Cải thiện bảo mật WordPress của bạn với danh sách kiểm tra này + Tải xuống
WordPress đang trở thành một trong những CMS phổ biến hơn cho các trang web mới. Không chỉ dễ sử dụng, nó còn đi kèm với nhiều plugin và chủ đề để bạn lựa chọn, làm cho nó cực kỳ tùy biến. Tuy nhiên, giống như tất cả các nền tảng phổ biến khác, nó cũng dễ bị hack hơn. Đối với những người không chắc chắn làm thế nào để tăng cường bảo mật WordPress của bạn, đây là một danh sách kiểm tra cho bạn để làm theo để giữ cho trang web của bạn an toàn.
1. Bảo mật thông tin đăng nhập
Cách tốt nhất để chặn tin tặc là ngăn họ đăng nhập vào trang web của bạn. Bạn có thể sử dụng plugin lockdown như Simple Login Lockdown có thể giới hạn số lần đăng nhập từ một dải IP trong một khoảng thời gian nhất định. Nó sẽ giúp ngăn chặn tin tặc tấn công bạo lực. Bạn cũng có thể thêm xác thực hai yếu tố, yêu cầu bạn nhập mã bổ sung để đăng nhập. Đối với những người không thoải mái với tên người dùng, bạn có thể đăng nhập bằng địa chỉ email của mình, điều này có thể khó đoán hơn đối với tin tặc.
Để có biện pháp khắc nghiệt hơn, hãy đổi tên tệp “wp-login.php” thành một thứ khác (chẳng hạn như “log-in.php”) để hacker không biết URL đăng nhập chính xác. Bạn có thể thay đổi điều này thông qua một máy khách FTP.
2. Xóa liên kết đăng nhập khỏi chủ đề.
Một số chủ đề WordPress có liên kết đăng nhập trong các chủ đề để cho phép truy cập dễ dàng vào trang đăng nhập. Không cần phải quảng cáo trang đăng nhập của bạn và mời mọi người, đặc biệt là tin tặc, truy cập vào nó. Bạn xóa liên kết đăng nhập khỏi chủ đề hoặc nếu bạn không thể xóa liên kết đó, hãy đổi sang chủ đề khác.
3. Thêm xác thực mật khẩu vào thư mục wp-admin.
Đây là điều mà nhiều trang web phổ biến hơn làm. Thêm một bảo vệ mật khẩu vào thư mục "wp-admin". Bất kỳ ai truy cập thư mục này sẽ phải nhập đúng tên người dùng và mật khẩu (ngoài thông tin đăng nhập của người dùng).
Cách dễ nhất để thêm xác thực mật khẩu là thông qua CPanel. Đăng nhập vào CPanel của bạn và chọn tùy chọn “Password Protect Directories”.
4. Không sử dụng các chủ đề từ các nguồn có vấn đề.
Có rất nhiều chủ đề thực sự tuyệt vời và thú vị ở đó và chúng có thể truy cập được từ một tìm kiếm đơn giản của Google. Vấn đề là, không phải tất cả các chủ đề đều an toàn để sử dụng và một số chủ đề không được mã hóa chính xác.
Để tìm một chủ đề có uy tín:
1. Tìm kiếm từ kho lưu trữ chủ đề WordPress. Tất cả các chủ đề được liệt kê trong kho lưu trữ được xem xét kỹ lưỡng bởi nhóm WordPress, vì vậy chúng sẽ an toàn để sử dụng.
2. Tìm kiếm thông qua một thị trường có uy tín như ThemeForest.
3. Mua các chủ đề cao cấp như Genesis, Catalyst, vv Những chủ đề này được các nhà phát triển hỗ trợ tốt và có một cộng đồng tuyệt vời để giúp bạn.
5. Cập nhật WordPress, chủ đề và bổ sung cho các phiên bản mới nhất.
Nhóm WordPress và các nhà phát triển plugin làm việc chăm chỉ để làm cho WordPress và plugin của họ an toàn, nhưng bạn có thể gặt hái kết quả của công việc khó khăn của họ chỉ khi bạn liên tục nâng cấp chúng lên phiên bản mới nhất. Nếu bạn đang sử dụng một phiên bản cũ hơn của WordPress hoặc một plugin hoặc chủ đề, có thể có những lỗ hổng bảo mật đang chờ để được khai thác.
6. Thay đổi tiền tố bảng mặc định trong cơ sở dữ liệu WordPress.
WordPress sử dụng tiền tố được xác định trước cho cơ sở dữ liệu của bạn để nó có thể phân biệt chính nó với các cơ sở dữ liệu khác. Tiền tố mặc định là “wp_”. Tốt nhất là thay đổi nó thành tiền tố khác để tin tặc không thể hack cơ sở dữ liệu của bạn một cách dễ dàng.
