26 cách hiệu quả để bảo mật WordPress – Các cách để bảo mật một trang web WordPress

Là chủ sở hữu trang web WordPress, bạn phải biết cách bảo mật trang web của mình. Tìm hiểu cách làm như vậy trong hướng dẫn cuối cùng về bảo mật WordPress này.

Bạn đang xem : Cách Bảo mật Trang web WordPress

Khi nói đến bảo mật WordPress, người dùng thường rơi vào hai phe: người coi trọng bảo mật và học hỏi cách bảo mật trang web của họ và những người tin tưởng hoặc hy vọng sẽ không có gì xảy ra với họ vì họ không đủ quan trọng.

Thật không may, nhóm thứ hai thường sai. Hầu hết các vi phạm bảo mật không phải do cá nhân mà thay vào đó được thực hiện bởi các tập lệnh tự động vô hình, không quan tâm đến tầm quan trọng tương đối của trang web của bạn.

26 cách hiệu quả để bảo mật WordPress – Các cách để bảo mật một trang web WordPress

Do đó, bảo mật WordPress là vấn đề đối với tất cả mọi người. Để cung cấp cho trang web của bạn cơ hội tốt nhất để giữ an toàn và hoạt động tốt, trong phần sau, chúng tôi sẽ giới thiệu cho các bạn các mẹo hữu ích về cách bảo mật trang web WordPress của bạn. Hãy làm theo họ để tránh phải đối mặt với hậu quả của việc trang web của bạn bị xóa, bị tấn công hoặc bị gỡ xuống.

Tại sao nên đầu tư vào WordPress Các Vấn đề Bảo mật

WordPress là một trong những hệ thống quản lý nội dung phổ biến nhất hiện có và có lý do chính đáng. Nó rất đơn giản để sử dụng, có hàng ngàn chủ đề và plugin có sẵn cho nó và bạn có thể tạo bất kỳ loại trang web nào với nó. Không có gì ngạc nhiên khi WordPress cung cấp cho hơn 40% tất cả các trang web trên Internet .

Tuy nhiên, sự phổ biến của nó đi kèm với một Giá cả. WordPress thường là mục tiêu của tin tặc. Theo Sucuri , vào năm 2019, 94% tổng số yêu cầu dọn dẹp trang web đến từ chủ sở hữu các trang web WordPress, tăng 4% so với năm 2018. Ví dụ: trong Tháng 12 năm 2021, 1,6 triệu trang web WordPress đã bị tấn công bởi 13,7 triệu cuộc tấn công chỉ trong vòng 36 giờ.

Vậy thì WordPress có an toàn không?

Hình trên có thể cho thấy rằng WordPress không phải là một lựa chọn tốt để bắt đầu và vốn dĩ không an toàn. Tuy nhiên, điều đó khác xa sự thật.

Sản phẩm cốt lõi của WordPress rất an toàn và trên thực tế, được kiểm tra thường xuyên bởi nhóm bảo mật gồm các chuyên gia trong ngành . Tuy nhiên, không có gì được kết nối với Internet có thể an toàn 100% và có nhiều yếu tố xác định liệu một trang web có khả năng bị xâm phạm hay không. Phần lớn các nỗ lực hack thành công thực sự là do lỗi của con người, đây là điều mà chúng tôi hy vọng sẽ giảm bớt với bài đăng này.

Ngoài ra, như đã đề cập, chỉ với quy mô cơ sở người dùng WordPress tạo nên CMS trọng tâm của tin tặc vì khả năng cao hơn là chúng sẽ tìm thấy nạn nhân.

Điều gì sẽ xảy ra khi bạn bị tấn công

Doanh thu và danh tiếng bị mất, thông tin bị đánh cắp, phần mềm độc hại được cài đặt trên trang web của bạn có thể lây nhiễm cho khách truy cập, phần mềm ransomware chặn trang web của bạn cho đến khi bạn trả tiền cho hacker – không có cách nào trong số này nghe có vẻ hấp dẫn, phải không? Tuy nhiên, đó chính xác là những gì bạn gặp rủi ro nếu bạn không coi trọng các vấn đề bảo mật của WordPress.

Ngoài ra, Google thậm chí có thể đưa bạn vào danh sách đen vì những loại vi phạm này. Hãy tưởng tượng mất tất cả nỗ lực SEO của bạn chỉ trong một lần thất bại. Đáng sợ đúng không?

Nói tóm lại, nếu trang web của bạn quan trọng đối với doanh nghiệp của bạn, thì việc bảo mật trang web WordPress của bạn nên được ưu tiên hàng đầu.

Làm theo các phương pháp hay nhất để tạo bảo mật cơ sở

Lưu ý: Để ngăn trang web của bạn khỏi bất kỳ lỗi nào được mô tả ở trên, sau đây là các mẹo về cách để bảo mật WordPress một cách hiệu quả. Chúng tôi sẽ bắt đầu với các biện pháp bảo mật WordPress tối thiểu nhất mà mọi người nên thực hiện, sau đó chuyển sang các quy trình kỹ thuật và nâng cao hơn.

Để ngăn trang web của bạn khỏi bất kỳ lỗi nào được mô tả ở trên, sau đây là các mẹo về cách để bảo mật WordPress một cách hiệu quả. Chúng tôi sẽ bắt đầu với các biện pháp bảo mật WordPress tối thiểu nhất mà mọi người nên thực hiện, sau đó chuyển sang các quy trình kỹ thuật và nâng cao hơn.

Nếu bạn chỉ đang tìm hiểu cách thực hiện tạo trang web và làm theo các mẹo trong phần đầu tiên, trang web của bạn sẽ an toàn hơn 99% các trang web ngoài đó.

1. Bảo vệ máy tính của bạn, tránh trở thành yếu tố rủi ro

Bạn có thể tự hỏi, máy tính của bạn có liên quan gì đến trang web của bạn? Dễ dàng: Nếu máy tính của bạn bị nhiễm vi-rút hoặc phần mềm độc hại khác và bạn truy cập trang web của mình hoặc tải tệp lên trang web, thì những tệp đó cũng có thể lây nhiễm vi-rút cho trang web của bạn. Để tránh điều đó, hãy đảm bảo:

  • Hạn chế sử dụng các mạng wifi công cộng để truy cập trang web của bạn hoặc sử dụng VPN
  • Cài đặt phần mềm chống vi-rút và tường lửa, đồng thời cập nhật chúng
  • Thường xuyên kiểm tra vi-rút và phần mềm độc hại trên hệ điều hành của bạn
  • Cập nhật hệ điều hành và phần mềm quan trọng khác (chẳng hạn như trình duyệt web của bạn)

Để được hướng dẫn chi tiết, hãy kiểm tra mục tiêu bài đăng này .

