Mẹo tăng cường bảo mật WordPress

Mẹo cải thiện bảo mật WordPress

Đối với người mới bắt đầu viết blog WordPress, hãy đảm bảo rằng bạn luôn cập nhật phiên bản mới nhất. Ngoài ra, hãy ghi nhớ các mẹo sau để làm cho Word Press của bạn an toàn hơn.

1. Thay đổi tiền tố chuẩn “wp_”

Việc sử dụng tiền tố wp_ có thể dự đoán được trong các bảng cơ sở dữ liệu có thể khiến trang web của bạn có lỗ hổng bảo mật (chẳng hạn như SQL injection). Bạn có thể thay đổi tiền tố mặc định wp_ để tăng cường bảo mật.

2. Ẩn thông báo lỗi đăng nhập

Thông báo nhật ký lỗi có thể cung cấp cho tin tặc một ý tưởng về việc liệu họ có tên người dùng đúng / sai hay không. Nên ẩn nó khỏi những lần đăng nhập trái phép.

Để ẩn thông báo lỗi đăng nhập, chỉ cần nhập mã sau vào functions.php:

3. Bảo vệ thư mục wp-admin

Nếu bạn giữ thư mục wp-admin ở trạng thái được bảo vệ, bạn đã thêm một lớp bảo vệ. Bất kỳ ai cố gắng truy cập các tệp hoặc thư mục wp-admin sau đây sẽ được nhắc đăng nhập. Có một số cách để bảo mật thư mục “wp-admin” của bạn bằng thông tin đăng nhập và mật khẩu:
– Plugin WordPress: Sử dụng WordPress HTTP Auth.
– cPanel: Nếu lưu trữ của bạn hỗ trợ đăng nhập quản trị viên cPanel, bạn có thể dễ dàng thiết lập bảo vệ cho từng thư mục bằng giao diện người dùng đồ họa. Thư mục bảo vệ mật khẩu bởi cPanel.
– .htaccess + htpasswd: Thực hiện bảo vệ bằng mật khẩu bằng cách đặt các thư mục bạn muốn bảo vệ vào .htaccess và.htpasswd.

4. Duy trì các bản sao lưu

Bảo mật toàn bộ blog WordPress của bạn cũng quan trọng như bảo vệ trang web của bạn khỏi tin tặc. Nếu tất cả các nỗ lực bảo mật không thành công, ít nhất bạn sẽ cần khôi phục các tệp sao lưu. Có hai loại sao lưu: sao lưu toàn bộ và sao lưu gia tăng.

Bản sao lưu đầy đủ bao gồm mọi thứ trên trang web như tệp và cơ sở dữ liệu. Phương pháp này chiếm nhiều dung lượng đĩa hơn yêu cầu và có thể làm tăng mức sử dụng CPU và ổ đĩa trong khi sao lưu đang được thực hiện. Do đó, bạn không nên chọn bản sao lưu đầy đủ nếu trang web của bạn có tài nguyên hạn chế.

Mặt khác, sao lưu dữ liệu gia tăng trên nền tảng chỉ lưu dữ liệu hoàn chỉnh trong lần đầu tiên và sau đó thêm các mục thay đổi theo thời gian. Có một số tùy chọn cho loại sao lưu này trong WordPress yêu cầu người dùng phải trả một khoản phí đáng kể, chẳng hạn như: B. VaultPress và WP Time Capsule.

5. Ngăn chặn tìm kiếm thư mục

Một lỗ hổng bảo mật lớn khác trong WordPress là làm cho các thư mục và tệp có thể truy cập công khai. Trước tiên, hãy thử kiểm tra xem các thư mục WordPress của bạn có được bảo vệ tốt hay không bằng cách nhập URL https://www.domain.com/wp-includes/ vào trình duyệt của bạn. Nếu nó không xuất hiện hoặc đưa bạn trở lại trang chủ, thư mục của bạn vẫn an toàn. Tuy nhiên, nếu bạn thấy một màn hình tương tự như hình ảnh bên dưới, trang web của bạn chưa được bảo vệ.

