An ninh WordPress là một chủ đề vô cùng quan trọng đối với mỗi chủ sở hữu trang web. Google đưa khoảng 10.000+ trang web vào danh sách đen hàng ngày vì phần mềm độc hại và khoảng 50.000 trang web vào danh sách đen hàng tuần vì lừa đảo.
Nếu bạn đang nghiêm túc với trang web của mình, thì bạn cần chú ý đến các phương pháp bảo mật tốt nhất của WordPress. Trong hướng dẫn này, chúng tôi sẽ chia sẻ tất cả các mẹo bảo mật WordPress hàng đầu để giúp bạn bảo vệ trang web của mình khỏi hack và phần mềm độc hại.
Trong khi phần mềm trung tâm của WordPress rất an toàn và nó được đánh giá thường xuyên bởi hàng trăm nhà phát triển, có rất nhiều việc có thể làm để giữ cho trang web của bạn an toàn.
Chúng tôi tin rằng bảo mật không chỉ là về loại bỏ rủi ro. Đó cũng là về giảm thiểu rủi ro. Là chủ sở hữu trang web, có rất nhiều điều bạn có thể làm để cải thiện bảo mật WordPress của mình (ngay cả khi bạn không thuộc về nhóm thạo công nghệ).
Chúng tôi có một số bước hành động mà bạn có thể thực hiện để bảo vệ trang web của mình khỏi các lỗ hổng bảo mật.
Tại sao bảo mật trang web quan trọng?
Một trang web WordPress bị hack có thể gây ra thiệt hại nghiêm trọng đến doanh thu và danh tiếng của doanh nghiệp của bạn. Hacker có thể lấy thông tin người dùng, mật khẩu, cài đặt phần mềm độc hại và thậm chí có thể phát tán phần mềm độc hại đến người dùng của bạn.
Xấu nhất là bạn có thể phải trả tiền chuộc cho hacker chỉ để lấy lại quyền truy cập vào trang web của mình.
Tháng 3 năm 2016, Google cho biết hơn 50 triệu người dùng trang web đã được cảnh báo về việc trang web mà họ đang truy cập có thể chứa phần mềm độc hại hoặc lấy cắp thông tin.
Ngoài ra, Google đưa khoảng 20.000 trang web vào danh sách đen hàng tuần vì có phần mềm độc hại và khoảng 50.000 trang web vì lừa đảo.
Nếu trang web của bạn là một doanh nghiệp, thì bạn cần chú ý đặc biệt đến bảo mật WordPress của mình.
Tương tự như cách chủ sở hữu doanh nghiệp chịu trách nhiệm bảo vệ tòa nhà cửa hàng vật lý của họ, như một chủ sở hữu doanh nghiệp trực tuyến, trách nhiệm của bạn là bảo vệ trang web doanh nghiệp của bạn.
Giữ phiên bản WordPress được cập nhật
WordPress là một phần mềm mã nguồn mở được bảo trì và cập nhật thường xuyên. Theo mặc định, WordPress tự động cài đặt các bản cập nhật nhỏ. Để cập nhật các phiên bản lớn, bạn cần khởi động cập nhật thủ công.
WordPress cũng đi kèm với hàng nghìn plugin và chủ đề mà bạn có thể cài đặt trên trang web của mình. Những plugin và chủ đề này được bảo trì bởi các nhà phát triển bên thứ ba thường xuyên phát hành các bản cập nhật.
Những cập nhật WordPress này rất quan trọng đối với tính bảo mật và ổn định của trang web WordPress của bạn. Bạn cần đảm bảo rằng trung tâm WordPress, plugin và chủ đề của bạn được cập nhật.
Mật khẩu mạnh và Quyền truy cập người dùng
Những nỗ lực hack WordPress phổ biến nhất sử dụng mật khẩu bị đánh cắp. Bạn có thể làm cho việc này khó khó khăn hơn bằng cách sử dụng mật khẩu mạnh mà độc đáo cho trang web của bạn. Không chỉ cho khu vực admin của WordPress mà còn cho các tài khoản FTP, cơ sở dữ liệu, tài khoản lưu trữ WordPress của bạn và địa chỉ email tùy chỉnh của bạn sử dụng tên miền của trang web của bạn.
