Bảo mật WordPress - 20 cách để giữ an toàn cho blog WordPress của bạn

Bây giờ hầu hết các công ty trên thế giới sử dụng blog để phát triển và mở rộng kinh doanh của họ. Họ sử dụng các trang web để hỗ trợ chiến dịch tiếp thị của họ. Là chủ sở hữu trang web có trách nhiệm, bạn không muốn giao trang web của mình cho người nào đó có thể sử dụng trang web của bạn cho một số công việc độc hại. đó là báo cáo rằng 86% trang web có ít nhất một lỗ hổng nghiêm trọng. Vào năm 2015, Google đã báo cáo rằng việc hack đã tăng 180% so với năm trước. Dựa theo Forbes – trung bình 30000 trang web bị tấn công mỗi ngày.

Tin tặc có thể xem thông tin cá nhân của bạn và lạm dụng nó. Họ có thể sử dụng tài nguyên của bạn tức là – các trang web cho mục tiêu cá nhân của họ. Giờ đây, nhiều công ty cũng thuê tin tặc để đánh cắp bí mật thương mại và xâm nhập vào đối thủ cạnh tranh.

Mô hình phần lớn các vi phạm trang web không phải là ăn cắp dữ liệu của bạn hoặc phá hoại blog của bạn, họ sử dụng máy chủ của bạn để chạy một kênh Email spam hoặc thiết lập máy chủ của bạn làm máy chủ web tạm thời của họ để phân phối các tệp bất hợp pháp.

Họ luôn tìm kiếm một trang web có lỗ hổng cao để ít kháng cự nhất với họ. Nói chung, hầu hết các vụ hack được thực hiện bằng các tập lệnh tự động để tấn công các phần dễ bị tổn thương trong bảo mật trang web của bạn nhưng cũng có những tin tặc khổng lồ luôn tìm kiếm các khu vực dễ bị bảo mật của bạn.

WordPress là nền tảng phổ biến nhất để tạo blog và hệ thống CMS và đó là lý do tại sao nó là mục tiêu quan trọng của tin tặc.

Trong số tất cả các trang web bị tấn công vào năm 2015, 75% trong số đó là của nền tảng wordpress. Tại sao các trang web báo chí từ rất dễ bị vi phạm an ninh? Bởi vì chỉ mất 2 phút để tạo một blog wordpress, tất cả những gì bạn cần làm là nhấn nút và wordpress sẽ tự động được cài đặt.

Công cụ một cú nhấp chuột miễn phí này cung cấp tùy chọn dễ dàng cho các nhà cung cấp dịch vụ và quản trị viên web không có kỹ năng để phát triển và quản lý các trang web đó. Có lẽ đây là một trong những lý do tại sao hầu hết các trang web bị nhiễm virus trên thế giới đều thuộc nền tảng wordpress. Chỉ mất 2 phút để tạo một trang web trên nền tảng wordpress nhưng những trang web này là mục tiêu dễ dàng của tin tặc vì tính bảo mật thấp.

Có nhiều cách khác nhau để giữ an toàn cho trang web của bạn khỏi tin tặc tìm cách xâm nhập bảo mật blog wordpress của bạn.

1) Tài khoản quản trị:

Đây là điều đầu tiên và rõ ràng mà một hacker nghĩ đến là tài khoản quản trị viên của nó. Nên tránh chọn một thông tin đăng nhập/tên người dùng rõ ràng và dễ thấy như “Quản trị viên”.

Tên người dùng trong wordpress không thể thay đổi sau khi cài đặt.

Vì vậy, bạn có thể tạo một tài khoản người dùng mới trong USER >add new và cấp cho nó vai trò quản trị viên.

2) Chuyển đổi tài khoản:

Chọn một tài khoản khác cho mục đích khác như Người đăng ký, cộng tác viên, tác giả, biên tập viên và tài khoản quản trị viên. Sử dụng tài khoản quản trị viên cho từng mục đích có thể rất rủi ro cho trang web của bạn. Ví dụ: nếu bạn đang làm việc với nội dung như chỉnh sửa/xuất bản bằng tài khoản biên tập viên, có thể rất hiệu quả trong việc bảo vệ blog của bạn khỏi vi phạm bảo mật.

Bạn có thể tạo tài khoản Trình chỉnh sửa bằng cách NGƯỜI DÙNG>thêm mới và gán cho nó Vai trò Trình chỉnh sửa.

