Hướng dẫn bảo mật WordPress cơ bản 2023

Bảo mật WordPress là một chủ đề có tầm quan trọng rất lớn đối với mọi chủ sở hữu trang web. Google đưa vào danh sách đen khoảng hơn 10.000 trang web mỗi ngày vì phần mềm độc hại và khoảng 50.000 trang web lừa đảo mỗi tuần.

Nếu bạn nghiêm túc với trang web của mình, thì bạn cần chú ý đến các phương pháp hay nhất về bảo mật WordPress. Trong hướng dẫn này, chúng tôi sẽ chia sẻ tất cả các mẹo bảo mật WordPress hàng đầu để giúp bạn bảo vệ trang web của mình khỏi tin tặc và phần mềm độc hại.

Mặc dù phần mềm cốt lõi của WordPress rất an toàn và được hàng trăm nhà phát triển kiểm tra thường xuyên, nhưng có rất nhiều điều có thể được thực hiện để giữ an toàn cho trang web của bạn.

Tại WPBeginner, chúng tôi tin rằng bảo mật không chỉ là loại bỏ rủi ro. Đó cũng là về giảm thiểu rủi ro. Là chủ sở hữu trang web, bạn có thể làm rất nhiều việc để cải thiện bảo mật WordPress của mình (ngay cả khi bạn không am hiểu về công nghệ).

Chúng tôi có một số bước khả thi mà bạn có thể thực hiện để bảo vệ trang web của mình trước các lỗ hổng bảo mật.

Để làm cho nó dễ dàng, chúng tôi đã tạo một bảng nội dung để giúp bạn dễ dàng điều hướng qua hướng dẫn bảo mật WordPress cuối cùng của chúng tôi.

Tại sao bảo mật trang web lại quan trọng?

Trang web WordPress bị tấn công có thể gây thiệt hại nghiêm trọng cho doanh thu và danh tiếng của doanh nghiệp bạn. Tin tặc có thể đánh cắp thông tin người dùng, mật khẩu, cài đặt phần mềm độc hại và thậm chí có thể phân phối phần mềm độc hại cho người dùng của bạn.

Tồi tệ nhất, bạn có thể thấy mình đang trả tiền chuộc cho tin tặc chỉ để lấy lại quyền truy cập vào trang web của mình.

Vào tháng 3 năm 2016, Google đã báo cáo rằng hơn 50 triệu người dùng trang web đã được cảnh báo về một trang web mà họ đang truy cập có thể chứa phần mềm độc hại hoặc lấy cắp thông tin.

Hơn nữa, Google đưa vào danh sách đen khoảng 20.000 trang web chứa phần mềm độc hại và khoảng 50.000 trang web lừa đảo mỗi tuần.

Nếu trang web của bạn là một doanh nghiệp, thì bạn cần chú ý hơn đến bảo mật WordPress của mình.

Tương tự như cách chủ doanh nghiệp có trách nhiệm bảo vệ tòa nhà cửa hàng thực tế của họ, với tư cách là chủ doanh nghiệp trực tuyến, bạn có trách nhiệm bảo vệ trang web doanh nghiệp của mình.

Luôn cập nhật WordPress phiên bản mới nhất

WordPress là một phần mềm mã nguồn mở được bảo trì và cập nhật thường xuyên. Theo mặc định, WordPress sẽ tự động cài đặt các bản cập nhật nhỏ. Đối với các bản phát hành chính, bạn cần bắt đầu cập nhật theo cách thủ công.

WordPress cũng đi kèm với hàng nghìn plugin và chủ đề mà bạn có thể cài đặt trên trang web của mình. Các plugin và chủ đề này được duy trì bởi các nhà phát triển bên thứ ba, họ cũng thường xuyên phát hành các bản cập nhật.

Các bản cập nhật WordPress này rất quan trọng đối với tính bảo mật và tính ổn định của trang web WordPress của bạn. Bạn cần đảm bảo rằng lõi, plugin và chủ đề WordPress của bạn được cập nhật.