Rất nhiều người mới không thích sử dụng mật khẩu mạnh vì chúng khó nhớ. Điều tốt là bạn không cần phải ghi nhớ mật khẩu nữa. Bạn có thể sử dụng trình quản lý mật khẩu.
Một cách khác để giảm thiểu rủi ro là không cho bất kỳ ai truy cập vào tài khoản quản trị WordPress của bạn trừ khi bạn thực sự cần thiết. Nếu bạn có một đội ngũ lớn hoặc các tác giả khách, hãy đảm bảo rằng bạn hiểu rõ về vai trò và khả năng người dùng trong WordPress trước khi thêm tài khoản người dùng mới và các tác giả vào trang web WordPress của bạn.
Vai trò của dịch vụ lưu trữ WordPress
Dịch vụ lưu trữ WordPress của bạn chơi vai trò quan trọng nhất trong bảo mật trang web WordPress của bạn. Một nhà cung cấp dịch vụ lưu trữ chia sẻ tốt như Hostinger, Bluehost hoặc Siteground đều thực hiện các biện pháp bảo vệ thêm để bảo vệ các máy chủ của họ khỏi các mối đe dọa phổ biến.
Đây là cách hoạt động của một công ty lưu trữ web tốt để bảo vệ website và dữ liệu của bạn.
- Họ liên tục giám sát mạng của họ để phát hiện hoạt động đáng ngờ.
- Tất cả các công ty lưu trữ tốt đều có các công cụ để ngăn chặn các cuộc tấn công DDOS quy mô lớn.
- Họ cập nhật phần mềm máy chủ, phiên bản php và phần cứng của họ để ngăn chặn các hacker khai thác lỗ hổng bảo mật đã biết trên phiên bản cũ hơn.
- Họ có kế hoạch phục hồi thảm họa và tai nạn sẵn sàng triển khai giúp bảo vệ dữ liệu của bạn trong trường hợp xảy ra tai nạn lớn.
Trên gói lưu trữ chia sẻ, bạn chia sẻ các tài nguyên máy chủ với nhiều khách hàng khác. Điều này tạo ra rủi ro lây nhiễm giữa các trang web, khi một kẻ tấn công có thể sử dụng một trang web láng giềng để tấn công trang web của bạn.
Sử dụng dịch vụ lưu trữ WordPress được quản lý cung cấp một nền tảng an toàn hơn cho trang web của bạn. Các công ty lưu trữ WordPress được quản lý cung cấp các bản sao lưu tự động, cập nhật WordPress tự động và các cấu hình bảo mật nâng cao hơn để bảo vệ trang web của bạn
Bảo mật WordPress theo bước dễ hiểu (Không cần mã hóa)
Chúng tôi biết rằng cải thiện bảo mật WordPress có thể là một suy nghĩ đáng sợ đối với người mới bắt đầu. Đặc biệt là nếu bạn không có kỹ năng công nghệ. Hãy đoán xem – bạn không đơn độc.
Chúng tôi đã giúp hàng ngàn người dùng WordPress cải thiện bảo mật WordPress của họ.
Chúng tôi sẽ chỉ cho bạn cách cải thiện bảo mật WordPress của bạn chỉ với vài lần nhấp chuột (không cần mã hóa).
Nếu bạn có thể trỏ và nhấp chuột, bạn có thể làm được điều này!
Cài đặt Giải pháp sao lưu WordPress
Việc sao lưu là phòng thủ đầu tiên của bạn trước bất kỳ cuộc tấn công WordPress nào. Hãy nhớ, không có gì là 100% an toàn. Nếu các trang web chính phủ có thể bị tấn công, thì trang web của bạn cũng có thể.