Dán mã này vào tệp .htaccess của bạn để ngăn quyền truy cập vào tất cả các thư mục:

Với trang web của bạn đang chạy trên Nginx, đây là những gì bạn có thể thêm:

6. Luôn cập nhật các tệp và plugin cốt lõi của WordPress

Một trong những cách hiệu quả nhất để giữ an toàn cho trang WordPress của bạn là đảm bảo rằng các tệp của bạn luôn được cập nhật. WordPress hiện đã tích hợp các bản cập nhật tự động. Tất cả những gì bạn cần làm là đảm bảo rằng bạn hoặc nhà phát triển không tắt tính năng này.

7. Chọn một mật khẩu mạnh

WordPress hiện có một hộp gợi ý mật khẩu mạnh như hộp bên dưới khi bạn tạo tài khoản mới hoặc cập nhật mật khẩu mới. Nó được đánh giá cho dù mật khẩu của bạn mạnh hay yếu. Bạn nên chọn một mật khẩu mạnh, nhưng nhược điểm là bạn có thể không nhớ các ký tự trong dãy mật khẩu. Bạn cũng có thể sử dụng trình quản lý mật khẩu như 1Password hoặc LastPass.

8. Xóa quản trị viên

Các cài đặt WordPress điển hình thường đi kèm với một người dùng tiêu chuẩn được gọi là “quản trị viên”. Vì lý do bảo mật, bạn không nên luôn sử dụng tài khoản quản trị viên này để truy cập blog WordPress của mình.

Cách tiếp cận an toàn hơn để đăng nhập là tạo quản trị viên mới và xóa quản trị viên mặc định. Bạn có thể thực hiện việc này bằng các bước sau:
Đăng nhập vào bảng điều khiển WordPress
– Chuyển giao cho người sử dụng ->Thêm mới
– Thêm người dùng mới với vai trò Người quản lý và chọn một mật khẩu mạnh.
Đăng xuất khỏi WordPress và đăng nhập lại vào quản trị viên mới của bạn.
– Chuyển giao cho người sử dụng
– Xóa tài khoản “quản trị viên”

Nếu bạn đã từng sử dụng tài khoản quản trị để đăng nội dung, đừng quên tra cứu thuộc tính của tất cả các bài đăng và liên kết chúng với tài khoản người dùng mới.

9. Vô hiệu hóa XMLRPC

XMLRPC trong WordPress là mục tiêu phổ biến của tin tặc. Bạn có thể vô hiệu hóa nó nếu trang web không yêu cầu XMLRPC hoặc giới hạn điểm cuối XMLRPC ở các địa chỉ IP cụ thể nếu cần; B .:

10. Thêm tiêu đề bảo mật HTTP

Thêm tiêu đề bảo mật HTTP cũng là một cách để tăng cường lớp bảo mật cho trang web của bạn và giảm các cuộc tấn công mạng. Các tiêu đề xâm nhập vào trình duyệt và thay đổi theo một hướng nhất định được đặt trong các tiêu đề. Ví dụ: bạn có thể sử dụng các tùy chọn X-frame để kiểm tra xem trang web có thể được nhúng vào iframe hay không. Các loại tiêu đề khác mà bạn có thể thêm là: Bảo vệ X-XSS, Bảo mật truyền tải nghiêm ngặt, Tùy chọn loại nội dung X, Chính sách bảo mật nội dung và Chính sách giới thiệu.

Ngoài các phương pháp trên, bạn cũng có thể đăng ký WPVulnDB để giúp xác định các lỗ hổng bảo mật trong trang web của bạn. WPVulnDB tìm kiếm lõi và plugin của WordPress để xác định loại lỗ hổng, phiên bản nào bị ảnh hưởng và liệu chúng đã được sửa hay chưa.

https://thuthuat.taimienphi.vn/meo-tang-cuong-bao-mat-wordpress-55211n.aspx
Ngoài ra, như một tài liệu tham khảo về cách Bảo mật đăng nhập WordPress Đây.