Categories Wordpress

Bảo mật WordPress từ a đến z

FacebookTwitterRedditPinterest

Bảo mật wordpress là một việc làm rất quan trọng đối với mỗi website sử dụng mã nguồn này. WordPress là một mã nguồn mở được sử dụng nhiều nhất trên thế giới. Chính vì sự phổ biến này nên tin tặc cũng nhắm tới nó nhiều nhất.

Tại sao WordPress luôn là mã nguồn bị tấn công nhiều nhất?

Có nhiều người đặt ra câu hỏi này? Vậy phải chăng WordPress không an toàn? Câu trả lời là WordPress rất an toàn. Nó bị tấn công nhiều đơn giản chỉ vì sự phổ biến của nó. Đó chỉ là các số liệu thống kê đơn giản.

Bạn thử nghĩ mà xem, chả có ai đi nghĩ ra cách tấn công một mã nguồn chẳng có ai sử dụng cả. WordPress cũng như những mã nguồn nổi tiếng khác, nó có cơ chế tự bảo mật của riêng nó. Tất cả các lỗi bảo mật chủ yếu là do người dùng không biết cách tự bảo vệ website.

Lý do phổ biến nhất khiến website của bạn bị tấn công theo mình chung quy lại chỉ do 2 từ ham rẻ mà ra. Có thể lấy một số dẫn chứng:

  • Ham rẻ mua hosting kém chất lượng không có cơ chế tự sao lưu backup nên website bị dính mã độc. Khi dính rồi thì không có cách nào khôi phục.
  • Ham rẻ sử dụng Theme WordPress trả phí được bán miễn phí trên mạng. Dính mã độc từ nguồn này là nguyên nhân chính, mình đã từng gặp rất nhiều trường hợp.

Bảo mật WordPress: Đừng mất bò mới lo làm chuồng.

Ý nghĩa của câu trên là gì? Đó là đừng để cho website của bạn dính mã độc rồi mới lo lắng nghĩ đến việc bảo mật, lúc đó quá muộn rồi.

Đối với những mã độc trung bình và đơn giản bạn có thể thuê lập trình viên giải quyết nó. Tuy nhiên giá của việc này không hề rẻ. Hơn nữa bạn vẫn có khả năng nhiễm lại virus do lập trình viên không loại bỏ nó hoàn toàn.

Bản thân mình đã từng giúp rất nhiều người loại bỏ mã độc ra khỏi website, có những lần cũng bó tay, vì virus có khả năng lây lan. Cứ diệt xong rồi nó lại tự sinh ra.

Chừng đó là quá đủ để bạn có lý do bảo mật WordPress ngay bây giờ. Đừng để dính virus, mình các với bạn là cảm giác đấy không dễ chịu chút nào đâu. Thà làm trước cho nhẹ đầu còn hơn để mã độc làm mình đau đầu.

Sau đây là những cách phổ biến nhất để bảo vệ website WordPress của bạn.

Những cách bảo mật WordPress phổ biến nhất.

1. Sao lưu WordPress thường xuyên.

Như mình đã nói, trước khi cài đặt hay chỉnh sửa bất cứ thứ gì trên website thì bạn nên tiến hành sao sưu lại. Mục đích là để nếu có xảy ra lỗi bạn vẫn có thể quay lại phiên bản trước đó. Việc này là cần thiết nhất là với những người không chuyên. Một lỗi nhỏ cũng có thể làm bạn cuống lên đó.

Bạn có thể sao lưu thủ công bằng cách login vào Cpanel và lưu lại về máy tính tất cả các tập tin và cơ sở dữ liệu, việc này cần chuyên môn về lập trình và cũng khá mất thời gian.

Cách bạn nên làm là sử dụng Plugin WordPress tự động sao lưu dữ liệu. Plugin mình đề xuất cho bạn là Updraftplus. Plugin này có cả 2 phiên bản miễn phí và trả phí. Nếu có điều kiện hãy sử dụng phiên bản trả phí để có được sự bảo vệ tốt nhất.

