NỘI DUNG
Tăng cương bảo mật WordPress với WordPress Manager đảm bảo website của bạn luôn được an toàn
Website WordPress thường là mục tiêu tấn công của tin tặc, nhưng với WordPress Manager của Softaculous, bạn có thể sử dụng các tính năng bảo mật giúp trang WordPress của mình an toàn hơn. Bài viết này sẽ hướng dẫn từng bước cách áp dụng các biện pháp bảo mật trên WordPress Manager để bảo vệ trang web của bạn.
WordPress Manager cung cấp thông tin chi tiết về từng bản cập nhật bảo mật được khuyến nghị, cho phép bạn cập nhật mà không cần dùng plugin. Nếu có bất kỳ thay đổi nào ảnh hưởng đến hoạt động của website, bạn cũng có thể dễ dàng hoàn tác chúng.
Lưu ý: Tính năng này được bổ sung từ phiên bản Softaculous 5.9.2.
Cách truy cập WordPress Manager
Trong hướng dẫn này tôi sử dụng cPanel để viết hướng dẫn. Sau khi bạn đã truy cập vào được bên trong cPanel bạn chọn vào tính năng WordPress Manager by Softaculous
Sau đó bạn chọn vào All Installations(1) => Chọn website và click vào biểu tượng WordPress(2)
Tăng cương bảo mật WordPress với WordPress Manager
Với Trình quản lý WordPress của softaculous, các Biện pháp bảo mật có thể được áp dụng cho một hoặc nhiều trang WordPress bằng cách chọn hộp kiểm ngoài cùng bên phải bên cạnh các cài đặt WordPress mong muốn.
Dưới đây là các biện pháp bảo mật mà WordPress Manager cung cấp để bảo vệ trang web WordPress của bạn. Bạn có thể sử dụng bằng cách tick vào các tuỳ chọn và chọn Apply. Và tôi sẽ giải thích từng truy chọn để bạn dễ dàng nắm được từng chức năng bảo mật này.
1. Change default administrator’s username (Thay đổi tên người dùng quản trị mặc định)
Nếu tên người dùng quản trị là “admin”, trang của bạn có thể gặp nguy cơ bị tấn công brute-force. Tùy chọn bảo mật này sẽ thay đổi tên người dùng từ “admin” sang một tên ngẫu nhiên an toàn hơn. Bạn có thể đăng nhập vào tài khoản mới qua nút “Login” trong WordPress Manager.
2. Restrict access to files and directories (Hạn chế truy cập vào các tệp và thư mục)
Quyền truy cập không an toàn vào các tệp và thư mục có thể dẫn đến việc bị tấn công. Tùy chọn này sẽ đặt quyền cho tệp wp-config.php thành 0600, các tệp khác thành 0644 và các thư mục thành 0755.
3. Block unauthorized access to xmlrpc.php (Chặn truy cập vào xmlrpc.php)
Việc chặn quyền truy cập vào xmlrpc.php
giúp bảo vệ trang web khỏi các cuộc tấn công DDoS và khai thác.
Lưu ý: Một số thiết lập .htaccess tùy chỉnh có thể ghi đè tùy chọn này.
4. Block access to .htaccess and .htpasswd (Chặn truy cập vào .htaccess và .htpasswd)
Tùy chọn này đảm bảo rằng các tệp .htaccess
và .htpasswd
không thể truy cập công khai, ngăn chặn các cuộc tấn công tiềm ẩn.
5. Turn off pingbacks (Tắt Pingbacks)
Pingbacks có thể bị lạm dụng để thực hiện các cuộc tấn công DDoS. Tùy chọn này sẽ tắt hoàn toàn pingbacks cho website và các bài đăng trước đó.
6. Disable file editing in WordPress Dashboard (Vô hiệu hóa chỉnh sửa tệp trong bảng điều khiển WordPress)
Tắt tính năng chỉnh sửa tệp giúp ngăn chặn các tài khoản admin bị tấn công chỉnh sửa tệp plugin hoặc theme để thêm mã độc.
7. Block author scans (Chặn quét tài khoản quản trị)
Tính năng này ngăn các cuộc quét nhằm tìm kiếm tên người dùng của quản trị viên để thực hiện tấn công brute-force.
Lưu ý: Tùy chọn này có thể ngăn truy cập vào các trang liệt kê bài viết theo tác giả.
8. Block directory browsing (Chặn duyệt thư mục)
Tùy chọn này sẽ vô hiệu hóa việc duyệt thư mục, tránh việc tin tặc thu thập thông tin quan trọng về trang web.
9. Forbid execution of PHP scripts in the wp-includes directory (Ngăn chặn thực thi các tệp PHP trong thư mục wp-includes)
Thư mục wp-includes có thể chứa các tệp PHP không an toàn. Tùy chọn này chặn thực thi các tệp PHP tại đây.
Lưu ý: Một số thiết lập .htaccess tùy chỉnh có thể ghi đè tùy chọn này.
10. Forbid execution of PHP scripts in the wp-content/uploads directory (Ngăn chặn thực thi các tệp PHP trong thư mục wp-content/uploads)
Tương tự như trên, tùy chọn này sẽ ngăn chặn thực thi tệp PHP trong thư mục wp-content/uploads
, giúp hạn chế nguy cơ bị khai thác.
11. Disable scripts concatenation for WordPress admin panel (Vô hiệu hóa nối chuỗi script trong bảng điều khiển WordPress)
Tắt tính năng nối chuỗi script có thể giúp giảm thiểu nguy cơ các cuộc tấn công DoS. Mặc dù có thể ảnh hưởng một chút đến hiệu suất bảng điều khiển, nó sẽ không ảnh hưởng đến trải nghiệm của khách truy cập.
12. Block access to sensitive files (Chặn truy cập vào các tệp nhạy cảm)
Tùy chọn này ngăn chặn truy cập vào một số tệp chứa thông tin nhạy cảm, chẳng hạn như thông tin kết nối.
13. Enable bot protection (Bật bảo vệ chống bot)
Tính năng này chặn các bot xấu, hạn chế các yêu cầu không mong muốn gây lãng phí tài nguyên và tăng cường bảo mật.
Lưu ý: Nếu bạn cần sử dụng dịch vụ quét lỗ hổng, có thể tắt tạm thời tùy chọn này để tránh việc chặn bot.
Kết luận
Với những tùy chọn bảo mật từ WordPress Manager của Softaculous, bạn có thể dễ dàng quản lý và cải thiện bảo mật cho website của mình. Hãy thực hiện từng bước trên để đảm bảo website của bạn được bảo vệ tối đa trước các mối đe dọa.
Hy vọng bài viết này sẽ giúp bạn hiểu rõ hơn về các tính năng bảo mật của WordPress Manager và ứng dụng chúng một cách hiệu quả để bảo vệ website của bạn.