Cách tạo trang web WordPress an toàn
Ngày nay, việc khởi chạy trang web WordPress(WordPress) của riêng bạn khá dễ dàng. Thật không may, sẽ không mất nhiều thời gian để tin tặc bắt đầu nhắm mục tiêu vào trang web của bạn.
Cách tốt nhất để đảm bảo an toàn cho một trang WordPress là hiểu mọi điểm yếu khi chạy một trang WordPress . Sau đó cài đặt bảo mật thích hợp để chặn tin tặc tại mỗi điểm đó.
Trong bài viết này, bạn sẽ tìm hiểu cách bảo mật miền của mình tốt hơn, thông tin đăng nhập WordPress của bạn cũng như các công cụ và plugin có sẵn để bảo mật trang web WordPress của bạn .
Tạo một miền riêng
Ngày nay, thật quá dễ dàng để tìm một miền có sẵn(find an available domain) và mua nó với giá rất rẻ. Hầu hết mọi người không bao giờ mua bất kỳ phần bổ trợ miền nào cho miền của họ. Tuy nhiên, một tiện ích bổ sung mà bạn nên luôn xem xét là Bảo vệ quyền riêng tư(Privacy Protection) .
Có ba cấp độ bảo vệ quyền riêng tư cơ bản với GoDaddy , nhưng những cấp độ này cũng phù hợp với dịch vụ của hầu hết các nhà cung cấp miền.
- Cơ bản(Basic) : Ẩn tên và thông tin liên hệ của bạn khỏi thư mục WHOIS . Điều này chỉ khả dụng nếu chính phủ của bạn cho phép bạn ẩn thông tin liên hệ của miền.
- Đầy đủ(Full) : Thay thế thông tin của riêng bạn bằng một địa chỉ email thay thế và thông tin liên hệ để che giấu danh tính thực của bạn.
- Cuối cùng(Ultimate) : Bảo mật bổ sung chặn quét tên miền độc hại và bao gồm giám sát bảo mật trang web cho trang web thực tế của bạn.
Thông thường, việc nâng cấp miền của bạn lên một trong các cấp độ bảo mật này chỉ cần chọn nâng cấp từ menu thả xuống trên trang danh sách miền của bạn.
Bảo vệ miền cơ bản(Basic) khá rẻ (thường khoảng $ 9,99 / năm) và các mức độ bảo mật cao hơn không đắt hơn nhiều.
Đây là một cách tuyệt vời để ngăn những kẻ gửi thư rác lấy thông tin liên hệ của bạn ra khỏi cơ sở dữ liệu WHOIS hoặc những người khác có mục đích xấu muốn truy cập vào thông tin liên hệ của bạn.
Ẩn(Hide) các tệp wp-config.php và .htaccess
Khi bạn cài đặt WordPress(install WordPress) lần đầu tiên , bạn sẽ cần bao gồm ID và mật khẩu quản trị cho cơ sở dữ liệu WordPress SQL của mình trong tệp wp-config.php.
Dữ liệu đó được mã hóa sau khi cài đặt, nhưng bạn cũng muốn chặn tin tặc có thể chỉnh sửa tệp này và phá vỡ trang web của bạn. Để thực hiện việc này, hãy tìm và chỉnh sửa tệp .htaccess trên thư mục gốc của trang web của bạn và thêm mã sau vào cuối tệp.
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
Để ngăn các thay đổi đối với chính .htaccess, hãy thêm phần sau vào cuối tệp.
# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
Lưu tệp và thoát khỏi trình chỉnh sửa tệp.
Bạn cũng có thể cân nhắc việc nhấp chuột phải vào từng tệp và thay đổi quyền để xóa hoàn toàn quyền truy cập Ghi(Write) cho tất cả mọi người.
Trong khi thực hiện điều này trên tệp wp-config.php sẽ không gây ra bất kỳ sự cố nào, nhưng thực hiện trên .htaccess có thể gây ra sự cố. Đặc biệt nếu bạn đang chạy bất kỳ plugin WordPress bảo mật nào có thể cần chỉnh sửa tệp .htaccess cho bạn.
Nếu bạn nhận được bất kỳ lỗi nào từ WordPress , bạn luôn có thể cập nhật quyền để cho phép ghi(Write) lại quyền truy cập vào tệp .htaccess.
Thay đổi URL đăng nhập WordPress của bạn
Vì trang đăng nhập mặc định cho mọi trang web WordPress là yourdomain / wp-admin.php, tin tặc sẽ sử dụng URL này để thử và xâm nhập vào trang web của bạn.
Chúng sẽ thực hiện điều này thông qua những gì được gọi là các cuộc tấn công "brute force", nơi chúng sẽ gửi các biến thể của tên người dùng và mật khẩu điển hình mà nhiều người thường sử dụng. Tin tặc hy vọng rằng họ sẽ gặp may mắn và nhận được sự kết hợp phù hợp.