Tạo mật khẩu mạnh và chỉnh sửa quyền của người dùng

Các nỗ lực hack WordPress phổ biến nhất sử dụng mật khẩu bị đánh cắp. Bạn có thể làm khó điều đó bằng cách sử dụng mật khẩu mạnh hơn dành riêng cho trang web của mình. Không chỉ cho khu vực quản trị WordPress mà còn cho tài khoản FTP, cơ sở dữ liệu, tài khoản lưu trữ WordPress và địa chỉ email tùy chỉnh sử dụng tên miền của trang web của bạn.

Nhiều người mới bắt đầu không thích sử dụng mật khẩu mạnh vì chúng khó nhớ. Điều tốt là bạn không cần phải nhớ mật khẩu nữa. Bạn có thể sử dụng trình quản lý mật khẩu. Xem hướng dẫn của chúng tôi về cách quản lý mật khẩu WordPress.

Một cách khác để giảm rủi ro là không cấp cho bất kỳ ai quyền truy cập vào tài khoản quản trị viên WordPress của bạn trừ khi bạn thực sự phải làm như vậy. Nếu bạn có một nhóm lớn hoặc tác giả khách mời, hãy đảm bảo rằng bạn hiểu vai trò và khả năng của người dùng trong WordPress trước khi thêm tài khoản người dùng và tác giả mới vào trang web WordPress của mình.

Vai trò quản trị của Hosting

Dịch vụ lưu trữ WordPress của bạn đóng vai trò quan trọng nhất trong việc bảo mật trang web WordPress của bạn. Một nhà cung cấp dịch vụ lưu trữ chia sẻ tốt như Hostinger, Bluehost hoặc Siteground sẽ thực hiện các biện pháp bổ sung để bảo vệ máy chủ của họ trước các mối đe dọa phổ biến.

Đây là cách một công ty lưu trữ web tốt hoạt động trong nền để bảo vệ trang web và dữ liệu của bạn.

• Họ liên tục theo dõi mạng của họ để tìm hoạt động đáng ngờ.
• Tất cả các công ty lưu trữ tốt đều có các công cụ để ngăn chặn các cuộc tấn công DDOS quy mô lớn
• Họ luôn cập nhật phần mềm máy chủ, phiên bản php và phần cứng để ngăn tin tặc khai thác lỗ hổng bảo mật đã biết trong phiên bản cũ.
• Họ đã sẵn sàng triển khai các kế hoạch khắc phục thảm họa và sự cố cho phép họ bảo vệ dữ liệu của bạn trong trường hợp xảy ra sự cố lớn.

Trên gói lưu trữ được chia sẻ, bạn chia sẻ tài nguyên máy chủ với nhiều khách hàng khác. Điều này mở ra nguy cơ lây nhiễm chéo trang web khi tin tặc có thể sử dụng trang web lân cận để tấn công trang web của bạn.

Sử dụng dịch vụ lưu trữ WordPress được quản lý sẽ cung cấp một nền tảng an toàn hơn cho trang web của bạn. Các công ty lưu trữ WordPress được quản lý cung cấp sao lưu tự động, cập nhật WordPress tự động và các cấu hình bảo mật nâng cao hơn để bảo vệ trang web của bạn

Bảo mật WordPress trong các bước đơn giản (Không mã hóa)

Chúng tôi biết rằng cải thiện bảo mật WordPress có thể là một suy nghĩ đáng sợ đối với người mới bắt đầu. Đặc biệt nếu bạn không rành về công nghệ. Đoán xem – bạn không đơn độc.

Chúng tôi đã giúp hàng ngàn người dùng WordPress tăng cường bảo mật WordPress của họ.

Chúng tôi sẽ chỉ cho bạn cách bạn có thể cải thiện bảo mật WordPress của mình chỉ bằng vài cú nhấp chuột (không cần mã hóa).

Sao lưu và backup website 1 bản

Sao lưu là biện pháp phòng thủ đầu tiên của bạn trước bất kỳ cuộc tấn công WordPress nào. Hãy nhớ rằng, không có gì là an toàn 100%. Nếu các trang web của chính phủ có thể bị tấn công thì trang của bạn cũng vậy.

