16/09/2016
Home / Bảo Mật / 10 Bước bảo mật WordPress cơ bản
bao-mat-wordpress

10 Bước bảo mật WordPress cơ bản

Bảo mật Website WordPress là công việc cần thiết đối với bất kì Webmaster nào.Đừng tự nhủ rằng website của mình ít người vào thì có ai để ý làm gì thì bạn đang sai lầm đấy.Có một ngàn lẻ một lí do để Hacker dòm ngó tới website của bạn.Ví dụ như: “local hack” tấn công một website khác nằm chung máy chủ với website của bạn.Hãy theo dõi 10 bước bảo mật cơ bản dưới đây biết cách tự bảo vệ mình nhé.

1. Sao lưu dữ liệu Website
Bạn nên Backup website của bạn hàng tuần, chí ít thì sau khi bị hack bạn vẫn có dữ liệu dự phòng để khôi phục.

2. Cập nhập phiên bản WordPress
Bạn nên cập nhập WordPress thường xuyên và ngay lập tức sau khi họ tung ra phiên bản mới. Nhưng như thế thôi vẫn chưa đủ vì trước đây đã rất nhiều lần WordPress tung ra bản cập nhập bị lỗi dẫn đến hàng chục ngàn website wordpress trên thế giới bị Hack.

3. Thay đổi (Database Prefix)
Mặc định khi cài đặt WordPress, Database Table Prefix sẽ là “wp_” .Bạn nên thay đổi lại thành các ký tự bất kì ví dụ như “xgd3_”.Nhằm tránh Hacker có thể đoán được tên các Table trong Database.

4. Đặt mật khẩu bảo vệ cho thư mục wp-admin
– Đăng nhập vào Control Panel Hosting,ở đây tôi sử dụng cPanel Hosting.
– Vào phần Password Protect Directories rồi click vào thư mục wp-admin để tạo thêm một tài khoản mới cho thư mục này.

password protect directories

5. Bảo mật tài khoản admin
– Đừng bao giờ sử dụng user mặc định là admin, bạn nên đổi lại username ngay.
– Đừng bao giờ đặt mật khẩu quá dễ như 123654 hay chung chung như anhyeuem. Hãy thêm các ký tự cá nhân vào mật khẩu của bạn ví dụ như: longyeuloan87 hay LongyeuLoan87  :D.
– Nên thay đổi Username đăng nhập Hosting của bạn(có thể nhờ nhà cung cấp Hosting).

Lý do: thường các chương trình brute force (dò mật khẩu tự động) có hàng trăm ngàn mẫu mật khẩu và họ chỉ tốn vài phút đến vài tiếng là đã có ngay mật khẩu của bạn.

6. Sử dụng Plugins bảo mật
Bạn có thể sử dụng Better WP Security, vì nó có sẵn tính năng hạn chế đăng nhập sai mật khẩu nhiều lần và nhiều tính năng có ích khác.

7. Bảo mật hosting bằng .htaccess
Mở file .htaccess và thêm vào các dòng dưới đây

Options +FollowSymLinks
DirectoryIndex Index.html
Options +Indexes
AddType text/plain .php
AddHandler server-parsed .php

Chú ý: Sau khi sửa lại .htaccess mà website của bạn bị lỗi 500 Internal Server Error thì điều đó có nghĩa là Hosting của bạn đã bật sẵn các tính năng trên.Vì vậy bạn không cần thêm nó vào file .htaccess nữa.

8. Thay đổi khóa bảo mật
Bạn nên thay đổi lại chuỗi ký tự bảo mật trong  file wp-config.php phần Authentication Unique Keys and Salts.
key
Theo như phần hướng dẫn của WordPress bạn có thể sử dụng công cụ https://api.wordpress.org/secret-key/1.1/salt/ để tạo ra chuỗi mới cho đúng chuẩn.

9. CHMOD lại các file trên Hosting,và sử dụng suexec
Bạn có thể sử dụng File Manager trong control panel hosting hoặc các chương trình FTP để CHMOD.Có nhiều lời khuyên về CHMOD nhưng mình sẽ hướng dẫn lời khuyên của chính wordpress giúp các bạn.

Mặc định thư mục là 755 và file là 644. Không bao giờ được CHMOD 777.
– wp-config.php bạn nên CHMOD 600 (-rw——-)
– .htaccess bạn nên CHMOD 604 (-rw—-r–)

Ngoài ra WordPress cũng khuyên người dùng chọn hosting sử dụng suexec thay vì cgi hay fastcgi để bảo mật tốt hơn.

10. Lựa chọn nhà cung cấp Hosting bảo mật và uy tín
Điều cuối cùng này là cực kì quan trọng vì dù có bảo mật tới đâu mà lỡ “chọn nhầm mặt để gửi vàng” thì cuối cùng bạn cũng sẽ gặp rắc rối thôi. Nếu sử dụng Hosting ở nước ngoài thì bạn có thể yên tâm nhưng ở Việt Nam thì bạn nên cẩn thận. Mình cũng từng là nạn nhân nên khuyên các bạn hãy tìm hiểu về uy tín của Hosting Provide đó trước khi sử dụng.

Chúc bạn thành công và mình sẽ viết tiếp chủ đề này với bài bảo mật WordPress nâng cao !

Tác giả: Nguyễn Thanh (TND.VN)

 

Comments

comments

Leave a Reply

Your email address will not be published.