Phương Pháp Bảo Mật Website Wordpress (Phần 2)

Bảo mật website luôn là vấn đề hàng đầu được các doanh nghiệp kinh doanh online quan tâm. Tiếp nối bài viết phương pháp bảo mật website wordpress phần 1. Ở bài viết này, Halo Media sẽ tiếp tục cung cấp cho bạn những phương pháp bảo vệ website wordpress hiệu quả, chống lại các phần tử có ý đồ xấu với website của bạn. Đồng thời, sẽ đưa ra một vài plugin phổ biến để việc bảo mật website wordpress trở nên dễ dàng hơn.

Mục lục

Phương pháp bảo mật website wordpress (phần 2)

Bảo vệ tốt thư mục wp-admin

Bạn có thể bảo vệ thư mục wp-admin bằng cách thay đổi đường dẫn đăng nhập bằng plugin itheme security bằng cách:

B1: Vào plugin itheme, bấm vào mục advance(6) -> Hide Backend

B2: Lựa chọn chế độ Enable the hide Backend in feature.

B3: Login slug: nhập vào một đường dẫn bất kỳ theo mong muốn thay thế wp-admin.

Ví dụ như thay vì haloweb.net/wp-admin bạn có thể sửa đường dẫn vào wordpress thành haloweb.net/quantrivien

B4: Redirection slug: Nhập đường dẫn muốn trỏ về khi người dùng cố tình truy cập vào đường dẫn wp-admin.

Ví dụ: Nếu có người cố tình truy cập vào haloweb.net/wp-admin bạn có thể dẫn họ đến haloweb.net/category/blog/

Thiết lập đăng nhập 2 lớp bằng google authorization

Với mã nguồn mở wordpress, việc thiết lập đăng nhập 2 lớp đăng nhập cũng là một phương pháp hiệu quả để bảo mật website wordpress hiệu quả. Thay vì, như bình thường chỉ cần tên tài khoản và mật khẩu là có thể đăng nhập được, nhưng với bảo mật 2 lớp bạn cần có xác thực từ một bên khác nữa.

Cách thiết lập đăng nhập 2 lớp:

Authentication Methods Available to Users: Tính năng bật các phương thức xác nhận mật khẩu 2 lớp lên bao gồm: Email, ứng dụng authorization.

User Type Protection: Chọn tài khoản để bảo vệ, bạn chỉ nên thực hiện với các tài khoản có quyền quản trị đầy đủ.

Disable Forced Two-Factor Authentication for Certain Users: Giúp vô hiệu hóa xác thực hai lớp cho một số người dùng nhất định.

Allow Remembering Device: Cho phép nhớ thông tin thiết bị, bạn không nên bật vì sẽ dễ dàng bị lấy cắp thông tin.

Sau khi thiết lập đăng nhập 2 lớp được hoàn thành, có 2 trường hợp để xác thực đăng nhập.

Trường hợp 1: Mã code bảo mật sẽ được gửi trên email nếu bạn chọn Email là phương thức xác nhận

Trường hợp 2: Nếu bạn đăng nhập bằng điện thoại, bạn cần sử dụng app Google Authenticator để xác thực đăng nhập.

>>> Link tải: Google Authentocator Android Google Authenticator IOS

Thực hiện vô hiệu hóa XML-RPC

XML-RPC là tính năng dùng để truyền tải dữ liệu. Với HTTP là công cụ để truyền và XML là công cụ để mã hóa.

Khi thời đại Internet chưa trở nên bùng nổ như hiện tại, đây là công cụ được đa số website sử dụng để truyền tải dữ liệu. Tuy nhiên, chúng tốn rất nhiều công đoạn và thời gian. Thậm chí còn phát sinh ra những rủi ro về vấn đề bảo mật. Do file xmlrpc.php được dùng làm phương pháp để tấn công brute force.

Bạn có thể chủ động tăng tính bảo mật website wordpress bằng cách tạo một mật khẩu cực mạnh cộng với đó là dùng thêm cả plugin wordpress để ngăn chặn tối đa việc tấn công.

Nếu bạn không muốn rườm rà, bạn có thể trực tiếp vô hiệu hóa nó bằng các dòng code.

Thiết lập bảo mật website wordpress bằng hosting

Việc bảo mật website wordpress bằng hosting sẽ giúp ngăn chặn được việc các tin tặc tấn công. Thông thường sẽ có 2 cách để thiết lập bảo mật bằng hosting:

ModSecurity: sản phẩm của OWASP, làm nhiệm vụ như một firewall để kiểm soát truy cập vào ra Web Server. Người dùng có thể tùy chỉnh cấu hình, phương pháp phát hiện được các tấn công vào web server. Phiên bản ModSecurity đã hỗ trợ đầy đủ Apache, Nginx và IIS.

Với sự đóng góp từ dự án ModSecurity Core Rule Set của tổ chức OWASP đã giúp ModSecurity trở nên mạnh mẽ và linh động hơn trong việc phân tích các hành vi có nguy cơ xâm hại an ninh ứng dụng web. ModSecurity luôn kiểm soát chặt chẽ để tránh những thông tin có thể gây hại cho Web Server hay là việc rò rỉ các thông tin đặc biệt từ Web Server đến Client.