Các bản sao lưu cho phép bạn nhanh chóng khôi phục trang web WordPress của mình trong trường hợp có điều gì đó tồi tệ xảy ra.

Có rất nhiều plugin sao lưu WordPress miễn phí và trả phí mà bạn có thể sử dụng. Điều quan trọng nhất bạn cần biết khi nói đến sao lưu là bạn phải thường xuyên lưu các bản sao lưu toàn trang vào một vị trí từ xa (không phải tài khoản lưu trữ của bạn).

Chúng tôi khuyên bạn nên lưu trữ nó trên một dịch vụ đám mây như Amazon, Dropbox hoặc các đám mây riêng như Stash.

Dựa trên tần suất bạn cập nhật trang web của mình, cài đặt lý tưởng có thể là sao lưu mỗi ngày một lần hoặc sao lưu theo thời gian thực.

Rất may, điều này có thể dễ dàng thực hiện bằng cách sử dụng các plugin như Duplicator, UpdraftPlus hoặc BlogVault. Chúng đều đáng tin cậy và quan trọng nhất là dễ sử dụng (không cần viết mã).

Plugin bảo mật WordPress tốt nhất

Sau khi sao lưu, điều tiếp theo chúng ta cần làm là thiết lập một hệ thống kiểm tra và giám sát để theo dõi mọi thứ xảy ra trên trang web của bạn.

Điều này bao gồm giám sát tính toàn vẹn của tệp, lần thử đăng nhập không thành công, quét phần mềm độc hại, v.v.

Rất may, tất cả điều này có thể được giải quyết bằng plugin bảo mật WordPress miễn phí tốt nhất, Sucuri Scanner.

Bạn cần cài đặt và kích hoạt plugin Sucuri Security miễn phí. Để biết thêm chi tiết, vui lòng xem hướng dẫn từng bước của chúng tôi về cách cài đặt plugin WordPress.

Sau khi kích hoạt, bạn cần chuyển đến menu Sucuri trong quản trị viên WordPress của mình. Điều đầu tiên bạn sẽ được yêu cầu làm là Tạo khóa API miễn phí. Điều này cho phép ghi nhật ký kiểm tra, kiểm tra tính toàn vẹn, cảnh báo qua email và các tính năng quan trọng khác.

Các tùy chọn này giúp bạn khóa các khu vực chính mà tin tặc thường sử dụng trong các cuộc tấn công của chúng. Tùy chọn tăng cường duy nhất là bản nâng cấp trả phí là Tường lửa ứng dụng web mà chúng tôi sẽ giải thích trong bước tiếp theo, vì vậy hãy bỏ qua nó ngay bây giờ.

Chúng tôi cũng đã đề cập đến rất nhiều tùy chọn “Làm cứng” này sau trong bài viết này dành cho những người muốn thực hiện mà không cần sử dụng plugin hoặc những tùy chọn yêu cầu các bước bổ sung như “Thay đổi tiền tố cơ sở dữ liệu” hoặc “Thay đổi tên người dùng quản trị”.

Sau phần làm cứng, cài đặt plugin mặc định đủ tốt cho hầu hết các trang web và không cần bất kỳ thay đổi nào. Điều duy nhất chúng tôi khuyên bạn nên tùy chỉnh là ‘Cảnh báo qua email’.

Cài đặt cảnh báo mặc định có thể làm lộn xộn hộp thư đến của bạn với email. Chúng tôi khuyên bạn nên nhận thông báo cho các hành động chính như thay đổi plugin, đăng ký người dùng mới, v.v.

Bật Tường lửa ứng dụng web (WAF)

Cách dễ nhất để bảo vệ trang web của bạn và tự tin về bảo mật WordPress của bạn là sử dụng tường lửa ứng dụng web (WAF).

Tường lửa trang web chặn tất cả lưu lượng truy cập độc hại trước khi nó đến trang web của bạn.