Các bản sao lưu cho phép bạn nhanh chóng khôi phục lại trang web WordPress của bạn trong trường hợp điều gì đó xảy ra tồi tệ.
Có nhiều plugin sao lưu WordPress miễn phí và trả tiền mà bạn có thể sử dụng. Điều quan trọng nhất mà bạn cần biết liên quan đến các bản sao lưu là bạn phải thường xuyên lưu trữ các bản sao lưu toàn bộ trang web ở một vị trí từ xa (không phải tài khoản lưu trữ của bạn).
Chúng tôi khuyên bạn nên lưu trữ nó trên dịch vụ đám mây như Amazon, Dropbox hoặc những đám mây riêng như Stash.
Tùy thuộc vào tần suất cập nhật trang web của bạn, cài đặt lý tưởng có thể là các bản sao lưu một lần mỗi ngày hoặc thời gian thực.
May mắn thay, điều này có thể được thực hiện dễ dàng bằng cách sử dụng các plugin như Duplicator, UpdraftPlus hoặc BlogVault. Chúng đều đáng tin cậy và quan trọng nhất là không cần mã hóa.
Plugin Bảo mật WordPress Tốt Nhất
Sau khi sao lưu, điều tiếp theo chúng ta cần làm là thiết lập một hệ thống giám sát và theo dõi giữ cho chúng ta được thông tin về tất cả mọi thứ xảy ra trên trang web của bạn.
Điều này bao gồm giám sát toàn vẹn file, số lần đăng nhập thất bại, quét phần mềm độc hại, v.v.
May mắn thay, điều này có thể được đảm nhiệm bằng plugin bảo mật WordPress miễn phí tốt nhất, Sucuri Scanner.
Bạn cần cài đặt và kích hoạt plugin Sucuri Security miễn phí. Để biết thêm chi tiết, vui lòng xem hướng dẫn từng bước của chúng tôi về cách cài đặt một plugin WordPress.
Sau khi kích hoạt, bạn cần đến menu Sucuri trong quản trị WordPress của bạn. Điều đầu tiên bạn sẽ được yêu cầu là Tạo khóa API miễn phí. Điều này cho phép đăng nhập kiểm tra, kiểm tra tính toàn vẹn, cảnh báo qua email và các tính năng quan trọng khác.
Điều tiếp theo, bạn cần làm là nhấp vào tab ‘Thăng cấp’ từ menu cài đặt. Điều hướng qua từng tùy chọn và nhấn vào nút “Thực hiện Thăng cấp”.
Những tùy chọn này giúp bạn khóa các khu vực chính mà hacker thường sử dụng trong các cuộc tấn công của họ. Tùy chọn thăng cấp duy nhất là Tường lửa Ứng dụng Web, là một nâng cấp trả phí chúng tôi sẽ giải thích ở bước tiếp theo, vì vậy bỏ qua nó lúc này.
Chúng tôi cũng đã đề cập đến nhiều tùy chọn “Thăng cấp” này sau trong bài viết này đối với những người muốn thực hiện nó mà không sử dụng plugin hoặc những tùy chọn đòi hỏi bước thêm như “ Thay đổi Tiền tố Cơ sở dữ liệu ”hoặc“ Thay đổi Tên đăng nhập Quản trị ”.
Sau giai đoạn làm cứng, các thiết lập plugin mặc định đủ tốt cho phần lớn các trang web và không cần thay đổi gì nhiều. Chúng tôi chỉ khuyên bạn nên tùy chỉnh phần “Thông báo qua Email” cho phù hợp với website của bạn.
Các cài đặt thông báo mặc định có thể làm rối hộp thư đến của bạn bằng những email gửi đến không cần thiết. Chúng tôi khuyên bạn nên cấu hình nhận thông báo cho các hoạt động chính như thay đổi các plugin, đăng ký người dùng mới, v.v. Bạn có thể cấu hình thông báo bằng cách chọn Sucuri Settings » Alerts.
