Ngày nay, việc khởi chạy trang web WordPress^(WordPress) của riêng bạn khá dễ dàng. Thật không may, sẽ không mất nhiều thời gian để tin tặc bắt đầu nhắm mục tiêu vào trang web của bạn.

Cách tốt nhất để đảm bảo an toàn cho một trang WordPress là hiểu mọi điểm yếu khi chạy một trang WordPress . Sau đó cài đặt bảo mật thích hợp để chặn tin tặc tại mỗi điểm đó.

Trong bài viết này, bạn sẽ tìm hiểu cách bảo mật miền của mình tốt hơn, thông tin đăng nhập WordPress của bạn cũng như các công cụ và plugin có sẵn để bảo mật trang web WordPress của bạn .

Tạo một miền riêng

Ngày nay, thật quá dễ dàng để tìm một miền có sẵn^{(find an available domain)} và mua nó với giá rất rẻ. Hầu hết mọi người không bao giờ mua bất kỳ phần bổ trợ miền nào cho miền của họ. Tuy nhiên, một tiện ích bổ sung mà bạn nên luôn xem xét là Bảo vệ quyền riêng tư^{(Privacy Protection)} .

Có ba cấp độ bảo vệ quyền riêng tư cơ bản với GoDaddy , nhưng những cấp độ này cũng phù hợp với dịch vụ của hầu hết các nhà cung cấp miền.

Cơ bản^(Basic) : Ẩn tên và thông tin liên hệ của bạn khỏi thư mục WHOIS . Điều này chỉ khả dụng nếu chính phủ của bạn cho phép bạn ẩn thông tin liên hệ của miền.
Đầy đủ^(Full) : Thay thế thông tin của riêng bạn bằng một địa chỉ email thay thế và thông tin liên hệ để che giấu danh tính thực của bạn.
Cuối cùng^(Ultimate) : Bảo mật bổ sung chặn quét tên miền độc hại và bao gồm giám sát bảo mật trang web cho trang web thực tế của bạn.

Thông thường, việc nâng cấp miền của bạn lên một trong các cấp độ bảo mật này chỉ cần chọn nâng cấp từ menu thả xuống trên trang danh sách miền của bạn.

Bảo vệ miền cơ bản^(Basic) khá rẻ (thường khoảng $ 9,99 / năm) và các mức độ bảo mật cao hơn không đắt hơn nhiều.

Đây là một cách tuyệt vời để ngăn những kẻ gửi thư rác lấy thông tin liên hệ của bạn ra khỏi cơ sở dữ liệu WHOIS hoặc những người khác có mục đích xấu muốn truy cập vào thông tin liên hệ của bạn.

Ẩn^(Hide) các tệp wp-config.php và .htaccess

Khi bạn cài đặt WordPress^{(install WordPress)} lần đầu tiên , bạn sẽ cần bao gồm ID và mật khẩu quản trị cho cơ sở dữ liệu WordPress SQL của mình trong tệp wp-config.php.

Dữ liệu đó được mã hóa sau khi cài đặt, nhưng bạn cũng muốn chặn tin tặc có thể chỉnh sửa tệp này và phá vỡ trang web của bạn. Để thực hiện việc này, hãy tìm và chỉnh sửa tệp .htaccess trên thư mục gốc của trang web của bạn và thêm mã sau vào cuối tệp.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

Để ngăn các thay đổi đối với chính .htaccess, hãy thêm phần sau vào cuối tệp.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Lưu tệp và thoát khỏi trình chỉnh sửa tệp.

Bạn cũng có thể cân nhắc việc nhấp chuột phải vào từng tệp và thay đổi quyền để xóa hoàn toàn quyền truy cập Ghi^(Write) cho tất cả mọi người.

Trong khi thực hiện điều này trên tệp wp-config.php sẽ không gây ra bất kỳ sự cố nào, nhưng thực hiện trên .htaccess có thể gây ra sự cố. Đặc biệt nếu bạn đang chạy bất kỳ plugin WordPress bảo mật nào có thể cần chỉnh sửa tệp .htaccess cho bạn.

