Hẳn rất nhiều người băn khoăn trăn trở lo sợ website của mình bị Hack đúng không ạ? Vậy bảo mật website wordpress thế nào? Có khó không? Cùng Topnhatvn.com giải đáp các thắc mắc qua bài viết sau Top 7 bước hướng dẫn bảo mật website wordpress nên làm cho người mới.
Nội Dung Chính
- 1 7 bước hướng dẫn bảo mật website wordpress nên làm cho người mới
- 1.1 Lựa chọn VPS uy tín, ưu tiên có thể Auto backup dữ liệu hàng ngày
- 1.2 Đổi port đăng nhập SSH và đường dẫn Login
- 1.3 Tăng độ khó tất cả các tên đăng nhập và mật khẩu liên quan
- 1.4 Phân quyền CHMOD cho file/thư mục
- 1.5 Sử dụng theme và plugin uy tín, có kiểm duyệt
- 1.6 Cài plugin bảo mật Security?
- 1.7 Thường xuyên update wordpress, plugin hay theme
- 2 Kết bài
7 bước hướng dẫn bảo mật website wordpress nên làm cho người mới
Thứ nhất Bài viết của mình dựa trên những gì thực tiễn mình đã làm cho các website của mình từ năm 2017 đến giờ, từ những đúc rút kinh nghiệm của chính bản thân. Phù hợp cho những bạn tay ngang bước vào làm website wordpress. Mạn phép các bro lão làng thì bỏ qua.
Thứ hai là mình làm qua web với hệ thống Vps chứ không làm qua các hosting nên mình chỉ nói nó xoay vps, còn với những bạn cài qua hosting thì có thể tham khảo, nó cũng tương tự.
Bắt đầu thôi!
Lựa chọn VPS uy tín, ưu tiên có thể Auto backup dữ liệu hàng ngày
Mình hiện đang sử dụng VPS của Vultr và mỗi tháng mình bỏ thêm 1$ để có thể có chức năng auto backups dữ liệu. Tại sao mình lại nói cái này đầu tiên? Đơn giản là để cài website thì đây là bước đầu, và có trường hợp gì xấu nhất bạn có thể Restore lại dữ liệu trước khi bị lỗi, bị hack.
Đổi port đăng nhập SSH và đường dẫn Login
Thường anh em mới cài hay dùng các Script như Hocvps, Hostvn, Vpssim… Thì thường port SSH hay kiểu 22, 2222, 8282… khá giống nhau, nên là anh em nên đổi đi. Cách đổi thể nào thì các bạn hãy search theo tự khóa “đổi port ssh + script mình dùng”. OK chưa.
Về cái đường dẫn Login nên đổi nhé, bạn có thể sử dụng kết hợp trong plugin iThemes Security mình có đề cập bên dưới, nó có chức năng đổi tên link login để tránh cái link mặc định của wordpress dễ đoán.
Tăng độ khó tất cả các tên đăng nhập và mật khẩu liên quan
Dù là tên đăng nhập hay mật khẩu của database, của admin quản trị website, của thành viên website… hãy đặt dài loằng ngoằng, dài dòng khó đoán vào mọi người nhé.
Phân quyền CHMOD cho file/thư mục
CHMOD (phân quyền) xem, xóa và chỉnh sửa các dữ liệu trên VPS của bạn. Nếu CHMOD không được kỹ và an toàn thì khả năng các file nằm trên hệ thống có thể dễ dàng được chỉnh sửa bởi hacker.
Vì thế để tăng bảo mật website và giảm thiểu nguy cơ bị tấn công, cần phải CHMOD thật tối ưu cho các file và folder.
File đầu tiên chúng ta cần bảo vệ đó là wp-config.php vì file này lưu giữ những thông tin đăng nhập vào cơ sở dữ liệu của mình.