2. Xây dựng nền tảng an toàn với máy chủ đáng tin cậy

Công ty lưu trữ của bạn thường là bức tường đầu tiên mà tin tặc phải đột nhập để truy cập trang web của bạn. Vì lý do đó, bước đầu tiên để bảo mật trang web WordPress của bạn là đầu tư vào một công ty lưu trữ thực hiện các biện pháp bảo mật thích hợp. Điều này bao gồm hỗ trợ cho phiên bản PHP, MySQL và Apache mới nhất cũng như tường lửa và giám sát bảo mật 24/7. Ngoài ra, hãy xem họ cung cấp kết nối SFTP hoặc SSH thay vì FTP kém an toàn hơn.

Ngoài ra, hãy chọn công ty lưu trữ thực hiện sao lưu hàng ngày và quét phần mềm độc hại thường xuyên (như SiteGround Ví dụ). Bạn thậm chí có thể tìm thấy các công ty lưu trữ sử dụng các biện pháp phòng chống DDoS khác nhau. Ngoài ra, hãy nhớ kiểm tra những gì công ty lưu trữ của bạn cung cấp về trợ giúp khôi phục các trang web bị xâm phạm. Khi nghi ngờ, hãy luôn hỏi máy chủ của bạn xem họ có các quy trình bảo mật nào.

Lưu ý: Để chọn nhà cung cấp dịch vụ lưu trữ web tốt nhất phù hợp với tất cả các tiêu chí đã đề cập ở trên, hãy xem bài viết của chúng tôi về

Để chọn nhà cung cấp dịch vụ lưu trữ web tốt nhất phù hợp với tất cả các tiêu chí đã đề cập ở trên, hãy xem bài viết của chúng tôi về Lưu trữ web tốt nhất

3. Sử dụng mật khẩu mạnh để đóng điểm truy cập

Mật khẩu là một trong những điểm yếu của mọi trang web. May mắn thay, chúng cũng là thứ bạn có thể kiểm soát. Để giữ an toàn cho trang web WordPress của bạn, hãy đảm bảo sử dụng mật khẩu mạnh cho:

  • Tài khoản người dùng của bạn
  • Tài khoản FTP
  • Cơ sở dữ liệu WordPress
  • Tài khoản lưu trữ của bạn
  • Địa chỉ email
  • Mọi thứ khác được kết nối với trang web của bạn

Ngoài ra, hãy thường xuyên thay đổi mật khẩu của bạn . Nếu bạn không thể tự mình tạo mật khẩu mạnh , bạn có thể cho phép Trình tạo mật khẩu tạo một mật khẩu cho bạn.

WordPress cũng đề xuất mật khẩu an toàn cho bạn và có một chỉ báo cho bạn biết độ mạnh của mật khẩu của bạn.

Cuối cùng, nếu bạn gặp vấn đề với việc ghi nhớ mật khẩu của bạn, bạn có thể sử dụng trình quản lý mật khẩu như LastPass .

4. Áp dụng quyền tối thiểu của người dùng, giảm rủi ro cho bên thứ ba

Tuy nhiên, đó không chỉ là về mật khẩu của riêng bạn mà còn về mật khẩu của những người khác trên trang web của bạn. Để giảm thiểu rủi ro mà họ gây ra, trước tiên hãy đảm bảo rằng mọi người chỉ được phép làm những gì họ cần làm. Vì vậy, bạn nên làm quen với vai trò của người dùng WordPress để hiểu những gì họ làm và khả năng của mỗi vai trò.

Ví dụ: bạn không muốn cấp quyền truy cập quản trị viên blogger khách một lần. Vai trò Cộng tác viên có thể phù hợp hơn nhiều. Trên thực tế, bạn có thể muốn đặt vai trò người dùng mặc định của mình thành Người đăng ký (trong Cài đặt & gt; Chung & gt; Vai trò mặc định của người dùng mới) để an toàn.

Ngoài ra, đây là một phương pháp hay cho WordPress bảo mật để cung cấp các quyền tạm thời và thu hồi chúng sau đó. Bạn có thể dễ dàng làm điều đó bằng cách thay đổi vai trò của người dùng trong menu Người dùng và sau đó chuyển lại khi người đó đã hoàn thành công việc của họ.

Ngoài ra, hãy xóa tất cả các tài khoản người dùng mà bạn không cần nữa hoặc không còn sử dụng nữa . Ngoài ra, có nhiều cách để buộc những người dùng khác trên trang web của bạn cũng sử dụng mật khẩu mạnh. Nhiều plugin bảo mật WordPress bao gồm chức năng này và cũng có các sản phẩm trả phí như Trình quản lý chính sách mật khẩu .

5. Thoát khỏi tên người dùng quản trị viên để giải quyết lỗ hổng phổ biến

WordPress được sử dụng để đặt tên người dùng mặc định làm quản trị viên và nhiều chủ sở hữu trang web không bao giờ bận tâm đến việc thay đổi nó. Do đó, quản trị viên thường là tên người dùng đầu tiên mà tin tặc sẽ thử khi họ khởi động một cuộc tấn công chống lại trang web của bạn. Nếu có tên đó, tất cả những gì họ cần đoán là mật khẩu.

Do đó, bạn không bao giờ nên sử dụng tên người dùng cụ thể đó cho trang web WordPress của mình.

6. Che khuất tài khoản quản trị viên của bạn: Đăng với tư cách là Cộng tác viên hoặc Biên tập viên

Cân nhắc tạo tài khoản cộng tác viên hoặc tài khoản biên tập viên để thêm các bài đăng và bài viết mới vào trang web của bạn.

Điều này hữu ích như thế nào? Vâng, WordPress tự động tạo kho lưu trữ tác giả cho mọi hồ sơ tác giả xuất bản nội dung nào đó trên trang web. Nó thường nằm dưới một cái gì đó giống như yourite.com/author/authorname.

Vấn đề là điều này cung cấp cho tin tặc tiềm năng một phần thông tin đăng nhập vì tên đăng nhập của tác giả được viết bằng văn bản thuần túy trong URL. Một lần nữa, bây giờ tất cả những gì họ cần làm là đoán mật khẩu. Vì lý do đó, sẽ tốt hơn nếu các tác giả hiển thị trên trang web của bạn không phải là những tác giả có quyền quản trị viên.

7. Đăng xuất người dùng không hoạt động và ngăn chặn sự cố định của bên thứ ba

Mẹo tiếp theo là đăng xuất người dùng không hoạt động sau một thời gian không hoạt động. Bạn có thể biết tính năng này từ các trang web ngân hàng. Nó ngăn bạn hoặc người khác xâm phạm trang web của bạn do vô tình đăng nhập trên máy tính công cộng hoặc khi họ rời khỏi màn hình một lúc.

