Làm cách nào tôi có thể cải thiện bảo mật trang web wordpress của mình?

Tôi đã nghe nhiều chủ sở hữu trang web phàn nàn về bảo mật WordPress. Một số thậm chí còn thắc mắc – WordPress có an toàn không? . Có phải đó là một thực tế?

May mắn thay, việc thiếu bảo mật WordPress tích hợp là một huyền thoại. Trên thực tế, đôi khi ngược lại – các trang web WordPress an toàn hơn nhiều so với các trang web trực tuyến khác

Hôm nay, tôi dự định thảo luận về một số mẹo bảo mật WP đơn giản có thể giúp bạn bảo mật trang web WordPress của mình hơn nữa

Sau khi thực hiện các chiến thuật này và theo dõi quá trình kiểm tra bảo mật WordPress liên tục, bạn sẽ tiếp tục bảo mật tốt cho trang web WordPress của mình

Mục lục

👉
👉
👉
👉
👉

Quan tâm đến cách làm cho trải nghiệm của bạn an toàn hơn trên web?

• 🏃 Cách dừng ứng dụng theo dõi bạn
• 🔐 Công cụ kiểm tra bảo mật trang web tốt nhất
• 🔑 Trình quản lý mật khẩu tốt nhất cho công việc và cá nhân
• 🛡️ SSL là gì? .
• 👊 Sucuri đấu với Wordfence đấu với MalCare
• 🤔 Chi phí VPN là bao nhiêu?
• 💂🏻 Dịch vụ VPN tốt nhất năm nay

Tại sao bảo mật WordPress rất quan trọng

Trước khi chúng tôi khám phá danh sách kiểm tra bảo mật WordPress, điều quan trọng là phải hiểu tại sao bảo mật WordPress lại quan trọng như vậy. Bằng cách này, bạn sẽ yên tâm vì bạn sẽ biết chính xác lý do tại sao bạn dành thời gian bảo mật trang web của mình hoặc tại sao bạn trả tiền để thuê chuyên gia bảo mật WordPress đó

Nhìn chung, bảo mật WordPress rất quan trọng vì một vài lý do

1. WordPress phổ biến. Hệ thống hoạt động tốt đến mức hơn 42% internet sử dụng WordPress. Tuy nhiên, điều này có nghĩa là đó là một giao diện dễ nhận biết, ngay cả đối với tin tặc
2. Bạn sẽ có thiết lập failafe trước khi xảy ra sự cố. Mặc dù không chắc, một trang web WordPress bị xâm nhập có thể khiến nó bị sập hoặc chạy kém. Các tính năng dự phòng như lưu trữ sao lưu ngoại vi và khôi phục sao lưu nhanh có nghĩa là bạn có thể giải quyết các cuộc tấn công ngay cả sau khi chúng xảy ra
3. WordPress có nhiều phần chuyển động. Từ các plugin của bên thứ ba đến các chủ đề và các công ty lưu trữ đến chính phần mềm cốt lõi, nhiều yếu tố kết hợp với nhau để biến WordPress trở thành một trong những hệ thống quản lý nội dung có thể tùy chỉnh nhất xung quanh. Nhưng với tất cả các phần chuyển động này, các lỗ hổng có thể phát sinh, chẳng hạn như nếu bạn cài đặt plugin có mã đáng ngờ hoặc không tự động cập nhật chủ đề WordPress của mình
4. Nó có một khu vực đăng nhập. Cho đến ngày nay, một trong những hình thức hack phổ biến nhất là tấn công brute-force, liên quan đến bot hoặc người dùng nhiều tên người dùng và mật khẩu để đột nhập vào trang web của bạn. Giống như tất cả công nghệ, WordPress có mô-đun đăng nhập, vì vậy bạn phải làm mọi thứ có thể để bảo vệ khu vực đăng nhập và củng cố thông tin đăng nhập. Điều tương tự cũng xảy ra với FTP và lưu trữ thông tin đăng nhập

Bây giờ bạn đã biết tại sao bảo mật WordPress lại quan trọng, hãy tiếp tục đọc để đi sâu vào hướng dẫn bảo mật WordPress cuối cùng, với 25 mẹo bảo mật WP để giữ an toàn cho trang web của bạn mọi lúc

Tìm hiểu 25 cách để bảo mật trang web #WordPress của bạn ngay hôm nay 🔐

Nhấp để Tweet

Khi bạn đọc xong về Bảo mật WordPress, hãy xem

• 📊 Số liệu thống kê WordPress bạn nên biết
• 🚧 Cách tạo trang web WordPress
• 🤔 WordPress. com so với WordPress. tổ chức
• 🎨 Chủ đề WordPress miễn phí tốt nhất
• 🔌 Plugin WordPress tốt nhất
• 🏎️ Dịch vụ lưu trữ WordPress tốt nhất
• 🐌 Các cách tăng tốc WordPress

Phần (a). Bảo mật trang web WordPress của bạn bằng cách đảm bảo lưu trữ của bạn an toàn

Hầu như tất cả các công ty lưu trữ đều tuyên bố cung cấp một môi trường được tối ưu hóa cho WordPress, nhưng họ có làm như vậy không?

1. Chỉ làm việc với các máy chủ tốt

Bạn chỉ nên làm việc với dịch vụ lưu trữ đáng tin cậy, chất lượng cao và an toàn. Lời khuyên này có vẻ hiển nhiên đúng không?