Nếu như các bạn ít khi chỉnh sửa file này thì hãy CHMOD là 444 cho wp-config. Điều này có nghĩa tất cả các nhóm người dùng chỉ có thể đọc chứ không chỉnh sửa hay thực thi được, kể cả chủ sỡ hữu. Và sau khi đưa về 444, chúng ta không thể chỉnh sửa nội dung file này, nếu muốn chỉnh sửa thì hãy đưa nó về 644.
Các file còn lại thì bạn có thể CHMOD là 644 và 755 cho các folder.
Sử dụng theme và plugin uy tín, có kiểm duyệt
Nên mua các theme uy tín, có kiểm duyệt, có rất nhiều nơi uy tín như themeforest chẳng hạn. Không mua riêng thì mua chung…
Cái này thì khỏi phải nói rồi, nhưng anh em mới vào nghề hay tay ngang thường rất hay sử dụng bừa bãi hoặc tải bừa các theme null và plugin trên mạng. Rất là nguy hiểm! Nhưng để giảm tải nguy cơ bạn có thể kiểm tra theme hay plugin đó có an toàn không bằng cách quét qua virustotal.com.
Nói chung em cũng không chắc 100% nhưng em thấy bao năm nay file gì e cũng check qua và xanh xao thì ok, còn đỏ đỏ là lướt ngay cho chắc. Mấy bạn xài theme không rõ nguồn thì nên dùng cái này, cho nó an tâm xíu nhé.
Cài plugin bảo mật Security?
Có nhiều plugin nhưng hiện mình đang sài cái iThemes Security. Nhiều bác cứ bảo là không nên cài, em đã từng đọc trên diễn đàn rất nhiều bác tỏ vẻ xem thường và kiểu không thèm cài… Kệ người ta nói đi bạn, mình không có kinh nghiệm bảo mật thì phải cài.
Cài rồi thêm cái email của bạn vô, có ai cố tình đăng nhập liên tục bất hợp pháp nó sẽ báo về mail cho mà xử lý, rồi nó còn hỗ trợ khóa mõm những IP hack, hỗ trợ tính năng bảo mật khác như Local brute force, Network brute force…
Em đã có lần sáng ra check mail và ăn quả 88 mail báo của một ip cố tình đăng nhập vô site mình. Vào web thì ăn một mớ tài khoản admin mới + bonus gần 100 bình luận tàu tây. May quá xóa hết đi, đổi hết các thông tin tài khoản theo dõi một thời gian êm ngay anh em ạ. Quả nhớ đời của em.
Thường xuyên update wordpress, plugin hay theme
Cuối cùng là thường xuyên update wordpress, plugin hay theme lên bản mới nhất nếu có thể, để tranh các vấn đề bảo mật nhé. Một số bác bảo web đang bình thường kệ nó đừng update làm gì? No no, trừ trường hợp bản update đang lỗi hoặc bất khả kháng không update được thì thui chứ có là update lên nhé.
Sự chênh lệch giữa các phiên bản, xung đột giữa các plugin cũ không update… bất kỳ lỗi nào cũng có thể là kẽ hở cho hacker nó xâm nhập và phá mình. Người ta đã mất công nghiên cứu nâng cấp thì cứ thế mà theo đừng có đi ngược lại số đông để thể hiện điều gì bạn nhé.
Kết bài
Vậy là để bảo mật website wordpress anh em mình cần làm:
- Lựa chọn VPS uy tín, ưu tiên có thể Auto backup dữ liệu hàng ngày
- Đổi port đăng nhập SSH
- Tăng độ khó tất cả các tên đăng nhập và mật khẩu liên quan
- Phân quyền CHMOD cho file/thư mục
- Sử dụng theme và plugin uy tín, có kiểm duyệt
- Cài plugin bảo mật Security
- Thường xuyên update wordpress, plugin hay theme
Mong là những kiến thức nhỏ bé của mình sẽ giúp đỡ cho các bạn một xíu xíu trong công cuộc chống hacker phá website của mình. Bài viết Top 7 bước bảo mật website wordpress nên làm cho người mới của mình đến đây hết rồi. Chúc các bạn thành công. Góp ý gì cứ bình luận bên dưới nhé.
