Có đến 90% trang web bị hack vì không chú trọng bảo mật website WordPress ngay từ những thành phần cốt lõi nhất: database, giao diện, plugin và host.
Khác với các phương pháp bảo mật website tổng quát, một trang web WordPress cần có những thủ thuật bảo mật chi tiết hơn, nhằm bảo vệ những yếu tố cấu thành website một cách hiệu quả nhất.
Ở phần 1, Tadu đã hướng dẫn bạn cách bảo mật website WordPress với những thủ thuật ở phần đăng nhập bước đầu và trên trang quản trị Dashboard. Đến với phần 2, bạn sẽ tiến hành bảo mật sâu hơn ở cơ sở dữ liệu của web, thiết lập bảo mật trên hosting và giao diện, plugin của WordPress - những thành phần cực kỳ quan trọng và có thể ảnh hưởng đến toàn bộ website nếu không được bảo mật vững vàng.
Bây giờ thì cùng theo dõi các thủ thuật bảo mật website WordPress toàn diện và hiệu quả của Tadu nhé!
3. Bảo mật website WordPress database
3.1. Thay đổi tiền tố mặc định trong cơ sở dữ liệu
Khi sử dụng WordPress, chắc hẳn bạn đã quen thuộc với tiền tố wp- trong database. Ví dụ như wp-admin, wp-login, wp-config,...
Việc duy trì các tiền tố mặc định giúp tin tặc dễ tấn công website bằng lỗi SQL Injection hơn, do đó bạn nên thay đổi tiền tố này thành những các tên khác như mywp- , tenmienwp-,...
Bạn chỉ cần cài đặt và sử dụng những plugin bảo mật website WordPress sau đây là có thể thay đổi toàn bộ tiền tố một cách nhanh chóng:
- iThemes Security
- Brozzme DB Prefix
Đừng quên tạo sẵn một file backup dữ liệu website trước khi thực hiện bất cứ thay đổi nào trên database nhé!
Hướng dẫn thực hiện bằng Brozzme DB Prefix:
Tải và cài đặt plugin Brozzme DB Prefix trên trang Dashboard của website WordPress.
Trong Dashboard > Chọn Brozzme > Chọn DB Prefix.
Nhập tiền tố cũ (wp_) và tiền tố mới (tientomoi_) > Chọn Change DB Prefix để hoàn tất thay đổi.
3.2. Sao lưu dữ liệu thường xuyên và định kỳ
Không chỉ là tăng cường bảo mật, các bản backup WordPress là phương pháp khắc phục tốt nhất nếu có vấn đề xảy ra, giúp bạn khôi phục lại website ở trạng thái an toàn và ổn định trước đó.
Tuy nhiên việc backup dữ liệu sẽ tiêu tốn một lượng không gian lưu trữ trên host. Do đó, bạn có thể chọn một khoảng thời gian định kỳ như 1 tháng, 2 tháng để lưu lại một bản backup mới cho website của mình.
Một số plugin hỗ trợ việc sao lưu dữ liệu website mà bạn có thể lựa chọn là:
Hoặc đơn giản và tiện lợi hơn, nếu bạn đang sử dụng host của Tadu, bạn sẽ được hỗ trợ tự động sao lưu định kỳ 2 bản trong vòng 7 và 14 ngày gần nhất, giúp bạn có thể lựa chọn và khôi phục website bất cứ lúc nào.
3.3. Đặt mật khẩu mạnh để đăng nhập database
WordPress sẽ sử dụng chính mật khẩu này để truy cập cơ sở dữ liệu của toàn bộ website, và nếu bạn muốn bảo vệ những dữ liệu đó khỏi hacker thì tạo mật khẩu mạnh vẫn là phương pháp tối ưu và quan trọng nhất.
Bạn có thể sử dụng công cụ tạo mật khẩu để tìm những mật khẩu mạnh. Công cụ này cho phép bạn lựa chọn các ký tự có thể có trong mật khẩu, tạo mới và đưa ra gợi ý để bạn dễ nhớ mật khẩu hơn.
3.4. Phân quyền hoạt động và chức năng với mỗi tài khoản
Không kể đến người dùng theo dõi và sử dụng website, một trang website thường sẽ có nhiều loại tài khoản khác nhau để cùng xây dựng và quản lý WordPress, ví dụ như: Admin (để quản trị website), Developer (để cấu hình và tùy chỉnh website), Author (để đăng tải nội dung website),...