Xem Thêm  20+ Sai lầm phổ biến cần tránh của WordPress

Điều này là cần thiết vì phiên của bạn có thể bị tấn công và tin tặc có thể lạm dụng tình hình để đạt được lợi ích của họ. Điều quan trọng hơn nữa là chấm dứt các phiên không hoạt động nếu bạn có nhiều người dùng trên trang web của mình. Ngoài ra, thật dễ dàng, bạn có thể sử dụng một plugin như Đăng xuất không hoạt động để tự động thực hiện điều đó.

Các tệp lỗi thời gây rủi ro bảo mật vì chúng để trang web của bạn dễ bị lợi dụng. Điều này phù hợp với cả bản thân WordPress cũng như các thành phần như chủ đề và plugin. Họ nhận được các bản cập nhật vì một lý do chính đáng, thường bao gồm các bản sửa lỗi bảo mật. Trên thực tế, 98% lỗ hổng WordPress là do plugin.

Bạn có thể cập nhật trang web của mình theo cách thủ công qua Trang tổng quan & gt; Bản cập nhật. Luôn nhớ sao lưu trang web của bạn trước. Tốt hơn hết, hãy áp dụng các bản cập nhật trên trang web phát triển hoặc tổ chức trước, kiểm tra xem mọi thứ có ổn không, sau đó áp dụng chúng cho trang web đang hoạt động.

Bạn cũng có thể sử dụng chức năng tự động cập nhật của WordPress. Vì phiên bản 5.7 nằm trong cùng một menu, bạn có thể chọn chỉ tự động cài đặt các bản cập nhật bảo mật và bảo mật nhỏ hay các bản cập nhật lớn.

Tuy nhiên, phần sau chỉ đi kèm với một đề xuất hạn chế vì nó có thể phá vỡ trang web của bạn mà bạn không biết về nó.

Bạn cũng có thể bật cập nhật tự động cho các chủ đề và plugin. Đối với các chủ đề, hãy chuyển đến Giao diện & gt; Chủ đề, nhấp vào mẫu bạn chọn, sau đó sử dụng liên kết Bật tự động cập nhật.

Đối với các plugin, bạn tìm thấy tùy chọn này trong menu Plugin ở bên phải.

Ngoài ra, hãy sử dụng Trình quản lý cập nhật dễ dàng để quản lý các quyền này. Bạn cũng có thể định cấu hình phần lớn nó thông qua wp-config.php . Cũng có thể cập nhật WordPress và các thành phần của nó theo cách thủ công .

Điều bạn chắc chắn nên làm là thường xuyên xem qua các plugin đã cài đặt của mình đồng thời hủy kích hoạt và xóa những gì bạn không sử dụng nữa.

9. Chỉ sử dụng các chủ đề và plugin từ các nguồn đáng tin cậy để tránh thỏa hiệp trang web của bạn

Như chúng tôi đã giải quyết, các chủ đề và plugin không đáng tin cậy là một trong những cách chính các trang web WordPress bị xâm phạm. Để giảm nguy cơ điều đó xảy ra, bước một là chỉ sử dụng các tiện ích mở rộng từ các nguồn có uy tín.

Điều đó có nghĩa là tránh xa các phiên bản plugin và chủ đề “miễn phí”, torrented, nulled. Bên cạnh việc lừa dối các nhà phát triển từ thành quả lao động của họ, bạn không bao giờ biết loại mã nào có thể ẩn bên trong. Bằng cách tải chúng lên trang web của bạn, có thể chính bạn đang mở cửa hậu cho tin tặc. Vì vậy, hãy gắn bó với các nguồn đáng tin cậy như theme và thư mục plugin trên WordPress.org hoặc các nhà cung cấp cao cấp đáng tin cậy.

Khi bạn cân nhắc việc tải xuống một chủ đề hoặc plugin, để an toàn, hãy kiểm tra:

  • Số lượng người dùng của nó
  • Đánh giá và xếp hạng
  • Nó có được hỗ trợ tích cực với các bản cập nhật thường xuyên không?
  • Khả năng tương thích với phiên bản WordPress của bạn

Nói tóm lại, hãy sử dụng plugin và các chủ đề đang được phát triển tích cực và được một số lượng lớn người dùng khác tin cậy.

10. Sử dụng Dịch vụ sao lưu hoặc Trình cắm cho Bảo hiểm Cần thiết

Nếu bạn chưa sao lưu trang web của mình , bạn cần bắt đầu ngay lập tức. Hệ thống sao lưu sẽ giúp bạn khôi phục trang web của mình nếu điều tồi tệ nhất xảy ra và trang web của bạn bị tấn công. Dưới đây là một số plugin và dịch vụ cho mục đích đó:

Những điều cần lưu ý:

  1. Sao lưu cả tệp trang web và cơ sở dữ liệu của bạn – Trang web WordPress bao gồm hai phần. Hãy nhớ lưu cả hai nếu không bạn sẽ hối tiếc.
  2. Tạo lịch trình thường xuyên – Đặt quá trình sao lưu của bạn diễn ra tự động theo định kỳ. Tần suất phụ thuộc vào trang web của bạn và tần suất bạn thay đổi mọi thứ hoặc xuất bản nội dung. Đối với một trang web brochure đơn giản, mỗi tuần một lần là đủ. Đối với một blog đang hoạt động, mỗi ngày một lần hoặc thậm chí thường xuyên hơn có thể có ý nghĩa hơn.
  3. Lưu trữ các tệp sao lưu bên ngoài trang web – Đảm bảo các tệp sao lưu của bạn được chuyển tới Dropbox, Google Drive hoặc một dịch vụ tương tự, không phải máy chủ của riêng bạn. Nếu không, bạn có nguy cơ bị nhiễm các bản sao lưu của mình hoặc mất chúng cùng với tệp của bạn nếu máy chủ bị hỏng.

11. Sử dụng kết nối máy chủ an toàn, giữ lưu lượng truy cập của bạn được bảo vệ

Cuối cùng, là một phần của kiến ​​thức cơ bản về bảo mật WordPress, hãy đảm bảo kết nối với máy chủ của bạn một cách an toàn. Một trong những cách phổ biến nhất để quản lý máy chủ là sử dụng FTP. Chúng tôi cũng sẽ đề cập đến vấn đề này một vài lần trong hướng dẫn này.

Tuy nhiên, FTP có một người anh em họ an toàn hơn nhiều được gọi là SFTP, tự động mã hóa lưu lượng truy cập giữa máy tính và máy chủ của bạn. Bất cứ khi nào bạn có thể, hãy sử dụng giao thức này thay vì giao thức FTP không được mã hóa. Nếu không, bạn có nguy cơ bị chặn và do thám. Một ứng dụng FTP tốt như FileZilla sẽ cho phép bạn làm như vậy.