Tường lửa trang web cấp DNS – Những tường lửa này định tuyến lưu lượng truy cập trang web của bạn thông qua các máy chủ proxy đám mây của họ. Điều này cho phép họ chỉ gửi lưu lượng truy cập chính hãng đến máy chủ web của bạn.

Tường lửa cấp ứng dụng – Các plugin tường lửa này kiểm tra lưu lượng khi nó đến máy chủ của bạn nhưng trước khi tải hầu hết các tập lệnh WordPress. Phương pháp này không hiệu quả bằng tường lửa cấp DNS trong việc giảm tải cho máy chủ.

Phần tốt nhất về tường lửa của Sucuri là nó cũng đi kèm với bảo đảm dọn dẹp phần mềm độc hại và xóa danh sách đen. Về cơ bản, nếu bạn bị tấn công dưới sự giám sát của họ, họ đảm bảo rằng họ sẽ sửa trang web của bạn (bất kể bạn có bao nhiêu trang).

Đây là một bảo hành khá mạnh vì việc sửa chữa các trang web bị tấn công rất tốn kém. Các chuyên gia bảo mật thường tính phí $250 mỗi giờ. Trong khi đó, bạn có thể nhận toàn bộ ngăn xếp bảo mật Sucuri với giá 199 USD mỗi năm.

Di chuyển trang web WordPress của bạn sang SSL/HTTPS

SSL (Lớp cổng bảo mật) là một giao thức mã hóa truyền dữ liệu giữa trang web của bạn và trình duyệt của người dùng. Mã hóa này khiến người khác khó đánh hơi và đánh cắp thông tin hơn.

Khi bạn bật SSL, trang web của bạn sẽ sử dụng HTTPS thay vì HTTP, bạn cũng sẽ thấy dấu hiệu ổ khóa bên cạnh địa chỉ trang web của mình trong trình duyệt.

Chứng chỉ SSL thường được cấp bởi cơ quan cấp chứng chỉ và giá của chúng bắt đầu từ $80 đến hàng trăm đô la mỗi năm. Do chi phí gia tăng, hầu hết chủ sở hữu trang web đã chọn tiếp tục sử dụng giao thức không an toàn.

Để khắc phục điều này, một tổ chức phi lợi nhuận có tên Let’s Encrypt đã quyết định cung cấp Chứng chỉ SSL miễn phí cho chủ sở hữu trang web. Dự án của họ được hỗ trợ bởi Google Chrome, Facebook, Mozilla và nhiều công ty khác.

Giờ đây, việc bắt đầu sử dụng SSL cho tất cả các trang web WordPress của bạn trở nên dễ dàng hơn bao giờ hết. Nhiều công ty lưu trữ hiện đang cung cấp chứng chỉ SSL miễn phí cho trang web WordPress của bạn.

Nếu công ty lưu trữ của bạn không cung cấp, thì bạn có thể mua một cái từ Domain.com. Họ có thỏa thuận SSL tốt nhất và đáng tin cậy nhất trên thị trường. Nó đi kèm với bảo hành bảo mật trị giá 10.000 đô la và con dấu bảo mật TrustLogo.

Bảo mật WordPress cho người dùng DIY

Nếu bạn làm mọi thứ mà chúng tôi đã đề cập cho đến nay, thì bạn đang ở trong tình trạng khá tốt.

Nhưng như mọi khi, bạn có thể làm nhiều việc hơn nữa để tăng cường bảo mật cho WordPress của mình.

Một số bước này có thể yêu cầu kiến ​​thức viết mã.

Thay đổi tên người dùng “admin” mặc định

Trước đây, tên người dùng quản trị viên WordPress mặc định là “admin”. Vì tên người dùng chiếm một nửa thông tin đăng nhập, điều này giúp tin tặc dễ dàng thực hiện các cuộc tấn công vũ phu hơn.

Rất may, WordPress đã thay đổi điều này và hiện yêu cầu bạn chọn tên người dùng tùy chỉnh tại thời điểm cài đặt WordPress.

