Cách để tăng cường bảo mật cho WordPress

Bảo mật WordPress là rất quan trọng. Duy trì nó nên nằm trên đầu danh sách việc cần làm của mọi chủ sở hữu trang web.

Có hơn 90 000 cuộc tấn công vào các trang web WordPress mỗi phút! Hơn nữa, mỗi tuần Google đưa vào danh sách đen hơn 20.000 trang web WordPress vì hoạt động đáng ngờ. Khi một trang web bị đưa vào danh sách đen, người dùng phải đồng ý với những rủi ro khi vào nó. Điều này làm giảm lưu lượng truy cập tổng thể hơn 90%.

Bảo mật trang web là hoạt động kinh doanh nghiêm túc. Hãy cùng Đà Nẵng Web thảo luận về lý do tại sao nó quan trọng và một số Cách để tăng cường bảo mật cho WordPress.

Tại sao bảo mật WordPress lại quan trọng?

Có thể có một trường hợp, bạn rời khỏi nhà hoặc mở khóa xe khi rời đi trong vài phút. Điều gì sẽ xảy ra trong hai phút nữa bạn đi vắng, phải không?

Điều này đã quá quen thuộc với mọi người, vì chúng ta có xu hướng coi bảo mật của mình là điều hiển nhiên. Điều tương tự cũng xảy ra với các trang web WordPress - thông thường, mọi người chỉ lo lắng về bảo mật trang web của họ sau khi một cuộc tấn công xảy ra. Sai lầm lớn!

Bất kể bạn đang điều hành blog cá nhân hay doanh nghiệp, việc bị tấn công luôn là một tình huống căng thẳng. Tất nhiên, một chủ sở hữu blog nhỏ sẽ gặp ít vấn đề hơn so với một người điều hành một doanh nghiệp nổi tiếng và có uy tín.

Khi bảo mật WordPress của bạn yếu, tin tặc có thể “đột nhập” và lấy bất kỳ thông tin nào họ muốn - thông tin người dùng, mật khẩu, phát tán vi rút và gây ra nhiều thiệt hại hơn bạn có thể tưởng tượng.

Ví dụ, nếu trang web của bạn bị Google tấn công và đưa vào danh sách đen, bạn sẽ mất rất nhiều lưu lượng truy cập, tiền bạc và thời gian.

Để tránh căng thẳng và các vấn đề không cần thiết, hãy quan tâm đến cách bảo mật WordPress của bạn. Bạn có thể thực hiện nhiều bước để giữ cho dữ liệu của mình an toàn và ổn định.

10 cách để tăng cường bảo mật cho WordPress

1. Nhà cung cấp dịch vụ lưu trữ an toàn

Nhà cung cấp dịch vụ lưu trữ của bạn đóng một vai trò quan trọng trong bảo mật trang web WordPress của bạn. Một nhà cung cấp dịch vụ lưu trữ tốt, chẳng hạn như Hostinger, thực hiện các bước bổ sung để đảm bảo một môi trường an toàn, chống vi phạm.

Ví dụ, Hostinger sử dụng nhiều cấp độ dự phòng, sao lưu hàng ngày hoặc hàng tuần và công nghệ như RAID-10, để cung cấp cho người dùng sự bảo mật tối đa.

Khi mua dịch vụ của Hostinger, bạn cũng cần chú ý đến gói dịch vụ mà bạn chọn. Nếu bạn sử dụng dịch vụ lưu trữ chia sẻ, đây là lựa chọn rẻ nhất, bạn sẽ có nguy cơ bị tấn công cao hơn.

Nếu một trang web chia sẻ máy chủ với bạn bị tấn công - rất có thể bạn cũng vậy.

2. Thay đổi Tên người dùng "Quản trị viên"

Khi cài đặt WordPress, tên người dùng của bạn sẽ là Admin theo mặc định. Đây cũng là một trong các cách để tăng cường bảo mật WordPress

Luôn đảm bảo thay đổi nó. Giữ tên người dùng mặc định sẽ khiến tin tặc xâm nhập trang web của bạn dễ dàng hơn. Rốt cuộc, đó là một điều ít hơn để họ tìm ra khi cố gắng truy cập trang web của bạn!

Các bản phát hành gần đây của WordPress cho phép bạn thay đổi tên người dùng, vì vậy hãy luôn sử dụng cơ hội này. Sử dụng tên người dùng dễ nhớ, nhưng không phải là thứ dễ đoán.

Càng khó liên kết bạn với tên người dùng của bạn, thì càng khó để hack trang web WordPress của bạn.