Kỹ thuật nâng cao để bảo mật WordPress

Được rồi, đó là phương pháp hay nhất về bảo mật WordPress cơ bản. Kể từ đây trở đi, chúng tôi sẽ xem xét các cách nâng cao hơn để giữ an toàn cho trang web của bạn. Chúng có thể cần ít kỹ năng kỹ thuật nhưng vẫn khá khả thi và sẽ củng cố thêm trang web WordPress của bạn chống lại thảm họa.

12. Quản lý khu vực quản trị và ngăn chặn các cuộc tấn công vũ phu

Tất nhiên, một trong những phần quan trọng nhất và do đó hầu hết các phần đáng được bảo vệ trên trang web của bạn là phần cuối hoặc bảng điều khiển. Nếu ai đó có quyền truy cập vào nó bằng quyền quản trị viên, thì không có gì họ không thể làm.

Tin tặc cố gắng đột nhập vào đó bằng cái gọi là các cuộc tấn công vũ phu. Nó có nghĩa là họ tự động thử hàng trăm hoặc hàng nghìn tổ hợp tên đăng nhập và mật khẩu cho đến khi có thứ gì đó hoạt động. Vì vậy, hãy xem xét một số cách để ngăn điều đó xảy ra.

a) Thay đổi URL đăng nhập và quản trị mặc định </ h4>

Theo mặc định, các URL để đăng nhập vào trang web của bạn được đặt tại yourdomain.com/wp-admin hoặc yourdomain.com/wp-login.php. Tin tặc biết điều này và sẽ cố gắng truy cập trực tiếp vào các địa chỉ này để chúng có thể tàn bạo theo cách của chúng.

Do đó, một trong những cách dễ nhất để ngăn chặn phần lớn các cuộc tấn công này là di chuyển các trang đăng nhập và quản trị viên WordPress đến các địa điểm khác. Bằng cách này, bất kỳ cuộc tấn công nào vào chúng đều không thành công. Một plugin như WPS Ẩn đăng nhập giúp việc này trở nên khá đơn giản.

b) Giới hạn Nỗ lực đăng nhập

Một cách tốt khác để ngăn chặn những cuộc tấn công này theo dõi của chúng là giới hạn thời gian ai đó có thể cố gắng đăng nhập trước khi chúng bị chặn. WordPress cũng có nhiều plugin cho điều đó, chẳng hạn như Giới hạn số lần đăng nhập được tải lại .

c) Xác thực hai yếu tố

Xác thực hai yếu tố có nghĩa là ngoài việc nhập mật khẩu của họ, người dùng cũng sẽ phải nhập mã được tạo bởi ứng dụng dành cho thiết bị di động hoặc một số thiết bị khác để đăng nhập trang web của bạn. Vì vậy, ngay cả khi tin tặc tìm cách đoán hoặc bằng cách nào đó lấy được mật khẩu của bạn, chúng vẫn không thể truy cập vào trang web của bạn, chẳng hạn như điện thoại di động của bạn.

Hãy cân nhắc sử dụng một plugin như Google Authenticator để thiết lập xác thực hai yếu tố cho trang web của bạn:

d ) Mật khẩu Bảo vệ thư mục wp-admin

Một cách khác để chống lại loại rủi ro bảo mật này là bảo vệ toàn bộ thư mục wp-admin bằng một mật khẩu khác . Bằng cách đó, nếu không có nó, tin tặc thậm chí không thể truy cập trang đăng nhập WordPress.

Các thư mục bảo vệ mật khẩu xảy ra ở phía máy chủ. Nếu bạn đang chạy một máy chủ apache, hãy tạo một tệp văn bản có tên .htaccess (sẽ có thêm thông tin về nó) và nhập thông tin sau:

 AuthName "Chỉ dành cho thành viên"
AuthType Basic
AuthUserFile /path/to/.htpasswd
Yêu cầu người dùng hợp lệ
& lt; Tệp admin-ajax.php & gt;
  Lệnh cho phép, từ chối
  Cho phép từ tất cả
  Làm hài lòng bất kỳ
& lt; / Files & gt;

Mã này tạo một khu vực được bảo vệ bằng mật khẩu có tên “Chỉ dành cho thành viên” mà chỉ những người dùng hợp lệ có mật khẩu phù hợp được bao gồm trong một tệp có tên là .htpassw d và nó nằm ở đâu. Phần cuối cùng là một ngoại lệ cho admin-ajax.php mà bạn cần để nó hoạt động với WordPress. Tải tệp này lên thư mục wp-admin .

Sau đó, tạo một tệp khác có tên, bạn đoán nó, .htpasswd và đưa dữ liệu này vào :

 username: password

Đây là tất cả những tên người dùng có quyền truy cập vào thư mục này (hiện tại, chỉ một) cùng với mật khẩu của họ.

Quan trọng: mật khẩu cần được mã hóa để hoạt động. Bạn có thể thực hiện việc này bằng cách nhập tên người dùng và mật khẩu văn bản thuần , sau đó sao chép đầu ra.

Tải nó lên vị trí .htaccess điểm của bạn. Bạn có thể làm điều tương tự trên máy chủ NGINX . Ngoài ra, bạn cũng có thể khóa URL bằng Tường lửa và chỉ thêm một ngoại lệ cho địa chỉ IP của mình.

13. Giữ an toàn cho tệp của bạn: Tắt trình chỉnh sửa plugin và chủ đề WordPress

Theo mặc định, bạn có quyền truy cập vào trình chỉnh sửa tệp trong bảng điều khiển WordPress trong Giao diện & gt; Trình chỉnh sửa chủ đề và Trình cắm & gt; Trình chỉnh sửa plugin.

Tại đây, bạn có thể thực hiện các thay đổi đối với tệp WordPress từ ngay bên trong giao diện người dùng. Điều này có thể hữu ích khi bạn cần nhanh chóng thêm một dòng mã. Tuy nhiên, điều đó cũng có nghĩa là bất kỳ ai đăng nhập vào trang web của bạn với cấp quyền phù hợp đều có thể truy cập các tệp đó với kết quả có thể gây tai hại.

Xem Thêm  Portfolio Là Gì? Một Portfolio Hoàn Chỉnh Cần Thông Tin Nào?

Hãy tắt tính năng này bằng cách thêm mã sau vào wp-config của bạn. tệp php ngay trước nơi nó ghi Vậy thôi, hãy dừng chỉnh sửa! Chúc bạn viết blog vui vẻ. :

 // Tắt trình chỉnh sửa tệp WordPress
xác định ('DISALLOW_FILE_EDIT', true);

Làm gì để thay thế? Tải xuống tệp của bạn qua FTP, chỉnh sửa cục bộ và tải lên lại. Tốt hơn, hãy kiểm tra tất cả các thay đổi trên trang web phát triển cục bộ và chỉ tải tệp lên khi bạn đã đảm bảo rằng mọi thứ đều an toàn.

