Trang chủ » WordPress » 10 mẹo nhỏ được biết đến, siêu hiệu quả để bảo mật Blog WordPress của bạn

    10 mẹo nhỏ được biết đến, siêu hiệu quả để bảo mật Blog WordPress của bạn

    Nhận được một blog bị hack và mất nhiều năm sau nhiều năm làm việc blog là một thực tế đáng buồn mà mọi người thực sự đã trải qua. Trên thực tế, nghiên cứu cho thấy rằng 37.000 trang web bị tấn công mỗi ngày và với WordPress cung cấp khoảng 25,4% cho tất cả các trang web, bạn có thể chắc chắn rằng rất nhiều blog WordPress bị hack mỗi ngày.

    Bảo mật WordPress là một trò chơi bóng hoàn toàn khác nhau; một khi bạn sở hữu một blog WordPress, các mẹo như có một tên người dùng khó đoán và mật khẩu khó như đá là không còn đủ. Một chủ đề lỗi đơn, plugin sai hoặc tệp được bảo vệ không chính xác có thể dẫn đến blog của bạn bị hack qua đêm.

    Cho dù bạn chưa có kinh nghiệm với WordPress hoặc bạn đã sử dụng nền tảng kể từ khi nó tồn tại, bài viết này có 10 cách thực tế và siêu hiệu quả để bảo mật blog WordPress của bạn mà bất cứ ai cũng có thể thực hiện. Bạn sẽ không tìm thấy hầu hết các mẹo này trong các bài viết "cách bảo mật blog" phổ biến của mình, nhưng chúng rất có thể lưu blog của bạn một ngày nào đó!

    1. Vô hiệu hóa WordPress Theme & Plugin Editor

    WordPress có một tính năng tiện dụng giúp chủ sở hữu trang web linh hoạt hơn bằng cách cho phép họ tùy chỉnh và chỉnh sửa các chủ đề và plugin của họ ngay từ bảng điều khiển WordPress, nhưng tính năng này đã được hoàn tác trong hầu hết các blog.

    Với tính năng này, một một lỗi nhỏ có thể làm sập trang web của bạn và khóa bạn khỏi trang web của chính bạn. Tin tặc có thể dễ dàng chèn mã độc vào chủ đề của bạn để cấp cho chúng quyền truy cập ngược vào trang web của bạn hoặc thậm chí chiếm quyền hoàn toàn trang web của bạn, bằng cách giành quyền kiểm soát tài khoản có đủ đặc quyền để sử dụng trình chỉnh sửa chủ đề và plugin.

    Bạn có thể tự bảo vệ mình bằng cách vô hiệu hóa plugin và trình chỉnh sửa chủ đề, làm cho không thể sửa đổi các chủ đề và plugin của bạn mà không có quyền truy cập FTP.

    Thực hiện việc này bằng cách thêm mã sau vào tệp wp-config.php của bạn:

    định nghĩa ('DISALLOW_FILE_EDIT', đúng);

    2. Kích hoạt xác thực hai yếu tố

    Xác thực hai yếu tố đang nhanh chóng trở thành một trong những cách đáng tin cậy nhất để bảo vệ tài khoản trực tuyến của bạn và hầu hết các trang web đáng tin cậy sẽ nhấn mạnh rằng người dùng của họ kích hoạt nó.

    Mặc dù WordPress không nhất thiết phải có xác thực hai yếu tố được tích hợp, nhưng bạn có thể kích hoạt xác thực hai yếu tố trên blog của mình bằng cách cài đặt các plugin sau:

    • Trình xác thực Google
    • Tự động
    • Khóa kéo
    • Rublon

    3. Giới hạn đăng nhập dựa trên số lần thử thất bại

    Có nhiều cách tin tặc cố gắng truy cập vào blog của bạn và một trong những kỹ thuật phổ biến nhất được sử dụng là tấn công tàn bạo: tin tặc thử kết hợp tên người dùng và mật khẩu, lặp đi lặp lại, cho đến khi anh ta có thể truy cập thành công blog của bạn.

    Theo mặc định, WordPress không được bảo vệ chống lại cuộc tấn công này. Bằng cách cài đặt các plugin giới hạn đăng nhập sau một số lần thử thất bại nhất định từ một IP cụ thể, bạn có thể khiến tin tặc gặp khó khăn hơn nhiều trong việc truy cập vào blog của bạn.