Dù ít hay nhiều, mọi người đều nghĩ rằng dịch vụ lưu trữ của họ rất tuyệt cho đến khi lần đầu tiên xảy ra sự cố. Trong thế giới thực, không phải tất cả các công ty lưu trữ và dịch vụ lưu trữ đều được tạo ra như nhau

Nếu bạn xem xét một trong các cuộc khảo sát về lưu trữ của chúng tôi, bạn sẽ thấy trải nghiệm của những người khác nhau như thế nào về chất lượng lưu trữ tổng thể và cả các khía cạnh riêng lẻ trong thiết lập lưu trữ của họ, như bảo mật, độ tin cậy, tốc độ, v.v.

Một số máy chủ chỉ đơn giản là phụ và không làm tốt khi bị căng thẳng

Tin xấu ở đây là hầu hết thời gian bạn thậm chí không biết rằng máy chủ của bạn không coi trọng vấn đề bảo mật trang web của bạn. Những thứ như các cuộc tấn công của tin tặc gia tăng, thời gian ngừng hoạt động thường xuyên, hiệu suất thấp, tất cả có thể là kết quả của các cơ chế bảo mật không phù hợp.

Thực tế là bạn sẽ không thực sự “sửa máy chủ của mình. ” Giải pháp dễ nhất và tốt nhất là chuyển sang một máy chủ khác an toàn hơn

Nói chung, bạn càng trả nhiều tiền, máy chủ mới của bạn sẽ càng tốt, nhưng cũng có một số tùy chọn ngân sách mà bạn có thể xem xét

Nếu bạn muốn đi đến cuối chủ đề, chúng tôi có các bài so sánh về các tùy chọn lưu trữ tốt nhất có sẵn trong hộp liên kết ở đầu trang, cộng với các cuộc khảo sát đã nói ở trên, nơi bạn có thể xem những gì người khác nói

Đây là một đề xuất ngắn nếu bạn đang vội

• 💪 Thiết lập nguồn điện tốt nhất. Kinsta. Với $100/tháng, bạn có thể lưu trữ tối đa 5 trang web và chào đón ~100.000 khách truy cập
• 🚗 Máy chủ được quản lý cấp đầu vào. bánh đà. Với $13. 00/tháng, bạn có thể lưu trữ một trang web và chào đón ~5.000 khách truy cập
• 💰 Lựa chọn ngân sách. Trang webGround. Với giá thấp nhất là 2 đô la. 99/tháng, bạn có thể lưu trữ một trang web

2. Bảo vệ wp-config. tập tin php

wp-config. tệp php chứa thông tin quan trọng về cài đặt WordPress của bạn và đó là tệp quan trọng nhất trong thư mục gốc của trang web của bạn. Bảo vệ nó có nghĩa là bảo vệ cốt lõi của blog WordPress của bạn

Chiến thuật này khiến tin tặc khó vi phạm bảo mật trang web của bạn, vì tệp wp-config. tệp php trở nên không thể truy cập được đối với họ

Ngoài ra, quy trình bảo vệ thực sự dễ dàng. Chỉ cần lấy wp-config của bạn. php và di chuyển nó lên cấp cao hơn thư mục gốc của bạn

Bây giờ, câu hỏi là, nếu bạn lưu trữ nó ở nơi khác, làm thế nào để máy chủ truy cập nó? . Vì vậy, ngay cả khi nó được lưu trữ một thư mục phía trên thư mục gốc, WordPress vẫn có thể nhìn thấy nó

3. Không cho phép chỉnh sửa tập tin

Nếu người dùng có quyền truy cập quản trị viên vào bảng điều khiển WordPress của bạn, họ có thể chỉnh sửa bất kỳ tệp nào là một phần của cài đặt WordPress của bạn. Điều này bao gồm tất cả các plugin và chủ đề

Nếu bạn không cho phép chỉnh sửa tệp, không ai có thể sửa đổi bất kỳ tệp nào – ngay cả khi tin tặc có quyền truy cập quản trị viên vào bảng điều khiển WordPress của bạn

Để thực hiện công việc này, hãy thêm phần sau vào wp-config. php tập tin (ở cuối cùng)

define('DISALLOW_FILE_EDIT', true);

4. Đặt quyền thư mục một cách cẩn thận

Quyền thư mục sai có thể gây tử vong, đặc biệt nếu bạn đang làm việc trong môi trường lưu trữ được chia sẻ

Trong trường hợp như vậy, thay đổi quyền truy cập tệp và thư mục là một động thái tốt để bảo mật trang web ở cấp lưu trữ. Đặt quyền đối với thư mục thành “755” và tệp thành “644” bảo vệ toàn bộ hệ thống tệp – thư mục, thư mục con và tệp riêng lẻ

Điều này có thể được thực hiện thủ công thông qua Trình quản lý tệp bên trong bảng điều khiển lưu trữ của bạn hoặc thông qua thiết bị đầu cuối (được kết nối với SSH) – sử dụng lệnh “chmod”

Để biết thêm thông tin, bạn có thể đọc về lược đồ quyền chính xác cho WordPress hoặc cài đặt plugin iThemes Security để kiểm tra cài đặt quyền hiện tại của bạn

5. Vô hiệu hóa danh sách thư mục với. htaccess

Nếu bạn tạo một thư mục mới như một phần của trang web của mình và không đặt chỉ mục. html trong đó, bạn có thể ngạc nhiên khi thấy rằng khách truy cập của bạn có thể nhận được danh sách thư mục đầy đủ về mọi thứ có trong thư mục đó