2. Sử dụng dịch vụ lưu trữ website uy tín.

Người Việt Nam mình rất thích dùng đồ rẻ, nhiều người cần đồ rẻ hơn cả đồ tốt. Mình không biết đó có phải là sự tiết kiệm khôn ngoan không nữa. Vì nếu bị dính mã độc thì việc bỏ tiền ra khắc phục còn mất nhiều tiền hơn nhiều.

Hosting là dịch vụ mà bạn nên cân nhắc sử dụng nhà cung cấp uy tín. Nó ảnh hưởng rất lớn và nhiều khía cạnh của website. Nói về vấn đề bảo mật thì một nhà cung cấp dịch vụ hosting tốt sẽ giúp cảnh báo kịp thời mỗi khi website của bạn gặp vẫn đề.

Mình khuyến khích bạn sử dụng Hostgator. Mình cũng đang dùng nó và thấy ấn tượng với những gì hosting này mang lại. Có lần một người bạn của mình cũng dùng Hostgator nhận được cảnh báo từ rất sớm khi Hostgator phát hiện ra hành động can thiệp từ virus đối với website và họ mail cảnh báo. Nhờ đó là website khắc phục ngay từ khi nhìn từ bên ngoài vẫn chưa có chuyện gì xảy ra.

Hostgator còn có chức năng tự động sao lưu các file của bạn lại. Nếu website của bạn bị hack, bạn hoàn toàn có thể xóa toàn bộ những website cũ. Nhờ Hostgator gửi lại bản sao lưu ở thời điểm trước đó để khôi phục lại website.

Đối với Hostgator thì sự hỗ trợ là rất tốt. Mình sử dụng Hostgator ngay từ những ngày đầu. Trước đây mình cứ nghĩ việc hỗ trợ này là đương nhiên. Tuy nhiên thì sau khi một người bạn quen trên mạng bị một nhà cung cấp hosting từ chối quanh co khi website bị hack thì mình mới thấy được dịch vụ hỗ trợ khách hàng của Hostgator là tốt như thế nào.

Đọc thêm: Đánh giá chi tiết Hostgator.

3. Cập nhật phiên bản WordPress thường xuyên.

Thường xuyên cập nhật WordPress sẽ giúp website được bảo mật tốt hơn. Đó là việc mà mình thấy ít người làm. Với những người không chuyên nghiệp hoặc sử dụng WordPress lần đầu thường không dám cập nhật bất cứ thứ gì.

Cũng có nhiều trường hợp khi cập nhật phiên bản WordPress sẽ xảy ra lỗi không tương thích với Plugin hiện tại. Nhưng đó không phải do lỗi của WordPress. Plugin được sinh ra để tương thích với WordPress chứ không phải ngược lại.

Nếu gặp lỗi không tương thích thì cũng chứng tỏ Plugin đó không phải Plugin do một người lập trình giỏi viết ra. Bạn nên tìm kiếm một Plugin có chức năng tương tự để thay thế.

4. Cập nhật Plugin thường xuyên.

Tương tự như phiên bản WordPress, Plugin cũng cần được cập nhật thường xuyên. Nếu Plugin mới nhất và phiên bản WordPress mới nhất không tương thích thì bạn nên tìm một Plugin khác thay thế.

Một Plugin không được cập nhật thường xuyên rất dễ là con đường để các tin tặc tấn công. Nếu Plugin bạn đang sử dụng mà một năm rồi không được cập nhật thì bạn nên thay thế nó bằng một cái khác.

Đối với những Plugin trả phí, nếu bạn tải lậu nó ở đâu đó trên mạng thì có hai khả năng xảy ra. Một là bạn sẽ bị chính Plugin đó có cài sẵn mã độc tấn công. Hai là bạn chỉ có thể sử dụng phiên bản lúc bạn tải về, không thể cập nhật và từ đó cũng rất dễ bị tấn công khi nó lỗi thời.

Đọc thêm: Các plugin cần thiết cho WordPress.