Nếu bạn nhận được bất kỳ lỗi nào từ WordPress , bạn luôn có thể cập nhật quyền để cho phép ghi^(Write) lại quyền truy cập vào tệp .htaccess.

Thay đổi URL đăng nhập WordPress của bạn

Vì trang đăng nhập mặc định cho mọi trang web WordPress là yourdomain / wp-admin.php, tin tặc sẽ sử dụng URL này để thử và xâm nhập vào trang web của bạn.

Chúng sẽ thực hiện điều này thông qua những gì được gọi là các cuộc tấn công "brute force", nơi chúng sẽ gửi các biến thể của tên người dùng và mật khẩu điển hình mà nhiều người thường sử dụng. Tin tặc hy vọng rằng họ sẽ gặp may mắn và nhận được sự kết hợp phù hợp.

Bạn có thể ngăn chặn hoàn toàn các cuộc tấn công này bằng cách thay đổi URL đăng nhập WordPress^{(WordPress login URL)} của mình thành một thứ gì đó không chuẩn.

Có rất nhiều plugin WordPress để giúp bạn làm điều này. ^(WordPress)Một trong những cách phổ biến nhất là WPS Hide Login .

Plugin này thêm một phần vào tab Chung trong ^(General)Cài đặt^(Settings) trong WordPress.

Tại đó, bạn có thể nhập bất kỳ URL đăng nhập nào bạn muốn và chọn Lưu thay đổi^{(Save Changes)} để kích hoạt. Lần tới khi bạn muốn đăng nhập vào trang web WordPress của mình, hãy sử dụng ^(WordPress)URL mới này .

Nếu bất kỳ ai cố gắng truy cập vào URL^(URL) quản trị viên wp cũ của bạn , họ sẽ được chuyển hướng đến trang 404 trên trang web của bạn.

Lưu ý^(Note) : Nếu bạn sử dụng plugin bộ nhớ cache, hãy đảm bảo thêm URL đăng nhập mới của bạn vào danh sách các trang web không^(not) lưu vào bộ nhớ cache. Sau đó, đảm bảo xóa bộ nhớ cache trước khi bạn đăng nhập lại vào trang web WordPress của mình .

Cài đặt một Plugin bảo mật WordPress

Có rất nhiều plugin bảo mật cho WordPress^{(WordPress security plugins)} để bạn lựa chọn. Trong số đó, Wordfence là phần mềm được tải xuống phổ biến nhất, vì lý do chính đáng.

Phiên bản miễn phí của Wordfence bao gồm một công cụ quét mạnh mẽ để tìm kiếm các mối đe dọa cửa hậu, mã độc hại trong các plugin^{(malicious code in your plugins)} hoặc trên trang web của bạn, các mối đe dọa tiêm MySQL , v.v. ^(MySQL)Nó cũng bao gồm một tường lửa để chặn các mối đe dọa đang hoạt động như các cuộc tấn công DDOS .

Nó cũng sẽ cho phép bạn ngăn chặn các cuộc tấn công bạo lực bằng cách hạn chế các nỗ lực đăng nhập và khóa những người dùng thực hiện quá nhiều lần đăng nhập không chính xác.

Có khá nhiều cài đặt có sẵn trong phiên bản miễn phí. Quá đủ để bảo vệ các trang web vừa và nhỏ khỏi hầu hết các cuộc tấn công.

Ngoài ra còn có một trang bảng điều khiển hữu ích mà bạn có thể xem lại để theo dõi các mối đe dọa và cuộc tấn công gần đây đã bị chặn.

Sử dụng Trình tạo mật khẩu WordPress^{(WordPress Password Generator)} và 2FA

Điều cuối cùng bạn muốn là tin tặc có thể dễ dàng đoán được mật khẩu của bạn. Thật không may, quá nhiều người sử dụng mật khẩu rất đơn giản dễ đoán. Một số ví dụ bao gồm sử dụng tên trang web hoặc tên riêng của người dùng như một phần của mật khẩu hoặc không sử dụng bất kỳ ký tự đặc biệt nào.

