệt kê ở đây không? Đề cập đến nó (hoặc họ) trong các ý kiến.