Bạn có thể ngăn chặn hoàn toàn các cuộc tấn công này bằng cách thay đổi URL đăng nhập WordPress(WordPress login URL) của mình thành một thứ gì đó không chuẩn.
Có rất nhiều plugin WordPress để giúp bạn làm điều này. (WordPress)Một trong những cách phổ biến nhất là WPS Hide Login .
Plugin này thêm một phần vào tab Chung trong (General)Cài đặt(Settings) trong WordPress.
Tại đó, bạn có thể nhập bất kỳ URL đăng nhập nào bạn muốn và chọn Lưu thay đổi(Save Changes) để kích hoạt. Lần tới khi bạn muốn đăng nhập vào trang web WordPress của mình, hãy sử dụng (WordPress)URL mới này .
Nếu bất kỳ ai cố gắng truy cập vào URL(URL) quản trị viên wp cũ của bạn , họ sẽ được chuyển hướng đến trang 404 trên trang web của bạn.
Lưu ý(Note) : Nếu bạn sử dụng plugin bộ nhớ cache, hãy đảm bảo thêm URL đăng nhập mới của bạn vào danh sách các trang web không(not) lưu vào bộ nhớ cache. Sau đó, đảm bảo xóa bộ nhớ cache trước khi bạn đăng nhập lại vào trang web WordPress của mình .
Cài đặt một Plugin bảo mật WordPress
Có rất nhiều plugin bảo mật cho WordPress(WordPress security plugins) để bạn lựa chọn. Trong số đó, Wordfence là phần mềm được tải xuống phổ biến nhất, vì lý do chính đáng.
Phiên bản miễn phí của Wordfence bao gồm một công cụ quét mạnh mẽ để tìm kiếm các mối đe dọa cửa hậu, mã độc hại trong các plugin(malicious code in your plugins) hoặc trên trang web của bạn, các mối đe dọa tiêm MySQL , v.v. (MySQL)Nó cũng bao gồm một tường lửa để chặn các mối đe dọa đang hoạt động như các cuộc tấn công DDOS .
Nó cũng sẽ cho phép bạn ngăn chặn các cuộc tấn công bạo lực bằng cách hạn chế các nỗ lực đăng nhập và khóa những người dùng thực hiện quá nhiều lần đăng nhập không chính xác.
Có khá nhiều cài đặt có sẵn trong phiên bản miễn phí. Quá đủ để bảo vệ các trang web vừa và nhỏ khỏi hầu hết các cuộc tấn công.
Ngoài ra còn có một trang bảng điều khiển hữu ích mà bạn có thể xem lại để theo dõi các mối đe dọa và cuộc tấn công gần đây đã bị chặn.
Sử dụng Trình tạo mật khẩu WordPress(WordPress Password Generator) và 2FA
Điều cuối cùng bạn muốn là tin tặc có thể dễ dàng đoán được mật khẩu của bạn. Thật không may, quá nhiều người sử dụng mật khẩu rất đơn giản dễ đoán. Một số ví dụ bao gồm sử dụng tên trang web hoặc tên riêng của người dùng như một phần của mật khẩu hoặc không sử dụng bất kỳ ký tự đặc biệt nào.
Nếu bạn đã nâng cấp lên phiên bản WordPress mới nhất , bạn có quyền truy cập vào các công cụ bảo mật mật khẩu mạnh mẽ để bảo mật trang web WordPress của mình .
Bước đầu tiên để cải thiện bảo mật mật khẩu của bạn là truy cập từng người dùng cho trang web của bạn, cuộn xuống phần Quản lý tài khoản(Account Management) và chọn nút Tạo mật khẩu(Generate Password) .
Điều này sẽ tạo ra một mật khẩu dài, rất an toàn bao gồm các chữ cái, số và các ký tự đặc biệt. Lưu mật khẩu này ở nơi an toàn, tốt nhất là trong tài liệu trên ổ đĩa ngoài mà bạn có thể ngắt kết nối khỏi máy tính của mình khi đang trực tuyến.
Chọn Đăng xuất Mọi nơi Khác(Log Out Everywhere Else) để đảm bảo rằng tất cả các phiên hoạt động được đóng lại.
Cuối cùng, nếu bạn đã cài đặt plugin bảo mật Wordfence , bạn sẽ thấy nút Kích hoạt 2FA(Activate 2FA) . Chọn tùy chọn này để bật xác thực hai yếu tố cho thông tin đăng nhập người dùng của bạn.
Nếu không sử dụng Wordfence , bạn sẽ cần cài đặt bất kỳ plugin 2FA phổ biến nào sau đây.
