Bảo mật WordPress: hướng dẫn toàn diện, từng bước (phần 1)

Bảo mật WordPress là một chủ đề có tầm quan trọng lớn đối với mọi chủ sở hữu trang web. Google đưa vào danh sách đen của họ tới hơn 10 ngàn trang web mỗi ngày vì phần mềm độc hại (malware) và khoảng 50 ngàn trang web lừa đảo (phishing) mỗi tuần.

Nếu bạn nghiêm túc về trang web của mình, thì bạn cần chú ý đến các phương pháp bảo mật tốt nhất cho WordPress. Trong hướng dẫn này, chúng tôi sẽ chia sẻ tất cả các mẹo bảo mật WordPress hàng đầu để giúp bạn bảo vệ trang web của mình khỏi tin tặc và phần mềm độc hại.


Mặc dù phần mềm lõi của WordPress rất an toàn và được hàng trăm nhà phát triển kiểm tra thường xuyên, nhưng có rất nhiều điều có thể được thực hiện để giữ an toàn hơn nữa cho trang web của bạn.

Tại WPBeginner, chúng tôi tin rằng bảo mật không chỉ là loại bỏ rủi ro. Nó cũng là giảm thiểu rủi ro nữa. Là chủ sở hữu trang web, bạn có thể làm rất nhiều điều để cải thiện bảo mật WordPress của mình (ngay cả khi bạn không hiểu biết nhiều về công nghệ).

Chúng tôi có một số bước có thể thực hiện mà bạn có thể làm để bảo vệ trang web của mình khỏi các lỗ hổng bảo mật (security vulnerabilities).

Sẵn sàng chưa ạ. Chúng ta bắt đầu nào.


Tại sao Bảo mật Trang web lại Quan trọng?

Trang WordPress bị tấn công có thể gây thiệt hại nghiêm trọng đến doanh thu và danh tiếng của bạn. Tin tặc có thể đánh cắp thông tin người dùng, mật khẩu, cài đặt phần mềm độc hại và thậm chí có thể phân phối phần mềm độc hại cho người dùng của bạn.

Tệ hơn nữa, bạn có thể cay đắng trả tiền cho tin tặc chỉ để lấy lại quyền truy cập vào trang web của chính bạn.

Vào tháng 3 năm 2016, Google đã báo cáo rằng có hơn 50 triệu người dùng trang web đã được cảnh báo về một trang web mà họ đang truy cập có thể chứa phần mềm độc hại hoặc ăn cắp thông tin.

Hơn nữa, Google đưa vào danh sách đen khoảng 20.000 trang web chứa phần mềm độc hại và khoảng 50.000 trang web lừa đảo mỗi tuần.

Nếu trang web của bạn đang kinh doanh, thì bạn cần phải chú ý thêm đến bảo mật WordPress của mình.

Tương tự như cách chủ sở hữu doanh nghiệp có trách nhiệm bảo vệ cửa hàng mặt đất, với tư cách là chủ sở hữu doanh nghiệp trực tuyến, bạn có trách nhiệm bảo vệ trang web doanh nghiệp của mình.


Cập nhật WordPress

WordPress là một phần mềm mã nguồn mở thường xuyên được bảo trì và cập nhật. Theo mặc định, WordPress tự động cài đặt các bản cập nhật nhỏ. Đối với các bản phát hành chính, bạn cần cập nhật theo cách thủ công.

WordPress cũng đi kèm với hàng nghìn plugin và giao diện (theme) mà bạn có thể cài đặt trên trang web. Các plugin và theme này được duy trì bởi các nhà phát triển bên thứ ba, họ cũng thường xuyên phát hành các bản cập nhật.

Các bản cập nhật WordPress này rất quan trọng đối với khả năng bảo mật và ổn định của trang WordPress. Bạn cần đảm bảo rằng lõi, plugin và theme WordPress của mình được cập nhật thường xuyên.


Mật khẩu mạnh và quyền người dùng

Các nỗ lực hack WordPress phổ biến nhất là đánh cắp mật khẩu. Bạn có thể cản trở điều đó bằng cách sử dụng mật khẩu mạnh dành riêng cho trang web của bạn. Không chỉ cho khu vực quản trị WordPress, mà còn cho tài khoản FTP, cơ sở dữ liệu, tài khoản lưu trữ WordPress và địa chỉ email tùy chỉnh (sử dụng tên miền của bạn).

Nhiều người mới bắt đầu không thích sử dụng mật khẩu mạnh vì chúng khó nhớ. Điều thú vị là bạn không cần phải nhớ mật khẩu nữa! Bạn có thể sử dụng trình quản lý mật khẩu.

Một cách khác để giảm rủi ro là không cấp cho bất kỳ ai quyền truy cập vào tài khoản quản trị viên WordPress của bạn trừ khi bạn bắt buộc phải làm vậy. Nếu bạn có một nhóm lớn hoặc tác giả khách mời, hãy đảm bảo rằng bạn hiểu vai trò và khả năng của người dùng trong WordPress trước khi bạn thêm tài khoản người dùng & tác giả mới vào trang web WordPress của mình.