Plugin bảo mật WordPress này rất mạnh mẽ, hãy xem qua tất cả các tab và thiết lập để hiểu rõ hơn về nó, chẳng hạn như quét phần mềm độc hại, nhật kí bảo mật, theo dõi các lần đăng nhập thất bại, v.v.
Bật Tường lửa Ứng dụng Web (WAF)
Cách đơn giản nhất để bảo vệ trang web của bạn và cảm thấy yên tâm về WordPress security là sử dụng tường lửa ứng dụng web (WAF).
Một tường lửa trang web sẽ chặn tất cả các lưu lượng độc hại trước khi nó đến trang web của bạn.
Tường lửa trang web mức DNS – Những tường lửa này định tuyến lưu lượng trang web của bạn thông qua các máy chủ proxy đám mây. Điều này cho phép họ chỉ gửi lưu lượng đáng tin cậy đến máy chủ web của bạn.
Tường lửa Mức ứng dụng – Các plugin tường lửa này xem xét lưu lượng khi nó đến máy chủ của bạn nhưng trước khi tải các kịch bản WordPress hầu hết. Phương pháp này không hiệu quả bằng tường lửa mức DNS trong việc giảm tải máy chủ.
Chúng tôi sử dụng và khuyến nghị Sucuri là tường lửa ứng dụng web tốt nhất cho WordPress.
Phần tốt nhất về tường lửa Sucuri là nó cũng đi kèm với cam kết dọn dẹp phần mềm độc hại và loại bỏ danh sách đen. Nói cách khác, nếu trang web của bạn bị hack dưới sự giám sát của họ, họ đảm bảo sẽ sửa chữa trang web của bạn (dù cho bạn có bao nhiêu trang).
Đây là một cam kết khá mạnh mẽ vì việc sửa chữa các trang web đã bị hack là đắt đỏ. Các chuyên gia an ninh thường tính giá $ 250 mỗi giờ. Trong khi bạn có thể có toàn bộ bộ công cụ bảo mật Sucuri với giá $ 199 mỗi năm.
Sucuri không phải là nhà cung cấp tường lửa mức DNS duy nhất. Đối thủ phổ biến khác là Cloudflare.
Di chuyển trang web WordPress của bạn sang SSL/HTTPS
SSL (Secure Sockets Layer) là một giao thức mã hóa truyền dữ liệu giữa trang web của bạn và trình duyệt người dùng. Việc mã hóa này làm cho việc giám sát và đánh cắp thông tin trở nên khó khăn hơn.
Khi bật SSL, trang web của bạn sẽ sử dụng HTTPS thay vì HTTP, bạn cũng sẽ thấy biểu tượng khóa bên cạnh địa chỉ của trang web trong trình duyệt.
Chứng chỉ SSL thường được phát hành bởi các tổ chức chứng thực, và giá của chúng bắt đầu từ 80 đô la đến hàng trăm đô la mỗi năm. Do chi phí phát sinh, hầu hết chủ sở hữu trang web đã chọn giữ nguyên giao thức không an toàn.
Để khắc phục điều này, một tổ chức phi lợi nhuận mang tên Let’s Encrypt quyết định cung cấp Miễn phí Chứng chỉ SSL cho chủ sở hữu trang web. Dự án của họ được hỗ trợ bởi Google Chrome, Facebook, Mozilla và nhiều công ty khác.
Bây giờ, việc bắt đầu sử dụng SSL cho tất cả các trang web WordPress của bạn dễ dàng hơn bao giờ hết. Nhiều nhà cung cấp hosting hiện đang cung cấp chứng chỉ SSL miễn phí cho trang web WordPress của bạn.
Nếu nhà cung cấp hosting của bạn không cung cấp chứng chỉ SSL miễn phí, bạn có thể mua từ Domain.com. Họ có giao dịch SSL tốt nhất và đáng tin cậy nhất trên thị trường. Nó đi kèm với cam kết bảo mật 10.000 đô la và dấu ấn an ninh TrustLogo.