Nếu bạn đã nâng cấp lên phiên bản WordPress mới nhất , bạn có quyền truy cập vào các công cụ bảo mật mật khẩu mạnh mẽ để bảo mật trang web WordPress của mình .

Bước đầu tiên để cải thiện bảo mật mật khẩu của bạn là truy cập từng người dùng cho trang web của bạn, cuộn xuống phần Quản lý tài khoản^{(Account Management)} và chọn nút Tạo mật khẩu^{(Generate Password)} .

Điều này sẽ tạo ra một mật khẩu dài, rất an toàn bao gồm các chữ cái, số và các ký tự đặc biệt. Lưu mật khẩu này ở nơi an toàn, tốt nhất là trong tài liệu trên ổ đĩa ngoài mà bạn có thể ngắt kết nối khỏi máy tính của mình khi đang trực tuyến.

Chọn Đăng xuất Mọi nơi Khác^{(Log Out Everywhere Else)} để đảm bảo rằng tất cả các phiên hoạt động được đóng lại.

Cuối cùng, nếu bạn đã cài đặt plugin bảo mật Wordfence , bạn sẽ thấy nút Kích hoạt 2FA^{(Activate 2FA)} . Chọn tùy chọn này để bật xác thực hai yếu tố cho thông tin đăng nhập người dùng của bạn.

Nếu không sử dụng Wordfence , bạn sẽ cần cài đặt bất kỳ plugin 2FA phổ biến nào sau đây.

Google Authenticator
Xác thực hai yếu tố^{(Two Factor Authentication)}
Xác thực hai yếu tố Rublon^{(Rublon Two-Factor Authentication)}
Xác thực hai yếu tố Duo^{(Duo Two-Factor Authentication)}

Các Cân nhắc Bảo mật Quan trọng Khác^{(Important Security Considerations)}

Có một số điều nữa bạn có thể làm để bảo mật hoàn toàn trang web WordPress của mình .

Cả plugin WordPress^{(WordPress plugins)} và phiên bản của chính WordPress đều phải được cập nhật mọi lúc. Tin tặc thường cố gắng khai thác các lỗ hổng trong các phiên bản mã cũ hơn trên trang web của bạn. Nếu bạn không cập nhật cả hai điều này, bạn đang khiến trang web của mình gặp rủi ro.

1. Thường xuyên chọn Plugin^(Plugins) và Plugin đã cài đặt^{(Installed Plugins)} trong bảng quản trị WordPress của bạn. ^(WordPress)Xem^(Review) lại tất cả các plugin để biết trạng thái cho biết đã có phiên bản mới.

Khi bạn thấy một cái đã lỗi thời, hãy chọn cập nhật ngay bây giờ^{(update now)} . Bạn cũng có thể cân nhắc chọn Bật tự động cập nhật cho các plugin của mình.

Tuy nhiên, một số người cảnh giác khi làm điều này vì các bản cập nhật plugin đôi khi có thể phá vỡ trang web hoặc chủ đề của bạn. Vì vậy, bạn nên kiểm tra các bản cập nhật plugin trên trang web thử nghiệm WordPress cục bộ^{(local WordPress test site)} trước khi bật chúng trên trang web trực tiếp của bạn.

2. Khi bạn đăng nhập vào bảng điều khiển WordPress của mình , bạn sẽ thấy thông báo rằng WordPress đã lỗi thời nếu bạn đang chạy phiên bản cũ hơn.

Một lần nữa, hãy sao lưu trang web và tải nó vào trang web thử nghiệm cục bộ trên PC của riêng bạn để kiểm tra xem bản cập nhật WordPress không làm hỏng trang web của bạn trước khi bạn cập nhật nó trên trang web trực tiếp của mình.

3. Tận dụng các tính năng bảo mật miễn phí của máy chủ lưu trữ web của bạn. Hầu hết các máy chủ web cung cấp nhiều dịch vụ bảo mật miễn phí cho các trang web bạn lưu trữ ở đó. Họ làm điều này vì nó không chỉ bảo vệ trang web của bạn mà còn giữ an toàn cho toàn bộ máy chủ. Điều này đặc biệt quan trọng khi bạn đang sử dụng tài khoản lưu trữ được chia sẻ nơi các khách hàng khác có trang web trên cùng một máy chủ.

