Hướng dẫn bảo mật WordPress toàn diện (Phần 1)

Có rất nhiều thủ thuật bảo mật WordPress đơn giản và hiệu quả mà bạn có thể dễ dàng thực hiện để bảo vệ website WordPress của mình.

Tạo website bằng WordPress vô cùng dễ dàng, thậm chí hoàn toàn không tốn phí nếu bạn dùng mã nguồn mở WordPress, do đó có không ít doanh nghiệp đã bắt đầu phát triển online từ một website WordPress.

Tuy nhiên, là một mã nguồn mở, dễ sử dụng, có nhiều nhà phát triển xây dựng và cải tiến liên tục khiến việc bảo mật WordPress trở nên “lỏng lẻo” hơn bao giờ hết. Mà hậu quả khi website bị hack do bảo mật kém chắc chắn sẽ là một cơn ác mộng đối với bất kỳ doanh nghiệp nào.

Phòng bệnh lúc nào cũng tốt hơn chữa bệnh, do đó thay vì chờ đến lúc “gặp nạn” mới tìm cách xử lý, bạn có thể áp dụng các mẹo bảo mật WordPress mà Tadu giới thiệu sau đây để bảo vệ website và doanh nghiệp của mình càng sớm càng tốt.

1. Bảo mật 2 lớp WordPress và ngăn chặn tấn công brute-force

1.1. Hạn chế số lần nhập sai mật khẩu để đăng nhập WordPress

WordPress sẽ mặc định bạn có thể nhập sai mật khẩu bao nhiêu lần tùy ý, điều này giúp hacker tấn công brute-force dễ dàng hơn.

*Tấn công brute-force là hình thức hacker dự đoán mật khẩu và thử đăng nhập với nhiều mật khẩu khác nhau liên tục đến khi tìm được mật khẩu đúng để chiếm quyền truy cập vào một tài khoản nào đó.

Để ngăn chặn lỗi bảo mật này, bạn có thể sử dụng một số plugin bảo mật WordPress để hạn chế số lần nhập sai mật khẩu: 

• Login Lockdown
• Limit Login Attempts

Những công cụ này sẽ giúp khóa trang web tạm thời, ngưng đăng nhập hoặc thông báo cho bạn ID lạ đang cố truy cập không hợp pháp nếu có ai đó nhập sai mật khẩu vượt quá giới hạn theo quy định bạn đưa ra.

Hướng dẫn thực hiện trên Login Lockdown: 

Tải và cài đặt plugin Login Lockdown ngay trên WordPress Dashboard.

Nhập quy định đăng nhập cho website:

• Max Retries: Số lần nhập sai tối đa
• Retry Time Period Restriction: Giới hạn thời gian thực hiện số lần đăng nhập không thành công tối đa
• Lockout Length: Thời hạn khóa chức năng đăng nhập
• Mask Login Errors: Không khai báo lỗi đăng nhập sai do username hoặc password

1.2. Cài đặt bảo mật 2 lớp WordPress

Để cài đặt bảo mật 2 lớp cho WordPress, bạn có thể chọn thêm phương thức xác nhận đăng nhập. Một số plugin bảo mật WordPress bạn có thể chọn để cài đặt xác minh 2 bước: 

• Wordfence Security
• Google Authenticator

Sau khi nhập thông tin đăng nhập, người dùng cần trả lời thêm một câu hỏi bí mật, nhập một đoạn mã hoặc ký tự bí mật hay gửi một dãy số đến điện thoại để yêu cầu xác nhận danh tính và tài khoản.

Bằng cách này, hacker dù có vượt qua được bước đoán mật khẩu thì cũng sẽ bị ngăn chặn bởi lớp bảo mật WordPress thứ 2.

Hướng dẫn thực hiện trên Google Authenticator: 

Tải và cài đặt plugin Google Authenticator trên WordPress Dashboard.

Trong Dashboard > Chọn Profiles > Chuyển đến phần Google Authenticator Settings

Tick chọn các thiết lập bảo mật 2 lớp:

• Active: Để kích hoạt plugin
• Relaxed mode: Thời gian mã xác nhận có hiệu lực
• Description: Mô tả mã được dùng trên ứng dụng điện thoại
• Secret: Chọn mã nhập thủ công hoặc chọn Show/Hide QR Code để quét mã bằng camera
• Enable App Password: Bật mật khẩu cho ứng dụng

1.3. Thay đổi địa chỉ trang đăng nhập WordPress

Thông thường, sau khi tạo website bằng WordPress, URL của trang đăng nhập sẽ cố định phần đuôi /wp-admin/ hoặc /wp.login-php/ theo sau tên miền của bạn.