3) Máy chủ web phù hợp:

Việc lựa chọn đúng máy chủ web có thể giúp bạn thực hiện trang web ít bị tổn thương hơn. Theo báo cáo gần 41 % blog WordPress bị tấn công thông qua máy chủ lưu trữ của họ. Nó là nguồn hàng đầu để tin tặc truy cập trang web của bạn.

Các tin tặc cũng cố gắng hack máy chủ lưu trữ vì bằng cách này, chúng có thể lây nhiễm thêm không. của người dùng với ít nỗ lực hơn.

Cảnh báo : Cách khởi chạy một blog WordPress tự lưu trữ: Trong 10 phút hoặc ít hơn

4) Bảo mật Plugins:

Nếu bạn đang sử dụng blog tự lưu trữ thì ưu tiên hàng đầu của bạn là bảo mật – bởi vì bạn không muốn tin tặc truy cập qua blog của mình.

Có nhiều bảo mật plugins có thể có sẵn cho bạn nhưng bạn nên chọn chúng một cách khôn ngoan để bảo mật trang web của mình.

Một số bảo mật đáng tin cậy nhất plugins là:  Sucuri, hàng rào từ và an ninh chống đạn.

5) Mật khẩu: 

Mọi chuyên gia sẽ cho bạn biết tầm quan trọng của việc chọn một mật khẩu mạnh và phức tạp. Đừng bao giờ sử dụng tổ hợp mật khẩu dễ giải mã như tên của bạn và một số chữ cái và số.

Hãy thử chiến lược này để tạo mật khẩu không thể phá vỡ:

• Các từ phổ biến: Tránh các từ trong từ điển, tên và địa điểm trong mật khẩu của bạn.
• Độ dài: Luôn có mật khẩu ít nhất 8 ký tự. Mất 10 phút để phá mật khẩu 6 ký tự và 4 tháng để phá mật khẩu 8 ký tự.
• Trộn: Hãy thử sử dụng ấn tượng các ký tự viết hoa và viết thường khó đoán. Sử dụng chính tả, số và dấu chấm câu một cách hiệu quả.
• Lưu ý: Không bao giờ ghi lại mật khẩu của bạn ở một nơi mà người khác không thể tiếp cận.

5) Số lần đăng nhập:

Hạn chế các nỗ lực của bạn để đảm bảo rằng bot hoặc thậm chí con người không thể đoán được mật khẩu của bạn. Họ có thể không đoán được mật khẩu của bạn sau 20-30 lần thử nhưng họ sẽ thành công sau nhiều lần thử. Nếu bạn đang sử dụng một mật khẩu phức tạp thì không. số lần thử sẽ cao hơn. Hạn chế số lần đăng nhập với một phù hợp plugin như Login LockDown sẽ ngăn các nỗ lực đoán mật khẩu.

6) Cập nhật WordPress:

Cập nhật wordpress dường như không liên quan gì đến bảo mật trang web nhưng phiên bản cũ hơn của wordpress dễ bị tấn công bởi mã độc. Báo cáo nói rằng gần 55% trang web đã bị tấn công vào năm 2015 là phiên bản WordPress đã lỗi thời. Wordpress cũng đã thông báo rằng tất cả các phiên bản wordpress trước 3.9.2 đều dễ dàng trở thành mục tiêu tấn công của cross-site scripting. Với mỗi bản phát hành mới của wordpress, họ xuất bản một hướng dẫn nhật ký thay đổi chi tiết, trong hướng dẫn nhật ký thay đổi, họ mô tả về mọi lỗi mà họ đã sửa. Nó giống như một cẩm nang dành cho tin tặc.

7) Cập nhật plugin:

Gần 21% blog wordpress bị hack pluginS. lỗi thời plugins dễ bị tấn công hơn thông qua các mã khác nhau do tin tặc tạo ra. Yếu hơn plugincó mã bị lỗi hoặc truy vấn SQL có thể được đưa vào để lấy dữ liệu và thông tin về trang web của bạn. Không cài đặt một plugin từ những nguồn không đáng tin cậy. Luôn thích tải xuống plugins từ trang web chính thức của wordpress để tránh bất kỳ vấn đề nào.

