fbpx
Logo

5 cách bảo mật website WordPress từ A – Z hiệu quả nhất

Theo dõi Miko Tech trên Google News

WordPress là mã nguồn website được sử dụng nhiều nhất hiện nay với 43% tổng số website trên toàn thế giới (theo W3Techs). Điều này đồng nghĩa với việc các lỗ hổng sẽ bị hacker thường xuyên khai thác. Vì vậy mà việc bảo mật website WordPress càng trở nên cần thiết.

Hãy cùng Miko Tech tìm hiểu 5 cách bảo mật website WordPress từ A – Z hiệu quả nhất nhé! Bài viết này sẽ giúp bạn đọc có thêm thông tin cơ bản về bảo mật website WordPress và giải pháp bảo mật “không cần code”.

Xem thêm nội dung được quan tâm gần đây:

Cơ bản về bảo mật website WordPress

Tại sao bảo mật website WordPress quan trọng?

Website được xem như nơi thể hiện “bộ mặt” của công ty, doanh nghiệp. Chính vì vậy, nếu website bị tấn công thì đó sẽ mang đến những ảnh hưởng rất lớn đến không những doanh thu mà còn danh tiếng của công ty.

Hacker còn sẽ có thể lấy đi những thông tin của khách hàng như: mật khẩu, số thẻ ngân hàng,… hoặc thậm chí phát tán phần mềm độc hại đến người dùng.

Theo báo cáo của WPScan, năm 2021 đã phát hiện đến 1628 mối nguy hại cho riêng mã nguồn WordPress. Trong đó tỉ lệ mối nguy hại đến từ plugin chiếm tỉ lệ gần như tuyệt đối: 97.1% (tham khảo hình bên dưới).

Năm 2021 phát hiện 1628 mối nguy hại nhắm đến website WordPress
Năm 2021 phát hiện 1628 mối nguy hại nhắm đến website WordPress (Nguồn: WPScan)

Chính vì vậy, việc bảo mật website WordPress là một công việc bắt buộc phải thực hiện, cho dù bạn viết blog cá nhân hay đang quản lý website cho cửa hàng, doanh nghiệp lớn đi nữa.

Thường xuyên cập nhật mã nguồn WordPress

Tuy WordPress là một CMS miễn phí nhưng vẫn thường xuyên được cập nhật nhiều tính năng mới. Ngoài ra, đội ngũ nhà phát triển của WordPress cũng liên tục cập nhật các bản vá bảo mật, đảm bảo hạn chế được tối đa các mối nguy hại đến người sử dụng mã nguồn này.

Các giải pháp bảo mật website WordPress “không cần code”

Cài đặt plugin bảo mật WordPress

Một trong những cách đơn giản nhất để bảo vệ website WordPress của bạn khỏi các nguy cơ bị tấn công đó chính là sử dụng plugin hỗ trợ tăng cường bảo mật.

Các plugin bảo mật này sẽ giúp bạn có cái nhìn tổng quan về hệ thống như: nguồn tài nguyên sử dụng, số lần đăng nhập lỗi, quét malware,…

Có khá nhiều lựa chọn cho việc sử dụng plugin bảo mật wordpress, có cả giải pháp miễn phí và trả phí. Tùy vào nhu cầu, quy mô của website mà hãy chọn cho phù hợp

Sucuri Security – Plugin bảo mật WordPress miễn phí

Nếu bạn dùng cho website cá nhân, cửa hàng nhỏ thì có thể cân nhắc Sucuri Security – một plugin bảo mật WP hoàn toàn miễn phí, dễ dàng sử dụng cho cả người mới bắt đầu.

Tải plugin Sucuri Security tại: https://sucuri.net

Securi Security - Plugin bảo mật website WordPress miễn phí
Securi Security – Plugin bảo mật website WordPress miễn phí

iThemes Security Pro – Bảo vệ website WordPress toàn diện

Còn nếu bạn có nhu cầu sử dụng các tính năng nâng cao hơn, bảo mật website WordPress toàn diện hơn thì có thể tham khảo qua iThemes Security Pro.

Đây là plugin được cộng đồng sử dụng WordPress đánh giá rất cao về khả năng bảo vệ website khỏi các yếu tố không mong muốn.

Tìm hiểu plugin iThemes Security Pro tại: https://ithemes.com/security/

ithemes security pro - plugin bảo mật website WordPress toàn diện
ithemes security pro – plugin bảo mật website WordPress toàn diện

Sử dụng SSL/HTTPS

Sử dụng SSL/HTTPS để tăng độ bảo mật webiste WordPress
Sử dụng SSL/HTTPS để tăng độ bảo mật webiste WordPress

HTTPS (Hypertext Transfer Protocol Secure) là một giao thức hỗ trợ việc trao đổi thông tin giữa người truy cập website và máy chủ web được mã hóa.