Imunify 360: là giải pháp bảo mật thế hệ mới, được cấp bởi AI, thiết kế đặc biệt dành cho máy chủ web hosting trên nền tảng Linux, được phát triển bởi CloudLinux Inc. Cung cấp tính năng tường lửa nâng cao, sử dụng hệ thống cơ sở dữ liệu đồng bộ từ các máy chủ trên toàn cầu và trí thông minh nhân tạo để phát hiện ra các mối đe dọa và bảo vệ các máy được cài đặt nó.

Tường lửa của Imunify360 có khả năng bảo vệ máy chủ trước các cuộc tấn công Brute force, DDoS hay Scan ports. Kể từ khi phát hành, Imunify 360 đã được cài đặt trên hàng ngàn máy chủ, cung cấp bảo mật cho cả nhà cung cấp dịch vụ hosting.

Kiểm tra và xóa bỏ những bình luận spam có đính kèm mã độc

Khi xét duyệt bình luận hoặc Pingback và Trackback ở wordpress cần kiểm tra xem có dính mã độc hay hay link đáng ngờ nào đính kèm hay không. Trong trường hợp phát hiện ra những điểm khả nghi, phải ngay lập tức xóa bình luận, từ đó sẽ giảm được nguy cơ lây lan của virus.

Sao lưu cơ sở dữ liệu thường xuyên

Việc làm này không thể giảm nguy cơ tấn công nhưng có thể giảm thiểu thiệt hại khi website của bạn bị hack. Việc sao lưu toàn bộ dữ liệu sẽ giúp các hoạt động kinh doanh của doanh nghiệp trở nên suôn sẻ, không bị gián đoạn khi xảy ra các rủi ro về đánh cắp dữ liệu

Các plugin bảo mật website wordpress tốt nhất

iThemes Security

Plugin iThemes Security được biết tới như một plugin có tuổi đời nhiều năm, được sử dụng rất phổ biến hiện nay. Phù hợp với nhà phát triển WordPress chuyên nghiệp và chịu đầu tư một khoản phí nho nhỏ hàng năm để sử dụng những tính năng tuyệt vời

Sở hữu các tính năng cần thiết để bảo mật website wordpress như hiện nay như: hạn chế số lần đăng nhập thất bại, sử dụng mật khẩu mạnh, Thay đổi URL mặc định của khu vực đăng nhập WordPress, Lên lịch sao lưu cơ sở dữ liệu và yêu cầu gửi qua email và nhiều chức năng khác nữa. Đảm bảo việc duy trì hoạt động hiệu quả trên website, giá trị ứng dụng cao như yêu cầu.

All in One WP Security and Firewall

All in One WP Security and Firewall là plugin bảo mật được thiết kế bởi các chuyên gia hàng đầu của wordpress, cung cấp nhiều tính năng miễn phí với giao diện dễ sử dụng, phù hợp cho dân không chuyên và người mới bắt đầu.

All in One WP Security and Firewall cung cấp một lớp bảo vệ WordPress toàn diện với hàng loạt chức năng mạnh mẽ như: Bảo mật đăng nhập, Bảo mật tài khoản, Bảo mật đăng ký, Bảo mật cơ sở dữ liệu, Bảo mật hệ thống tập tin, Chức năng tường lửa, Chức năng danh sách đen…

Sucuri Security

Sucuri Security hay Sucuri Inc được biết đến như là một trong những cơ quan nổi tiếng chuyên về bảo mật website wordpress trên toàn cầu.

Đây là phần mềm an ninh miễn phí nhưng vẫn đảm bảo hiệu quả bảo mật cao cho bất kỳ trang website wordpress nào. Sucuri Security cung cấp cho người dùng một bộ các tính năng bảo mật được thiết kế để chống lại toàn bộ cuộc tấn công mạng.

Khi sử dụng plugin bảo mật Sucuri Security, bạn sẽ có được những tính năng bảo mật tuyệt vời như: Giám sát tường lửa toàn diện, Quét mã độc, Giám sát blacklist, Kiểm toán bảo mật thông tin, Nâng cao bảo mật, Thông báo, Tường lửa website, Thủ tục bảo mật sau hack.

Việc chú trọng vào vấn đề bảo mật website wordpress sẽ giúp việc hoạt động kinh doanh của doanh nghiệp trở nên dễ dàng và hiệu quả hơn. Hi vọng thông qua bài viết, bạn có thể tìm được phương pháp cũng như plugin phù hợp để kẻ xấu không thể làm được bất cứ hành động gây thiệt hại gì trên website của bạn.

Nếu bạn muốn xây dựng một website dưới nền tảng wordpress, nhưng vẫn còn e ngại, lo sợ về yếu tố bảo mật. Đừng lo, hãy liên hệ ngay Halo Media – Đơn vị thiết kế website chuyên nghiệp, uy tín để được tư vấn tận tình và sở hữu ngay một website wordpress chất lượng, bảo mật nhé!

Đánh giá

Thiết bị - máy móc

Thương mại điện tử

Phòng khám

Nhà hàng - đồ uống

Mẹ và bé

Landing page

Thời trang

Xe hơi - Phương tiện

Doanh nghiệp

Du lịch

Di động - điện máy

Mỹ phẩm - Làm đẹp

Tin tức - Tạp chí

Kiến trúc - Nội thất

Giáo dục

Bất động sản

Blog

Phương Pháp Và Plugin Bảo Mật Website WordPress Hiệu Quả