Đang cập nhật một plugin sẽ cho phép bạn ngăn các trang web của mình bị tấn công vì theo mặc định, wordpress đã cập nhật plugins có các tệp thực thi index.php được đính kèm với mỗi thư mục.

Theo mặc định, tệp htaccess thường được lưu vào bản cài đặt wordpress dưới dạng htaccess.default – nếu đúng như vậy thì hãy chỉnh sửa thủ công và đổi tên thành .htaccess. Trong một trường hợp rất hiếm nếu tệp .htaccess không có sẵn trong máy chủ của bạn thì hãy tạo một tài liệu văn bản theo cách thủ công và tải nó lên bằng tên “.htaccess”.

8) Hình ảnh xác thực:

Captcha là một chương trình ngăn chặn các trang web khỏi bot. Cho phép hình ảnh xác thực vào blog của bạn đảm bảo ngăn chặn bot và các chương trình tự động tạo thư rác trong blog của bạn. Sử dụng recaptcha trong blog của bạn giúp dễ dàng dự đoán rằng người dùng là người hoặc bot.

9) Tập tin Wp-config:

Nếu bạn đang sử dụng máy chủ với .htaccess, bạn có thể đặt tệp wp-config ở trên cùng để từ chối quyền truy cập của mọi người để lướt web.

Mặc dù có những lợi ích tối thiểu khi thực hiện bước này – tuy nhiên sẽ không hại gì nếu bạn cẩn thận hơn. wp-config là một tệp thường được tìm thấy trong thư mục gốc của bản cài đặt wordpress, nhưng việc di chuyển nó vào thư mục wp-include sẽ mang lại cho nó một lớp bảo vệ bổ sung. Người ta cần định cấu hình .htaccess để đảm bảo wordpress tìm thấy tệp. Giữ quyền tối thiểu cho tệp này – 400 hoặc 440 là đủ.

Tùy thuộc vào lưu trữ web của bạn – bước này có thể không phù hợp với bạn và trong trường hợp đó, chỉ cần hoàn nguyên về cách mọi thứ trước đây.

10) Sao lưu dữ liệu:

Sao lưu dữ liệu không giúp bạn ngăn chặn các cuộc tấn công nhưng nếu trang web của bạn bị tấn công thì tệp sao lưu này sẽ cho phép bạn khôi phục mọi thứ trong thời gian nhanh chóng.

Bạn nên thường xuyên sao lưu dữ liệu của mình bao gồm cả dữ liệu MySQL. Bản sao lưu này sẽ cho phép bạn xây dựng lại trang web của mình và cho bạn biết các sự cố khiến trang web của bạn bị xâm phạm.

Nhiều trang web đã phải đối mặt với vấn đề này vì họ không duy trì sao lưu dữ liệu thường xuyên. Cuối cùng họ đã từ bỏ việc xây dựng lại các trang web vì nếu không có bản sao lưu thì gần như không thể xây dựng lại một trang web.

11) Xóa không mong muốn plugin và chủ đề:

Một số chủ sở hữu trang web không biết thực tế là giữ một plugins và chủ đề cũng có thể mở ra cánh cổng cho tin tặc.
Mặc dù chúng không được kích hoạt nhưng chúng vẫn có thể cung cấp dữ liệu của bạn liên tục cho tin tặc. Tệp nguồn của họ vẫn còn trên máy chủ của bạn, điều này khiến trang web của bạn dễ bị tấn công. Tin tặc coi đây là một mục tiêu dễ dàng vì chủ sở hữu không chú ý nhiều đến bảo mật cho các chủ đề không sử dụng và pluginS. Bạn nên xóa vĩnh viễn plugins và các chủ đề mà bạn không sử dụng cho blog WordPress của mình nữa.

12) Giám sát:

Tuy nhiên, bạn có thể thực hiện các biện pháp phòng ngừa, vẫn có khả năng trang web của bạn có thể bị tấn công. Chờ cho trang web bị lây nhiễm và sau đó thực hiện các biện pháp không phải là một cách làm tốt. Luôn luôn có một số chủ đề, plugins, liên kết và các tệp khác có thể được sử dụng để truy cập vào trang web của bạn. Đó là lý do tại sao cài đặt bảo mật quét plugins rất quan trọng để quét thường xuyên blog của bạn và thông báo cho bạn nếu một số tệp của bạn đã thay đổi.

