Bảo mật website wordpress vừa khó lại vừa dễ. Theo mình bảo mật website khó hay dễ là quan điểm của bạn. Nhưng nếu bạn nắm được những chia sẻ của mình, hy vọng bạn sẽ tự tin về quản trị website.
WordPress là phần mềm quản lý nội dung mã nguồn mở. Do đó, website xây dựng có độ bảo mật không cao. Để bảo mật cho WordPress các nhà phát triển tìm ra rất nhiều giải pháp. Từ giải pháp xử lý từ hosting, code cho đến phát triển plugins bảo vệ wordpress.
Những lợi ích khi bảo mật website WordPress
Nội dung website được bảo vệ
Bảo vệ được website của bạn, bạn sẽ tránh các sự cố mất hình ảnh, nội dung, video, file type mà bạn tâm huyết xây dựng. Trong rủi ro bị mất, bạn rất khó để khôi phục lại nội dung đó. Vì vậy bạn nên đề phòng những trường hợp xấu nhất có thể xảy ra.
Không mất thời gian khắc phục
Vào một ngày đẹp trời nào đó, bạn không vào được quản trị web, website báo lỗi. Khi đó bạn phải khắc phục sự cố website bị lỗi và không vào quản trị được. Một trong những nỗi sợ nhất của người quản trị web là khôi phục web. Quá trình khắc phục rất phức tạp và mất nhiều thời gian. Vì vậy bạn cần bảo mật càng cẩn thận thì bạn càng giảm bớt rủi ro ở tương lai.
Giảm tác động SEO và SEM
Khi bạn chạy quảng cáo Google Ads, GDN, Google Shopping hay các loại quảng cáo trên Youtube đều bị chặn. Nó có nhiều nguyên nhân nhưng nguyên nhân lớn nhất là website bị nhiễm virus. Dẫn đến hoạt động marketing của doanh nghiệp bị ảnh hưởng và khó đạt doanh số như kỳ vọng.
Ngoài ra google sẽ kiểm soát và loại bỏ những website bị nhiễm virus. Khi website của bạn không được index trên google, điều đó làm kế hoạch đầu tư SEO của bạn đạt kết quả không như mong đợi.
Các hacker lấy dữ liệu khách hàng của bạn
Dữ liệu khách hàng là tài sản lớn vô hình của doanh nghiệp. Do đó, bạn cần có giải pháp để bảo vệ và phát triển nó. Khi bạn mất thông tin khách hàng của mình đồng nghĩa với việc kế hoạch kinh doanh bị ảnh hưởng. Chính vì vậy hầu hết các doanh nghiệp luôn chú ý đến điều này.
Quy trình các hoạt động kinh doanh trên internet.
Bạn thường từ vấn và bán hàng trên website của mình. Khi website không hoạt động thì kênh tiếp cận khách hàng của bạn bị ảnh hưởng. Các hoạt động digital marketing bị ngừng triển khai. Hoạt động kinh doanh bị dừng làm doanh số bán hàng online, tiếp thị affiliate… Vì vậy bạn hãy luôn luôn bảo vệ và có kế hoạch cho việc này nhé.
Mời bạn xem thêm: Phục hồi mật khẩu quản trị website với nền tảng wordpress
Các giải pháp bảo mật website wordpress với quản trị viên
Sử dụng các đơn vị cung cấp Hosting uy tín
Hosting sử dụng các phần mềm cũ, kém tin cậy. Các giải pháp bảo mật không cập nhật thường xuyên. Dẫn đến hosting đó kém bảo mật từ đó website của bạn cũng vậy.
Rất nhiều các đơn vị cung cấp dịch vụ Hosting trên thị trường. Tuy nhiên chỉ có vài đơn vị có đội kỹ thuật viên chuyên nghiệp và cập nhật những giải pháp mới. Theo quan điểm khách quan của tôi thì những đơn vị như Azdigi, pavietnam, hostinger, nhanhoa, tinohost, matbao… là những đơn vị nên làm đối tác.
Bảo vệ web với chứng chỉ SSL
Chứng chỉ bảo mật SSL cho website là tiêu chí được google đánh giá cao. Khi chưa dùng SSL, trình duyệt tạo cảnh báo hoặc chặn truy cập vào website.
Giao thức bảo mật SSL tạo mã hóa thông tin giao tiếp giữa trình duyệt và server. Hạn chế các cuộc tấn công lấy cắp dữ liệu trên trình duyệt. Những thông tin của người dùng như thẻ ngân hàng, loại tài khoản…
Hạn chế dùng username và pass dễ phát hiện
Phần nhiều người dùng hay chọn tên tài khoản (username) là admin và mật khẩu (pass) dễ nhớ như 123456. Cho nên rất dễ bị các phần mềm tấn công dò được và tài khoản của bạn bị mất.
Ngoài ra bạn nên đặt tên tài khoản (username) và tác giá bài viết (author) khác nhau. Điều đó hạn chế hacker biết được username và tấn công dò mật khẩu.
Mật khẩu không phức tạp mà dễ đoán sẽ là nguyên nhân lớn làm website bị chuyến quyền quản trị. Bị mất quyền quản trị những nội dung, hình ảnh bạn xây dựng có thể bị mất.