Để cài đặt WP mới, bạn có thể thay đổi tiền tố bảng trong tệp "wp-config.php" (bạn phải thay đổi nó trước khi cài đặt WordPress).
Đối với người dùng WordPress hiện tại, bạn có thể làm theo các hướng dẫn được liệt kê ở đây để thay đổi tiền tố bảng của bạn.
7. Thay thế tài khoản quản trị viên mặc định
Nếu bạn đã sử dụng WordPress từ những ngày đầu, có thể tài khoản quản trị viên của bạn vẫn đang sử dụng tên người dùng “quản trị”. Một cách để bảo vệ chính bạn là tạo một tài khoản quản trị bổ sung bằng tên người dùng khác và xóa tài khoản "quản trị" mặc định này. Chỉ sử dụng tài khoản quản trị viên mới này cho công việc quản trị và không bao giờ đăng bất kỳ bài viết nào với tài khoản này (bạn có thể thiết lập một tài khoản Editor khác cho tài khoản đó). Nó là khó khăn hơn cho tin tặc để có được ahold của tên người dùng quản trị viên của bạn.
8. Triển khai SSL cho WordPress Admin.
Kết nối SSL hữu ích để ngăn người khác nghe trộm kết nối của bạn và truy cập dữ liệu bạn đang truyền qua mạng. Bạn có thể kết nối máy chủ web của bạn và yêu cầu họ triển khai SSL cho khu vực Quản trị viên WordPress của bạn.
9. Quét trang web của bạn thường xuyên để tìm vi-rút và phần mềm độc hại
Anti-virus cho WordPress chỉ là các plugin có thể quét trang web của bạn để tìm vi-rút và phần mềm độc hại. Các plugin như WordFence, Sucuri, Quét bảo mật WP, máy quét VIP và Trình quét khai thác đều là các plugin trình quét hữu ích.
10. Sử dụng mật khẩu mạnh
Quy tắc cũ tương tự áp dụng: chọn mật khẩu có chữ hoa và chữ thường, số và ký tự đặc biệt. Nó cũng không có gì để làm với một sinh nhật, kỷ niệm, địa chỉ, vv Nó cũng nên được thay đổi khá thường xuyên.
11. Thực hiện sao lưu thường xuyên của WordPress.
Đây là biện pháp phòng ngừa để nếu trang web của bạn bị tấn công và bị phá hủy, bạn vẫn có thể khôi phục nó từ bản sao lưu.
Một plugin sao lưu hữu ích là BackWPup cho phép bạn sao lưu trang web của mình vào các dịch vụ đám mây khác nhau.
12. Gỡ cài đặt và xóa các chủ đề và plugin không cần thiết
Nếu một thứ gì đó trở nên lỗi thời trên trang web của bạn, chẳng hạn như một chủ đề hoặc plugin, hãy đảm bảo bạn xóa nó ngay lập tức. Các plugin và chủ đề cũ không an toàn như các plugin và chủ đề mới hơn. Ngoài ra, hãy đảm bảo bạn không để lại bất kỳ tệp nào xung quanh có thể cung cấp thông tin thích hợp.
13. Kiểm tra máy chủ web của bạn.
Đây không phải là một phần của WordPress, nhưng máy chủ lưu trữ trang web của bạn vẫn có thể giúp bảo mật WordPress. Hãy chắc chắn rằng máy chủ web của bạn có giá trị muối của nó. Một số máy chủ web cung cấp kế hoạch lưu trữ giá rẻ vì một lý do, và bạn thường phải trả tiền cho nó thông qua các phương tiện khác (như mạng chậm, thời gian sửa chữa một trang web bị tấn công vv). Hãy chắc chắn rằng bạn đọc đánh giá và kiểm tra máy chủ web kỹ lưỡng (và chắc chắn rằng họ đang thực hiện tất cả các biện pháp an ninh cần thiết) trước khi cam kết tiền của bạn với nó.
Trên tất cả, hãy nhớ ba quy tắc được đề xuất bởi WordPress - hạn chế quyền truy cập, ngăn chặn và chuẩn bị và kiến thức . Nếu bạn tuân thủ các quy tắc cơ bản cũng như chạy qua danh sách kiểm tra này, những nỗ lực của bạn tại bảo mật WordPress và bảo vệ trang web của bạn khỏi tin tặc sẽ thành công.
Tải về
Chúng tôi đã biên soạn danh sách kiểm tra này thành một tệp PDF để bạn có thể dễ dàng lưu nó và truy cập nó. Tải về tại đây.
Bạn sử dụng những cách nào khác để bảo vệ trang web WordPress của mình?