Ví dụ: nếu bạn tạo một thư mục có tên là “data”, bạn có thể xem mọi thứ trong thư mục đó chỉ bằng cách nhập http. //www. ví dụ. com/data/ trong trình duyệt của bạn. Không có mật khẩu hoặc bất cứ điều gì là cần thiết

Bạn có thể ngăn chặn điều này bằng cách thêm dòng mã sau vào. tập tin htaccess

Options All -Indexes

6. Chặn tất cả liên kết nóng

Giả sử bạn định vị một hình ảnh trực tuyến và muốn chia sẻ nó trên trang web của mình. Trước hết, bạn cần có sự cho phép hoặc trả tiền cho hình ảnh đó, nếu không, rất có thể việc làm như vậy là bất hợp pháp. Nhưng nếu bạn được phép, bạn có thể lấy trực tiếp URL của hình ảnh và sử dụng URL đó để đặt ảnh vào bài đăng của mình. Vấn đề chính ở đây là hình ảnh được hiển thị trên trang web của bạn nhưng được lưu trữ trên máy chủ của trang web khác

Từ quan điểm này, bạn không có bất kỳ quyền kiểm soát nào đối với việc ảnh có còn trên máy chủ hay không. Nhưng điều quan trọng là phải nhận ra rằng mọi người có thể làm điều này với trang web của bạn

Nếu bạn đang cố bảo mật trang web WordPress của mình, liên kết nóng về cơ bản là một người khác chụp ảnh của bạn và đánh cắp băng thông máy chủ của bạn để hiển thị hình ảnh trên trang web của riêng họ. Cuối cùng, bạn sẽ thấy tốc độ tải chậm hơn và khả năng chi phí máy chủ cao

Mặc dù có một số kỹ thuật thủ công để ngăn chặn liên kết nóng, phương pháp đơn giản nhất là tìm một plugin bảo mật WordPress cho công việc. Chẳng hạn, plugin All in One WP Security and Firewall bao gồm các công cụ tích hợp để chặn tất cả các liên kết nóng

All-In-One Security (AIOS) – Bảo mật và Tường lửa

(các) tác giả. Nhóm tường lửa & bảo mật tất cả trong một WP

Phiên bản hiện tại. 5. 1. 4

Cập nhật lần cuối. Ngày 15 tháng 12 năm 2022

tất cả trong một wp-bảo mật và tường lửa. 5. 1. 4. khóa kéo

96%Xếp hạng 1.000.000+Lượt cài đặt WP 5. 0+Yêu cầu

7. Hiểu và bảo vệ chống lại các cuộc tấn công DDoS

Tấn công DDoS là một kiểu tấn công phổ biến nhằm vào băng thông máy chủ của bạn, trong đó kẻ tấn công sử dụng nhiều chương trình và hệ thống để làm quá tải máy chủ của bạn. Mặc dù một cuộc tấn công như thế này không gây nguy hiểm cho các tệp trang web của bạn, nhưng nó có nghĩa là làm hỏng trang web của bạn trong một thời gian dài nếu không được giải quyết. Thông thường, bạn chỉ nghe về các cuộc tấn công DDoS khi nó xảy ra với các công ty lớn như GitHub hay Target. Chúng được tiến hành bởi những kẻ mà nhiều người gọi là khủng bố mạng, vì vậy động cơ có thể chỉ đơn giản là tàn phá

Điều đó nói rằng, bạn không cần phải là một công ty trong danh sách Fortune 500 để gặp rủi ro

Nếu điều này làm bạn lo lắng, chúng tôi khuyên bạn nên đăng ký gói cao cấp Sucuri hoặc Cloudflare. Các giải pháp này có tường lửa ứng dụng web để phân tích băng thông đang được sử dụng và chặn hoàn toàn các cuộc tấn công DDoS

Phần (b). Bảo mật trang web WordPress của bạn bằng cách bảo vệ trang đăng nhập và ngăn chặn các cuộc tấn công vũ phu

Mọi người đều biết URL trang đăng nhập WordPress tiêu chuẩn. Phần phụ trợ của trang web được truy cập từ đó và đó là lý do tại sao mọi người cố gắng xâm nhập. Chỉ cần thêm /wp-login.php hoặc /wp-admin/ vào cuối tên miền của bạn và thế là xong

Những gì tôi khuyên là tùy chỉnh URL trang đăng nhập và thậm chí cả tương tác của trang. Đó là điều đầu tiên tôi làm khi bắt đầu bảo mật trang web của mình

Tại sao? . Có một số trách nhiệm mà bạn phải đảm nhận với tư cách là chủ sở hữu trang web. Vì vậy, câu hỏi quan trọng là, bạn đang làm gì để cứu trang web của mình khỏi bị tấn công?