Tuy nhiên, một số trình cài đặt WordPress 1 lần nhấp, vẫn đặt tên người dùng quản trị viên mặc định thành “admin”. Nếu bạn nhận thấy trường hợp đó xảy ra, thì có lẽ bạn nên chuyển dịch vụ lưu trữ web của mình.

Vì WordPress không cho phép bạn thay đổi tên người dùng theo mặc định nên có ba phương pháp bạn có thể sử dụng để thay đổi tên người dùng.

Tạo tên người dùng quản trị viên mới và xóa tên cũ.
Sử dụng plugin Thay đổi tên người dùng
Cập nhật tên người dùng từ phpMyAdmin
Chúng tôi đã đề cập đến cả ba điều này trong hướng dẫn chi tiết về cách thay đổi đúng tên người dùng WordPress của bạn (từng bước).

Lưu ý: Chúng tôi đang nói về tên người dùng được gọi là “quản trị viên”, không phải vai trò quản trị viên.

Vô hiệu hóa chỉnh sửa tệp

WordPress đi kèm với trình chỉnh sửa mã tích hợp cho phép bạn chỉnh sửa các tệp chủ đề và plugin ngay từ khu vực quản trị WordPress của mình. Trong tay kẻ xấu, tính năng này có thể là một rủi ro bảo mật, đó là lý do tại sao chúng tôi khuyên bạn nên tắt tính năng này.

Bạn có thể dễ dàng thực hiện việc này bằng cách thêm đoạn mã sau vào tệp wp-config.php của mình.

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Ngoài ra, bạn có thể thực hiện việc này chỉ với 1 cú nhấp chuột bằng tính năng Làm cứng trong plugin Sucuri miễn phí mà chúng tôi đã đề cập ở trên.

Vô hiệu hóa thực thi tệp PHP trong một số thư mục WordPress nhất định

Một cách khác để tăng cường bảo mật WordPress của bạn là vô hiệu hóa việc thực thi tệp PHP trong các thư mục không cần thiết, chẳng hạn như /wp-content/uploads/.

Bạn có thể làm điều này bằng cách mở trình soạn thảo văn bản như Notepad và dán mã này vào:

<Files *.php>
deny from all
</Files>

Tiếp theo, bạn cần lưu tệp này dưới dạng .htaccess và tải nó lên thư mục /wp-content/uploads/ trên trang web của mình bằng ứng dụng khách FTP.

Để được giải thích chi tiết hơn, hãy xem hướng dẫn của chúng tôi về cách tắt thực thi PHP trong một số thư mục WordPress nhất định

Ngoài ra, bạn có thể thực hiện việc này chỉ với 1 cú nhấp chuột bằng tính năng Làm cứng trong plugin Sucuri miễn phí mà chúng tôi đã đề cập ở trên.

Giới hạn số lần đăng nhập

Theo mặc định, WordPress cho phép người dùng thử đăng nhập bao nhiêu lần tùy thích. Điều này khiến trang web WordPress của bạn dễ bị tấn công bằng vũ lực. Tin tặc cố gắng bẻ khóa mật khẩu bằng cách đăng nhập bằng các kết hợp khác nhau.

Điều này có thể dễ dàng khắc phục bằng cách giới hạn số lần đăng nhập không thành công mà người dùng có thể thực hiện. Nếu bạn đang sử dụng tường lửa ứng dụng web đã đề cập trước đó, thì điều này sẽ tự động được xử lý.

Tuy nhiên, nếu bạn chưa thiết lập tường lửa, hãy tiếp tục với các bước bên dưới.

Trước tiên, bạn cần cài đặt và kích hoạt plugin Login LockDown. Để biết thêm chi tiết, hãy xem hướng dẫn từng bước của chúng tôi về cách cài đặt plugin WordPress.

Sau khi kích hoạt, hãy truy cập trang Settings » Login LockDown để thiết lập plugin.

Thêm xác thực hai yếu tố

Kỹ thuật xác thực hai yếu tố yêu cầu người dùng đăng nhập bằng phương thức xác thực hai bước. Bước đầu tiên là tên người dùng và mật khẩu, bước thứ hai yêu cầu bạn xác thực bằng một thiết bị hoặc ứng dụng riêng biệt.