5. Sử dụng Theme WordPress từ những nơi uy tín.

Khi dùng WordPress thì ngoài Plugin, Theme WordPress cũng là một thứ dễ bị tấn công, thậm chí còn bị tấn công nhiều hơn so với Plugin. Khi bị tấn công thì có hai cách giải quyết, thứ nhất là thuê người loại bỏ những đoạn mã độc, thứ hai là thay thế Theme WordPress mới.

Đối với những Theme WordPress đặc thù thì không phải lúc nào cũng có thể thay được. Do vậy nên cân nhắc sử dụng những theme từ những nhà cung cấp uy tín.

Themeforest là nhà cung cấp Theme mà mình khuyến khích bạn dùng. Tất nhiên là phải sử dụng bản thương mại được chính chủ bán chứ không phải tải các phiên bản trôi nổi trên mạng. Khi đó bạn sẽ được hỗ trợ cài đặt và giải quyết các vấn đề về mã độc miễn phí.

Đọc thêm:
Themeforest – Theme WordPress tốt nhất.
Có nên tải Theme WordPress Premium được chia sẻ miễn phí?

6. Sử dụng phiên bản PHP mới nhất.

Với phiên bản Php nhỏ hơn 7.1 bạn sẽ không nhận được phiên bản cập nhật nào. Do đó hãy ngay lập tức câp nhật phiên bả PHP mới nhất là hosting của bạn cung cấp.

Theo thống kê của WordPress.org thì có hơn 70% các website WordPress đang sử dụng các plugin lỗi thời. Mình đoán trong số này phần lớn là do họ không biết cách cập nhật lên phiên bản cao hơn. Đừng nằm trong số đó nhé. Hãy nâng cấp luôn từ bây giờ đi.

7. Sử dụng tên đăng nhập và mật khẩu mạnh.

Với nhiều người thì tên đăng nhập thường được sử dụng mặc định là admin. Đây là điều không nên chút nào. Tên này là một cái tên phổ biến và mặc định của hầu hết mọi người sử dụng. Nếu muốn bảo mật thì hãy tránh xa cái tên này ra nhé.

Mật khẩu nên đặt thật phức tạp. Sử dụng các ký tự đặc biệt, số và chữ in hoa. Ngoài ra hãy cân nhắc thay đổi mật khẩu khoảng nửa năm một lần, và có thể sớm hơn nếu bạn vừa làm gì đó mà bạn nghĩ là sẽ ảnh hưởng đến viêc bảo mật WordPress.

8. Thay đổi URL đăng nhập.

URL Đăng nhập mặc định vào WordPress là domain.com/wp-admin. Bạn nên thay đổi đường dẫn này để tránh gặp phải những rủi ro không đáng có. Plugin WPS Hide Login là một plugin được đánh giá rất cao sẽ giúp bạn ẩn được dẫn mặc định và tạo ra đường dẫn mới theo ý bạn.

Lời kết

Mình là một lập trình viên do vậy không phải tất cả những gì mình liệt kê trong bài viết mình đều sử dụng. Lý do chỉ đơn giản là mình lười thôi. Bạn đừng nên học tập mình việc này nhé. Hãy sử dụng tối đa những gì mình chia sẻ để bảo mật website được tốt nhất trước những sự tấn công từ hacker.

Hãy chia sẻ kinh nghiệm bảo mật wordpress của bạn ở bên dưới với mình nhé. Rất vui nếu nhận được những ý kiến đóng góp từ bạn.

Và đừng quên chia sẻ bài viết nếu thấy hữu ích, cảm ơn các bạn rất nhiều.

FacebookTwitterRedditPinterest
Phùng Thắng
Mình bắt đầu kiếm tiền online toàn thời gian từ 2012. Thích chia sẻ những điều mình biết. Để lại bình luận để trao đổi kiến thức với mình nhé. Hy vọng học thêm nhiều thứ từ mọi người.
Nhận thông báo qua Email
Thông báo về
guest
0 Comments
Inline Feedbacks
Xem tất cả bình luận

Theo dõi Blog qua Email

Nhập địa chỉ email của bạn để đăng ký vào blog này và nhận thông báo về bài viết mới qua email.

2
0
Hãy để lại bình luận hoặc câu hỏi nhé!x
()
x