Dưới đây là một số gợi ý để bảo mật trang đăng nhập trang web WordPress của bạn

8. Thiết lập tính năng khóa trang web và cấm người dùng

Tính năng khóa đối với các lần đăng nhập không thành công có thể giải quyết vấn đề lớn về các nỗ lực vũ phu liên tục. Bất cứ khi nào có một nỗ lực hack với mật khẩu sai lặp đi lặp lại, trang web sẽ bị khóa và bạn sẽ nhận được thông báo về hoạt động trái phép này

Tôi phát hiện ra rằng plugin iTheme Security là một trong những plugin tốt nhất hiện có và tôi đã sử dụng nó được một thời gian. Plugin có rất nhiều thứ để cung cấp về mặt này. Cùng với hơn 30 biện pháp bảo mật WordPress tuyệt vời khác, bạn có thể chỉ định một số lần đăng nhập thất bại nhất định trước khi plugin cấm địa chỉ IP của kẻ tấn công

Bảo mật iTheme

(các) tác giả. iTheme

Phiên bản hiện tại. 8. 1. 4

Cập nhật lần cuối. Ngày 1 tháng 12 năm 2022

bảo mật wp tốt hơn. 8. 1. 4. khóa kéo

92%Xếp hạng 1.000.000+Số lượt cài đặt WP 5. 9+Yêu cầu

9. Sử dụng xác thực hai yếu tố để bảo mật WordPress

Giới thiệu mô-đun xác thực hai yếu tố (2FA) trên trang đăng nhập là một biện pháp bảo mật tốt khác. Trong trường hợp này, người dùng cung cấp chi tiết đăng nhập cho hai thành phần khác nhau. Chủ sở hữu trang web quyết định hai cái đó là gì. Nó có thể là một mật khẩu thông thường, theo sau là một câu hỏi bí mật, một mã bí mật, một bộ ký tự hoặc phổ biến hơn là ứng dụng Google Authenticator gửi mã bí mật đến điện thoại của bạn. Bằng cách này, chỉ người có điện thoại của bạn (bạn) mới có thể đăng nhập vào trang web của bạn

Tôi thích sử dụng mã bí mật hơn khi triển khai 2FA trên bất kỳ trang web nào của mình. Plugin Google Authenticator giúp tôi thực hiện điều đó chỉ bằng vài cú nhấp chuột

Google Authenticator của miniOrange – WordPress Two Factor Authentication (2FA , Two Factor, OTP SMS và Email). đăng nhập không cần mật khẩu

(các) tác giả. miniOrange

Phiên bản hiện tại. 5. 6. 5

Cập nhật lần cuối. Ngày 10 tháng 11 năm 2022

xác thực 2 yếu tố miniorange. 5. 6. 5. khóa kéo

90%Xếp hạng 20.000+Cài đặt 3. 0. 1Yêu cầu

10. Sử dụng email của bạn để đăng nhập

Theo mặc định, bạn phải nhập tên người dùng của mình để đăng nhập vào WordPress. Sử dụng ID email thay vì tên người dùng là cách tiếp cận an toàn hơn. Những lý do khá rõ ràng. Tên người dùng dễ dự đoán, trong khi ID email thì không. Ngoài ra, mọi tài khoản người dùng WordPress đều được tạo bằng một địa chỉ email duy nhất, làm cho nó trở thành một mã định danh hợp lệ để đăng nhập

Một số plugin bảo mật WordPress cho phép bạn thiết lập các trang đăng nhập để tất cả người dùng phải sử dụng địa chỉ email của họ để đăng nhập

11. Đổi tên URL đăng nhập của bạn để bảo mật trang web WordPress của bạn

Thay đổi URL đăng nhập là một điều dễ dàng để làm. Theo mặc định, trang đăng nhập WordPress có thể được truy cập dễ dàng thông qua wp-login.php hoặc wp-admin được thêm vào URL chính của trang web

Khi tin tặc biết URL trực tiếp của trang đăng nhập của bạn, chúng có thể cố gắng xâm nhập. Họ cố gắng đăng nhập bằng GWDb của họ (Cơ sở dữ liệu công việc đoán, tôi. e. cơ sở dữ liệu về tên người dùng và mật khẩu đã đoán; . g. tên tài khoản.

Options All -Indexes

0 và mật khẩu.

Options All -Indexes

1 … với hàng triệu kết hợp như vậy)

Tại thời điểm này, chúng tôi đã hạn chế các lần đăng nhập của người dùng và hoán đổi tên người dùng cho ID email. Bây giờ chúng tôi có thể thay thế URL đăng nhập và loại bỏ 99% các cuộc tấn công vũ phu trực tiếp

Thủ thuật nhỏ này hạn chế một thực thể trái phép truy cập vào trang đăng nhập. Chỉ ai đó có URL chính xác mới có thể làm điều đó

Cách dễ nhất để thay đổi URL đăng nhập của bạn là sử dụng plugin được đặt tên phù hợp WPS Ẩn đăng nhập. Nó rất đơn giản để sử dụng; . Bạn có thể đặt URL thành bất cứ thứ gì bạn muốn

WPS Ẩn đăng nhập

(các) tác giả. WPServeur, NicolasKulka, wpformation

Phiên bản hiện tại. 1. 9. 6

Cập nhật lần cuối. Ngày 25 tháng 5 năm 2022

wps-ẩn-đăng nhập. 1. 9. 6. khóa kéo

98%Xếp hạng 1.000.000+Số lượt cài đặt WP 4. 1+Yêu cầu

12. Điều chỉnh mật khẩu của bạn để tăng cường bảo mật cho WordPress

Chơi xung quanh với mật khẩu của bạn và thay đổi chúng thường xuyên để bảo mật trang web WordPress của bạn. Cải thiện độ mạnh của chúng bằng cách thêm các từ bổ sung và làm cho mật khẩu của bạn dài hơn

Lưu ý rằng chúng tôi không nhất thiết khuyên bạn tiếp tục thêm nhiều chữ hoa và chữ thường, số và ký tự đặc biệt vào mật khẩu của mình. Thay vào đó, nhiều người chọn các cụm mật khẩu dài vì tin tặc gần như không thể đoán được nhưng lại dễ nhớ hơn một loạt các số và chữ cái ngẫu nhiên

Có một mẩu truyện tranh nổi tiếng của xkcd về cách đánh lừa một số mật khẩu có vẻ an toàn.