3. Mật khẩu mạnh

Để đảm bảo mọi thứ ở tình trạng cao nhất, hãy bắt đầu với điều hiển nhiên - tạo mật khẩu mạnh. Các nỗ lực hack phổ biến nhất được thực hiện bằng cách đánh cắp mật khẩu.

Khi tạo mật khẩu quản trị viên WordPress của bạn, không sử dụng tên của bạn, tên vật nuôi hoặc mẹ của bạn, bất kỳ thứ gì có thể dễ dàng truy ngược lại bạn - ví dụ - ngày sinh của bạn.

Điều tốt nhất nên làm là sử dụng kết hợp ngẫu nhiên các số, ký hiệu và cả chữ thường và chữ hoa.

Một điều quan trọng nữa cần ghi nhớ - cố gắng không sử dụng cùng một mật khẩu cho nhiều tài khoản. Nếu một trong các tài khoản của bạn bị tấn công, tất cả các tài khoản khác cũng sẽ gặp rủi ro.

Cùng với điều này, có một chìa khóa quan trọng khác cần ghi nhớ. Cố gắng không chia sẻ chi tiết tài khoản của bạn. Nếu ai đó cần làm việc với bạn trên cùng một trang web, hãy đảm bảo rằng họ giữ mật khẩu của bạn ở chế độ riêng tư và an toàn, hoặc sử dụng hệ thống quản lý mật khẩu và cộng tác. Đây cũng là một cách để tăng cường bảo mật WordPress.

Bạn càng có nhiều người trong tài khoản của mình, thì càng có nhiều khả năng bạn bị người khác tấn công.

Cuối cùng, đừng quên bảo mật kết nối internet của bạn bằng một dịch vụ VPN tốt như NordVPN khi kết nối với tài khoản WordPress của bạn qua các mạng công cộng. Điều này sẽ ngăn chặn tin tặc có thể nhìn thấy và lấy cắp thông tin cá nhân của bạn.

4. Nỗ lực đăng nhập có giới hạn

WordPress theo mặc định cho phép đăng nhập không giới hạn. Thật không may, điều này làm giảm bảo mật và tăng khả năng bị tấn công.

Tin tặc có thể thử các kết hợp mật khẩu khác nhau miễn là họ muốn cho đến khi chúng xâm nhập vào trang web của bạn.

Vấn đề này có một giải pháp đơn giản và cải thiện mạnh mẽ bảo mật WordPress của bạn.

Tất cả những gì bạn cần làm là lấy đăng nhập vào plugin LockDown .

Đi tới Cài đặt >> LoginLockdown và thiết lập cài đặt ưa thích của bạn. Bạn có thể chọn số lần đăng nhập bạn muốn, sẽ mất bao lâu cho đến khi bạn có thể thử đăng nhập lại và thậm chí bạn có thể ngăn những tên người dùng không được công nhận cố gắng đăng nhập.

5. Xác thực hai yếu tố

Ngay cả khi có mật khẩu và tên người dùng mạnh, bạn vẫn có thể là nạn nhân của các cuộc tấn công vũ phu. Đây là lý do tại sao sử dụng xác thực hai yếu tố luôn thông minh.

Không giống như chỉ sử dụng mật khẩu, xác thực hai yếu tố là một quy trình nhiều bước (trong hầu hết các trường hợp là hai) bước. Bạn cần hai thứ - thứ bạn biết, đó là mật khẩu và thứ bạn có, chẳng hạn như điện thoại hoặc email.

WordPress có nhiều lựa chọn bổ sung xác thực hai yếu tố miễn phí. Họ cung cấp nhiều phương pháp xác thực hai yếu tố khác nhau.

Một số plugin xác thực hai yếu tố miễn phí tốt nhất để cải thiện bảo mật WordPress của bạn:

• Xác thực hai yếu tố bằng miniOrange
• Xác thực hai yếu tố
• Tường lửa đơn giản WP
• Bảo mật tài khoản Rublon: Xác thực hai yếu tố +

5. Chứng chỉ SSL

Chứng chỉ SSL là điều cần thiết, đặc biệt nếu bạn điều hành một cửa hàng trực tuyến.

Trước hết, Google hiện yêu cầu tất cả các trang web phải có SSL. Nếu không, URL của bạn sẽ có dòng chữ màu đỏ kèm theo “Không an toàn”. Không hấp dẫn lắm, phải không?

Thứ hai, việc có SSL sẽ khiến hacker rất khó lấy dữ liệu nhạy cảm được chia sẻ giữa khách truy cập và máy chủ của bạn.

6. Cập nhật WordPress

WordPress rất coi trọng vấn đề bảo mật, do đó họ cải thiện nó với mỗi bản cập nhật, đó cũng là một phần trong cách để tăng cường bảo mật WordPress. Các bản cập nhật nhỏ là tự động, tuy nhiên, đôi khi bạn sẽ phải thực hiện thủ công.

