Trang web WordPress an toàn

1] Đảm bảo máy tính Windows^{(Windows computer)} của bạn không có phần mềm độc hại. Không có mức độ bảo mật nào trong WordPress hoặc trên máy chủ web của bạn sẽ không tạo ra bất kỳ sự khác biệt nào nếu có một keylogger bất hợp pháp được cài đặt trên máy tính của bạn.

2] Luôn đảm bảo rằng bạn đã cài đặt phiên bản WordPress mới nhất^{(latest version)} và các^(WordPress) Plugin. Máy chủ web của bạn cũng có thể có lỗ hổng bảo mật. Do đó, hãy đảm bảo rằng Máy chủ web^{(Web Host)} của bạn đang chạy phiên bản mới nhất, an toàn, ổn định của phần mềm máy chủ trên đó. Tốt hơn hết, hãy đảm bảo rằng bạn đang sử dụng một máy chủ đáng tin cậy có thể xử lý những việc này cho bạn.

3] Sử dụng tên người dùng mạnh^{(strong username)} và mật khẩu mạnh^{(strong passwords)} . Tốt nhất nên sử dụng mật khẩu phức hợp hỗn hợp sử dụng bảng chữ cái viết hoa, viết thường, chữ số và các ký tự đặc biệt có độ dài vượt quá 15 ký tự. Cũng bắt buộc^(Enforce) sử dụng mật khẩu mạnh cho tất cả các Tác giả của bạn.

4] Thay đổi tên người dùng Quản trị^{(Change the Administrator username)} viên của cài đặt WordPress của bạn từ quản trị viên^(admin) mặc định thành một thứ gì đó mạnh mẽ và không liên quan đến tên riêng hoặc trang web của bạn. Bạn có thể tạo một tài khoản quản trị viên khác, đăng nhập với tư cách người dùng quản trị viên mới và xóa tài khoản tên người dùng quản trị viên mặc định cũ. Hoặc bạn có thể sử dụng trình thay đổi tên người dùng^{(Admin username changer)} Quản trị viên hoặc plugin mở rộng Trình đổi tên quản trị^{(Admin renamer extended)} viên hoặc một trong các plugin bảo mật được đề cập bên dưới để đổi tên tên người dùng quản trị viên mặc định.

5] Sử dụng^(Use) Captcha cho^(Captcha) mục đích đăng nhập.

Plugin Captcha từ BWS^{(Captcha plugin from BWS)} là một plugin tốt mà bạn có thể muốn xem qua. Nó cho phép bạn chọn các hoạt động và mức độ phức tạp.

6] Plugin Limit Login Attempts sẽ giới hạn tỷ lệ các nỗ lực đăng nhập, bằng cookie, cho mỗi IP. Nó sẽ chỉ cho phép số lần thử đã định cấu hình mà sau đó người dùng sẽ bị khóa. Bạn có thể định cấu hình tất cả các cài đặt của nó như số lần thử được phép, thời gian khóa, số lần thử lại được phép, v.v. Plugin này rất hữu ích trong việc ngăn chặn các cuộc tấn công brute force^{(brute force attacks)} .

Nếu người dùng sử dụng tên người dùng hoặc mật khẩu không chính xác, họ sẽ thấy thông báo này.

7] Thay đổi URL đăng nhập Bảng điều khiển WordPress^{(Change the WordPress Panel login URL)} từ mặc định /wp-admin/ thành một cái gì đó khác bằng cách sử dụng Đổi tên plugin wp-login . ^{(Rename wp-login)}Plugin này cũng hữu ích trong việc ngăn chặn các cuộc tấn công brute force.

8] Sử dụng plugin Security Scanner^{(Security Scanner plugin)} để quét các tệp cài đặt WordPress của bạn theo định kỳ. Plugin Sucuri Security - SiteCheck Malware Scanner cho phép bạn quét trang web WordPress của mình bằng cách sử dụng ^(WordPress)Sucuri SiteCheck ngay trong bảng điều khiển WordPress của bạn . Nó kiểm tra phần mềm độc hại, thư rác, danh sách đen, chuyển hướng .htaccess, mã eval ẩn và các vấn đề bảo mật khác.

Hơn nữa, nó xác minh xem WordPress và PHP có được cập nhật hay không và ẩn phiên bản WordPress khỏi công chúng, v.v. nếu trang web của bạn được bảo vệ bởi Tường lửa web^{(Web Firewall)} . Nó cũng bảo vệ Thư mục tải lên^{(Uploads Directory)} của bạn , hạn chế quyền truy cập wp-content và wp-include bằng cách tăng cường quyền đối với tệp và kiểm tra tính toàn vẹn của các tệp WordPress cốt lõi của bạn. ^(WordPress)Nó giám sát một số lượng lớn các hành động, bao gồm, Nỗ lực đăng nhập , ^(Login)Đăng^(Logins) nhập không thành công , Thay đổi tệp^{(File Changes)} , v.v.