Hóa ra việc sử dụng một cụm từ phức tạp thường có thể an toàn hơn nhiều và cũng dễ nhớ hơn gấp 10 lần

13. Sử dụng trình quản lý mật khẩu

Được rồi, tất cả chúng ta đều biết rằng chúng ta nên thay đổi mật khẩu của bạn thường xuyên và chúng phải khó bẻ khóa. Chúng tôi biết mình “nên” làm gì, nhưng không phải lúc nào chúng tôi cũng có thời gian để làm

Đây là lúc một số trình quản lý mật khẩu chất lượng phát huy tác dụng. Họ sẽ không chỉ tạo mật khẩu an toàn cho bạn mà sau đó lưu trữ chúng bên trong một hầm an toàn, điều này sẽ giúp bạn không phải nhớ chúng

👉 Dưới đây là so sánh chuyên sâu của chúng tôi về các trình quản lý mật khẩu tốt nhất trên thị trường

14. Tự động đăng xuất người dùng nhàn rỗi khỏi trang web của bạn

Người dùng để bảng wp-admin của trang web của bạn mở trên màn hình của họ có thể gây ra mối đe dọa bảo mật nghiêm trọng cho WordPress. Bất kỳ người qua đường nào cũng có thể thay đổi thông tin trên trang web của bạn, thay đổi tài khoản người dùng của một người hoặc thậm chí phá vỡ hoàn toàn trang web của bạn. Bạn có thể tránh điều này bằng cách đảm bảo rằng trang web của bạn đăng xuất mọi người sau khi họ không hoạt động trong một khoảng thời gian nhất định

Bạn có thể thiết lập điều này bằng cách sử dụng plugin như BulletProof Security. Plugin này cho phép bạn đặt giới hạn thời gian tùy chỉnh cho người dùng nhàn rỗi, sau đó họ sẽ tự động đăng xuất

Bảo mật BulletProof

(các) tác giả. Bảo mật trang web AITpro

Phiên bản hiện tại. 6. 7

Cập nhật lần cuối. Ngày 25 tháng 10 năm 2022

an ninh chống đạn. 6. 7. khóa kéo

96%Xếp hạng 40.000+Cài đặt WP 3. 8+Yêu cầu

Phần (c). Bảo mật trang web WordPress của bạn thông qua bảng điều khiển quản trị

Đối với một hacker, phần hấp dẫn nhất của trang web là bảng điều khiển dành cho quản trị viên, đây thực sự là phần được bảo vệ nhiều nhất. Vì vậy, tấn công phần mạnh nhất là thử thách thực sự. Nếu hoàn thành, nó mang lại cho tin tặc một chiến thắng về mặt đạo đức và quyền truy cập để gây ra nhiều thiệt hại

Đây là những gì bạn có thể làm để bảo mật bảng điều khiển quản trị trang web WordPress của mình

15. Bảo vệ thư mục wp-admin

Thư mục wp-admin là trung tâm của bất kỳ trang web WordPress nào. Do đó, nếu phần này của trang web của bạn bị vi phạm, thì toàn bộ trang web có thể bị hỏng

Một cách khả thi để bạn ngăn chặn điều này là đặt mật khẩu bảo vệ thư mục wp-admin. Với biện pháp bảo mật WordPress như vậy, chủ sở hữu trang web có thể truy cập trang tổng quan bằng cách gửi hai mật khẩu. Một bảo vệ trang đăng nhập và cái còn lại bảo vệ khu vực quản trị WordPress

Thiết lập điều này thường liên quan đến việc điều chỉnh thiết lập lưu trữ của bạn thông qua cPanel. Tuy nhiên, điều này không quá khó thực hiện nếu bạn

16. Sử dụng SSL để mã hóa dữ liệu và cải thiện bảo mật WordPress

Triển khai chứng chỉ SSL (Lớp cổng bảo mật) là một bước đi thông minh để bảo mật bảng quản trị. SSL đảm bảo truyền dữ liệu an toàn giữa trình duyệt của người dùng và máy chủ, khiến tin tặc khó vi phạm kết nối hoặc giả mạo thông tin của bạn

Nhận chứng chỉ SSL cho trang web WordPress của bạn thật đơn giản. Bạn có thể mua một cái từ công ty bên thứ ba hoặc kiểm tra xem công ty lưu trữ của bạn có cung cấp miễn phí không

Tôi sử dụng chứng chỉ SSL mã nguồn mở miễn phí Let's Encrypt trên hầu hết các trang web của mình. Bất kỳ công ty lưu trữ tốt nào như SiteGround đều cung cấp chứng chỉ SSL Let's Encrypt miễn phí với các gói lưu trữ của nó

Chứng chỉ SSL cũng ảnh hưởng đến thứ hạng Google của trang web của bạn. Google có xu hướng xếp hạng các trang web có SSL cao hơn những trang web không có nó. Điều đó có nghĩa là lưu lượng truy cập nhiều hơn. Bây giờ ai không muốn điều đó?