Luôn đảm bảo rằng bạn có phiên bản WordPress mới nhất. Để nó lỗi thời có thể khiến bạn gặp phải các vụ tấn công tiềm ẩn và vi phạm bảo mật.

7. Sao lưu dữ liệu của bạn

Sao lưu là một bước quan trọng đối với bảo mật WordPress của bạn. Đôi khi, bất kể tất cả các biện pháp phòng ngừa được thực hiện, trang web của bạn vẫn bị tấn công.

Bản sao lưu cho phép bạn khôi phục trang web của mình một cách nhanh chóng và không gây căng thẳng.

Luôn đảm bảo lưu các bản sao lưu của bạn ở một vị trí từ xa - không phải tài khoản lưu trữ của bạn. Sử dụng dịch vụ đám mây là sự lựa chọn đáng tin cậy nhất.

Có rất nhiều plugin WordPress để sao lưu trang web của bạn. Mục yêu thích của chúng tôi là:

• UpdraftPlus
• BackupBuddy
• BlogVault
• BackWPup

8. Tự động đăng xuất Người dùng nhàn rỗi

Việc tiếp tục đăng nhập vào WordPress làm tăng nguy cơ vi phạm bảo mật, chẳng hạn như dữ liệu tài khoản bị thay đổi.

Đây là lý do tại sao các trang web ngân hàng tự động đăng xuất những người dùng không hoạt động.

Bạn có thể áp dụng điều này cho cách để tăng cường bảo mật WordPress của mình. Tất cả những gì bạn cần là một plugin - Đăng xuất người dùng nhàn rỗi là lựa chọn phổ biến nhất.

Trong cài đặt, bạn có thể chọn khoảng thời gian tự động đăng xuất là bao nhiêu.

9. Thêm câu hỏi bảo mật vào đăng nhập WordPress

Có câu hỏi bảo mật sẽ cải thiện bảo mật WordPress của bạn hơn nữa. Đảm bảo chỉ sử dụng các câu hỏi mà bạn biết câu trả lời.

Tránh những câu hỏi có thể dễ dàng truy tìm bạn - ngày sinh, tên cha mẹ và các thông tin khác gần gũi với bạn.

Bạn có thể cài đặt plugin Câu hỏi bảo mật WP và dễ dàng thêm một lớp bảo mật vào trang WordPress của mình.

10. Thay đổi tiền tố cơ sở dữ liệu WordPress

WordPress sử dụng tiền tố wp_ làm mặc định cho tất cả các bảng trong cơ sở dữ liệu WordPress của bạn. Có tiền tố cơ sở dữ liệu mặc định khiến trang web của bạn dễ bị tấn công hơn.

Nó rất khuyến khích để thay đổi nó.

Làm thế nào để khôi phục một trang web bị tấn công?

Bạn nên làm gì, nếu bảo mật WordPress của bạn bị vi phạm và bạn bị tấn công?

Khi bị tấn công, không chỉ dữ liệu của riêng bạn gặp rủi ro mà khách truy cập của bạn cũng vậy.

Điều đầu tiên trước tiên - nếu doanh nghiệp của bạn bị tấn công, bạn nên liên hệ với một chuyên gia. Nó sẽ mất phí, nhưng nếu bạn chưa có kinh nghiệm trong việc xử lý mã, nó là sự lựa chọn ưu tiên.

Tin tặc có thể ẩn các tập lệnh có hại rất sâu trong các tệp trang web của bạn, chiếm nhiều vị trí. Một chuyên gia sẽ giải quyết vấn đề mà không đặt tất cả dữ liệu “lành mạnh” của bạn vào rủi ro.

Tuy nhiên, nếu bạn cảm thấy thoải mái với mã hoặc chỉ không có tiền để thuê một chuyên gia, có những điều bạn có thể làm để điều chỉnh trang web của mình trở lại bình thường.

Dưới đây là các bước bạn cần thực hiện:

Bước 1. Xác định vấn đề

Khi bạn bị hack, bạn cần kiểm tra một số điều để giúp bạn xác định bản chất của vụ hack.

Bắt đầu bằng:

• Kiểm tra xem bạn có thể đăng nhập vào bảng điều khiển quản trị WordPress của mình không
• Xem liệu trang web của bạn có đang chuyển hướng đến một trang web khác hay không
• Tìm kiếm các liên kết bất hợp pháp trên trang web WordPress của bạn
• Xem liệu Google có đánh dấu trang web của bạn là không an toàn hay không

Viết mọi thứ ra giấy, vì nó sẽ giúp bạn giải quyết vấn đề với nhà cung cấp dịch vụ lưu trữ.