Chủ sở hữu trang web có thể giám sát trang web của họ thông qua các công nghệ khác nhau như: tiện ích hệ thống, kiểm soát sửa đổi và giám sát mức hệ điều hành. Bằng cách này, bạn có thể phản ứng và khôi phục trang web của mình nhanh hơn bằng cách lần theo dấu vết để lại.

13) Bảo vệ chống vi-rút và Tường lửa:

Nếu bạn đang cho phép phần mềm độc hại tấn công máy tính của mình và truy cập dữ liệu cá nhân dựa trên hoạt động internet của bạn thì đó là một mối đe dọa lớn. Mặc dù bạn đã áp dụng bảo mật cao trên wordpress và máy chủ web của mình, nhưng nếu máy tính của bạn bị nhiễm virus thì tin tặc vẫn có thể truy cập trang web của bạn. Luôn cài đặt phần mềm chống vi-rút, phần mềm độc hại và tường lửa tốt trên máy tính của bạn để ngăn máy tính bị tấn công. Trình duyệt web bạn sử dụng cũng nên được cập nhật để tránh bị tấn công. Nếu bạn đang sử dụng bất kỳ trang web không đáng tin cậy nào thì hãy luôn tắt javascipt/flash trong trình duyệt.

Cảnh báo : Đánh giá Incapsula 2016: Làm thế nào nó có thể làm cho trang web của bạn nhanh hơn

14) Bảo vệ thư mục wp-admin của bạn:

Thiết lập mật khẩu cho thư mục wp-admin trên trang web của bạn khác với tài khoản người dùng wordpress. Cho đến khi cung cấp kết hợp chính xác tên người dùng và mật khẩu, nó sẽ hiển thị lỗi “401 Trái phép” và ngăn không cho tải trang của bạn từ thư mục đó. Tên người dùng và mật khẩu cho thư mục đó không được giống với tài khoản wordpress của bạn, tạo thêm một lớp bảo mật cho blog của bạn. Bằng cách này, quản trị viên web có thể bảo vệ những tệp mà họ muốn có quyền truy cập hạn chế.

15) Bảo mật cơ sở dữ liệu:

Bạn không chỉ có thể thiết lập bảo mật cứng trên tệp của mình mà còn trên cơ sở dữ liệu để kiểm tra quyền. Thay đổi bảng Prefix của cơ sở dữ liệu wordpress từ wp_ sang một tên khác khó đoán hơn đối với tin tặc được coi là cách thực hành tốt để bảo mật dữ liệu của bạn. Nó có thể được thay đổi trong quá trình cài đặt, nếu bạn chưa thay đổi nó trong quá trình cài đặt thì đừng lo, bạn vẫn có thể thay đổi nó sau bằng cách bảo mật phù hợp plugin hoặc thông qua phpMyAdmin. Bạn cũng có thể sử dụng XSS và SQL injection để giữ an toàn cho dữ liệu của mình.

XSS cho phép bạn kiểm tra dữ liệu trước khi gửi và mã hóa để loại bỏ Html. Tin tặc cố gắng chuyển tập lệnh javascript/flash để chạy mã độc cho người đọc trang web của bạn.

Tin tặc sử dụng SQL injection để sử dụng trường tham số/biểu mẫu url để truy cập và thao tác cơ sở dữ liệu của bạn. Bạn có thể dễ dàng sử dụng các truy vấn được tham số hóa để ngăn chặn cuộc tấn công SQL injection trong hầu hết các ngôn ngữ web.

16) SSL:

SSL là một giao thức cho phép bạn mã hóa kết nối giữa máy chủ web của bạn và trình duyệt của người đọc. Nó ngăn bên thứ ba đọc dữ liệu của bạn trong khi tệp được truyền giữa máy chủ web, cơ sở dữ liệu và trang web.

Bạn có thể buộc đăng nhập qua SSL bằng cách chỉnh sửa tệp wp-config bằng cách:define('FORCE_SSL_ADMIN', true); Nó hoàn toàn phụ thuộc vào máy chủ lưu trữ web mà bạn sử dụng, nhưng hầu hết chúng đều cung cấp tiện ích này. Sau khi bạn nhận được chứng chỉ SSL, bạn cần tích hợp nó với trang web WordPress của mình.