Kích hoạt SSL trên trang web WordPress của bạn rất đơn giản. Trong 99% trường hợp, tất cả những gì bạn cần làm là cài đặt plugin Really Simple SSL và kích hoạt nó. Không có cài đặt nào khác được yêu cầu

SSL thực sự đơn giản

(các) tác giả. Plugin thực sự đơn giản

Phiên bản hiện tại. 6. 0. 14

Cập nhật lần cuối. Ngày 28 tháng 12 năm 2022

thực sự đơn giản-ssl. 6. 0. 14. khóa kéo

100%Xếp hạng 5.000.000+Lượt cài đặt WP 5. 7+Yêu cầu

17. Thêm tài khoản người dùng một cách cẩn thận

Nếu bạn chạy một blog WordPress, hay đúng hơn là một blog nhiều tác giả, thì bạn cần xử lý nhiều người truy cập bảng quản trị của mình. Điều này có thể khiến trang web của bạn dễ bị tổn thương hơn trước các mối đe dọa bảo mật WordPress

Bạn có thể sử dụng plugin như Force Strong Passwords nếu muốn đảm bảo rằng bất kỳ mật khẩu nào người dùng tạo đều an toàn. Đây chỉ là một biện pháp phòng ngừa, nhưng tốt hơn là có nhiều người dùng có mật khẩu yếu

Không tìm thấy mục.
"force-strong-passwords"
không tồn tại.

18. Thay đổi tên người dùng quản trị viên

Trong quá trình cài đặt WordPress, bạn không bao giờ được chọn “admin” làm tên người dùng cho tài khoản quản trị viên chính của mình. Tên người dùng dễ đoán như vậy có thể tiếp cận được đối với tin tặc. Tất cả những gì họ cần tìm ra là mật khẩu, sau đó toàn bộ trang web của bạn sẽ lọt vào tay kẻ xấu

Tôi không thể cho bạn biết tôi đã cuộn qua nhật ký trang web của mình bao nhiêu lần và tìm thấy các lần đăng nhập bằng tên người dùng “admin”

Plugin iThemes Security có thể ngăn chặn những nỗ lực như vậy bằng cách cấm ngay lập tức bất kỳ địa chỉ IP nào cố gắng đăng nhập bằng tên người dùng đó

19. Giám sát các tập tin của bạn

Nếu bạn muốn thêm một số bảo mật WordPress, hãy theo dõi các thay đổi đối với các tệp trên trang web của bạn thông qua các plugin như Wordfence hoặc một lần nữa, iThemes Security. Cả hai plugin này cũng có thể quét WordPress để tìm lỗ hổng và thông báo cho bạn nếu họ tìm thấy bất kỳ

Wordfence Security – Tường lửa & Quét phần mềm độc hại

(các) tác giả. từ ngữ

Phiên bản hiện tại. 7. 8. 2

Cập nhật lần cuối. Ngày 13 tháng 12 năm 2022

hàng rào từ ngữ. 7. 8. 2. khóa kéo

94%Xếp hạng 4.000.000+Số lượt cài đặt WP 3. 9+Yêu cầu

Phần (d). Bảo mật trang web WordPress của bạn thông qua cơ sở dữ liệu

Tất cả dữ liệu và thông tin của trang web của bạn được lưu trữ trong cơ sở dữ liệu. Chăm sóc nó là rất quan trọng. Dưới đây là một vài điều bạn có thể làm để làm cho nó an toàn hơn

20. Thay đổi tiền tố bảng cơ sở dữ liệu WordPress

Nếu bạn đã từng cài đặt WordPress thì bạn đã quen thuộc với tiền tố bảng

Options All -Indexes

2 được cơ sở dữ liệu WordPress sử dụng. Tôi khuyên bạn nên thay đổi nó thành một cái gì đó độc đáo

Sử dụng tiền tố mặc định làm cho cơ sở dữ liệu trang web của bạn dễ bị tấn công SQL injection. Những cuộc tấn công như vậy có thể được ngăn chặn bằng cách thay đổi

Options All -Indexes

2 thành một số thuật ngữ khác. Chẳng hạn, bạn có thể làm cho nó

Options All -Indexes

1 hoặc

Options All -Indexes

2

Nếu bạn đã cài đặt trang web WordPress của mình với tiền tố mặc định, thì bạn có thể sử dụng một số plugin để thay đổi nó. Các plugin như WP-DBManager hay iTheme Security có thể giúp bạn thực hiện công việc chỉ bằng một nút bấm. (Đảm bảo rằng bạn đã sao lưu trang web của mình trước khi thực hiện bất kỳ thao tác nào với cơ sở dữ liệu)

Trình quản lý WP-DB

(các) tác giả. Lester 'GaMerZ' Chan

Phiên bản hiện tại. 2. 80. 9

Cập nhật lần cuối. Ngày 5 tháng 11 năm 2022

wp-dbmanager. 2. 80. 9. khóa kéo

88%Xếp hạng 90.000+Cài đặt WP 4. 0+Yêu cầu

21. Tạo bản sao lưu thường xuyên để bảo mật trang web WordPress của bạn

Cho dù trang web WordPress của bạn an toàn đến đâu, luôn có chỗ để cải thiện. Nhưng vào cuối ngày, giữ một bản sao lưu ngoài trang web ở đâu đó có lẽ là liều thuốc giải độc tốt nhất cho dù điều gì xảy ra