    Plugin Jetpack Protect Module cũng có thể bảo vệ bạn khỏi các cuộc tấn công bruteforce.

    4. Thường xuyên quét Blog của bạn

    Các tệp chủ đề, plugin, liên kết và các yếu tố dường như vô hại khác có thể được sử dụng để có quyền truy cập vào blog của bạn. Đừng đợi cho đến khi trang web của bạn bị nhiễm hoàn toàn trước khi bạn thực hiện các biện pháp. Thay vào đó, hãy cài đặt các plugin quét bảo mật để thường xuyên quét trang web của bạn và thông báo cho bạn nếu các tệp của bạn thay đổi.

    Một ví dụ điển hình của plugin quét bảo mật là Wordfence. Bên cạnh việc cung cấp cho bạn tùy chọn quét thủ công / tự động blog WordPress của bạn, nó cũng ngay lập tức thông báo cho bạn khi hoạt động đáng ngờ đang diễn ra trên blog của bạn.

    Nó cũng gửi thông tin về các bình luận có khả năng độc hại, và nó so sánh các tập tin chủ đề và plugin của bạn với kho lưu trữ WordPress để cho bạn biết nếu phiên bản plugin hoặc chủ đề của bạn đã được sửa đổi và có khả năng đóng vai trò là cửa hậu cho tin tặc vào trang web của bạn.

    Các plugin bảo mật khác có thể giúp bạn quét blog để tìm phần mềm độc hại và khai thác là:

    • Máy quét an ninh Sucuri
    • Bảo mật Acunetix WP
    • iTheme Security (trước đây gọi là "Bảo mật WP tốt hơn")

    5. Thay đổi máy chủ của bạn

    Trong khi điều này nghe có vẻ như lời khuyên đơn giản, nó thực sự có rất nhiều trọng lượng. Nghiên cứu cho thấy 41% các trang web WordPress bị hack là bị tấn công thông qua lỗ hổng bảo mật trên nền tảng lưu trữ của họ. Đây là nhiều hơn so với từ các nguồn khác, bao gồm cả mật khẩu yếu.

    Máy chủ của bạn có thể đóng một vai trò quan trọng trong việc bạn sẽ bị hack hay không; đảm bảo bạn chỉ tìm kiếm các máy chủ web đáng tin cậy đã đứng trước thử thách của thời gian và đó tuân thủ các thông lệ tốt nhất trong ngành.

    6. Ẩn số phiên bản WordPress của bạn

    Theo mặc định, WordPress hiển thị số phiên bản WordPress của bạn; điều này giúp WordPress dễ dàng theo dõi xem có bao nhiêu blog WordPress đang hoạt động trên toàn thế giới. Tuy nhiên, đây cũng có thể là một nguồn vấn đề lớn; tin tặc và bot có thể quét web cho blog sử dụng số phiên bản WordPress có lỗ hổng đã biết, làm cho bạn trở thành một mục tiêu dễ dàng.

    Bạn có thể dễ dàng giải quyết vấn đề này bằng cách ẩn số phiên bản WordPress của bạn. Để ẩn số phiên bản WordPress của bạn, chỉ cần thêm đoạn mã sau vào tệp tin.php.

    add_filter ('the_generator', '__return_null');

    7. Vô hiệu hóa các báo cáo lỗi PHP

    Khi một plugin hoặc chủ đề không hoạt động tốt trên blog WordPress của bạn, các báo cáo lỗi PHP có thể giúp đỡ bằng cách hiển thị cho bạn một thông báo tiết lộ nguyên nhân gây ra lỗi. Tuy nhiên, trong ưu điểm này có một nhược điểm: khi lỗi PHP được báo cáo, nó bao gồm đường dẫn máy chủ đầy đủ của lỗi, tiết lộ thông tin tin tặc có thể sử dụng để chống lại bạn.