Ngày nay, việc nhận chứng chỉ SSL khá dễ dàng và cũng là điều bắt buộc. Vì vậy, chúng tôi đã xuất bản một bài viết với một số tốt nhất Mã phiếu giảm giá SSL của GoDaddy mà bạn có thể sử dụng và tiết kiệm khi mua Chứng chỉ SSL cho trang web của mình. Nhấn vào đây để kiểm tra nó ra.

17) Vô hiệu hóa XML-RPC:-

Tất cả các phiên bản wordpress sau 3.5 đều được bật XML-RPC theo mặc định. Nó có thể là một mối đe dọa lớn cho an ninh trang web của bạn. Nói chung, hầu hết chủ sở hữu trang web không sử dụng xmlrpc cho bất kỳ mục đích nào. Bạn có thể xóa hoặc chặn tệp xmlrmc.php để nhận quyền truy cập từ tất cả người dùng.

18) Tắt pingback và trackback:

Pingback và trackback có thể được sử dụng để thực hiện các cuộc tấn công DDos vào trang web của bạn. Vì vậy, tốt nhất là tắt pingback đến từ các trang web khác:

Đi tới cài đặt-> thảo luận và chỉ cần bỏ chọn hộp có nội dung: cho phép thông báo từ các blog khác (pingback và trackback) về các bài viết mới.

19) Phát hiện phần mềm độc hại:

Phần mềm độc hại là phần mềm xâm nhập bao gồm các tập lệnh web độc hại để lây nhiễm Trang web của bạn. Bất kỳ chủ sở hữu Web nào cũng không muốn bị phần mềm độc hại tấn công vào trang web của mình vì nó ảnh hưởng đến thứ hạng và độ tin cậy của blog của bạn. Luôn đọc thường xuyên trên GSC (Google search console) và các trang web bảo mật về phần mềm độc hại gần đây đang chạy và giải pháp ngăn chặn phần mềm độc hại đó cho trang web của bạn.

20) Ẩn quản trị wordpress / tên đăng nhập:

Bạn đang phạm sai lầm lớn đối với bảo mật trang web của mình nếu bạn không ẩn tên quản trị viên của mình. Nếu tin tặc tìm ra tên người dùng quản trị của bạn thì việc xâm phạm trang web của bạn sẽ đơn giản hơn rất nhiều thông qua tấn công vũ phu.

Bạn có thể ẩn tên người dùng wordpress của mình bằng cách chạy các mã sau trong tệp tin.php: -

add_action('template_redirect', 'bwp_template_redirect');

chức năng bwp_template_redirect()

{ if(is_author( ))

{

Wp_redirect(home_url());

lối thoát;

}

}

Bạn cũng có thể sử dụng bảo mật wordpress plugins để thực hiện nhiệm vụ này.

Bạn nên nhớ rằng blog wordpress là trang web yêu thích của tin tặc. Khi công nghệ đang phát triển để ngăn chặn các cuộc tấn công này, chúng cũng đang tạo ra những cách thức mới để xâm nhập vào trang web của bạn. Họ có thể lấy cắp thông tin và dữ liệu của bạn và sử dụng sai mục đích theo nhiều cách. Họ có thể sử dụng máy chủ của bạn cho mục đích bất hợp pháp của họ, họ có thể sử dụng trang web của bạn để chạy chiến dịch spam, họ có thể sử dụng trang web của bạn cho những việc như phân phối phần mềm độc hại và tấn công SEP và thông tin tài khoản cá nhân của bạn có thể được sử dụng để đánh cắp tiền từ tài khoản ngân hàng của bạn . Dù mục đích đằng sau vi phạm bảo mật là gì, bạn không muốn bất kỳ ai khác truy cập trang web của mình. Nếu bạn chưa thiết lập bảo mật cứng cho blog wordpress của mình thì đó là một lý do lớn để lo lắng. Nếu trang web của bạn bị tấn công thì thứ hạng trang web của bạn và SEO của nó cũng bị suy giảm đáng kể vì mọi người không muốn truy cập trang web bị tấn công và đe dọa trang web của chính họ, điều này gần như không thể xây dựng lại.

Các phương pháp bảo mật này sẽ cho phép bạn bảo mật dữ liệu của mình để bạn có thể yên tâm ngủ mà không phải lo lắng về bảo mật trang web của mình.

Làm thế nào để bạn tìm thấy bài đăng này hữu ích? Nếu bạn có bất kỳ nghi ngờ và đề xuất nào, vui lòng chia sẻ quan điểm của bạn với tôi.