Cách tạo trang web WordPress an toàn

0
173

Ngày nay, việc khởi chạy trang web WordPress của riêng bạn khá dễ dàng. Thật không may, sẽ không mất nhiều thời gian để tin tặc bắt đầu nhắm mục tiêu vào trang web của bạn.

Cách tốt nhất để đảm bảo an toàn cho một trang WordPress là hiểu mọi điểm yếu khi chạy một trang WordPress. Sau đó cài đặt bảo mật thích hợp để chặn tin tặc tại mỗi điểm đó.

Trong bài viết này, bạn sẽ học cách bảo mật tốt hơn miền của mình, thông tin đăng nhập WordPress của bạn cũng như các công cụ và plugins có sẵn để bảo mật trang web WordPress của bạn.

Tạo một miền riêng

Ngày nay, thật quá dễ dàng để tìm một miền có sẵn và mua nó với giá rất rẻ. Hầu hết mọi người không bao giờ mua bất kỳ miền nào addons cho miền của họ. Tuy nhiên, một tiện ích bổ sung mà bạn nên luôn xem xét là Bảo vệ quyền riêng tư.

Có ba cấp độ bảo vệ quyền riêng tư cơ bản với GoDaddy, nhưng những cấp độ này cũng phù hợp với dịch vụ của hầu hết các nhà cung cấp miền.

  • Căn bản: Ẩn tên và thông tin liên hệ của bạn khỏi thư mục WHOIS. Điều này chỉ khả dụng nếu chính phủ của bạn cho phép bạn ẩn thông tin liên hệ của miền.
  • Đầy: Thay thế thông tin của riêng bạn bằng một địa chỉ email thay thế và thông tin liên hệ để che giấu danh tính thực của bạn.
  • Tối thượng: Bảo mật bổ sung chặn quét tên miền độc hại và bao gồm giám sát bảo mật trang web cho trang web thực tế của bạn.

Thông thường, việc nâng cấp miền của bạn lên một trong các cấp độ bảo mật này chỉ cần chọn nâng cấp từ menu thả xuống trên trang danh sách miền của bạn.

Bảo vệ miền cơ bản khá rẻ (thường khoảng $ 9,99 / năm) và các mức độ bảo mật cao hơn không đắt hơn nhiều.

Đây là một cách tuyệt vời để ngăn những kẻ gửi thư rác loại bỏ thông tin liên hệ của bạn khỏi cơ sở dữ liệu WHOIS hoặc những người khác có mục đích xấu muốn truy cập vào thông tin liên hệ của bạn.

Ẩn các tệp wp-config.php và .htaccess

Khi bạn cài đặt WordPress lần đầu tiên, bạn sẽ cần bao gồm ID quản trị và mật khẩu cho cơ sở dữ liệu WordPress SQL của mình trong tệp wp-config.php.

Dữ liệu đó được mã hóa sau khi cài đặt, nhưng bạn cũng muốn chặn tin tặc có thể chỉnh sửa tệp này và phá vỡ trang web của bạn. Để thực hiện việc này, hãy tìm và chỉnh sửa tệp .htaccess trên thư mục gốc của trang web của bạn và thêm mã sau vào cuối tệp.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

Để ngăn các thay đổi đối với chính .htaccess, hãy thêm phần sau vào cuối tệp.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Lưu tệp và thoát khỏi trình chỉnh sửa tệp.

Bạn cũng có thể cân nhắc việc nhấp chuột phải vào từng tệp và thay đổi quyền để loại bỏ hoàn toàn quyền truy cập Ghi cho mọi người.

Trong khi thực hiện việc này trên tệp wp-config.php sẽ không gây ra bất kỳ sự cố nào, nhưng thực hiện trên .htaccess có thể gây ra sự cố. Đặc biệt nếu bạn đang chạy bất kỳ WordPress bảo mật nào plugins có thể cần chỉnh sửa tệp .htaccess cho bạn.

Nếu bạn nhận được bất kỳ lỗi nào từ WordPress, bạn luôn có thể cập nhật quyền để cho phép truy cập Ghi trên tệp .htaccess một lần nữa.