WordPress Security cho Người dùng DIY
Nếu bạn làm tất cả những gì chúng tôi đã đề cập cho đến nay thì bạn đã gần như hoàn tất rồi.
Nhưng như thường lệ, vẫn còn nhiều điều bạn có thể làm để làm cho WordPress security của bạn mạnh hơn.
Một số bước này có thể yêu cầu kiến thức về lập trình.
Thay đổi tên người dùng mặc định “admin”
Trong những ngày đầu tiên, tên người dùng quản trị WordPress mặc định là “admin”. Vì tên người dùng tạo thành một nửa của thông tin đăng nhập, điều này làm cho việc tấn công bằng phương pháp tấn công dò mật khẩu của hacker dễ dàng hơn.
May mắn thay, WordPress đã thay đổi và bây giờ yêu cầu bạn chọn một tên người dùng tùy chỉnh khi cài đặt WordPress.
Tuy nhiên, một số công cụ cài đặt WordPress chỉ với một cú nhấp chuột vẫn thiết lập tên người dùng admin mặc định là “admin”. Nếu bạn phát hiện như vậy, thì đó là một ý tưởng tốt để chuyển đổi dịch vụ lưu trữ web của mình.
Vì WordPress không cho phép bạn thay đổi tên người dùng theo mặc định, do đó có ba phương pháp bạn có thể sử dụng để thay đổi tên người dùng.
- Tạo tên người dùng quản trị mới và xóa tên cũ.
- Sử dụng plugin Đổi tên người dùng
- Cập nhật tên người dùng từ phpMyAdmin
Lưu ý: Chúng ta đang nói về tên người dùng được gọi là “admin”, không phải vai trò quản trị viên.
Tắt Chức năng Chỉnh sửa Tệp
WordPress đi kèm với một trình chỉnh sửa mã tích hợp cho phép bạn chỉnh sửa tệp chủ đề và plugin của mình ngay từ khu vực quản trị WordPress của bạn. Nếu bị xâm phạm, tính năng này có thể là một nguy cơ bảo mật, vì vậy chúng tôi khuyến nghị tắt nó.
Bạn có thể dễ dàng làm điều này bằng cách thêm mã sau trong tệp wp-config.php của bạn.
define( 'DISALLOW_FILE_EDIT' , true ); |
Hoặc bạn có thể làm điều này với một cú nhấp chuột sử dụng tính năng Hardening trong plugin Sucuri miễn phí mà chúng tôi đề cập ở trên.
Tắt Thực thi Tệp PHP trong Một số Thư mục WordPress
Một cách khác để tăng cường bảo mật WordPress của bạn là bằng cách tắt thực thi tệp PHP trong các thư mục không cần thiết như /wp-content/uploads/.
Bạn có thể làm điều này bằng cách mở trình chỉnh sửa văn bản như Notepad và dán mã này:
<Files *.php> deny from all </Files> Tiếp theo, bạn cần lưu tệp này dưới dạng.htaccess và tải lên thư mục /wp-content/uploads/ trên trang web của bạn bằng một FTP client.
Hoặc bạn có thể làm điều này với một cú nhấp chuột sử dụng tính năng Hardening trong plugin Sucuri miễn phí mà chúng tôi đề cập ở trên.
Hạn chế Số lần Đăng nhập
Theo mặc định, WordPress cho phép người dùng đăng nhập nhiều lần như họ muốn. Điều này khiến trang web WordPress của bạn trở nên dễ bị tấn công bằng kỹ thuật dò mật khẩu brute force. Hacker cố gắng crack mật khẩu bằng cách đăng nhập với các kết hợp khác nhau.
Dễ dàng khắc phục điều này bằng cách giới hạn số lần đăng nhập không thành công mà người dùng có thể thực hiện. Nếu bạn đang sử dụng tường lửa ứng dụng web đã đề cập trước đó, thì điều này được tự động giải quyết.
