• Tạo CSR
  • SSL Checker
  • DNS Checker
  • View IP
  • Whois Domain
  • Diễn Đàn Hỏi Đáp
Đỗ Trung Quân
Banner
  • Trang chủ
  • ControlPanel
    • cPanel
    • DirectAdmin
    • Cyber Panel
    • aaPanel
    • FASTPANEL
    • VestaCP
  • WordPress
  • Linux
    • CloudLinux
    • RHEL/CENTOS
    • Ubuntu/Debian
    • Linux Tutorial
    • Mail Server
  • DevOps
    • Ansible
    • Docker
    • Jenkins
    • K8s
    • Zabbix
  • Domain-SSL
    • Domain
    • SSL
  • Dịch vụ
    • Dịch vụ cài đặt tối ưu VPS/Server
    • Dịch vụ WordPress
    • Xác minh cài đặt SSL
    • Dich vụ Backlink
  • Liên Hệ

13 cách bảo vệ website WordPress bạn luôn an toàn

by Mr Quan 15 Tháng Mười, 2018
written by Mr Quan Published: 15 Tháng Mười, 2018Last Updated on 6 Tháng Tám, 2022 3 comments 312 views

NỘI DUNG:

  • 1. Không nên sử dụng tài khoản tên ADMIN
  • 2. Sử dụng mật khẩu phức tạp
  • 3. Cập nhật WordPress lên bản mới nhất
  • 4. Chọn nhà cung cấp Server Hosting uy tín
  • 5. Phân quyền, bảo vệ file và thư mục
  • 6. Hạn chế và sử dụng Plugin
  • 7. Thay đổi URL đăng nhập
  • 8. Tắt chức năng File Editing mặc định của WordPress
  • 9. Thay đổi prefix table
  • 10. Trang bị SSL cho website
  • 11. Kiểm tra dữ liệu trước khi upload lên hosting
  • 12. Scan virus định kỳ
  • 13. Sao lưu dữ liệu định kỳ

Sau khi hoàn hiện một blog WordPress, ngoài việc tiến hành tối ưu hóa công cụ tìm kiếm và lên kế hoạch phát triển nội dung, thì chúng ta còn một việc nữa rất quan trọng trong quá trình tồn tại của một website, đó là bảo mật website.

Khi làm website thì ai cũng phải trải qua các giai đoạn này để củng cố kinh nghiệm, nhưng điều đó không có nghĩa là cứ để như vậy cho website bị tấn công, mà bạn có thể bảo mật website tốt hơn để hạn chế tối đa cơ hội tấn công.

Sau đây là 13 cách cơ bản để bạn bảo vệ Website của mình.

1. Không nên sử dụng tài khoản tên ADMIN

Mặc định user đăng nhập WordPress sẽ là admin, nhưng bạn hãy thay đổi nó, vì để user admin rất dễ bị dò.

bảo vệ website WordPress bạn luôn an toàn

2. Sử dụng mật khẩu phức tạp

Bạn hãy hiểu đơn giản mật khẩu như ổ khoá nhà của bạn vậy. Bạn đặt quá đơn giản thì kẻ trộm vào nhà bạn rất dễ dàng. Chính vì thể bạn hãy đặt mật khẩu có độ phức tạp cao, để đảm bảo web luôn anh toàn.

Làm trong lĩnh vực này nhiều năm. Mình gặp thường xuyên và khá nhiều bạn đặt mật khẩu dạng ( 123456, 12345678, 123, 12345678a …) Và sau đó web bị hack hết dữ liệu, kẻ xấu cài mã độc vào và âm thầm phá hoại website của bạn.

Tốt hơn hết hãy đặt mật khẩu phức tạp bao gồm (Chữ Hoa + Chữ Thường + Số + Ký tự đặc biệt)

VD: O8u02t*tEcQ$, fK3$054eG@C^

  • Tạo mật khẩu ngẫu nhiên tại đây
anh 18

3. Cập nhật WordPress lên bản mới nhất

Là một webmaster (quản trị web) thì bạn hãy cập nhật lên bản mới nhất khi được WordPress thông báo. Các bản mới sẽ vá các lỗ hổng bảo mật ở bản cũ vả cải thiện tính năng. Do đó bạn cứ cập nhật lên mới nhất nhé.