Sử dụng bảo mật 2 lớp
Bảo mật 2 lớp (Two Factor Authentication) là giải pháp bảo mật hiệu quả. Sau khi đăng nhập bằng user/pass, bạn cần cung cấp mã xác thực từ điện thoại hoặc email. Trường hợp bị lộ password cũng không lo, mặt khác có thông báo mã xác thực (lớp thứ 2) bạn biết website đang bị dò mật khẩu.
Khi dùng Two Factor Authentication cho WordPress, bạn nên dùng plugin tích hợp tính năng này của Google cho WordPress là “Google Authenticator”
Kiểm tra và xóa các bình luận spam đính kèm mã độc
Khi xét duyệt bình luận hoặc Pingback và Trackback trong website của bạn. Bạn kiểm tra có đính kèm mã độc hoặc link lạ không. Nếu có thì xóa bình luận đó để đảm bảo không bị lây lan virus.
Cập nhật phiên bản wordpress và plugin mới nhất.
Bạn thường xuyên cập nhật bản wordpress lên phiên bản mới sẽ nâng cao bảo mật website của bạn. Cập nhật các phiên bản mới mang lại nhiều tác dụng như:
- Bản cập nhật mới sẽ vá các lỗ hổng bảo mật mà phiên bản cũ mắc phải.
- Cập nhật các tính năng mới hiệu quả hơn khi sử dụng, thiết kế, viết bài…
- Cải thiện tốc độ tải trang và thân thiện hơn phiên bản trước.
Bạn chỉ cần vào phần Dashboard bấm vào nút update plugin và update themes để nâng cấp. Khi cập nhật thường xuyên, giúp bạn bảo vệ tối đa website của mình.
Các giải pháp bảo mật website wordpress với lập trình viên
Kết nối Hosting/ VPS với giao thức bảo mật SFTP
Lập trình viên kết nối với Hosting, VPS qua giao thức truyền tải dữ liệu FTP. Tuy nhiên giao thức FTP không mã hóa dữ liệu, dễ bị tấn công bởi các hacker.
Do đó, khi truy cập hosting/vps, hãy dùng giao thức SFTP. Bởi giao thức này hỗ trợ mã hóa thông tin dữ liệu.
Những phần mềm kết nối FTP phổ biến như FileZilla, WinSCP,… đều có hỗ trợ SFTP Connection!
Mời bạn xem thêm: Thiết kế web WordPress giá rẻ
Dùng phiên bản PHP mới nhất
Phiên bản PHP 5 đã tồn tại từ lâu (2004), phiên bản PHP 5.6 không còn được hỗ trợ từ tháng 12/2018! Nghĩa là các lỗ hổng bảo mật, bạn sẽ không được hỗ trợ – cảnh báo…
Phiên bản PHP 7 mới đã cải thiện rất nhiều hiệu năng và bảo mật. Nhưng mỗi phiên bản PHP thường chỉ được hỗ trợ 2 năm bởi công ty chủ quản Zend Technologies.
Bốn phiên bản cũ của php là 7.0, 7.1, 7.2 và 7.3 đến nay không được hỗ trợ toàn diện bởi Zend Tech. Mà phiên bản mới 7.4 (11/2019) và 8 (9/2021) đảm bảo hiệu năng và bảo mật cao nhất hiện nay.
Bảo vệ file wp-config.php
File wp-config.php chứa thông tin về quản lý database. Nếu hacker có file này thì có khả năng hack thành công rất cao (khai thác lỗ hổng bảo mật plugin Revolution Slider đã từng bị).
Khi có quyền chỉnh sửa file wp-config.php, chắc chắn truy cập vào Administrator và khai thác mọi thứ trên website WordPress.
Để bảo vệ file wp-config.php không bị chỉnh sửa khi hacker tấn công WordPress. Bạn nên CHMOD cho nó quyền 440 hoặc 400 (chỉ người sở hữu hosting mới chỉnh sửa file này)
Tắt chức năng chỉnh sửa file, thư mục.
Người quản trị website WordPress có thể thay đổi bất kỳ tệp tin ở Plugin và Theme. Khi đó chặn chỉnh sửa tệp tin là cần thiết. Các user để không thể chỉnh sửa kể cả tin tặc có quyền admin.
Ban chỉ cần thêm hằng số sau đây vào tệp wp-config.php (ở cuối):
define('DISALLOW_FILE_EDIT', true);
Sao lưu (backup) code và data thường xuyên
Backup giúp bạn chống lại bất kỳ cuộc tấn công nào vào web. Backup giúp bạn bạn nhanh chóng khôi phục website WordPress trong mọi trường hợp.
Nên tạo chu kỳ update trang web của bạn và sao lưu trên thời gian nhất định. Đôi với website của tôi, tôi thường backup data trong 1 tuần và code trong 1 tháng.
Plugin giúp bảo mật WordPress
Các Plugin nổi bật giúp bảo mật website WordPress:
- Wordfence Security — Firewall & Malware Scan
- Sucuri Security — Auditing, Malware Scanner and Security Hardening
- iThemes Security
- All In One WP Security & Firewall
- BulletProof Security
Tóm lại
Bảo mật là một vấn đề quan trọng, một khi Website bị lỗi hay bị mất. Thì bạn sẽ thấy tiếc những công sức khi xây dựng website.
Xin cảm ơn các Anh/Chị đã tham khảo bài viết bảo mật website của Webaoe. Nếu có chỗ nào còn thiếu sót, xin các Anh/Chị góp ý ở phía dưới để hoàn thiện bài viết hơn.