14. Kiểm tra và thay đổi cấp độ quyền tệp để bảo vệ dữ liệu trên máy chủ của bạn

Các tệp và thư mục trong thư mục WordPress trên máy chủ của bạn đều có các cấp độ quyền khác nhau. Có ba loại: quyền đọc, ghi và thực thi. Chúng xác định liệu người dùng có thể truy cập tệp, thực hiện thay đổi, xóa và chạy chúng hay không. Tương tự với nội dung của các thư mục.

Nếu đặt sai vị trí, điều này có thể cung cấp cho mọi người quyền truy cập vào các tệp mà họ không nên có quyền truy cập và họ có thể sử dụng để gỡ trang web của bạn. Mặt khác, nếu các quyền quá nghiêm ngặt, chúng có thể vô hiệu hóa một số chức năng.

Bạn có thể kiểm tra và thay đổi điều này bằng ứng dụng FTP. Ví dụ: FileZilla có một cột được gọi là Quyền ngay trong giao diện người dùng.

Việc thay đổi chúng dễ dàng như nhấp chuột phải vào tệp hoặc thư mục và chọn Quyền đối với tệp… Sau đó, chỉ cần nhập giá trị số phù hợp ( xem bên dưới) và nhấp vào OK.

Để biết hướng dẫn về cPanel, hãy kiểm tra tại đây (về phía dưới cùng). Đối với cấp quyền phù hợp, theo WordPress codex , chúng phải được đặt như sau:

  • Tất cả thư mục phải là 755 hoặc 750
  • Tất cả các tệp phải là 644 hoặc 640
  • wp-config.php phải là 600

Một số máy chủ có thể cần các quyền khác nhau, vì vậy hãy trao đổi với nhà cung cấp dịch vụ lưu trữ nếu bạn gặp sự cố.

15 . Sử dụng HTTPS và SSL, Mã hóa lưu lượng truy cập trang web

HTTPS (Bảo mật giao thức truyền siêu văn bản) và SSL (Lớp cổng bảo mật) cho phép trình duyệt của khách truy cập thiết lập kết nối an toàn với máy chủ lưu trữ của bạn (và do đó, trang web của bạn). Chúng đảm bảo rằng tất cả thông tin giữa hai bên đều được mã hóa.

Việc sử dụng SSL là bắt buộc đối với Thương mại điện tử và các trang web khác xử lý dữ liệu nhạy cảm như thông tin thẻ tín dụng. Tuy nhiên, ngay cả trên một trang web và blog bình thường, việc lấy cắp thông tin đăng nhập sẽ khó hơn. Điều này đặc biệt quan trọng trên mạng công cộng hoặc khi bạn có nhiều người đăng nhập vào trang web của bạn. Trên thực tế, chính phủ Hoa Kỳ đang chuyển tất cả các trang web của mình sang HTTPS.

Việc mã hóa lưu lượng truy cập trang web của bạn sẽ không chỉ làm tăng lưu lượng truy cập trang web của bạn bảo mật nhưng cũng sẽ có lợi cho xếp hạng công cụ tìm kiếm của bạn. Ví dụ: Google Chrome hiện hiển thị tất cả các trang web không có trên HTTPS là “không an toàn” trên thanh trình duyệt.

Cuối cùng, HTTPS nhanh hơn vì sử dụng giao thức HTTP / 2 theo mặc định. Vì vậy, nó thậm chí còn là thứ có thể cải thiện tốc độ trang web của bạn . Bạn có thể tự kiểm tra, tại đây .

Vấn đề với SSL là nó đã từng đắt tiền. Bạn phải mua chứng chỉ từ một nhà cung cấp và làm cho chứng chỉ đó hoạt động với trang web của bạn. Tuy nhiên, hiện chúng tôi có Let’s Encrypt , một dự án được hỗ trợ bởi Mozilla, Facebook, Google Chrome, Automattic và những người khác. Đó là chứng chỉ SSL miễn phí mà bất kỳ ai cũng được phép sử dụng.

Nói chuyện với nhà cung cấp dịch vụ lưu trữ của bạn và hỏi về khả năng làm như vậy. Nếu họ không cung cấp Let’s Encrypt, ít nhất họ cũng có thể giúp bạn lấy được chứng chỉ SSL hoặc hướng dẫn bạn đến một công ty có uy tín nơi bạn có thể mua chứng chỉ. Nếu bạn muốn tìm hiểu thêm về cách chuyển trang web WordPress của mình sang HTTPS / SSL, bạn có thể sử dụng hướng dẫn chi tiết của chúng tôi về chủ đề đó.

16. Vô hiệu hóa XML-RPC và đóng một điểm nhập khác

XML-RPC cho phép trang web của bạn thiết lập kết nối với các ứng dụng và plugin dành cho thiết bị di động WordPress như Jetpack. Thật không may, nó cũng là mục yêu thích của các tin tặc WordPress vì họ có thể lạm dụng giao thức này để thực thi một số lệnh cùng một lúc. Điều đó có nghĩa là, thay vì cố gắng thử hết mật khẩu này đến mật khẩu khác, họ có thể kiểm tra nhiều mật khẩu cùng lúc và dễ dàng truy cập vào trang web của bạn hơn.

Một số plugin dựa vào XML-RPC để hoạt động bình thường. Để tìm hiểu xem trang web của bạn đã được kích hoạt chưa, hãy nhập địa chỉ trang web của bạn vào đây . Nếu nó không hoạt động, bạn sẽ nhận được thông báo lỗi.

Trong trường hợp đó, bạn nên hủy kích hoạt nó để đóng lỗ hổng này. Bạn có thể sử dụng một plugin như Tắt XML-RPC-API để làm như vậy. Ngoài ra, bạn cũng có thể vô hiệu hóa nó bằng cách dán mã bên dưới vào tệp .htaccess của bạn (thêm thông tin về điều đó bên dưới).

 # Chặn WordPress xmlrpc.php yêu cầu
& lt; Tệp xmlrpc.php & gt;
lệnh từ chối, cho phép
tư chôi tât cả
cho phép từ XXX.XXX.XXX.XXX
& lt; / Files & gt;

Dòng có nội dung allow from XXX.XXX.XXX.XXX là tùy chọn. Bạn có thể sử dụng nó để cho phép tiếp tục truy cập vào XML-RPC cho một địa chỉ IP cụ thể nếu cần. Nếu không, hãy xóa nó.

PHP là những gì WordPress chạy trên đó. Nó hiện diện trên máy chủ của mọi trang web được xây dựng bằng CMS. Cũng giống như WordPress, ngôn ngữ lập trình liên tục được phát triển. Các phiên bản mới đi kèm với các cải tiến về hiệu suất nhưng cũng có các bản sửa lỗi.