Ở các bạn WordPress mới bạn có thể bật tự động cập nhật. Hoặc bạn thêm đoạn mã sau vào file wp-config.php để tự động cập nhật.

define('WP_AUTO_UPDATE_CORE', true);
wordpress update

4. Chọn nhà cung cấp Server Hosting uy tín

Việc chọn Hosting rất quan trọng, hosting giúp website vận hành tốt, và tất nhiên việc bảo mật phải đặt lên hàng đầu, vì đâu biết rằng Website bạn rất nhiều thông tin quan trọng.

Hiện tại ở Việt Nam có rất nhiều nhà cung cấp dịch vụ Server Hosting, rất khó để bạn lựa chọn và mình có sẵn một bài viết Top các nhà hosting tốt nhất năm 2022. Mời các bạn xem qua và lựa chọn

  • TOP 10 hosting tốt nhất 2022
top 10 nha cung cap hosting viet nam

5. Phân quyền, bảo vệ file và thư mục

File .htaccess được dùng để cấu hình cho các liên kết WordPress được hoạt động. Không có các lệnh đúng trong .htaccess bạn sẽ gặp rất nhiều lỗi 404.

Rất nhiều người không biết .htaccess có thể tăng tính bảo mật website WordPress. Ví dụ, với .htaccess, bạn có chặn truy cập hoặc vô hiệu việc thực thi PHP trên một thư mục được chỉ định. Bên dưới là cách giúp bạn làm thế nào để dùng .htaccess để tăng tính bảo mật của WordPress.

  • Chặn truy cập đến wp-admin

Đoạn mã bên dưới giúp bạn chặn truy cập vào WordPress Administrator và chỉ cho phép một số địa chỉ IPs được chỉ định ở mục allow:

Lưu ý: Thay xx.xx.xx.xx bằng IP mà bạn cho phép. Để xác định IP bạn có thể vào trang viewip.info để kiểm tra.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx
</LIMIT>
  • Tắt khả năng thực thi PHP trong thư mục được chỉ định

Kẻ tấn công thích upload các scripts độc hại lên thư mục WordPress. Mặc định thư mục này được dùng để chứa file đa phương tiện. Vì vậy nó không nên được dùng để chứa file PHP. Bạn có thể dễ dàng vô hiệu chức năng thực thi PHP bằng cách tạo một file .htaccess trong thư mục /wp-content/uploads/ với các lệnh như sau:

<Files *.php>
deny from all
</Files>
  • Bảo vệ WordPress file wp-config.php

wp-config.php file chứa các cài đặt WordPress cốt lõi và thông tin chi tiết MySQL databases. Vì vậy đây là một file WordPress quan trọng nhất, cũng là file chính mà hacker thường nhắm tới để tấn công WordPress. Tuy nhiên, bạn có thể dễ dàng bảo vệ file này bằng lệnh sau trong .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

6. Hạn chế và sử dụng Plugin

  • Tuyệt đối không sử dụng Themes và Plugins nulled
ma doc plugin null

Nếu bạn đang có ý định hoặc đã và đang sử dụng các bản nulled (crack) thì tốt hơn hết bạn hãy gở nó ra ngay nhé. Vì biết đâu các bản nulled này khi bạn cài vào sẽ được “khuyến mãi” thêm mã độc trong đó. Với web production thì chắc hẵn bạn không muốn điều này xảy ra.

  • Xóa bớt Themes và Plugins không dùng tới hoặc đã lỗi thời

Dọn dẹp site WordPress của bạn và xóa những plugins hoặc themes không sử dụng cũng là một cách tốt để bảo mật cho WordPress. Hacker có thể quét những themes và plugins lỗi thời (kể cả plugin chính thức của WordPress) để truy cập vào trang Dashboard và upload phần mềm độc hại lên server của bạn. Bằng cách xóa plugins và themes bạn đã ngừng sử dụng (hoặc quên cập nhật) từ lâu, bạn đã giảm nguy cơ bị tấn công và giúp WordPress Site của bạn trở nên bảo mật hơn.

7. Thay đổi URL đăng nhập

Đường dẫn đăng nhập vào admin WordPress sẽ là https://my-domain/wp-admin. Tuy nhiên mình khuyên các bạn hãy thay đổi nó để tăng cương bảo mật hơn.

anh 20

Bạn có thể thay đổi trong code, tuy nhiên nếu bạn không tự tin về code thì cách đơn giản là sử dụng Plugin để hỗ trợ việc này như iThemes Security hoặc WPS Hide Login

anh 21

8. Tắt chức năng File Editing mặc định của WordPress

Như các bạn đã biết, WordPress mặc định đã cho phép chúng ta có thể chỉnh sửa file ở trong phần quản trị admin. Mặc dù rất tiện lợi, nhưng nó cũng là con dao 2 lưỡi gây hại nếu hacker đang tìm cách tấn công chúng ta.