Do đó, địa chỉ trang đăng nhập có thể được tìm thấy vô cùng dễ dàng nếu bạn duy trì đường dẫn mặc định. Một khi đã vào được trang đăng nhập, hacker có thể tấn công brute-force và hack website của bạn nhanh chóng.

Để thay đổi URL trong login WordPress, bạn có thể chọn 1 trong 2 cách sau đây:

Sử dụng plugin hỗ trợ bảo mật: 

• WPS Hide Login
• HC Custom Wp-admin URL

Những plugin này có thể hỗ trợ thay đổi đường dẫn trang đăng nhập, thậm chí bạn có thể chỉnh sửa đường link cho các thao tác khác như đăng ký tài khoản, quên mật khẩu, đăng xuất,...

Hướng dẫn thực hiện trên WPS Hide Login: 

• Tải và cài đặt WPS Hide Login trên WordPress Dashboard.
• Trong Dashboard > Chọn Settings > Chọn Generals > Chuyển đến phần WPS Hide Login
• Nhập URL trang đăng nhập mới
• Bấm Save changes để hoàn tất

Tạo file php mới

Nếu không muốn dùng plugin, bạn có thể tự cấu hình lại đường dẫn trang đăng nhập bằng cách tạo một file login mới thay thế cho wp-login.php

Đầu tiên, bạn có thể sử dụng Notepad++ để tạo một file php mới, đặt tên theo đường dẫn bạn muốn thay đổi, ví dụ như trang-dang-nhap.php và lưu vào thư mục cài WordPress gốc.

Sau đó, copy toàn bộ nội dung ở file wp-login.php sang tập tin mới tạo này.

Cuối cùng, bấm tổ hợp phím Ctrl + H để thay thế wp-login thanh trang-dang-nhap và bấm Save để hoàn tất.

1.4. Đặt mật khẩu mạnh và điều chỉnh thường xuyên

Đặt mật khẩu mạnh là một trong những phương pháp đơn giản nhất giúp tăng cường mức độ bảo mật cho website của bạn.

Mật khẩu mạnh là mật khẩu có đầy đủ chữ hoa, chữ thường, chữ số và các ký tự đặc biệt. Số lượng ký tự từ 8 trở lên. Bạn có thể đặt những ký tự này xen kẽ, vô nghĩa hoặc tạo thành những cụm từ dài có nghĩa để dễ nhớ hơn.

Bên cạnh đó, bạn nên thường xuyên cập nhật mật khẩu mới, tránh tìm kiếm mật khẩu trên mạng hay lưu lại lịch sử duyệt web các trang có liên quan đến mật khẩu của mình.

Đừng quên đặt mật khẩu khác nhau cho mỗi tài khoản nhé!

1.5. Cài đặt chế độ đăng xuất sau thời gian hạn định

Một khi đã đăng nhập vào WordPress, đặc biệt là những tài khoản admin thì bạn có thể thực hiện mọi thao tác trên WordPress như xóa bỏ nội dung, xóa tất cả tài khoản khác, thay đổi giao diện,...

Trong trường hợp bạn là admin, đã đăng nhập mà không hoạt động thì trong khoảng thời gian đó nếu hacker có thể tấn công máy tính, họ cũng sẽ chiếm được quyền quản lý trang WordPress và thay đổi cả mật khẩu để bạn không thể đăng nhập được nữa.

Vì vậy, bạn có thể cài chế độ tự động đăng xuất mỗi khi tắt trang web hoặc sau một thời gian nhất định không sử dụng (10 phút, 15 phút,...) bằng cách:

• Không chọn “Remember me” khi đăng nhập
• Sử dụng plugin hỗ trợ bảo mật WordPress: Idle User Logout hoặc Bulletproof Security. Các plugin này cho phép cài đặt quy tắc đăng xuất cho từng loại tài khoản khác nhau để bạn dễ dàng kiểm soát và bảo mật WordPress tốt nhất.

Hướng dẫn thực hiện trên Bulletproof Security:

Tải và cài đặt Bulletproof Security trên WordPress Dashboard.

Trong Dashboard > Chọn Bulletproof Security > Chọn Idle Session Logout

> Thiết lập thời gian yêu cầu đăng xuất và đường dẫn trang đăng xuất session

> Chọn tài khoản và URL áp dụng/không áp dụng đăng xuất tự động

> Thêm lời nhắn sau khi đăng xuất

2. Bảo mật WordPress ở trang quản trị Dashboard

2.1. Cài mật khẩu cho thư mục WordPress

Để hạn chế truy cập vào những thư mục nội dung quan trọng, bạn có thể đặt thêm một lớp bảo mật cho phần nội dung đó, đặc biệt là thư mục wp-admin.