Thay đổi URL đăng nhập WordPress của bạn

Vì trang đăng nhập mặc định cho mọi trang web WordPress là yourdomain / wp-admin.php, tin tặc sẽ sử dụng URL này để thử và xâm nhập vào trang web của bạn.

Chúng sẽ thực hiện điều này thông qua những gì được gọi là các cuộc tấn công “brute force”, nơi chúng sẽ gửi các biến thể của tên người dùng và mật khẩu điển hình mà nhiều người thường sử dụng. Tin tặc hy vọng rằng họ sẽ gặp may mắn và nhận được sự kết hợp phù hợp.

Bạn có thể ngăn chặn hoàn toàn các cuộc tấn công này bằng cách thay đổi URL đăng nhập WordPress của mình thành một thứ gì đó không chuẩn.

Có rất nhiều WordPress plugins để giúp bạn làm điều này. Một trong những cách phổ biến nhất là WPS Ẩn Đăng nhập.

Plugin này thêm một phần vào Chung tab dưới Settings trong WordPress.

Tại đó, bạn có thể nhập bất kỳ URL đăng nhập nào bạn muốn và chọn Lưu thay đổi để kích hoạt nó. Lần tới khi bạn muốn đăng nhập vào trang web WordPress của mình, hãy sử dụng URL mới này.

Nếu bất kỳ ai cố gắng truy cập vào URL quản trị viên wp cũ của bạn, họ sẽ được chuyển hướng đến trang 404 trên trang web của bạn.

Ghi chú: Nếu bạn sử dụng plugin bộ nhớ cache, hãy đảm bảo thêm URL đăng nhập mới của bạn vào danh sách các trang web không phải vào bộ nhớ cache. Sau đó, đảm bảo xóa bộ nhớ cache trước khi bạn đăng nhập lại vào trang web WordPress của mình.

Cài đặt một Plugin bảo mật WordPress

Có rất nhiều bảo mật WordPress plugins để lựa chọn. Trong số tất cả chúng, Wordfence là phần mềm được tải xuống phổ biến nhất, vì lý do chính đáng.

Phiên bản miễn phí của Wordfence bao gồm một công cụ quét mạnh mẽ để tìm kiếm các mối đe dọa cửa hậu, mã độc hại trong plugins hoặc trên trang web của bạn, các mối đe dọa tiêm MySQL, v.v. Nó cũng bao gồm một tường lửa để chặn các mối đe dọa đang hoạt động như các cuộc tấn công DDOS.

Nó cũng sẽ cho phép bạn ngăn chặn các cuộc tấn công bạo lực bằng cách hạn chế các lần đăng nhập và khóa những người dùng thực hiện quá nhiều lần đăng nhập không chính xác.

Có khá nhiều cài đặt có sẵn trong phiên bản miễn phí. More quá đủ để bảo vệ các trang web vừa và nhỏ khỏi hầu hết các cuộc tấn công.

Ngoài ra còn có một trang bảng điều khiển hữu ích mà bạn có thể xem lại để theo dõi các mối đe dọa và cuộc tấn công gần đây đã bị chặn.

Sử dụng Trình tạo mật khẩu WordPress và 2FA

Điều cuối cùng bạn muốn là tin tặc có thể dễ dàng đoán được mật khẩu của bạn. Thật không may, quá nhiều người sử dụng mật khẩu rất đơn giản dễ đoán. Một số ví dụ bao gồm sử dụng tên trang web hoặc tên riêng của người dùng như một phần của mật khẩu hoặc không sử dụng bất kỳ ký tự đặc biệt nào.

Nếu bạn đã nâng cấp lên phiên bản WordPress mới nhất, bạn có quyền truy cập vào các công cụ bảo mật mật khẩu mạnh mẽ để bảo mật trang web WordPress của mình.

Bước đầu tiên để cải thiện bảo mật mật khẩu của bạn là truy cập từng người dùng cho trang web của bạn, cuộn xuống phần Quản lý tài khoản và chọn Tạo mật khẩu cái nút.