Hầu hết các trang web trực tuyến hàng đầu như Google, Facebook, Twitter đều cho phép bạn kích hoạt nó cho tài khoản của mình. Bạn cũng có thể thêm chức năng tương tự vào trang web WordPress của mình.

Trước tiên, bạn cần cài đặt và kích hoạt plugin Xác thực hai yếu tố. Sau khi kích hoạt, bạn cần nhấp vào liên kết ‘Xác thực hai yếu tố’ trong thanh bên của quản trị viên WordPress.

Tiếp theo, bạn cần cài đặt và mở ứng dụng xác thực trên điện thoại của mình. Có một số trong số chúng có sẵn như Google Authenticator, Authy và LastPass Authenticator.

Chúng tôi khuyên bạn nên sử dụng LastPass Authenticator hoặc Authy vì cả hai đều cho phép bạn sao lưu tài khoản của mình lên đám mây. Điều này rất hữu ích trong trường hợp điện thoại của bạn bị mất, đặt lại hoặc bạn mua một chiếc điện thoại mới. Tất cả thông tin đăng nhập tài khoản của bạn sẽ được khôi phục dễ dàng.

Chúng tôi sẽ sử dụng LastPass Authenticator cho hướng dẫn. Tuy nhiên, hướng dẫn tương tự cho tất cả các ứng dụng xác thực. Mở ứng dụng xác thực của bạn, sau đó nhấp vào nút Thêm.

Bạn sẽ được hỏi xem bạn muốn quét trang web theo cách thủ công hay quét mã vạch. Chọn tùy chọn quét mã vạch và sau đó hướng máy ảnh điện thoại của bạn vào mã QR được hiển thị trên trang cài đặt của plugin.

Vậy là xong, ứng dụng xác thực của bạn sẽ lưu nó. Lần tới khi bạn đăng nhập vào trang web của mình, bạn sẽ được yêu cầu nhập mã xác thực hai yếu tố sau khi nhập mật khẩu.

Thay đổi tiền tố cơ sở dữ liệu WordPress

Theo mặc định, WordPress sử dụng wp_ làm tiền tố cho tất cả các bảng trong cơ sở dữ liệu WordPress của bạn. Nếu trang web WordPress của bạn đang sử dụng tiền tố cơ sở dữ liệu mặc định, thì tin tặc sẽ dễ dàng đoán tên bảng của bạn hơn. Đây là lý do tại sao chúng tôi khuyên bạn nên thay đổi nó.

Bạn có thể thay đổi tiền tố cơ sở dữ liệu của mình bằng cách làm theo hướng dẫn từng bước của chúng tôi về cách thay đổi tiền tố cơ sở dữ liệu WordPress để cải thiện bảo mật.

Lưu ý: Điều này có thể làm hỏng trang web của bạn nếu nó không được thực hiện đúng cách. Chỉ tiếp tục nếu bạn cảm thấy thoải mái với kỹ năng mã hóa của mình.

Mật khẩu Bảo vệ trang quản trị và đăng nhập WordPress

Thông thường, tin tặc có thể yêu cầu thư mục wp-admin và trang đăng nhập của bạn mà không có bất kỳ hạn chế nào. Điều này cho phép họ thử các thủ thuật hack hoặc thực hiện các cuộc tấn công DDoS.

Bạn có thể thêm bảo vệ bằng mật khẩu bổ sung ở cấp độ phía máy chủ, điều này sẽ chặn các yêu cầu đó một cách hiệu quả.

Làm theo hướng dẫn từng bước của chúng tôi về cách đặt mật khẩu bảo vệ thư mục quản trị viên WordPress (wp-admin) của bạn.

Vô hiệu hóa lập chỉ mục và duyệt thư mục

Trình duyệt thư mục có thể được tin tặc sử dụng để tìm hiểu xem bạn có bất kỳ tệp nào có lỗ hổng đã biết hay không, vì vậy chúng có thể lợi dụng các tệp này để giành quyền truy cập.