Bạn cần cài đặt quyền hạn cho các tài khoản mới. Ví dụ như đối với những người làm content cho website thì tính năng cần thiết là quản lý (thêm/xóa/chỉnh sửa) bài viết chứ không cần thiết lập Giao diện hay plugin,... do đó bạn chỉ cần cài đặt tài khoản ở cấp Author. Admin nên là người duy nhất nắm toàn bộ quyền quản lý và sử dụng website WordPress.
Ngoài ra, sử dụng plugin bảo mật WordPress như WP Security Audit Log có thể cho quản trị viên xem lịch sử hoạt động và chỉnh sửa của các tài khoản, từ đó kiểm soát và bảo mật website WordPress tốt hơn.
4. Bảo mật website WordPress trên host
4.1. Ẩn thư mục wp-config.php
Wp-config.php là thư mục chứa tất cả dữ liệu trọng yếu về thiết lập WordPress, là thư mục quan trọng nhất trong thư mục gốc của website. Có thể nói, bảo mật wp-config.php cũng là bảo vệ phần cốt lõi nhất trong website của bạn.
Để bảo mật thư mục này, bạn cần di chuyển vị trí của wp-config.php. Thông thường, thư mục gốc để cài đặt website WordPress là public_html, bạn có thể truy cập vào thư mục này trong Cpanel và di chuyển wp-config.php ra ngoài folder gốc mà không lo ảnh hưởng đến website WordPress.
4.2. Tắt chức năng chỉnh sửa tập tin và thư mục
Chặn quyền chỉnh sửa file:
Mỗi tài khoản có quyền hạn tương đương admin đều có thể truy cập tập tin và chỉnh sửa các file thiết lập WordPress như Plugin và Theme,... vì vậy nếu có hacker xâm nhập được qua một tài khoản bất kỳ hoặc một quản trị viên vô tình chỉnh sửa nội dung tập tin sẽ làm website bị lỗi và gặp vấn đề ngay lập tức.
Chính vì vậy, bạn có thể chặn quyền chỉnh sửa file bằng cách thêm vào cuối file wp-config.php câu lệnh sau:
Bằng cách này, những người muốn chỉnh sửa tệp tin không thể chỉnh sửa trực tiếp trên Dashboard mà chỉ có thể tạo và upload file mới trên host để điều chỉnh.
Chặn hiển thị danh sách thư mục:
Trong trường hợp bạn tạo thêm những thư mục nội dung mới mà không có file index.html kèm theo, thì toàn bộ nội dung trong thư mục đó sẽ được hiển thị công khai.
Ví dụ nếu bạn tạo folder noi-dung-blog, mọi người dùng website đều có thể xem nội dung trong thư mục này qua đường dẫn http://tenmiencuaban.com/noi-dung-blog mà không cần đăng nhập hay bất kỳ hình thức xác định danh tính nào khác.
Do đó, bạn có thể giấu tất cả những thư mục này bằng cách thêm vào file .htaccess câu lệnh như sau:
4.3. Khóa Image Hotlinking
Giả sử bạn muốn lấy một hình ảnh bất kỳ trên Internet để minh họa cho bài viết của mình, vậy bạn có thể sẽ phải xin quyền sử dụng, mua ảnh hoặc nếu may mắn hơn thì được quyền tải ảnh miễn phí và sử dụng lại một cách hợp pháp.
Tuy nhiên, một số người dùng lại thường sử dụng URL để tải ảnh trực tiếp trên website của họ (Image Hotlinking). Điều này có nghĩa là hình ảnh được hiển thị trên website này nhưng lại được quản lý và lưu trữ tại host khác của một website khác.
Đối với trường hợp đó, người dùng URL ảnh sẽ không có quyền kiểm soát được ảnh có còn lưu trữ trên máy chủ hay không nhưng họ có thể lợi dụng tiêu tốn băng thông và không gian lưu trữ website của bạn, khiến trang web chạy chậm hơn.
Vì vậy, bên cạnh việc bảo vệ website khỏi những hacker tấn công và chiếm quyền quản trị, bạn còn có thể ngăn chặn người khác sử dụng trái phép hình ảnh và băng thông của mình trên website của họ bằng cách khóa tất cả Image Linking trên website WordPress.
Có 2 cách để khóa hotlinking trên WordPress:
- Sử dụng tính năng có sẵn trên host: Truy cập Cpanel > Kéo đến phần Security > Chọn Hotlink Protection > Chọn Enable để hoàn tất ngăn chặn hotlinking.