- Google Authenticator
- Xác thực hai yếu tố(Two Factor Authentication)
- Xác thực hai yếu tố Rublon(Rublon Two-Factor Authentication)
- Xác thực hai yếu tố Duo(Duo Two-Factor Authentication)
Các Cân nhắc Bảo mật Quan trọng Khác(Important Security Considerations)
Có một số điều nữa bạn có thể làm để bảo mật hoàn toàn trang web WordPress của mình .
Cả plugin WordPress(WordPress plugins) và phiên bản của chính WordPress đều phải được cập nhật mọi lúc. Tin tặc thường cố gắng khai thác các lỗ hổng trong các phiên bản mã cũ hơn trên trang web của bạn. Nếu bạn không cập nhật cả hai điều này, bạn đang khiến trang web của mình gặp rủi ro.
1. Thường xuyên chọn Plugin(Plugins) và Plugin đã cài đặt(Installed Plugins) trong bảng quản trị WordPress của bạn. (WordPress)Xem(Review) lại tất cả các plugin để biết trạng thái cho biết đã có phiên bản mới.
Khi bạn thấy một cái đã lỗi thời, hãy chọn cập nhật ngay bây giờ(update now) . Bạn cũng có thể cân nhắc chọn Bật tự động cập nhật cho các plugin của mình.
Tuy nhiên, một số người cảnh giác khi làm điều này vì các bản cập nhật plugin đôi khi có thể phá vỡ trang web hoặc chủ đề của bạn. Vì vậy, bạn nên kiểm tra các bản cập nhật plugin trên trang web thử nghiệm WordPress cục bộ(local WordPress test site) trước khi bật chúng trên trang web trực tiếp của bạn.
2. Khi bạn đăng nhập vào bảng điều khiển WordPress của mình , bạn sẽ thấy thông báo rằng WordPress đã lỗi thời nếu bạn đang chạy phiên bản cũ hơn.
Một lần nữa, hãy sao lưu trang web và tải nó vào trang web thử nghiệm cục bộ trên PC của riêng bạn để kiểm tra xem bản cập nhật WordPress không làm hỏng trang web của bạn trước khi bạn cập nhật nó trên trang web trực tiếp của mình.
3. Tận dụng các tính năng bảo mật miễn phí của máy chủ lưu trữ web của bạn. Hầu hết các máy chủ web cung cấp nhiều dịch vụ bảo mật miễn phí cho các trang web bạn lưu trữ ở đó. Họ làm điều này vì nó không chỉ bảo vệ trang web của bạn mà còn giữ an toàn cho toàn bộ máy chủ. Điều này đặc biệt quan trọng khi bạn đang sử dụng tài khoản lưu trữ được chia sẻ nơi các khách hàng khác có trang web trên cùng một máy chủ.
Chúng thường bao gồm cài đặt bảo mật SSL miễn phí(free SSL security) cho trang web của bạn, sao lưu miễn phí(free backups) , khả năng chặn địa chỉ IP độc hại và thậm chí là một trình quét trang web miễn phí sẽ thường xuyên quét trang web của bạn để tìm bất kỳ mã độc hại hoặc lỗ hổng bảo mật nào.
Chạy một trang web không bao giờ đơn giản như cài đặt WordPress và chỉ đăng nội dung. Điều quan trọng là làm cho trang web WordPress của bạn càng an toàn càng tốt. Tất cả các thủ thuật trên có thể giúp bạn làm như vậy mà không tốn quá nhiều công sức.
Related posts
3 cách để tạo ra mật khẩu an toàn nhất
Ứng dụng nhắn tin của bạn có thực sự an toàn không?
3 cách để Hãy Photo or Video trên Chromebook
Cách Detect Computer & Email Monitoring hoặc Spying Software
Flat Panel Display Technology Demystified: TN, IPS, VA, OLED trở lên
Cách sử dụng VLOOKUP trong tờ Google
Cách Insert Emoji trong Word, Google Docs and Outlook
DVI vs HDMI vs DisplayPort - Những gì bạn cần biết
10 Best Ways lên Child Proof Your Computer
Làm thế nào để Mute Someone trên Discord
Làm thế nào để tìm các máy chủ bất hòa tốt nhất
Uber Passenger Rating and How là gì để kiểm tra nó
4 Ways Để tìm Internet tốt nhất Options (ISPs) trong khu vực của bạn
Cách Download and Install Peacock trên Firestick
Bạn có thể thay đổi Twitch Name của bạn? Có, nhưng Be Careful
Làm thế nào để sửa chữa một Steam “Pending giao dịch” Lỗi
Làm thế nào để thực hiện bất kỳ Wired Printer Wireless trong 6 Different cách
Discord Không Opening? 9 Ways để Fix
Cách Post Một bài viết trên Linkedin (và Best Times đến Post)
Làm thế nào để Kiểm tra Your Hard Drive cho lỗi