Chúng thường bao gồm cài đặt bảo mật SSL miễn phí^{(free SSL security)} cho trang web của bạn, sao lưu miễn phí^{(free backups)} , khả năng chặn địa chỉ IP độc hại và thậm chí là một trình quét trang web miễn phí sẽ thường xuyên quét trang web của bạn để tìm bất kỳ mã độc hại hoặc lỗ hổng bảo mật nào.

Chạy một trang web không bao giờ đơn giản như cài đặt WordPress và chỉ đăng nội dung. Điều quan trọng là làm cho trang web WordPress của bạn càng an toàn càng tốt. Tất cả các thủ thuật trên có thể giúp bạn làm như vậy mà không tốn quá nhiều công sức.

How to Make a WordPress Site Secure

Laυnching your own WordPress site these days is pretty easy. Unfоrtunately, іt wоn’t take long for hackers to start targeting your site.

The best way to make a WordPress site secure is to understand every point of vulnerability that comes from running a WordPress site. Then install the appropriate security to block hackers at each of those points.

In this article you’ll learn how to better secure your domain, your WordPress login, and the tools and plugins available to secure your WordPress site.

Create a Private Domain

It’s all too easy these days to find an available domain and purchase it at a very cheap price. Most people never purchase any domain addons for their domain. However, one add-on you should always consider is Privacy Protection.

There are three basic levels of privacy protection with GoDaddy, but these also match offerings of most domain providers.

Basic: Hide your name and contact info from the WHOIS directory. This is only available if your government allows you to hide domain contact information.
Full: Replace your own information with an alternative email address and contact info to cloak your actual identity.
Ultimate: Additional security that blocks malicious domain scanning, and includes website security monitoring for your actual site.

Usually, upgrading your domain to one of these security levels just requires choosing to upgrade from a dropdown on your domain listing page.

Basic domain protection is fairly cheap (usually around $9.99/yr), and higher levels of security aren’t much more expensive.

This is an excellent way to stop spammers from scraping your contact info off of the WHOIS database, or others with malicious intent who want to get access to your contact information.

Hide wp-config.php and .htaccess Files

When you first install WordPress, you’ll need to include the administrative ID and password for your WordPress SQL database in the wp-config.php file.

That data gets encrypted after installation, but you also want to block hackers from being able to edit this file and break your website. To do this, find and edit the .htaccess file on the root folder of your site and add the following code at the bottom of the file.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

To prevent changes to .htaccess itself, add the following to the bottom of the file as well.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Save the file and exit the file editor.

You might also consider right-clicking each file and changing the permissions to remove Write access entirely for everyone.

While doing this on the wp-config.php file shouldn’t cause any issues, doing it on .htaccess could cause issues. Especially if you’re running any security WordPress plugins that may need to edit the .htaccess file for you.

If you do receive any errors from WordPress, you can always update permissions to allow Write access on the .htaccess file again.

Change Your WordPress Login URL

Since the default login page for every WordPress site is yourdomain/wp-admin.php, hackers will use this URL to try and hack into your site.

They will do this through what’s known as “brute force” attacks where they’ll send variations of typical usernames and passwords many people commonly use. Hackers hope that they’ll get lucky and land the right combination.

You can stop these attacks entirely by changing your WordPress login URL to something non-standard.

There are lots of WordPress plugins to help you do this. One of the most common is WPS Hide Login.

This plugin adds a section to the General tab under Settings in WordPress.

There, you can type in any login URL you want and select Save Changes to activate it. Next time you want to log into your WordPress site, use this new URL.

If anyone tries to access your old wp-admin URL, they’ll get redirected to your site’s 404 page.

Note: If you use a cache plugin, make sure to add your new login URL to the list of sites not to cache. Then make sure to purge the cache before you log back into your WordPress site again.