- Dùng plugin hỗ trợ bảo mật website WordPress như All in One WP Security and Firewall để chặn hotlinking trên website.
4.4. Tìm hiểu và ngăn ngừa tấn công Ddos
*Tấn công Ddos là một hình thức tấn công phân tán dịch vụ, khiến người bị tấn công không thể sử dụng một dịch vụ nào đó, ví dụ như không thể truy cập Internet, máy tính không thể hoạt động,... Hình thức này tấn công phân tán từ nhiều IP khác nhau nên rất khó để phát hiện.
Hacker có thể tấn công Ddos vào băng thông, bằng các giao thức, phần mềm trung gian,... với mục đích làm tiêu tốn tài nguyên mạng, nghẽn đường truyền và khiến một hoặc nhiều máy tính không thể sử dụng được nữa, từ đó chiếm quyền kiểm soát hệ thống máy này và thực hiện những hành vi gây hại khác như spam email, đánh cắp thông tin,...
Đối với biện pháp ngăn ngừa tấn công Ddos, phương án đầu tiên là bạn nên hạn chế tải và sử dụng các phần mềm lậu, bản crack hay bẻ khóa miễn phí vì đây là những lỗ hổng bảo mật rất lớn, giúp hacker dễ dàng tấn công máy tính và website của bạn.
Tiếp theo, bạn có thể sử dụng một số plugin bảo mật website WordPress như Sucuri hoặc Cloudfare để hỗ trợ ngăn chặn tấn công Ddos.
Tuy nhiên, phương án tối ưu nhất là bạn chọn lựa nhà cung cấp hosting có tường lửa và bảo mật tốt nhất để bảo vệ website WordPress của mình. Nếu bạn đang sử dụng web hosting của Tadu, bạn có thể yên tâm bởi Tadu đảm bảo chống hack Ddos với hệ thống tường lửa cực mạnh, ngăn chặn hack và luôn được cải tiến để cập nhật những lỗi mới nhất.
5. Bảo mật website WordPress từ plugin và giao diện
Sử dụng website WordPress có một ưu điểm rất lớn là bạn có thể sử dụng hàng ngàn giao diện và plugin với nhiều chức năng khác nhau trong thư viện WordPress. Thế nhưng, đôi khi các doanh nghiệp mong muốn sử dụng một tính năng nào đó mà cần phải trả phí cho plugin, vẫn có những plugin hỗ trợ khác với tính năng tương tự và hoàn toàn miễn phí từ các nhà phát triển hoặc trung gian khác.
Tìm kiếm và cài đặt plugin, giao diện không hề khó. Tuy nhiên, việc cài đặt đúng giao diện và plugin an toàn lại không dễ nếu bạn thường sử dụng nguồn từ các bên thứ ba. Do đó, việc đầu tiên là bạn cần kiểm soát mức độ bảo mật và an toàn của các plugin, giao diện trước khi tiến hành cài đặt cho website WordPress của mình.
Bước tiếp theo, hãy đảm bảo sử dụng plugin, giao diện với phiên bản cập nhật mới nhất. Những phiên bản này thường sẽ được vá các lỗ hổng và fix những lỗi mới xuất hiện, giúp bạn bảo mật website tốt hơn. Bạn có thể sử dụng Site Health Check - tính năng mới tích hợp trong WordPress phiên bản 5.2 trở lên - để quản lý và cập nhật plugin, giao diện trên website.
Những thủ thuật bảo mật website WordPress mà Tadu đã giới thiệu đều là những viên gạch nhỏ, giúp bạn từng bước xây dựng một căn nhà lớn thực kiên cố cho website của mình, bảo vệ doanh nghiệp khỏi những hậu quả sẽ xảy ra nếu website bị hack.
Mà hơn hết, một nền móng vững chắc mới có thể giúp bạn dựng nên một căn nhà an toàn và ổn định. Đối với một website, đặc biệt là website WordPress, thì việc lựa chọn hosting cũng chính là việc tìm kiếm nền móng phù hợp nhất cho trang web đó.
Tadu tự hào có thể đem đến một trong những gói web hosting tốt nhất cho người dùng, cho tất cả doanh nghiệp.
Tadu Fireshield vps
Tận hưởng dịch vụ lưu trữ web bảo mật và chất lượng nhất chỉ có tại TADU:
- Khả năng chống hack 80-90%
- Được hỗ trợ kỹ thuật 24/7/365
- Chủ động ngăn chặn mọi kết nối có hại
- Được sao lưu định kỳ 7-14 ngày và restore nhanh chóng