Tuy nhiên, nếu bạn không thiết lập tường lửa, hãy thực hiện các bước dưới đây.
Đầu tiên, bạn cần cài đặt và kích hoạt plugin Login LockDown.
Sau khi kích hoạt, truy cậpCài đặt » Đăng nhập LockDown để cài đặt plugin.
Thêm Xác thực Hai Yếu tố
Kỹ thuật xác thực hai yếu tố yêu cầu người dùng đăng nhập bằng cách sử dụng phương pháp xác thực hai bước. Bước đầu tiên là tên người dùng và mật khẩu, bước thứ hai yêu cầu bạn xác thực bằng cách sử dụng một thiết bị hoặc ứng dụng riêng biệt.
Hầu hết các trang web trực tuyến hàng đầu như Google, Facebook, Twitter, cho phép người dùng kích hoạt tính năng này cho các tài khoản của mình. Bạn cũng có thể thêm chức năng này vào trang web WordPress của mình.
Đầu tiên, bạn cần cài đặt và kích hoạt plugin Xác thực Hai Yếu tố. Sau khi kích hoạt, bạn cần nhấn vào liên kết ‘Two Factor Auth’ trong thanh bên trái của quản trị WordPress.
Tiếp theo, bạn cần cài đặt và mở ứng dụng xác thực trên điện thoại của mình. Có nhiều loại ứng dụng khác nhau như Google Authenticator, Authy, và LastPass Authenticator.
Chúng tôi khuyến nghị sử dụng LastPass Authenticator hoặc Authy vì cả hai đều cho phép bạn sao lưu tài khoản của mình lên đám mây. Điều này rất hữu ích trong trường hợp bạn bị mất điện thoại, thiết lập lại hoặc mua điện thoại mới. Tất cả các đăng nhập tài khoản của bạn sẽ được khôi phục dễ dàng.
Chúng ta sẽ sử dụng ứng dụng LastPass Authenticator cho hướng dẫn. Tuy nhiên, hướng dẫn tương tự cho tất cả các ứng dụng xác thực. Mở ứng dụng xác thực của bạn, sau đó nhấp vào nút Thêm.
Bạn sẽ được yêu cầu nếu bạn muốn quét thủ công một trang web hoặc quét mã vạch. Chọn tùy chọn quét mã vạch và sau đó chỉ điện thoại của bạn về phía mã QR được hiển thị trên trang cài đặt của plugin.
Chỉ cần như vậy, ứng dụng xác thực của bạn sẽ lưu nó. Lần tiếp theo bạn đăng nhập vào trang web của mình, bạn sẽ được yêu cầu nhập mã xác thực hai yếu tố sau khi bạn nhập mật khẩu của mình.
Chỉ cần mở ứng dụng xác thực trên điện thoại của bạn và nhập mã bạn thấy trên đó.
Thay đổi tiền tố của cơ sở dữ liệu WordPress
Theo mặc định, WordPress sử dụng wp_ làm tiền tố cho tất cả các bảng trong cơ sở dữ liệu WordPress của bạn. Nếu trang web của bạn đang sử dụng tiền tố cơ sở dữ liệu mặc định, thì điều này dễ dàng cho hacker để đoán tên bảng của bạn. Đây là lý do tại sao chúng tôi khuyến khích bạn nên thay đổi.
Lưu ý: Điều này có thể gây ra lỗi cho trang web của bạn nếu nó không làm đúng. Chỉ tiến hành nếu bạn cảm thấy thoải mái với kỹ năng lập trình của mình.
Chặn trang quản trị và trang đăng nhập WordPress bằng mật khẩu
Thường, hacker có thể yêu cầu thư mục wp-admin và trang đăng nhập của bạn mà không có bất kỳ hạn chế nào. Điều này cho phép họ thử các thủ thuật hacking của họ hoặc chạy các cuộc tấn công DDoS.
Bạn có thể thêm bảo vệ mật khẩu bổ sung ở mức độ máy chủ, điều này sẽ có hiệu quả chặn những yêu cầu đó.