Trước khi tải xong trang quản trị, các quản trị viên đều sẽ được yêu cầu nhập thêm một mật khẩu nữa. Mật khẩu này tượng trưng một tài khoản ảo mới, không liên kết với WordPress mà được tạo trực tiếp trên phần mềm quản trị hosting, nếu có bất cứ tài khoản quản trị WordPress nào bị hack thì hacker vẫn phải đối mặt với một lớp xác định danh tính nữa.

Cụ thể, bạn đăng nhập vào Cpanel 7:

• Chọn Directory Privacy
• Chọn thư mục cần bảo mật. Sau đó, trong cửa sổ Set permission for…
• Tick vào ô Password Protect This Directory
• Nhập mật khẩu
• Bấm Save Changes để hoàn tất

Hoặc nếu bạn đang sử dụng Cpanel 6:

• Chuyển đến phần Security > Chọn Password Protect Directories
• Chọn thư mục cần bảo vệ bằng mật khẩu
• Tick vào ô Password Protect This Directory và đặt tên thư mục
• Tạo tài khoản đăng nhập ảo để truy cập thư mục

2.2. Đặt yêu cầu thiết lập tài khoản với các quản trị viên

Bất cứ tài khoản nào cũng có thể bị hacker lợi dụng để tấn công trang WordPress của bạn. 

Ba yếu tố làm tăng khả năng bị tấn công brute-force:  

• Tên đăng nhập đơn giản (như admin, tên thật của quản trị viên,..)
• Mật khẩu yếu (các thông tin cơ bản như ngày sinh, họ tên, số CMND,...)
• Địa chỉ trang đăng nhập dễ đoán (Giữ đường dẫn mặc định của WordPress)

Do đó, hãy yêu cầu các quản trị viên đặt tên đăng nhập riêng biệt, sử dụng tính năng Generate Password được tích hợp sẵn trong Dashboard để tạo mật khẩu mạnh và giữ kín đường link đăng nhập WordPress.

2.3. Thiết lập chứng chỉ SSL cho website WordPress

Bảo mật WordPress với SSL (Secure Socket Layer) có thể giúp website mã hóa tất cả thông tin bí mật như thông tin đăng nhập, số tài khoản ngân hàng, thẻ tín dụng,... của người dùng khi truyền đến máy chủ, hạn chế hacker đánh cắp dữ liệu trong quá trình này. Ngoài ra, chứng chỉ SSL cũng giúp website được gắn mác “an toàn” trên Google.

Nhiều doanh nghiệp có thể muốn chọn chứng thực SSL miễn phí để tiết kiệm ngân sách. Tuy nhiên, chứng chỉ SSL miễn phí và có phí có sự khác biệt rất rõ rệt về cách hoạt động cũng như hiệu quả thực tế mà nó đem lại.

Với SSL miễn phí, doanh nghiệp sẽ được chứng thực tên miền chính và các tên miền phụ đang thuộc quyền sở hữu của công ty mình.

Với SSL có phí, bên cạnh việc chứng thực tên miền, doanh nghiệp được hỗ trợ cài đặt, tăng cường bảo mật website và còn được đền bù khi có sự cố mất dữ liệu đã mã hóa.

Chính vì vậy, đăng ký SSL có phí sẽ là một đầu tư xứng đáng và thực sự có hiệu quả bảo mật cho website của doanh nghiệp, giúp doanh nghiệp tăng độ tin cậy và tạo dựng được thương hiệu uy tín hơn.

Những thủ thuật bảo mật WordPress mà Tadu giới thiệu trên đây đều rất đơn giản và dễ làm, bạn chỉ cần từ vài giây đến vài phút để tăng cường bảo mật cho website của mình. 

Nhưng không chỉ có vậy, hướng dẫn bảo mật WordPress phần 2 của Tadu sẽ giúp bạn bảo vệ website tốt hơn nữa với những thủ thuật để đảm bảo an toàn cho cơ sở dữ liệu, plugin và giao diện của trang web, đồng thời giúp bạn chọn lựa hosting tốt nhất cho website của mình.

Theo dõi những phần tiếp theo của series bảo mật website, WordPress hoặc bạn có thể đăng ký ở form bên dưới để nhận những hướng dẫn bảo mật mới và hiệu quả nhất từ Tadu nhé!