Vai trò của hosting

Dịch vụ hosting cho trang WordPress của bạn đóng vai trò quan trọng nhất trong việc bảo mật website. Nhà cung cấp dịch vụ shared hosting tốt như Bluehost hoặc Siteground thực hiện các biện pháp bổ sung để bảo vệ máy chủ của họ trước các mối đe dọa phổ biến.

Dưới đây trình bày danh sách các giải pháp mà một công ty hosting tốt hoạt động ở chế độ nền nhằm bảo vệ các trang web và dữ liệu của bạn:

  • Họ liên tục theo dõi mạng của mình để tìm hoạt động đáng ngờ.
  • Tất cả các công ty lưu trữ tốt đều có sẵn các công cụ để ngăn chặn các cuộc tấn công DDoS quy mô trung bình hoăc thậm chí là lớn.
  • Họ luôn cập nhật phần mềm máy chủ, phiên bản php và phần cứng để ngăn chặn tin tặc khai thác lỗ hổng bảo mật đã biết trong phiên bản cũ.
  • Họ sẵn sàng triển khai các kế hoạch khôi phục thảm họa và rủi ro cho phép họ bảo vệ dữ liệu của bạn trong trường hợp xảy ra rắc rối lớn.

Trên gói shared hosting, bạn chia sẻ tài nguyên máy chủ với nhiều khách hàng khác. Điều này tạo ra nguy cơ lây nhiễm chéo trang web, khi tin tặc có thể sử dụng trang web lân cận để tấn công trang web của bạn.

Sử dụng dịch vụ lưu trữ WordPress được quản lý (managed WordPress hosting) đem lại cho bạn một nền tảng an toàn hơn cho website. Các công ty lưu trữ WordPress được quản lý cung cấp các bản sao lưu tự động, cập nhật WordPress tự động & các cấu hình bảo mật nâng cao hơn để bảo vệ trang website.

Chúng tôi đề xuất WPEngine là nhà cung cấp dịch vụ lưu trữ WordPress được quản lý ưa thích của mình. Bạn cũng có thể thử Liquid Web, một lựa chọn thay thế tốt cho WP Engine.

PS của homiHost: bạn có thể dùng Closte, họ có chất lượng rất cao mà giá lại thân thiện hơn WP Engine trong đa số trường hợp.


Bảo mật WordPress trong các bước đơn giản (không cần biết code)

Chúng tôi biết rằng cải thiện bảo mật WordPress có thể là một suy nghĩ đáng sợ đối với người mới lần đầu tìm hiểu. Đặc biệt khi bạn không rành về công nghệ. OK, nhưng không chỉ có mình bạn như vậy đâu.

Chúng tôi đã giúp hàng nghìn người dùng WordPress tăng cường bảo mật WordPress của họ.

Chúng tôi sẽ chỉ cho bạn cách bạn để có thể cải thiện bảo mật WordPress của mình với chỉ vài cú nhấp chuột (không cần biết code).

Nếu bạn có thể trỏ và nhấp, bạn có thể làm được điều này rồi!


Cài đặt giải pháp backup cho WordPress

Triển khai backup là cách bảo vệ đầu tiên của bạn trước bất kỳ cuộc tấn công nào vào trang WordPress. Chúng ta cần nhớ rằng: không có gì là an toàn 100% cả. Nếu các trang web của chính phủ có thể bị tấn công, thì trang web của bạn cũng thường thôi!

Bản backup cho phép bạn nhanh chóng khôi phục lại (restore) trang WordPress của mình trong trường hợp có điều gì đó tệ hại xảy ra.

Có rất nhiều plugin backup WordPress miễn phí & trả phí mà bạn có thể sử dụng. Điều quan trọng nhất bạn cần biết khi nói đến backup là bạn phải thường xuyên lưu các bản sao lưu đầy đủ (full-site, chứ không phải lũy tiến) tới máy chủ ở xa, tách biệt (không phải hosting bạn đang dùng).

Chúng tôi khuyên bạn nên lưu trữ nó trên dịch vụ đám mây kiểu như Amazon, Dropbox, Google Cloud hoặc các đám mây riêng như Stash.

Dựa trên tần suất bạn cập nhật trang web của mình, cài đặt lý tưởng có thể là một lần một ngày hoặc sao lưu theo thời gian thực.

Rất may, điều này có thể dễ dàng thực hiện bằng cách sử dụng các plugin như UpdraftPlus hoặc BlogVault. Chúng đều đáng tin cậy và quan trọng nhất là dễ sử dụng (bạn không cần biết viết code / mã).

Đọc tiếp phần 2.

(Được biên tập từ bài viết: The Ultimate WordPress Security Guide – Step by Step / 2021 của WP Beginner)

Leave a Comment