Tắt chỉ mục và duyệt thư mục
Duyệt thư mục có thể được sử dụng bởi hacker để tìm hiểu xem bạn có bất kỳ tập tin nào với các lỗ hổng biết đến nào hay không, để họ có thể tận dụng những tập tin này để truy cập vào.
Duyệt thư mục cũng có thể được sử dụng bởi những người khác để xem vào các tập tin của bạn, sao chép hình ảnh, tìm hiểu cấu trúc thư mục của bạn và thông tin khác. Đây là lý do vì sao rất khuyến khích bạn nên tắt chỉ mục và duyệt thư mục.
Bạn cần kết nối với trang web của mình bằng FTP hoặc trình quản lý tập tin của cPanel. Kế tiếp, tìm tệp .htaccess trong thư mục gốc của trang web của bạn.
Sau đó, bạn cần thêm dòng sau vào cuối tệp .htaccess:
Options -Indexes
Đừng quên lưu và tải lên tệp .htaccess trở lại trang web của bạn.
Tắt XML-RPC trong WordPress
XML-RPC được kích hoạt theo mặc định trong WordPress 3.5 vì nó giúp kết nối trang web của bạn với các ứng dụng web và di động.
Vì tính năng mạnh mẽ của nó, XML-RPC có thể tăng cường đáng kể các cuộc tấn công dò mật khẩu.
Ví dụ, truyền thống nếu hacker muốn thử 500 mật khẩu khác nhau trên trang web của bạn, họ sẽ phải thực hiện 500 lần thử đăng nhập riêng biệt sẽ bị bắt và chặn bởi plugin khóa đăng nhập.
Nhưng với XML-RPC, hacker có thể sử dụng chức năng system.multicall để thử hàng nghìn mật khẩu với khoảng 20 hoặc 50 yêu cầu.
Vì vậy, nếu bạn không sử dụng XML-RPC, chúng tôi khuyên bạn nên tắt nó.
Mẹo: Bạn có thể sử dụng plugin này Tắt XML-RPC-API: https://wordpress.org/plugins/disable-xml-rpc-api/.
Nếu bạn đang sử dụng tường lửa ứng dụng web được đề cập ở trên, thì điều này có thể được giải quyết bởi tường lửa.
Tự động đăng xuất người dùng không hoạt động trong WordPress
Người dùng đã đăng nhập đôi khi có thể đi lạc khỏi màn hình, và điều này đặt một rủi ro an ninh. Ai đó có thể chiếm đoạt phiên của họ, thay đổi mật khẩu hoặc thay đổi cài đặt tài khoản của họ.
Vì vậy, nhiều trang web ngân hàng và tài chính tự động đăng xuất một người dùng không hoạt động. Bạn có thể triển khai chức năng tương tự trên trang web WordPress của bạn.
Bạn sẽ cần cài đặt và kích hoạt plugin Inactive Logout. Sau khi kích hoạt, truy cập trang Cài đặt » Inactive Logout để thiết lập các cài đặt plugin.
Đơn giản chỉ cần thiết lập thời gian chờ và thêm thông báo đăng xuất. Đừng quên nhấn nút lưu thay đổi để lưu cài đặt của bạn.
Thêm Câu Hỏi An Ninh vào Màn Hình Đăng Nhập WordPress
Thêm câu hỏi an ninh vào màn hình đăng nhập WordPress của bạn sẽ làm cho việc truy cập không được ủy quyền trở nên khó khăn hơn.
Bạn có thể thêm câu hỏi an ninh bằng cách cài đặt plugin WP Security Questions. Sau khi kích hoạt, bạn cần truy cập Cài đặt » Câu hỏi an ninh để thiết lập các cài đặt của plugin.
Quét Mã Độc và Những Lỗ Hổng trên WordPress
Nếu bạn đã cài đặt một plugin bảo mật WordPress, các plugin này sẽ thường xuyên kiểm tra mã độc và những dấu hiệu của việc xâm nhập bảo mật.