Trình duyệt thư mục cũng có thể được người khác sử dụng để xem các tệp của bạn, sao chép hình ảnh, tìm hiểu cấu trúc thư mục của bạn và các thông tin khác. Đây là lý do tại sao bạn nên tắt tính năng lập chỉ mục và duyệt thư mục.

Bạn cần kết nối với trang web của mình bằng FTP hoặc trình quản lý tệp của cPanel. Tiếp theo, tìm tệp .htaccess trong thư mục gốc của trang web của bạn. Nếu bạn không thấy nó ở đó, hãy tham khảo hướng dẫn của chúng tôi về lý do tại sao bạn không thấy tệp .htaccess trong WordPress.

Sau đó, bạn cần thêm dòng sau vào cuối tệp .htaccess:

Tùy chọn -Chỉ mục

Đừng quên lưu và tải tệp .htaccess trở lại trang web của bạn. Để biết thêm về chủ đề này, hãy xem bài viết của chúng tôi về cách tắt duyệt thư mục trong WordPress.

Vô hiệu hóa XML-RPC trong WordPress

XML-RPC được bật theo mặc định trong WordPress 3.5 vì nó giúp kết nối trang web WordPress của bạn với các ứng dụng web và di động.

Do tính chất mạnh mẽ của nó, XML-RPC có thể khuếch đại đáng kể các cuộc tấn công vũ phu.

Ví dụ: theo truyền thống, nếu một hacker muốn thử 500 mật khẩu khác nhau trên trang web của bạn, họ sẽ phải thực hiện 500 lần thử đăng nhập riêng biệt, những lần này sẽ bị bắt và chặn bởi plugin khóa đăng nhập.

Nhưng với XML-RPC, tin tặc có thể sử dụng hàm system.multicall để thử hàng nghìn mật khẩu với 20 hoặc 50 yêu cầu.

Đây là lý do tại sao nếu bạn không sử dụng XML-RPC thì chúng tôi khuyên bạn nên tắt nó.

Có 3 cách để tắt XML-RPC trong WordPress và chúng tôi đã trình bày tất cả các cách đó trong hướng dẫn từng bước về cách tắt XML-RPC trong WordPress.

Mẹo: Phương pháp .htaccess là phương pháp tốt nhất vì nó tốn ít tài nguyên nhất.

Nếu bạn đang sử dụng tường lửa ứng dụng web đã đề cập trước đó, thì tường lửa có thể xử lý vấn đề này.

Tự động đăng xuất Người dùng nhàn rỗi trong WordPress

Người dùng đã đăng nhập đôi khi có thể rời khỏi màn hình và điều này gây ra rủi ro bảo mật. Ai đó có thể chiếm quyền điều khiển phiên của họ, thay đổi mật khẩu hoặc thực hiện các thay đổi đối với tài khoản của họ.

Đây là lý do tại sao nhiều trang web ngân hàng và tài chính tự động đăng xuất người dùng không hoạt động. Bạn cũng có thể triển khai chức năng tương tự trên trang web WordPress của mình.

Bạn sẽ cần cài đặt và kích hoạt plugin Đăng xuất không hoạt động. Sau khi kích hoạt, hãy truy cập trang Cài đặt » Đăng xuất không hoạt động để định cấu hình cài đặt plugin.

Quét WordPress để tìm phần mềm độc hại và lỗ hổng

Nếu bạn đã cài đặt plugin bảo mật WordPress, thì các plugin đó sẽ thường xuyên kiểm tra phần mềm độc hại và các dấu hiệu vi phạm bảo mật.

Tuy nhiên, nếu bạn thấy lưu lượng truy cập trang web hoặc thứ hạng tìm kiếm giảm đột ngột, thì bạn có thể muốn quét theo cách thủ công. Bạn có thể sử dụng plugin bảo mật WordPress của mình hoặc sử dụng một trong những trình quét bảo mật và phần mềm độc hại này.