Nếu hacker có quyền truy cập vào trong trang quản trị dashboard của bạn, điều đầu tiên hắn nghĩ tới sẽ là File Editors, nhiều người dùng WordPress đã tắt hoàn toàn chức năng này ngay từ khi cài đặt để tăng tính bảo mật WordPress files. Bằng cách là thêm vào trong file cấu hình wp-config.php đoạn code dưới đây:

define( 'DISALLOW_FILE_EDIT', true );

9. Thay đổi prefix table

Mở tệp wp-config.php của bạn nằm trong thư mục gốc WordPress của bạn. Bạn sẽ thấy dòng prefix từ wp_. Đây là mặc định của WordPress và bạn hãy đổi nó đi để an toàn hơn.

Nếu bạn chưa biết cách thay đổi hãy xem bài viết sau để thay đổi.

  • Hướng dẫn thay đổi Prefix trên phpMyAdmin
$table_prefix = 'wpdtq_';
CleanShot 2022 08 06 at 15.34.48@2x

10. Trang bị SSL cho website

SSL là cái không thể thiếu khi bạn thiết lập website. Hầu hết các Control Panel hay kịch bản script được cài trên Server Hosting đều có sẵn SSL miễn phí. Nếu bạn đang tìm kiếm cách cài hãy xem qua trang Caissl.com nhé. Website chia sẽ về SSL

huong dan cai dat ssl mien phi bao mat website

11. Kiểm tra dữ liệu trước khi upload lên hosting

Bước này khá quan trọng, nếu file bạn vị nhiễm virus, shell thì khi upload file lên hosting đồng nghĩa với virus sẽ theo lên luôn. Vì vậy bạn nên tập thói quen kiểm tra cẩn thận các file trước khi upload lên hosting. Nếu không có kinh nghiệp bạn có thể sử dụng qua công cụ virustotal để scan.

nhung dau hieu cho thay may tinh cua ban dang bi nhiem virus 1

12. Scan virus định kỳ

Bạn nên lựa chọn nhà đăng ký Hosting mà được trang bị sẵn ứng dụng scan mã độc như cpguard, Imunify360 để tốt hơn.

anh 19

Ngoài ra bạn có thể trang bị Plugin có tên Wordence để scan mã độc và bảo vể website tốt hơn.

wordfence

13. Sao lưu dữ liệu định kỳ

anh 22

Đây là bước rất quan trọng, việc backup định kỳ giúp bạn có thể bảo vệ toàn bộ website tại thời điểm đó, phòng trướng hợp xấu xãy ra. Mặc định nhà cung cấp luôn backup giúp bạn, tuy nhiên bạn cần backup riêng cho mình 1 vài bản theo tuần hoặc tháng.

  • 5 lý do tại sao bạn nên backup dữ liệu website thường xuyên
5/5 - (2 bình chọn)

Hãy tham gia Nhóm Hỗ Trợ VPS Hosting để cùng học hỏi và trao đổi kiến thức nhé. Chúc bạn thành công.

bảo mật websitebảo mật wordpresswordpress
Share 0 FacebookTwitterPinterestTelegramEmail
Mr Quan

Mình tên là Đỗ Trung Quân, hiện đang công tác tại AZDIGI với vị trí là SysAdmin. Mình đam mê viết Blog. Vì viết Blog giúp mình trau dồi được nhiều kỹ năng. Học hỏi thêm nhiều kiến thức mới, từ đó mình có thể chia sẻ đến các bạn các bài viết tài liệu bổ ích hơn. Hiện tại mình là admin của Blog dotrungquan.info - linuxcanban.com - it.info.vn. Mới đây mình có tạo ra một Nhóm Hỗ Trợ VPS Hosting với mục đích gây dựng một cộng đồng nhỏ để mọi người trao đổi kinh nghiệm, kiến thức quản trị VPS. Các thủ thuật, mẹo vặt khi sử dụng VPS. Rất mong nhận được sự ủng hộ của các bạn.