Sucuri cũng kiểm tra xem trang web của bạn có bị đưa vào danh sách cấm ở bất kỳ đâu như Google Safe Browsing , Norton Safe Web , Phish Tank , Sitevisor^{(SiteAdvisor)} , Eset , Yandex , v.v. hay không và thông báo cho bạn về điều đó.

Ngoài Sucuri, plugin Secure WordPress , Exploit Scanner , WordFence Security , WordPress Sentinel , Quttera , VIP Scanner , iThemes Security (trước đây là Better WP Security),  BulletProof Security và All In One WP Security & Firewall là một trong những trình quét và plugin bảo mật tốt khác bạn có thể muốn xem qua. Hầu hết các plugin này, ngoài việc quét trang web của bạn để tìm phần mềm độc hại, cũng sẽ giúp bạn Quản lý quyền đối với tệp^{(Harden File Permissions)} , xóa tệp ReadMe , ẩn phiên bản WordPress và hơn thế nữa.

Hãy nhớ^(Remember) sao lưu cơ sở dữ liệu hoặc toàn bộ trang web của bạn trước khi thực hiện bất kỳ thay đổi đáng chú ý nào đối với cài đặt WordPress của bạn vì một số bản sửa lỗi bằng 1 cú nhấp chuột này có thể phá vỡ một số chức năng của trang web của bạn. Vì vậy, hãy cẩn thận ở đây.

8] Sử dụng mạng phân phối nội dung miễn phí Cloudflare để lọc tất cả lưu lượng truy cập của bạn và giảm thiểu nguy cơ trang web WordPress của bạn trở thành mục tiêu, vì nó hoạt động như một proxy giữa khách truy cập và máy chủ mà trang web của bạn được lưu trữ. Cloudflare cơ bản là miễn phí, nhưng nếu bạn trả một số tiền nhỏ, bạn cũng có thể sử dụng dịch vụ Tường lửa ứng dụng web^{(Web Application Firewall)} của nó . Nó ngăn chặn các cuộc tấn công theo thời gian thực như SQL injection, cross-site scripting, comment spam và các hành vi lạm dụng khác ở rìa mạng. Chúng tôi sử dụng Tường lửa Sucuri^{(Sucuri Firewall)} ở đây. Sucuri cung cấp một bức tường lửa tuyệt vời, nhưng nó không miễn phí. Google Project Shield cung cấp DDoS miễn phí^(DDoS)bảo vệ để chọn các trang web.

9] Giảm thiểu số lượng plugin^{(number of plugins)} bạn sử dụng. Hủy^(Deactivate) kích hoạt hoặc thậm chí tốt hơn, xóa những người bạn không sử dụng.

10] Tiếp tục tạo bản sao lưu^(backups) trang web của bạn theo định kỳ và tải chúng lên một số dịch vụ Đám mây^(Cloud) và / hoặc máy tính để bàn của bạn. BackWPUp , VaultPress , BackupBuddy , DropBox cho WordPress, ^{(DropBox for WordPress,)} BackUpWordPress là một trong những plugin Sao lưu^(Backup) tốt mà bạn có thể muốn xem qua.

Mặc dù điều này có thể là đủ đối với hầu hết các trang web WordPress , nhưng nếu bạn cần đi xa hơn, bạn có thể đọc bài đăng này trên WordPress.org .

Đọc: ^(Read:) Tại sao các trang web bị tấn công ?

Một số bạn có thể muốn xem bài đăng của tôi về Các mẹo hữu ích cho người viết blog mới^{(Useful tips for new bloggers)} .^{(Some of you might want to check out my post on Useful tips for new bloggers.)}

Protect and secure WordPress website from Hackers

Secure WordPress website

1]  Make sure your Windows computer is free of malware. No amount of security in WordPress or on your web server will make any difference if there is an illegal keylogger installed on your computer.

2] Always make sure that you have the latest version of WordPress and your Plugins installed. Your web server can have vulnerabilities too. Therefore, make sure that your Web Host is running latest, secure, stable versions of server software on it. Better still, make sure you are using a trusted host that takes care of these things for you.

3] Use a strong username and a strong passwords. Best to go for mixed complex passwords using upper, lower case alphabets, numerals and special characters of length exceeding 15 characters. Enforce usage of strong passwords for all your Authors too.

4] Change the Administrator username of your WordPress installation from the default admin to something strong and unrelated to your own or sites name. You can create another administrator account, login as new administrator user and delete the old default admin username account. Or you could use Admin username changer or Admin renamer extended plugin or one of the security plugins mentioned below to rename the default admin username.