Nếu bạn có bản sao lưu, bạn có thể khôi phục trang web WordPress của mình về trạng thái hoạt động bất cứ lúc nào bạn muốn. Có một số plugin có thể giúp bạn về mặt này. Ví dụ, có tất cả những thứ này

Nếu bạn đang tìm kiếm một giải pháp cao cấp thì tôi khuyên dùng VaultPress của Automattic, điều này thật tuyệt. Tôi đã thiết lập nó để nó tạo bản sao lưu hàng tuần. Và nếu có bất cứ điều gì tồi tệ xảy ra, tôi có thể dễ dàng khôi phục trang web chỉ bằng một cú nhấp chuột

Tôi biết một số trang web lớn hơn chạy sao lưu mỗi giờ, nhưng đối với hầu hết các tổ chức, việc đó là quá mức cần thiết. Chưa kể, bạn sẽ cần đảm bảo rằng hầu hết các bản sao lưu đó sẽ bị xóa sau khi tạo bản sao lưu mới vì mỗi tệp sao lưu chiếm dung lượng trên ổ đĩa của bạn. Điều đó nói rằng, tôi khuyên bạn nên sao lưu hàng tuần hoặc hàng tháng cho hầu hết các tổ chức

Ngoài các bản sao lưu, VaultPress cũng kiểm tra trang web của tôi để tìm phần mềm độc hại và thông báo cho tôi nếu có bất kỳ điều gì mờ ám đang diễn ra

Nếu bạn cần trợ giúp với nhiều trang web, vui lòng xem các giải pháp tốt nhất của chúng tôi để sao lưu nhiều trang web WordPress

22. Đặt mật khẩu mạnh cho cơ sở dữ liệu của bạn

Mật khẩu mạnh cho người dùng cơ sở dữ liệu chính là bắt buộc vì mật khẩu này là mật khẩu mà WordPress sử dụng để truy cập cơ sở dữ liệu

Như mọi khi, hãy sử dụng chữ hoa, chữ thường, số và ký tự đặc biệt cho mật khẩu. Cụm mật khẩu cũng tuyệt vời. Tôi một lần nữa khuyên dùng LastPass để tạo và lưu trữ mật khẩu ngẫu nhiên. Một công cụ miễn phí và nhanh chóng để tạo mật khẩu mạnh là Trình tạo mật khẩu an toàn

23. Theo dõi nhật ký kiểm tra của bạn

Khi bạn đang chạy WordPress nhiều trang hoặc xử lý một trang web nhiều tác giả, điều cần thiết là phải hiểu loại hoạt động của người dùng đang diễn ra. Người viết và cộng tác viên của bạn có thể đang thay đổi mật khẩu, nhưng có những điều khác mà bạn có thể không muốn xảy ra. Chẳng hạn, các thay đổi về chủ đề và tiện ích rõ ràng chỉ dành riêng cho quản trị viên. Khi bạn kiểm tra nhật ký kiểm tra, bạn có thể đảm bảo rằng quản trị viên và cộng tác viên của bạn không cố gắng thay đổi điều gì đó trên trang web của bạn mà không được phê duyệt

Plugin WP Security Audit Log cung cấp danh sách đầy đủ cho hoạt động này, cùng với thông báo và báo cáo qua email. Đơn giản nhất, nhật ký kiểm tra có thể giúp bạn thấy rằng người viết đang gặp sự cố khi đăng nhập. Nhưng plugin cũng có thể tiết lộ hoạt động độc hại từ một trong những người dùng của bạn

Nhật ký hoạt động WP

(các) tác giả. Bảo mật trắng WP

Phiên bản hiện tại. 4. 4. 3

Cập nhật lần cuối. Ngày 8 tháng 12 năm 2022

wp-security-audit-log. 4. 4. 3. khóa kéo

94%Xếp hạng 100.000+Cài đặt WP 5. 0+Yêu cầu

Phần (e). Bảo mật trang web WordPress của bạn thông qua các chủ đề và plugin

Chủ đề và plugin là những thành phần thiết yếu cho bất kỳ trang web WordPress nào. Thật không may, chúng cũng có thể gây ra các mối đe dọa bảo mật nghiêm trọng. Hãy cùng tìm hiểu cách chúng tôi có thể bảo mật các chủ đề và plugin WordPress của bạn đúng cách

24. Cập nhật thường xuyên để bảo mật WordPress

Mọi sản phẩm phần mềm tốt đều được các nhà phát triển của nó hỗ trợ và được cập nhật thường xuyên. Các bản cập nhật này nhằm sửa lỗi và đôi khi có các bản vá bảo mật quan trọng. WordPress và các plugin của nó không khác gì

Không cập nhật chủ đề và plugin của bạn có thể gây rắc rối. Nhiều tin tặc chỉ dựa vào thực tế là mọi người không bận tâm cập nhật các plugin và chủ đề của họ. Thông thường, những tin tặc đó khai thác các lỗi đã được sửa

Vì vậy, nếu bạn đang sử dụng bất kỳ sản phẩm WordPress nào, hãy cập nhật nó thường xuyên. Plugin, chủ đề, mọi thứ. Tin vui là WordPress tự động tung ra các bản cập nhật cho người dùng, vì vậy bạn sẽ nhận được email thông báo về bản cập nhật và thông tin về các bản sửa lỗi trong trang tổng quan của bạn