Đối với điều đó, điều quan trọng là bạn phải chạy phiên bản mới nhất. Ngoài ra, mỗi phiên bản PHP mới cũng chỉ nhận được hỗ trợ và cập nhật trong hai năm. Các phiên bản hiện được hỗ trợ là 7.4, 8.0 và 8.1, vì vậy, bạn nên sử dụng một trong những phiên bản này. Thật không may, chỉ có một ít hơn một nửa số trang web WordPress đang làm theo lời khuyên đó.

Điều này không thực sự tối ưu mặc dù nó có trở nên tốt hơn trong những năm gần đây.

Bạn có thể thay đổi phiên bản PHP của mình như thế nào nếu bạn muốn tận dụng các phiên bản mới nhất? Bạn thường có một tùy chọn cho tùy chọn đó trong menu quản trị lưu trữ của mình.

Tuy nhiên, trước tiên hãy nhớ kiểm tra tính tương thích của trang web của bạn. Vì vậy, trước tiên, hãy thử phiên bản mới trong môi trường thử nghiệm để xem liệu tất cả các plugin và chức năng chủ đề của bạn có hoạt động với phiên bản mới hay không. </ P >

18. Harden wp-config.php , Bảo vệ một trong những tệp quan trọng nhất của bạn

wp-config.php kiểm soát nhiều chức năng quan trọng trên trang web của bạn, không ít nhất là kết nối với cơ sở dữ liệu của bạn. Nếu không có nó, toàn bộ trang web của bạn sẽ bị hỏng. Đã đến lúc học cách bảo vệ nó.

a) Di chuyển nó sang một thư mục truy cập không phải WWW

Làm cho tệp khó truy cập hơn bằng cách di chuyển tệp từ thư mục gốc sang một thư mục không thể truy cập được qua trình duyệt. Cách đơn giản nhất là chỉ cần di chuyển nó lên một cấp trên máy chủ của bạn. Vì vậy, nếu thư mục gốc của bạn ở / var / www / html , bạn chỉ cần di chuyển tệp đến / var / www / . WordPress sẽ tự động tìm thấy nó ở đó nên bạn không cần phải làm gì cả.

Nếu bạn muốn đặt tệp ở một nơi khác, hãy sao chép tệp đó vào một vị trí mới. Sau đó, cho WordPress biết nó đang ở đâu bằng cách thay thế nội dung của tệp gốc bằng cái này (hãy nhớ điều chỉnh cho phù hợp với đường dẫn tệp thực của bạn):

 & lt;? Php
include ('/ server / path / to / wp-config.php');

b) Thay đổi Khóa bảo mật WordPress của bạn </ h4 >

Khóa bảo mật WordPress chịu trách nhiệm mã hóa thông tin được lưu trữ trong cookie của người dùng của bạn. Chúng nằm trong tệp wp-config.php và trông giống như sau:

 xác định ('AUTH_KEY', 'đặt cụm từ duy nhất của bạn ở đây');
xác định ('SECURE_AUTH_KEY', 'đặt cụm từ duy nhất của bạn ở đây');
xác định ('LOGGED_IN_KEY', 'đặt cụm từ duy nhất của bạn ở đây');
xác định ('NONCE_KEY', 'đặt cụm từ duy nhất của bạn ở đây');
xác định ('AUTH_SALT', 'đặt cụm từ duy nhất của bạn ở đây');
xác định ('SECURE_AUTH_SALT', 'đặt cụm từ duy nhất của bạn ở đây');
xác định ('LOGGED_IN_SALT', 'đặt cụm từ duy nhất của bạn ở đây');
xác định ('NONCE_SALT', 'đặt cụm từ duy nhất của bạn ở đây');

Chúng được tạo ngẫu nhiên khi cài đặt. Nếu bạn đã di chuyển trang web của mình hoặc tiếp quản nó từ người khác, bạn nên gia hạn chúng. Vì vậy, hãy sử dụng Trình tạo khóa WordPress Salts để nhận một bộ khóa ngẫu nhiên mới.

Chỉ cần sao chép và dán lên các khóa trong tệp wp-config.php của bạn và lưu, xong.

c) Kiểm tra Quyền đối với Tệp

Như đã đề cập trước đó, để giữ an toàn, wp-config.php phải có cấp độ quyền là 600. Nếu bạn chưa làm như vậy , bây giờ là thời điểm tốt để kiểm tra xem đó là trường hợp nào. Sử dụng các hướng dẫn ở trên để thực hiện việc này.

19. Kiểm tra tính toàn vẹn của tệp WordPress thông báo cho bạn khi trang web của bạn bị xâm phạm

Thực hiện kiểm tra tính toàn vẹn của tệp có nghĩa là giám sát xem có bất kỳ thay đổi nào đối với dữ liệu trang web của bạn hay không. Khi có phần mềm độc hại trên trang web của mình, bạn sẽ thường thấy các tệp mới hoặc các thay đổi đối với các tệp mà mã bị ẩn.

Giám sát Thay đổi Tệp Trang web là một plugin bảo mật của WordPress giúp kiểm tra tệp của bạn so với tệp gốc và sẽ gửi email cho bạn khi phát hiện các sửa đổi hoặc tệp không thuộc về. Bằng cách đó, bạn có thể sớm bắt được các vụ tấn công, tìm backdoor, phần mềm độc hại và các tệp bị nhiễm.

Tốt nhất bạn nên kết hợp những cách trên với ghi nhật ký hoạt động. Nhật ký hoạt động WP theo dõi những gì người dùng đang làm trên trang web của bạn, họ thực hiện những thay đổi gì, khi họ đăng nhập, cài đặt họ thay đổi, v.v. </ p >

Với kiến ​​thức này, bạn có thể tìm ra ai đã mắc lỗi khi có sự cố. Bạn cũng có thể xem xét liệu những người dùng khác có thực hiện bất kỳ hành động nào có thể gây nguy hiểm cho trang web của bạn hay không. Nó cũng giúp xem liệu ai đó có truy cập trang web của bạn và phá hoại, chẳng hạn như tài khoản người dùng đã bị tấn công hoặc thêm bí mật.

Kỹ thuật Bảo mật WordPress Các biện pháp

Được rồi, đối với phần cuối cùng của hướng dẫn về cách bảo mật WordPress, chúng tôi sẽ xem xét một số cách tương đối phức tạp để bảo vệ trang web của bạn. Những thứ này sẽ khá kỹ thuật nên chúng có thể đáng sợ. Tuy nhiên, đừng để điều đó làm bạn sợ hãi, mọi thứ vẫn rất khả thi.