Bạn sẽ thích bài viết này

Hướng dẫn nâng cấp theme Flatsome lên bản...

31 Tháng Mười Hai, 2022

Hướng dẫn ngăn chặn Copy trên website WordPress

30 Tháng Mười Hai, 2022

Tăng tốc website WordPress với WP Fastest Cache

21 Tháng Mười Hai, 2022

Xóa bỏ đuôi ?v=e14da64a5617 sau tên miền trong...

9 Tháng Mười, 2022

Xử lý lỗi temp-write-test trong WordPress

6 Tháng Chín, 2022

Hướng dẫn sửa lỗi Scrape key check failed....

5 Tháng Tám, 2022

Hướng dẫn kết nối QUIC cloud LiteSpeed Cache...

28 Tháng Bảy, 2022

Cách ẩn thông báo “PHP Update Required” trên...

25 Tháng Bảy, 2022

Hướng dẫn dọn dẹp bảng postmeta trong WordPress

21 Tháng Bảy, 2022

Xử lý lỗi “The uploaded file could not...

20 Tháng Bảy, 2022
Theo dõi
Đăng nhập
Thông báo của
guest
guest
3 Comments
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận
wpdiscuz   wpDiscuz

Nhóm Hỗ Trợ Hosting VPS

Nhóm Hỗ Trợ VPS Hosting

Tin Khuyến Mãi

Thông tin về tôi

Thông tin về tôi

Mình tên là Đỗ Trung Quân, hiện đang công tác tại AZDIGI với vị trí là SysAdmin. Mình đam mê viết Blog. Vì viết Blog giúp mình trau dồi được nhiều kỹ năng. Học hỏi thêm nhiều kiến thức mới, từ đó mình có thể chia sẻ đến các bạn các bài viết tài liệu bổ ích hơn.

Facebook Instagram Youtube Telegram

BÀI VIẾT PHỔ BIẾN

  • 1

    Hướng dẫn sử dụng Docker trên AAPANEL

  • 2

    Hướng dẫn cấu hình AZ Redis tại AZDIGI

  • 3

    Hướng dẫn cài đặt Mautic trên AAPANEL

  • 4

    Đăng ký hosting miễn phí tại AZDIGI

Phản hồi gần đây

  • Mr Quan trong Sitemap error on line 2 at column 6 XML declaration allowed only at the start of the document
  • qang thực trong Sitemap error on line 2 at column 6 XML declaration allowed only at the start of the document
  • Hồng Quang trong Khắc phục lỗi Import Woocommerce Product CSV WordPress
  • Quân trong Khai Lộc Đầu Xuân – Ưu đãi 50%, ra mắt Pro Hosting phiên bản NVMe

Top Commentators

  • Anh Quân Anh Quân (129)
  • nghĩa nghĩa (8)
  • Bùi Đức Hiệp Bùi Đức Hiệp (7)
  • David Do David Do (7)
  • Bamboo Bamboo (5)
  • Bình Minh Bình Minh (5)
  • Cai Việt Hoàng Cai Việt Hoàng (5)
  • Duc Thuan Duc Thuan (5)

BẠN BÈ & ĐỐI TÁC

Thạch Phạm | aaPanel | Linux Căn Bản | Bảo Trần | Trương Quốc Cường | VPS Căn Bản | Nguyễn Hoàng Nam | Đàm Trung Kiên | CaiSSL.com

Hosting/VPS được tài trợ bởi AZDIGI - Nhà cung cấp Server Hosting tốt nhất hiện nay

Bạn được quyền sao chép lại nội dung trên website Đỗ Trung Quân, miễn là có dẫn nguồn.


Back To Top
Đỗ Trung Quân
  • Trang chủ
  • ControlPanel
    • cPanel
    • DirectAdmin
    • Cyber Panel
    • aaPanel
    • FASTPANEL
    • VestaCP
  • WordPress
  • Linux
    • CloudLinux
    • RHEL/CENTOS
    • Ubuntu/Debian
    • Linux Tutorial
    • Mail Server
  • DevOps
    • Ansible
    • Docker
    • Jenkins
    • K8s
    • Zabbix
  • Domain-SSL
    • Domain
    • SSL
  • Dịch vụ
    • Dịch vụ cài đặt tối ưu VPS/Server
    • Dịch vụ WordPress
    • Xác minh cài đặt SSL
    • Dich vụ Backlink
  • Liên Hệ
wpDiscuz