Install a WordPress Security Plugin

There are a lot of WordPress security plugins to choose from. Of all of them, Wordfence is the most commonly downloaded one, for good reason.

The free version of Wordfence includes a powerful scan engine that looks for backdoor threats, malicious code in your plugins or on your site, MySQL injection threats, and more. It also includes a firewall to block active threats like DDOS attacks.

It will also let you stop brute force attacks by limiting login attempts and locking out users who make too many incorrect login attempts.

There are quite a few settings available in the free version. More than enough to protect small to medium websites from most attacks.

There is also a useful dashboard page you can review to monitor recent threats and attacks that have been blocked.

Use the WordPress Password Generator and 2FA

The last thing you want is for hackers to easily guess your password. Unfortunately, too many people use very simple passwords that are easy to guess. Some examples include using the website name or the user’s own name as part of the password, or not using any special characters.

If you’ve upgraded to the latest version of WordPress, you have access to powerful password security tools to secure your WordPress site.

The first step to improve your password security is to go to each user for your site, scroll down to the Account Management section, and select the Generate Password button.

This will generate a long, very secure password that includes letters, numbers, and special characters. Save this password somewhere safe, preferably in a document on an external drive that you can disconnect from your computer while you’re online.

Select Log Out Everywhere Else to make sure all active sessions are closed.

Finally, if you’ve installed the Wordfence security plugin, you’ll see an Activate 2FA button. Select this to enable two-factor authentication for your user logins.

If you aren’t using Wordfence, you’ll need to install any of these popular 2FA plugins.

Other Important Security Considerations

There are a few more things you can do to fully secure your WordPress site.

Both the WordPress plugins and the version of WordPress itself should be updated at all times. Hackers often try to exploit vulnerabilities in older versions of code on your site. If you don’t update both of these, you’re leaving your site at risk.

1. Regularly select Plugins and Installed Plugins in your WordPress admin panel. Review all plugins for a status that says a new version is available.

When you do see one that’s out of date, select update now. You may also consider selecting Enable auto-updates for your plugins.

However, some people are wary of doing this since plugin updates can sometimes break your site or theme. So it’s always a good idea to test plugin updates on a local WordPress test site before enabling them on your live site.

2. When you log into your WordPress dashboard, you’ll see a notification that WordPress is out of date if you’re running an older version.

Again, backup the site and load it to a local test site on your own PC to test that the WordPress update doesn’t break your site before you update it on your live website.

3. Take advantage of your web host’s free security features. Most web hosts offer a variety of free security services for the sites you host there. They do this because it not only protects your site, but it keeps the entire server safe. This is especially important when you’re on a shared hosting account where other clients have websites on the same server.

These often include free SSL security installs for your site, free backups, the ability to block malicious IP addresses, and even a free site scanner that’ll regularly scan your site for any malicious code or vulnerabilities.

Running a website is never just as simple as installing WordPress and just posting content. It’s important to make your WordPress website as secure as possible. All of the above tips can help you do so without too much effort.

Sơn Chiến

About the author

Tôi là một chuyên gia máy tính và tôi chuyên về thiết bị iOS. Tôi đã giúp đỡ mọi người từ năm 2009 và trải nghiệm của tôi với các sản phẩm của Apple khiến tôi trở thành người hoàn hảo để trợ giúp về nhu cầu công nghệ của họ. Các kỹ năng của tôi bao gồm: - Sửa chữa và nâng cấp iPhone và iPod - Cài đặt và sử dụng phần mềm Apple - Giúp mọi người tìm thấy các ứng dụng tốt nhất cho iPhone và iPod của họ - Làm việc trên các dự án trực tuyến

Cách tạo trang web WordPress an toàn

Tạo một miền riêng

Ẩn^(Hide) các tệp wp-config.php và .htaccess

Thay đổi URL đăng nhập WordPress của bạn

Cài đặt một Plugin bảo mật WordPress

Sử dụng Trình tạo mật khẩu WordPress^{(WordPress Password Generator)} và 2FA

Các Cân nhắc Bảo mật Quan trọng Khác^{(Important Security Considerations)}

How to Make a WordPress Site Secure

Create a Private Domain

Hide wp-config.php and .htaccess Files

Change Your WordPress Login URL

Install a WordPress Security Plugin

Use the WordPress Password Generator and 2FA

Other Important Security Considerations

Sơn Chiến

About the author

Related posts

3 cách để tạo ra mật khẩu an toàn nhất

Ứng dụng nhắn tin của bạn có thực sự an toàn không?