Xem Thêm  20+ Sai lầm phổ biến cần tránh của WordPress

21. Sử dụng .htaccess để khóa thêm trang web của bạn

.htaccess là một tệp hơi phức tạp vì nó bị ẩn theo mặc định (cũng như tất cả các tệp bắt đầu bằng dấu chấm). Vì vậy, nếu bạn không thể tìm thấy nó trên máy chủ của mình, có thể là do bạn không thể thấy các tệp ẩn.

Giải pháp khá đơn giản. Trong ứng dụng FTP của bạn, bạn thường có một số chức năng làm cho chúng hiển thị trong menu. Ví dụ: trong FileZilla, bạn tìm thấy nó trong Máy chủ & gt; Buộc hiển thị các tệp ẩn. Trong cPanel, bạn có thể sử dụng các hướng dẫn này .

Khi bạn có thể nhìn thấy nó, bạn có thể tải xuống và chỉnh sửa .htaccess. Lưu ý rằng tất cả mã được cung cấp bên dưới phải luôn được đặt bên ngoài thẻ # BEGIN WordPress # END WordPress để đảm bảo các thay đổi không bị ghi đè lên mỗi bản cập nhật mới. </ p>

a) Làm cứng .htaccess wp-config.php </ code> Tệp

.htaccess wp-config.php là những tệp quan trọng nhất trong cài đặt WordPress của bạn. Như vậy, bạn cần đảm bảo rằng chúng được bảo mật. Các đoạn mã dưới đây sẽ giới hạn quyền truy cập từ bên ngoài vào chúng.

 # Từ chối quyền truy cập vào wp-config và .htaccess
& lt; tệp wp-config.php & gt;
lệnh cho phép, từ chối
tư chôi tât cả
& lt; / tệp & gt;
& lt; Tệp .htaccess & gt;
lệnh cho phép, từ chối
tư chôi tât cả
& lt; / Tệp & gt;

b) Giới hạn quyền truy cập đối với wp-login.php thành IP riêng của bạn

Ngoài phần trên, bạn cũng có thể thêm đoạn mã bên dưới. Điều này sẽ không cho phép mọi người truy cập vào trang đăng nhập của trang web của bạn ngoại trừ IP đã xác định. Đảm bảo điền địa chỉ IP của riêng bạn để không đăng xuất! Nếu bạn không biết địa chỉ IP của mình, bạn có thể tìm địa chỉ đó tại đây .

 # Giới hạn quyền truy cập vào wp-login
& lt; Tệp wp-login.php & gt;
lệnh từ chối, cho phép
tư chôi tât cả
# cho phép truy cập từ địa chỉ IP của tôi
cho phép từ XXX.XXX.XXX.XXX
& lt; / Files & gt;

Bạn cũng có thể sử dụng quyền này để giới hạn quyền truy cập vào wp-admin thay vì mật khẩu bảo vệ nó. Đặt tệp .htaccess bên trong thư mục wp-admin của bạn và bao gồm mã sau trong đó.

 # Giới hạn quyền truy cập vào wp -quản trị viên
& lt; FilesMatch ". *" & gt;
lệnh từ chối, cho phép
tư chôi tât cả
# cho phép truy cập từ địa chỉ IP của tôi
cho phép từ XXX.XXX.XXX.XXX
& lt; / FilesMatch & gt;

Nếu bạn đang sử dụng IP động và không tĩnh, hãy sử dụng các hướng dẫn này .

c) Tắt tính năng Duyệt và Lập chỉ mục Thư mục

Bất kỳ thư mục nào thuộc cấu trúc trang web của bạn đều có thể duyệt theo mặc định nếu không có index .html có trong đó. Điều này là không tốt vì nó cho phép mọi người nhìn thấy những gì có trong thư mục của bạn và có khả năng sử dụng nó để chống lại bạn. Bảo vệ bạn khỏi điều đó bằng cách thêm dòng mã này vào .htaccess :

 # Tắt tính năng duyệt và lập chỉ mục thư mục
Tùy chọn Tất cả -Indexes

d) Vô hiệu hóa PHP Execution trong WordPress Directories để ngăn chặn hacker </ h4>

WordPress chạy trên PHP, do đó, bạn cần người dùng truy cập và thực thi các tệp PHP trên trang web của bạn. Tuy nhiên, tin tặc cũng có thể sử dụng khả năng này để thực thi các tệp độc hại ở những vị trí đó và duy trì các cửa hậu vào trang web của bạn. Do đó, bạn có thể chặn khả năng này trong một số thư mục nhất định mà bạn không cần như trong thư mục wp-content / uploads hoặc bên trong wp-include . Bạn có thể tạo tệp .htaccess của riêng mình (chỉ cần tạo tệp văn bản và đặt tên cho tệp đó) và sau đó thêm đoạn mã bên dưới:

 # Tắt thực thi PHP trong phần này danh mục
& lt; Tệp * .php & gt;
tư chôi tât cả
& lt; / Files & gt;

Bây giờ, hãy lưu tệp và tải một bản sao của nó lên thư mục uploads wp-include .

22. Tắt báo cáo lỗi và giữ an toàn thông tin bí mật

Báo cáo lỗi rất hữu ích để khắc phục sự cố và xác định plugin hoặc chủ đề cụ thể nào đang gây ra sự cố trên trang web WordPress của bạn.

Tuy nhiên, khi hệ thống báo lỗi, nó cũng sẽ hiển thị đường dẫn máy chủ của bạn. Không cần phải nói, đây là cơ hội hoàn hảo để tin tặc khám phá cách thức và vị trí họ có thể tận dụng các lỗ hổng trong trang web của bạn. Bạn có thể tắt tính năng này bằng cách thêm mã bên dưới vào tệp wp-config.php của mình:

 // Tắt báo cáo lỗi
error_reporting (0);
@ini_set (‘display_errors’, 0);

23. Xóa số phiên bản WordPress để ngừng phát sóng lỗ hổng bảo mật

Bất kỳ ai xem qua mã nguồn trang web của bạn sẽ có thể biết bạn đang sử dụng phiên bản WordPress nào.

Kể từ khi mỗi phiên bản WordPress đều có các bản thay đổi công khai nêu chi tiết danh sách các lỗi và các bản vá bảo mật, họ có thể dễ dàng xác định lỗ hổng bảo mật nào mà họ có thể tận dụng. Vì vậy, đó không phải là thông tin bạn muốn cung cấp.