Việc chạy các lần quét trực tuyến này khá đơn giản, bạn chỉ cần nhập URL trang web của mình và trình thu thập thông tin của chúng sẽ đi qua trang web của bạn để tìm kiếm phần mềm độc hại và mã độc đã biết.

Bây giờ, hãy nhớ rằng hầu hết các trình quét bảo mật WordPress chỉ có thể quét trang web của bạn. Họ không thể xóa phần mềm độc hại hoặc xóa trang web WordPress bị tấn công.

Điều này đưa chúng ta đến phần tiếp theo, dọn dẹp phần mềm độc hại và các trang web WordPress bị tấn công.

Sửa một trang web WordPress bị tấn công

Nhiều người dùng WordPress không nhận ra tầm quan trọng của việc sao lưu và bảo mật trang web cho đến khi trang web của họ bị tấn công.

Dọn dẹp một trang web WordPress có thể rất khó khăn và tốn thời gian. Lời khuyên đầu tiên của chúng tôi là hãy để một chuyên gia chăm sóc nó.

Tin tặc cài đặt các cửa hậu trên các trang web bị ảnh hưởng và nếu các cửa hậu này không được sửa đúng cách thì trang web của bạn có thể sẽ bị tấn công trở lại.

Việc cho phép một công ty bảo mật chuyên nghiệp như Sucuri sửa chữa trang web của bạn sẽ đảm bảo rằng trang web của bạn an toàn để sử dụng lại. Nó cũng sẽ bảo vệ bạn chống lại bất kỳ cuộc tấn công nào trong tương lai.

Đối với những người dùng ưa mạo hiểm và thích tự làm, chúng tôi đã biên soạn hướng dẫn từng bước về cách khắc phục trang web WordPress bị tấn công.

Mẹo thêm: Trộm danh tính & Bảo vệ mạng

Là chủ sở hữu doanh nghiệp nhỏ, điều quan trọng là chúng ta phải bảo vệ danh tính tài chính và kỹ thuật số của mình vì nếu không làm như vậy có thể dẫn đến tổn thất đáng kể. Tin tặc và bọn tội phạm có thể sử dụng danh tính của bạn để đánh cắp tên miền trang web, hack tài khoản ngân hàng của bạn và thậm chí phạm tội mà bạn có thể phải chịu trách nhiệm pháp lý.

Có 4,7 triệu vụ đánh cắp danh tính và gian lận thẻ tín dụng được báo cáo lên Ủy ban Thương mại Liên bang (FTC) vào năm 2020.

Đây là lý do tại sao chúng tôi khuyên bạn nên sử dụng dịch vụ chống trộm danh tính như Aura (chính chúng tôi cũng đang sử dụng Aura).

Họ cung cấp khả năng bảo vệ thiết bị và mạng wifi thông qua VPN (mạng riêng ảo) miễn phí giúp bảo vệ kết nối internet của bạn bằng mã hóa cấp quân sự cho dù bạn ở đâu. Điều này thật tuyệt khi bạn đang đi du lịch hoặc kết nối với quản trị viên WordPress của mình từ một nơi công cộng như Starbucks, vì vậy bạn có thể làm việc trực tuyến một cách an toàn và riêng tư.

Dịch vụ giám sát dark web của họ liên tục giám sát dark web bằng trí thông minh nhân tạo và cảnh báo bạn nếu mật khẩu, số an sinh xã hội và tài khoản ngân hàng của bạn bị xâm phạm.

Điều này cho phép bạn hành động nhanh hơn và bảo vệ tốt hơn danh tính kỹ thuật số của mình.

Tổng kết

Đó là tất cả, chúng tôi hy vọng bài viết này đã giúp bạn tìm hiểu các phương pháp hay nhất về bảo mật WordPress hàng đầu cũng như khám phá các plugin bảo mật WordPress tốt nhất cho trang web của bạn.

Bạn cũng có thể muốn xem hướng dẫn SEO WordPress cuối cùng của chúng tôi để cải thiện thứ hạng SEO của bạn và các mẹo chuyên môn của chúng tôi về cách tăng tốc WordPress.