Trước đây, khi chưa có HTTPS thì HTTP là giao thức được sử dụng nhiều, thông tin được truyền tải qua HTTP sẽ không được mã hóa, do đó hacker sẽ dễ dàng xâm nhập và đánh cắp.

Tham khảo bài viết: Chứng chỉ bảo mật SSL là gì? SSL certificate (https) Tổng hợp kiến thức

Kích hoạt tường lửa

Tường lửa - Web application firewall (WAF)
Tường lửa – Web application firewall (WAF)

Tường lửa (Firewall) là giải pháp giúp website nói chung và website wordpress nói riêng ngăn chặn các lượng truy cập không được phép. Sử dụng tường lửa sẽ đặc biệt hiệu quả trong các trường hợp website bị DDOS (Tấn công từ chối dịch vụ).

Loại tường lửa thường được sử dụng

Tường lửa DNS (DNS Level Website Firewall): Tường lửa này sẽ giúp định tuyến những truy cập vào website của bạn đến một máy chủ proxy. Máy chủ này sẽ lọc những truy cập không được phép, những truy cập hợp lệ mới có thể đến được máy chủ đích.

Tường lửa ứng dụng (Application Level Firewall): Loại tường lửa này sẽ kiểm tra lượt truy cập khi những truy cập này đã đến máy chủ trước khi tải hầu hết các script WordPress. Phương pháp này sẽ không hiệu quả bằng tường lửa DNS trong việc giảm tải máy chủ.

Cloudflare – Tường lửa miễn phí cho mọi website

Tường lửa của Cloudflare
Tường lửa của Cloudflare

Cloudflare là một trong những nhà cung cấp dịch vụ DNS (Domain Name System) lớn nhất hiện nay. Kèm theo đó Cloudflare còn cung cấp dịch vụ tường lửa hoàn toàn miễn phí.

Việc bạn cần làm chỉ là trỏ địa chỉ nameserver về Cloudflare, bật tính năng tường lửa lên là mọi việc sẽ được xử lý hoàn toàn tự động.

Đổi URL trang wp-admin

Mặc định trang quản trị trên mỗi website WordPress đều có dạng tên-miền/wp-admin. Chính vì vậy mà mọi người đều có thể đoán ra và truy cập vào trang này.

Việc thay đổi địa chỉ URL trang đăng nhập sẽ giúp hạn chế các truy cập không mong muốn từ phía bên ngoài vào trang quản trị.

Để đổi được địa chỉ URL trang quản trị, bạn có thể thể thay đổi các thông số trong file wp-login.php. Tuy nhiên, để đơn giản hơn thì bạn hãy cài đặt và kích hoạt plugin “WPS Hide Plugin”.

Sau đó trong phần thiết lập của plugin, bạn sẽ có thể thay đổi URL trang đăng nhập và chuyển hướng trang đó sang một địa chỉ khác.

Thay đổi URL wp-admin trên WPS Hide Login
Thay đổi URL wp-admin trên WPS Hide Login

Sử dụng xác thực 2 yếu tố

Xác thực 2 yếu tố (2FA – Two-factor authentication) là một kỹ thuật yêu cầu người dùng cần sử dụng 2 phương pháp khác nhau để xác thực danh tính khi đăng nhập vào ứng dụng bất kỳ.

Bước đầu tiên sẽ là tên người dùng và mật khẩu. Bước thứ hai sẽ cần xác nhận qua OTP hoặc ứng dụng nào đó (Ví dụ như Microsoft Authenticator, Google Authenticator…)

Xác thực 2 yếu tố khi đăng nhập vào WordPress
Xác thực 2 yếu tố khi đăng nhập vào WordPress

Để kích hoạt tính năng xác thực 2 yếu tố, bạn có thể sử dụng plugin Two Factor Authentication, plugin này hoàn toàn miễn phí, bạn có thể cài đặt ngay trên thư viện của WordPress.

Plugin Two Factor Authentication
Plugin Two Factor Authentication

Tải plugin Two Factor Authentication: https://wordpress.org/plugins/two-factor-authentication/

Trên đây, Miko Tech và bạn đã cùng tìm hiểu các cách để bảo mật cho website WordPress. Đồng thời, bài viết cũng mang lại thông tin cơ bản về bảo mật website WordPress.

Hy vọng rằng 5 cách bảo mật website WordPress sẽ giúp ích được cho bạn trong quá trình áp dụng để bảo mật website của mình thật hiệu quả nhé!

07.11.2022 Trần Tiến Duy
Leave a Reply

Your email address will not be published. Required fields are marked *

Bài viết liên quan
Bài viết nổi bật
Scroll