May mắn thay, có một cách khắc phục dễ dàng. Bạn có thể xóa an toàn số phiên bản WordPress khỏi trang web và nguồn cấp dữ liệu RSS của mình bằng cách chỉnh sửa tệp functions.php của chủ đề và thêm phần sau:

 // Xóa WordPress số phiên bản từ phần đầu
remove_action ('wp_head', 'wp_generator');
// Xóa số phiên bản WordPress khỏi nguồn cấp dữ liệu RSS
function remove_version_from_rss () {
trở về '';
}
add_filter ('the_generator', 'remove_version_from_rss');

24. Tiêu đề bảo mật HTTP Khắc phục điểm yếu của trình duyệt

Một cách khác để bảo mật trang web WordPress của bạn là triển khai tiêu đề bảo mật. Đây là những chỉ thị kiểm soát sự tương tác của trình duyệt web với máy chủ / trang web của bạn. Bạn có thể xem tiêu đề nào đang hoạt động trên trang web của mình thông qua các công cụ phát triển trình duyệt.

Ngoài ra, bạn có thể sử dụng dịch vụ này để quét trang web của bạn và tìm ra.

Thông thường, chúng được đặt ở cấp máy chủ để ngăn chặn các cuộc tấn công lấy cắp dữ liệu và giảm số lần khai thác lỗ hổng bảo mật. Bạn có thể tự thêm chúng bằng cách sửa đổi .htaccess để giữ trình duyệt web an toàn trước những kẻ tấn công tiềm năng.

Trước khi triển khai bất kỳ điều gì dưới đây, hãy lưu ý rằng điều đó có thể ảnh hưởng đến miền phụ của bạn. Vì vậy, nếu bạn có bất kỳ thứ gì trên trang web của mình, bạn cũng có thể phải bao gồm cả những thứ đó. Nếu bạn không muốn thêm các tiêu đề này theo cách thủ công, hãy xem xét sử dụng một plugin như Tiêu đề bảo mật . Đảm bảo kiểm tra chúng bằng các công cụ ở trên.

P revent Cross-Site Scripting Attacks < / strong>

Những điều này xảy ra khi tin tặc đưa mã độc hại vào trang web của bạn để trình duyệt khách tải mã độc hại. Để ngăn trình duyệt tải các tệp độc hại, bạn có thể sử dụng đoạn mã sau:

header ('Content-Security-Policy: default-src https:'); </ pre >

Kích hoạt tính năng kích hoạt iframe

Thêm dòng bên dưới để hướng dẫn trình duyệt không hiển thị trang trong khung. Điều này giúp ngăn chặn clickjacking.

 header ('X-Frame-Options: SAMEORIGIN');

Bật X-XSS-Protection và X-Content-Type-Options

Thêm các dòng sau để ngăn chặn các cuộc tấn công XSS và thông báo cho Internet Explorer không để đánh hơi các loại kịch câm. Điều sau là ngăn chặn tin tặc truy cập vào các tệp trên máy chủ của bạn thông qua chức năng của trình duyệt.

 header ('X-XSS-Protection: 1; mode = block');
header ('X-Content-Type-Options: nosniff');

Thực thi HTTPS

Thêm mã bên dưới để hướng dẫn trình duyệt chỉ sử dụng HTTPS. Chúng tôi đã nói về cách sử dụng mã hóa giúp giữ an toàn cho dữ liệu. Tất nhiên, để sử dụng tính năng này, trang web của bạn thực sự phải chạy trên HTTPS.

 header ('Nghiêm ngặt-Vận chuyển-Bảo mật: max-age = 31536000; includeSubdomains; preload') ;

Yêu cầu trình duyệt chỉ tin tưởng cookie do máy chủ đặt và cookie có sẵn trên các kênh SSL bằng cách thêm thông tin sau:

 @ ini_set ('session.cookie_httponly', true) ;
@ini_set ('session.cookie_secure', true);
@ini_set ('session.use_only_cookies', true);

25. Sử dụng Tường lửa và Ngừng tấn công trước khi chúng bắt đầu

Đối với hai phần cuối cùng của hướng dẫn bảo mật WordPress này, chúng tôi muốn nói về các tùy chọn cao cấp hơn. Một trong số đó là sử dụng tường lửa ứng dụng web (WAF). Đó là một lớp bảo vệ khác mà bạn có thể thiết lập trước khi lưu lượng truy cập đến trang web của bạn.

Nguồn ảnh: Cloudflare

Cài đặt tường lửa trên trang web của bạn mang lại nhiều lợi ích. Bạn có thể thiết lập các quy tắc về ai có thể truy cập trang web của bạn và ai không thể. Nó cũng giám sát và quản lý lưu lượng mạng. Bạn có thể chặn IP và người dùng, thậm chí toàn bộ các quốc gia nằm trong danh sách đen hoặc đã cố gắng làm hại trang web của bạn trong quá khứ.

Tường lửa cũng có thể ngăn chặn các cuộc tấn công DDoS theo dõi nếu phát hiện thấy lưu lượng độc hại . Bằng cách đó, nó thậm chí không tấn công máy chủ web của bạn và không thể làm chậm nó.

Có tường lửa miễn phí trong một số plugin bảo mật (xem bên dưới). Tuy nhiên, nếu bạn thực sự muốn tận dụng tối đa, hãy sử dụng nhà cung cấp trả phí. Giống như lưu trữ, bạn nhận được những gì bạn phải trả cho. Sucuri và Cloudflare là các tiêu chuẩn vàng trong lĩnh vực này.

26. Giảm bớt gánh nặng bằng cách cài đặt plugin bảo mật cho WordPress

Mẹo cuối cùng về cách bảo mật trang web WordPress của bạn là sử dụng plugin bảo mật. Có một loạt các giải pháp tất cả trong một có thể tự động thực hiện nhiều điều được đề cập trong hướng dẫn này. Chúng cũng sẽ cảnh báo bạn về những điểm yếu trong thiết lập bảo mật của bạn.

Chỉ cần lưu ý rằng các tính năng là khác nhau. Vì vậy, hãy nghiên cứu trước để chọn một cái phù hợp nhất với nhu cầu và trình độ kỹ năng của bạn.

WordPress Website Security: Last Words

WordPress là một CMS phổ biến và mạnh mẽ giúp mọi người dễ dàng tạo trang web. Nhưng vì nó được sử dụng rộng rãi nên nó cũng là mục tiêu ưa thích của tin tặc.

May mắn thay, bạn có thể thực hiện một số bước để bảo vệ trang web WordPress của mình. Mặc dù vậy, hãy lưu ý rằng bạn không phải làm mọi việc đơn lẻ được đề cập ở trên. Hãy làm theo các phương pháp hay nhất cơ bản và bạn đã đi trước rất nhiều.

Sau đó, hãy triển khai những gì bạn có thể và cảm thấy có khả năng. Bảo mật là một quá trình lặp đi lặp lại, không phải là thỏa thuận một lần. Bạn luôn có thể làm được nhiều việc hơn nhưng điều quan trọng nhất là bắt đầu.

Xem thêm các bài viết khác thuộc chuyên mục: Tin tức