    Bạn có thể tự bảo vệ mình bằng cách vô hiệu hóa báo cáo lỗi PHP. Chỉ cần thêm mã sau vào tệp wp-config.php của bạn:

     lỗi thông báo (0); @ini_set ('display_errors', 0);

    8. Làm việc trên Quyền tệp WordPress của bạn

    Khi nói đến việc ngăn chặn trang web WordPress của bạn khai thác bảo mật, điều cần thiết là đảm bảo rằng bạn có quyền truy cập tệp đúng. Điều này gây khó khăn cho tin tặc thao túng các plugin, chủ đề hoặc tệp trên máy chủ của bạn để chiếm lấy trang web của bạn.

    Hãy chắc chắn rằng WordPress thư mục quyền được đặt thành 755 hoặc 750; tập tin quyền được đặt thành 640 hoặc 644; và quyền wp-config.php được đặt thành 600.

    9. Đảm bảo sao lưu thường xuyên

    Ngay cả các trang web lớn với đội ngũ chuyên gia bảo mật và chuyên gia tư vấn cũng bị hack và trong khi thực hiện theo các thực tiễn tốt nhất có thể làm cho trang web của bạn mạnh hơn 99,9% trang web, mọi thứ vẫn có thể bị hỏng.

    Bảo mật tốt nhất bạn có để chống lại các cuộc tấn công hack WordPress là một bản sao lưu tốt; đảm bảo bạn đang thực hiện sao lưu trang web của mình một cách thường xuyên - nếu có thể, hàng ngày. Bằng cách này, nếu trang web của bạn bị hack, bạn có sẵn các tệp của mình và có thể khôi phục lại mọi thứ ngay lập tức.

    Dưới đây là một số plugin sao lưu WordPress tốt nhất:

    • BackUpWordPress
    • Sẳn sàng! Sao lưu
    • VaultPress
    • Sao lưu

    10. Giới hạn quyền truy cập vào trang đăng nhập của bạn

    Khi đẩy đến xô đẩy, bạn có thể phải thực hiện một số hành động quyết liệt. Một cách rất đáng tin cậy để bảo vệ blog của bạn khỏi các nỗ lực hack là hoàn toàn chặn quyền truy cập vào trang wp-admin và wp-login.php của bạn.

    Điều này chỉ được khuyến nghị nếu bạn sử dụng một địa chỉ IP không thay đổi (bạn không muốn tự khóa mình khỏi blog của mình!). Bạn vẫn có thể sử dụng tùy chọn này nếu bạn sử dụng nhiều hơn một địa chỉ IP nhưng theo dõi các địa chỉ đó.

    Để giới hạn quyền truy cập vào trang đăng nhập của bạn, hãy thêm đoạn mã sau vào tệp .htaccess của bạn:

      RewriteEngine trên RewriteCond% REQUEST_URI ^ (. *)? Wp-login \ .php (. *) $ [OR] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ Địa chỉ IP 1 $ RewriteCond% REMOTE_ADDR! ^ Địa chỉ IP của bạn 2 $ RewriteCond% REMOTE_ADDR! ^ Địa chỉ IP của bạn 3 $ RewriteCond% REMOTE_ADDR! ^ Địa chỉ IP của bạn 4 $ RewriteCond% REMOTE_AD 5 $ RewriteRule ^ (. *) $ - [R = 403, L] 

    Hãy chắc chắn để chỉnh sửa Địa chỉ IP của bạn 1 thông qua Địa chỉ IP của bạn 5 với các địa chỉ IP khác nhau mà bạn muốn cấp quyền truy cập; bạn chỉ có thể thêm hoặc xóa một dòng để cho phép hoặc ngăn không cho nhiều IP truy cập vào trang web của bạn.

    Phần kết luận

    Tất nhiên, bạn không nên bỏ qua các mẹo bảo mật cơ bản như không sử dụng tên người dùng có thể dự đoán được, có mật khẩu mạnh, cập nhật cài đặt WordPress thường xuyên, v.v. Tuy nhiên, trên đây là một số mẹo bảo mật ít được biết đến, thường bị bỏ qua có thể khiến bạn Blog WordPress an toàn hơn một chút.

    Ghi chú của biên tập viên: Bài đăng của khách này được viết cho Hongkiat.com bởi John Stevens. John là một chuyên gia WordPress và lưu trữ. Ông là người sáng lập và CEO của HostingFacts.com, một cổng thông tin nơi anh ta đánh giá và đánh giá các máy chủ web dựa trên hiệu suất.