Đối với các plugin, bạn phải cập nhật chúng theo cách thủ công bằng cách truy cập Plugins trong bảng điều khiển của bạn. Khi một plugin có phiên bản mới, nó sẽ thông báo cho bạn và cung cấp liên kết để cập nhật ngay

Thay vào đó, bạn có thể chọn gói lưu trữ WordPress được quản lý. Cùng với nhiều tính năng và cải tiến khác đối với bảo mật WordPress của bạn, dịch vụ lưu trữ được quản lý chất lượng cung cấp các bản cập nhật tự động cho tất cả các thành phần của trang web WordPress của bạn

Một số nhà cung cấp dịch vụ lưu trữ được quản lý bao gồm Kinsta, SiteGround và Flywheel. Bạn có thể tìm hiểu thêm về dịch vụ lưu trữ WordPress được quản lý hàng đầu tại đây

25. Xóa số phiên bản WordPress của bạn

Số phiên bản WordPress hiện tại của bạn có thể được tìm thấy rất dễ dàng. Về cơ bản, nó nằm ngay trong chế độ xem nguồn của trang web của bạn. Bạn cũng có thể nhìn thấy nó ở cuối bảng điều khiển của mình (nhưng điều này không thành vấn đề khi cố gắng bảo mật trang web WordPress của bạn)

Vấn đề là như thế này. nếu tin tặc biết bạn sử dụng phiên bản WordPress nào, chúng sẽ dễ dàng điều chỉnh cuộc tấn công hoàn hảo hơn

Bạn có thể ẩn số phiên bản của mình với hầu hết mọi plugin bảo mật WordPress mà tôi đã đề cập ở trên

Đối với cách tiếp cận thủ công hơn (và cũng để xóa số phiên bản khỏi nguồn cấp RSS), hãy xem xét thêm chức năng sau vào tệp

Options All -Indexes

3 của bạn

function wpbeginner_remove_version() {
return '';
}
add_filter('the_generator', 'wpbeginner_remove_version');

Suy nghĩ cuối cùng về cách bảo mật trang web WordPress của bạn

Nếu bạn là người mới bắt đầu thì đó là rất nhiều thứ để tham gia. Bạn có thể cảm thấy như mình vừa đọc xong hướng dẫn bảo mật cuối cùng của WordPress. Tin vui là bạn không cần phải là chuyên gia bảo mật WordPress để sử dụng nó

Mọi thứ mà tôi đã đề cập trong bài viết này là một bước đi đúng hướng và là điều bạn nên cân nhắc thực hiện để giúp bảo mật trang web WordPress của mình. Hãy nghĩ về nó như một danh sách kiểm tra bảo mật WordPress gồm 25 bước và thực hiện từng bước một cho đến khi bạn hoàn thành. Hãy nhớ rằng bạn càng quan tâm đến bảo mật WordPress của mình thì hacker càng khó xâm nhập hơn

Như đã nói, có lẽ quan trọng không kém bảo mật là hiệu suất trang web. Về cơ bản, không có trang web tải nhanh, khách truy cập của bạn sẽ không bao giờ có cơ hội xem nội dung của bạn. Khách truy cập trang web trung bình sẽ chỉ đợi trong 2 giây trước khi thất vọng và rời đi

Dưới đây là một số tài nguyên có thể giúp bạn giành chiến thắng trong trò chơi hiệu suất và đảm bảo rằng trang web của bạn tải nhanh như chớp

• 🕸️ Sử dụng CDN chất lượng. Một số trong số họ thậm chí còn miễn phí. Dưới đây là so sánh các tùy chọn hàng đầu. MaxCDN so với CloudFlare so với Amazon CloudFront so với Akamai Edge so với Fastly
• 🏎️ Điều chỉnh một số thứ bên trong trang web của bạn. Kiểm tra 11 cách để tăng tốc WordPress bằng cách cuộn trở lại đầu trang này và nhấp vào liên kết trong hộp bài viết liên quan

Nếu bạn có bất kỳ câu hỏi nào về cách bảo mật trang web WordPress của mình, hãy cho chúng tôi biết trong các nhận xét và chúng tôi sẽ trả lời chúng. Vì vậy, những thách thức bảo mật WordPress của bạn là gì?

Tìm hiểu 25 cách để bảo mật trang web #WordPress của bạn ngay hôm nay 🔐

Nhấp để Tweet

…

Đừng quên tham gia khóa học cấp tốc của chúng tôi về cách tăng tốc trang web WordPress của bạn. Với một số cách khắc phục đơn giản, bạn có thể giảm thời gian tải xuống thậm chí 50-80%

 

TIỀN THƯỞNG VIDEO. bảo mật trang web WordPress của bạn nhanh chóng

Viết bởi Ahmad Awais, Joe Warnimont, Karol K

* Bài đăng này chứa các liên kết liên kết, có nghĩa là nếu bạn nhấp vào một trong các liên kết sản phẩm và sau đó mua sản phẩm, chúng tôi sẽ nhận được một khoản phí nhỏ. Tuy nhiên, đừng lo lắng, bạn vẫn sẽ trả số tiền tiêu chuẩn nên bạn không phải trả chi phí nào

Làm thế nào bạn có thể tăng cường bảo mật trang web WordPress của mình?

Bảo mật tốt nhất cho WordPress là gì?

Trang web WordPress có thể dễ dàng bị tấn công?