Tuy nhiên, nếu bạn thấy lưu lượng truy cập trang web hoặc thứ hạng tìm kiếm giảm đột ngột, bạn có thể muốn chạy một quét thủ công. Bạn có thể sử dụng plugin bảo mật WordPress của mình hoặc sử dụng một trong những công cụ quét mã độc và bảo mật này.
Công việc quét của các công cụ trực tuyến này rất đơn giản, bạn chỉ cần nhập URL trang web của mình và các trình thu thập dữ liệu của nó sẽ đi qua trang web của bạn để tìm kiếm các mã độc đã biết và các mã độc độc hại.
Hãy lưu ý rằng hầu hết các công cụ quét bảo mật của WordPress chỉ có thể quét trang web của bạn. Chúng không thể loại bỏ mã độc hoặc làm sạch trang web WordPress bị hack.
Điều này đưa chúng ta đến phần tiếp theo, làm sạch mã độc và trang web WordPress đã bị hack.
Sửa Lỗi Trang Web WordPress Bị Hack
Nhiều người dùng WordPress không nhận ra sự quan trọng của sao lưu và bảo mật trang web của họ cho đến khi trang web của họ bị hack.
Việc làm sạch một trang web WordPress có thể rất khó khăn và tốn thời gian. Lời khuyên đầu tiên của chúng tôi là để một chuyên gia chăm sóc nó.
Hacker cài các cửa sau trên các trang web bị ảnh hưởng, và nếu những cửa này không được sửa chữa đúng cách, thì trang web của bạn có thể bị hack lại.
Cho phép một công ty an ninh chuyên nghiệp như Sucuri sửa chữa trang web của bạn sẽ đảm bảo rằng trang web của bạn là an toàn để sử dụng trở lại. Điều này cũng sẽ bảo vệ bạn khỏi bất kỳ cuộc tấn công nào trong tương lai.
Lời Khuyên Thêm: Bảo Vệ Mạng Lưới và Chống Trộm Danh Tự
Với vai trò là chủ doanh nghiệp nhỏ, việc bảo vệ danh tính kỹ thuật số và tài chính rất quan trọng vì nếu không làm được như vậy có thể dẫn đến các tổn thất đáng kể. Hacker và tội phạm có thể sử dụng danh tính của bạn để đánh cắp tên miền trang web, hack tài khoản ngân hàng của bạn và thậm chí phạm tội mà bạn có thể chịu trách nhiệm.
Đã có 4,7 triệu trường hợp trộm danh tính và gian lận thẻ tín dụng được báo cáo đến Ủy ban Thương mại Liên bang (FTC) trong năm 2020.
Chính vì vậy, chúng tôi đề xuất sử dụng dịch vụ bảo vệ trộm danh tính như Aura (chúng tôi đang sử dụng Aura).
Họ cung cấp bảo vệ mạng wifi và thiết bị của bạn thông qua VPN miễn phí của họ (mạng riêng ảo) để bảo vệ kết nối internet của bạn với mã hóa cấp quân sự bất cứ nơi nào bạn đang ở đâu. Điều này rất tuyệt vời khi bạn đang đi du lịch hoặc kết nối vào trang quản trị WordPress của mình từ một nơi công cộng như Starbucks, để bạn có thể làm việc trực tuyến một cách an toàn và riêng tư.
Dịch vụ giám sát dark web của họ liên tục giám sát dark web bằng trí tuệ nhân tạo và cảnh báo bạn nếu mật khẩu, số an sinh xã hội và tài khoản ngân hàng của bạn đã bị xâm phạm.
Điều này cho phép bạn hành động nhanh hơn để bảo vệ danh tính kỹ thuật số của mình.
Vậy là tất cả, hy vọng bài viết này giúp bạn tìm hiểu các phương thức bảo mật WordPress hàng đầu cũng như tìm ra các plugin bảo mật WordPress tốt nhất cho trang web của bạn.