3 cách để Hãy Photo or Video trên Chromebook

Cách Detect Computer & Email Monitoring hoặc Spying Software

Flat Panel Display Technology Demystified: TN, IPS, VA, OLED trở lên

Cách sử dụng VLOOKUP trong tờ Google

Cách Insert Emoji trong Word, Google Docs and Outlook

DVI vs HDMI vs DisplayPort - Những gì bạn cần biết

10 Best Ways lên Child Proof Your Computer

Làm thế nào để Mute Someone trên Discord

Làm thế nào để tìm các máy chủ bất hòa tốt nhất

Uber Passenger Rating and How là gì để kiểm tra nó

4 Ways Để tìm Internet tốt nhất Options (ISPs) trong khu vực của bạn

Cách Download and Install Peacock trên Firestick

Bạn có thể thay đổi Twitch Name của bạn? Có, nhưng Be Careful

Làm thế nào để sửa chữa một Steam “Pending giao dịch” Lỗi

Làm thế nào để thực hiện bất kỳ Wired Printer Wireless trong 6 Different cách

Discord Không Opening? 9 Ways để Fix

Cách Post Một bài viết trên Linkedin (và Best Times đến Post)

Làm thế nào để Kiểm tra Your Hard Drive cho lỗi

Cách tạo trang web WordPress an toàn

Tạo một miền riêng

Ẩn(Hide) các tệp wp-config.php và .htaccess

Thay đổi URL đăng nhập WordPress của bạn

Cài đặt một Plugin bảo mật WordPress

Sử dụng Trình tạo mật khẩu WordPress(WordPress Password Generator) và 2FA

Các Cân nhắc Bảo mật Quan trọng Khác(Important Security Considerations)

How to Make a WordPress Site Secure

Create a Private Domain

Hide wp-config.php and .htaccess Files

Change Your WordPress Login URL

Install a WordPress Security Plugin

Use the WordPress Password Generator and 2FA

Other Important Security Considerations

Sơn Chiến

About the author

Related posts

3 cách để tạo ra mật khẩu an toàn nhất

Ứng dụng nhắn tin của bạn có thực sự an toàn không?

3 cách để Hãy Photo or Video trên Chromebook

Cách Detect Computer & Email Monitoring hoặc Spying Software

Flat Panel Display Technology Demystified: TN, IPS, VA, OLED trở lên

Cách sử dụng VLOOKUP trong tờ Google

Cách Insert Emoji trong Word, Google Docs and Outlook

DVI vs HDMI vs DisplayPort - Những gì bạn cần biết

10 Best Ways lên Child Proof Your Computer

Làm thế nào để Mute Someone trên Discord

Làm thế nào để tìm các máy chủ bất hòa tốt nhất

Uber Passenger Rating and How là gì để kiểm tra nó

4 Ways Để tìm Internet tốt nhất Options (ISPs) trong khu vực của bạn

Cách Download and Install Peacock trên Firestick

Bạn có thể thay đổi Twitch Name của bạn? Có, nhưng Be Careful

Làm thế nào để sửa chữa một Steam “Pending giao dịch” Lỗi

Làm thế nào để thực hiện bất kỳ Wired Printer Wireless trong 6 Different cách

Discord Không Opening? 9 Ways để Fix

Cách Post Một bài viết trên Linkedin (và Best Times đến Post)

Làm thế nào để Kiểm tra Your Hard Drive cho lỗi

Ẩn^(Hide) các tệp wp-config.php và .htaccess

Sử dụng Trình tạo mật khẩu WordPress^{(WordPress Password Generator)} và 2FA

Các Cân nhắc Bảo mật Quan trọng Khác^{(Important Security Considerations)}