Thay đổi mật khẩu của bạn! Trước khi bạn bắt đầu sửa chữa trang web của mình, hãy thay đổi chi tiết đăng nhập của bạn. Đây là bước quan trọng trong cách để tăng cường bảo mật WordPress mà bạn sẽ phải lặp lại sau khi quá trình dọn dẹp hoàn tất.

Bước 2. Liên hệ với nhà cung cấp dịch vụ lưu trữ của bạn

Nhà cung cấp dịch vụ lưu trữ của bạn là nơi cần đến khi xảy ra hack. Hầu hết các dịch vụ cung cấp hỗ trợ khách hàng cho các lỗi và trường hợp khẩn cấp.

Tại Hostinger, đội ngũ thành công của khách hàng làm việc chăm chỉ để đảm bảo trang web của bạn chạy trơn tru. Những người làm việc ở đó biết họ đang làm gì và rất có thể sẽ giúp bạn trong trường hợp vi phạm an ninh.

Hơn nữa, nếu bạn sử dụng lưu trữ chia sẻ, không chỉ trang web của bạn có thể bị tấn công. Vì vậy, liên hệ với bộ phận hỗ trợ khách hàng sẽ ngăn chặn nhiều thiệt hại hơn xảy ra.

Bước 3. Khôi phục trang web của bạn từ bản sao lưu

Bây giờ, nếu bạn đã sao lưu dữ liệu của mình thường xuyên, việc thiết lập và chạy trang web của bạn sẽ không mất nhiều thời gian. Bạn chỉ có thể thay thế dữ liệu của mình bằng bản sao lưu, loại bỏ hack.

Tuy nhiên, nếu trang web của bạn đã bị tấn công trong một thời gian, có thể có phần mềm độc hại bên trong bản sao lưu của bạn. Trong trường hợp này, bạn có thể phải xóa vi phạm bảo mật theo cách thủ công.

Bước 3. Quét và loại bỏ phần mềm độc hại

Vì WordPress rất coi trọng vấn đề bảo mật, nên có rất nhiều plugin bạn có thể sử dụng để tìm các tệp do tin tặc đặt.

• Khai thác máy quét
• Trình kiểm tra tính xác thực của chủ đề (TAC)
• Sucuri Security
• Chống phần mềm độc hại
• Bảo vệ trang web chống vi-rút WP

Các plugin này sẽ quét tất cả các tệp trong cơ sở dữ liệu của bạn để tìm bất kỳ mã độc hại nào hoặc các loại mối đe dọa khác. Sau đó, bạn có thể sửa mã theo cách thủ công hoặc chỉ cần xóa tệp bị ảnh hưởng và thay thế bằng tệp gốc. Ví dụ: nếu phần mềm độc hại được ẩn trong một plugin, bạn có thể cài đặt lại nó - loại bỏ mối đe dọa.

Bước 5. Kiểm tra quyền của người dùng

Khi phần mềm độc hại được xóa, hãy đảm bảo điều tra phần người dùng và kiểm tra xem tất cả người dùng hiện diện có phải là người bạn tin cậy hay không.

Nếu bạn thấy bất kỳ người dùng bất thường, đáng ngờ nào, hãy xóa họ ngay lập tức.

Bước 6. Thay đổi mật khẩu và khóa bảo mật của bạn

Sau khi thực hiện tất cả các bước trên, bạn cần thay đổi mật khẩu của mình ở mọi nơi - bảng điều khiển, FTP, MySQL và bất kỳ nơi nào khác mà bạn đã sử dụng mật khẩu bị tấn công.

Sau đó, bạn cần tạo một khóa bảo mật mới và thêm nó vào tệp wp-config.php của mình .

Kết luận

Giữ an toàn cho trang web WordPress của bạn là rất quan trọng. Bị tấn công có hại cho cả bạn và người dùng của bạn. Vì vậy Đà Nẵng Web hy vọng qua bài viết về cách để tăng cường bảo mật WordPress sẽ giúp ích cho các bạn trong việc bảo mật WordPress.

Có rất nhiều bước bạn có thể thực hiện để đảm bảo tính bảo mật cao nhất của WordPress.

Tuy nhiên, hack vẫn xảy ra. Nếu bạn thấy mình trong trường hợp đáng tiếc như vậy, hãy bình tĩnh và thuê một chuyên gia để làm sạch vấn đề hoặc thử tự giải quyết.

Luôn đảm bảo thực hiện các biện pháp phòng ngừa bổ sung để đảm bảo bảo mật WordPress tốt nhất có thể.