5] Use a Captcha for login purposes.

The Captcha plugin from BWS is a good one you may want to have a look at. It lets you choose the operations and the complexity levels.

6] The Limit Login Attempts plugin will limit the rate of login attempts, by way of cookies, for each IP. It will allow only the configured number of attempts after which the user will get locked out. You can configure all its settings like the number of attempts allowed, lockout period, allowed re-tries and so on. This plugin is useful in preventing brute force attacks.

If a user uses an incorrect username or password, he or she will see this message.

7] Change the WordPress Panel login URL from default /wp-admin/ to something else using Rename wp-login plugin.  This plugin is useful in preventing brute force attacks too.

8] Use a Security Scanner plugin to scan your WordPress installation files periodically. The Sucuri Security – SiteCheck Malware Scanner plugin enables you to scan your WordPress site using Sucuri SiteCheck right in your WordPress dashboard. It checks for malware, spam, blacklisting, .htaccess redirects, hidden eval code, and other security issues.

Furthermore, it verifies if WordPress and PHP are up-to-date and hides the WordPress version from the public, etc if your site is protected by a Web Firewall. It also protects your Uploads Directory, restricts wp-content and wp-includes access by hardening file permissions, and checks for the integrity of your core WordPress files. It monitors a large number of actions, including, Login attempts, Failed Logins, File Changes, and so on.

Sucuri also checks if your site has been black-listed anywhere like Google Safe Browsing, Norton Safe Web, Phish Tank, SiteAdvisor, Eset, Yandex, etc and informs you about it.

Apart from Sucuri, Secure WordPress plugin, Exploit Scanner, WordFence Security, WordPress Sentinel, Quttera, VIP Scanner, iThemes Security (formerly Better WP Security), BulletProof Security and All In One WP Security & Firewall are among the other good scanners and security plugins you may want to have a look at. Most of these plugins, apart from scanning your site for malware, will also help you Harden File Permissions, delete ReadMe files, hide WordPress versions, and more.

Remember to back up your database or full site before making any notable changes to your WordPress installation as some of these 1-click fixes could potentially break some functionality of your site. So please be careful here.

8] Use Cloudflare free content delivery network to filter all your traffic and minimizes the risk of your WordPress website from becoming a target, as it acts as a proxy between your visitors and the server your website is hosted on. Cloudflare basic is free, but if you pay a nominal amount, you can also avail of its Web Application Firewall service. It stops real-time attacks like SQL injection, cross-site scripting, comment spam and other abuse at the network edge. We use Sucuri Firewall here. Sucuri offers a great firewall, but it is not free. Google Project Shield offers free DDoS protection to select websites.

9] Minimize the number of plugins you use. Deactivate or even better, delete the ones you don’t use.

10] Keep creating backups of your site at regular intervals, and upload them to some Cloud service and/or to your desktop. BackWPUp, VaultPress, BackupBuddy, DropBox for WordPress, BackUpWordPress are among the good Backup plugins you may want to check out.

While this may be enough for most WordPress sites, if you need to go further, you could read this post on WordPress.org.

Read: Why are websites hacked?

Some of you might want to check out my post on Useful tips for new bloggers.

Related posts

• Best Nhận xét lưu trữ web cá nhân miễn phí

• Cách đối phó với Plagiarism and Online Content Theft

• Danh sách Top Blogs bằng India theo giao thông - 2020

• Mẹo Blogging thực tế cho các blogger & người mới bắt đầu mới

• Find Các liên kết bị hỏng, validate HTML & CSS trên trang web của bạn bằng DeepTrawl

• Mở Live Writer hiện có sẵn trong Windows Store dưới dạng Trusted app

• Must Have WordPress Yoast SEO Settings 2021

• WordPress Jetpack: Nó là gì và có đáng cài đặt không?

• Cách thiết lập thủ công WordPress trên tên miền

• Cách sử dụng Lumen5 để biến bài đăng trên blog của bạn thành video

• 9 Phải có plugin để cài đặt WordPress mới

• 11 Plugin Podcast WordPress Tốt nhất

• Đánh giá sách: Xây dựng trang web của riêng bạn: Hướng dẫn truyện tranh về HTML, CSS và Wordpress

• Cách di chuyển WordPress site từ máy chủ này sang máy chủ khác

• Cách tìm thông tin đăng nhập quản trị viên WordPress của bạn

• 10 Plugin WordPress cần thiết cho một trang web doanh nghiệp nhỏ

• Cách xóa phần mềm độc hại khỏi trang web WordPress của bạn

• Click Frauds and Online Advertising Frauds là gì

• Cách tạo WordPress Site Secure

• Cách bảo vệ các trang bằng mật khẩu trên trang web WordPress của bạn