Điều này sẽ tạo ra một mật khẩu dài, rất an toàn bao gồm các chữ cái, số và các ký tự đặc biệt. Lưu mật khẩu này ở nơi an toàn, tốt nhất là trong tài liệu trên ổ đĩa ngoài mà bạn có thể ngắt kết nối khỏi máy tính của mình khi đang trực tuyến.

Lựa chọn Đăng xuất mọi nơi khác để đảm bảo tất cả các phiên hoạt động được đóng lại.

Cuối cùng, nếu bạn đã cài đặt plugin bảo mật Wordfence, bạn sẽ thấy một Kích hoạt 2FA cái nút. Chọn tùy chọn này để bật xác thực hai yếu tố cho thông tin đăng nhập người dùng của bạn.

Nếu bạn không sử dụng Wordfence, bạn sẽ cần cài đặt bất kỳ 2FA phổ biến nào sau đây plugins.

Các Cân nhắc Bảo mật Quan trọng Khác

Có một số điều nữa bạn có thể làm để bảo mật hoàn toàn trang web WordPress của mình.

Cả WordPress plugins và phiên bản của chính WordPress phải được cập nhật mọi lúc. Tin tặc thường cố gắng khai thác các lỗ hổng trong các phiên bản mã cũ hơn trên trang web của bạn. Nếu bạn không cập nhật cả hai điều này, bạn đang khiến trang web của mình gặp rủi ro.

1. Thường xuyên chọn PluginsCài đặt Plugins trong bảng quản trị WordPress của bạn. Xem lại tất cả plugins cho một trạng thái cho biết đã có phiên bản mới.

Khi bạn thấy một cái đã lỗi thời, hãy chọn cập nhật bây giờ. Bạn cũng có thể cân nhắc chọn Bật tự động cập nhật cho plugins.

Tuy nhiên, một số người cảnh giác khi làm điều này vì các bản cập nhật plugin đôi khi có thể phá vỡ trang web hoặc chủ đề của bạn. Vì vậy, bạn nên kiểm tra các bản cập nhật plugin trên trang web thử nghiệm WordPress cục bộ trước khi bật chúng trên trang web trực tiếp của bạn.

2. Khi bạn đăng nhập vào bảng điều khiển WordPress của mình, bạn sẽ thấy thông báo rằng WordPress đã lỗi thời nếu bạn đang chạy phiên bản cũ hơn.

Một lần nữa, hãy sao lưu trang web và tải nó vào một trang web thử nghiệm cục bộ trên PC của riêng bạn để kiểm tra xem bản cập nhật WordPress không làm hỏng trang web của bạn trước khi bạn cập nhật nó trên trang web trực tiếp của mình.

3. Tận dụng các tính năng bảo mật miễn phí của máy chủ lưu trữ web của bạn. Hầu hết các máy chủ web cung cấp nhiều dịch vụ bảo mật miễn phí cho các trang web bạn lưu trữ ở đó. Họ làm điều này vì nó không chỉ bảo vệ trang web của bạn mà còn giữ an toàn cho toàn bộ máy chủ. Điều này đặc biệt quan trọng khi bạn đang sử dụng tài khoản lưu trữ được chia sẻ nơi các khách hàng khác có trang web trên cùng một máy chủ.

Những thứ này thường bao gồm cài đặt bảo mật SSL miễn phí cho trang web của bạn, sao lưu miễn phí, khả năng chặn địa chỉ IP độc hại và thậm chí một trình quét trang web miễn phí sẽ thường xuyên quét trang web của bạn để tìm bất kỳ mã độc hại hoặc lỗ hổng nào.

Chạy một trang web không bao giờ đơn giản như cài đặt WordPress và chỉ đăng nội dung. Điều quan trọng là làm cho trang web WordPress của bạn càng an toàn càng tốt. Tất cả các thủ thuật trên có thể giúp bạn làm như vậy mà không tốn quá nhiều công sức.

Đánh giá post
Bài viết có tài trợ
Bài trướcCách giảm mức sử dụng CPU trên Windows 10
Bài tiếp theoMột số tác động của pháp luật về thừa kế tới hoạt động ngân hàng

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây