Sự đa dạng về hình thức tấn công và khai thác trên WordPress dẫn đến việc xuất hiện nhiều phương pháp bảo mật website từ đơn giản đến phức tạp. Khi áp dụng các phương thức bảo mật phức tạp cho WordPress, hãy đảm bảo rằng bạn đã thiết lập trang web của mình an toàn hơn, vì đôi khi những thiết lập đơn giản có thể trở thành lỗ hổng cho hacker tấn công.
Nếu bạn chưa chắc chắn về mức độ bảo mật của trang web, hãy tham khảo các lời khuyên dưới đây và thực hiện ngay nếu bạn chưa làm.
6 lời khuyên đơn giản để bảo mật WordPress
1. Không sử dụng tài khoản tên “admin”
Qua nhiều lần kiểm tra và hỗ trợ nhiều người, mình để ý là có rất nhiều người đặt tên tài khoản quản trị website với tên là “admin“, “administrator“. Đây quả thực là một sai lầm tai hại.
Việc sử dụng các tên tài khoản phổ biến không an toàn vì trên thế giới hiện nay có một hình thức tấn công gọi là Brute Force Attack. Hình thức này liên tục thử đăng nhập vào website của bạn bằng các danh sách tài khoản và mật khẩu có sẵn mà hacker thu thập được.
Do đó, việc sử dụng các tài khoản phổ biến như “admin” có thể dễ dàng bị phát hiện và khai thác mật khẩu thông qua Brute Force Attack. Khi cài đặt website, bạn nên đặt một tên người dùng độc đáo và khó đoán, chẳng hạn như “odaychungtoicobancodere”.
Nếu bạn đã lỡ sử dụng tên tài khoản “admin”, đừng lo lắng. Bạn có thể sử dụng plugin iThemes Security (trong mục Advanced) để đổi tên tài khoản này.
2. Sử dụng mật khẩu phức tạp
Tương tự như việc sử dụng username “admin”, việc sử dụng mật khẩu đơn giản có thể dễ dàng bị tấn công theo kiểu Brute Force Attack phát hiện sau một thời gian.
Tốt nhất, hãy đặt mật khẩu bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt. Bạn không cần quá lo lắng về việc nhớ mật khẩu này, vì có thể sử dụng các phần mềm như LastPass hay StickyPassword để lưu mật khẩu và tự động đăng nhập vào các lần sau.
3. Cập nhật plugin, theme, WordPress lên phiên bản mới nhất
Một lời khuyên quan trọng là thường xuyên cập nhật các plugin, WordPress và theme lên phiên bản mới nhất để tránh các lỗ hổng bảo mật. Việc cập nhật rất đơn giản, mỗi khi có phiên bản mới, hệ thống sẽ thông báo và bạn chỉ cần chọn cập nhật để tự động nâng cấp.
4. Sử dụng host chất lượng
Nếu bạn đang sử dụng các dịch vụ host thông thường (Shared Host), việc quan trọng là chọn nhà cung cấp đáng tin cậy. Các gói Shared Host đều nằm trên cùng một máy chủ, nên nếu một website trên máy chủ bị nhiễm mã độc, các website khác cũng có nguy cơ bị tấn công qua Local Attack. Tuy nhiên, với các nhà cung cấp hosting sử dụng CloudLinux OS như AZDIGI, StableHost, A2Hosting,…, mỗi người dùng có một hệ thống tập tin ảo hóa riêng, không bị ảnh hưởng khi website khác trên cùng máy chủ bị tấn công.
Do đó, bạn nên chọn các dịch vụ host uy tín thay vì các nhà cung cấp ít người dùng và chưa được xác minh.
5. Tránh xa sản phẩm null – vi phạm bản quyền
Các sản phẩm null mà mình đang đề cập đến là các plugin và theme trả phí được chia sẻ công khai trên một số website. Việc sử dụng các sản phẩm này không chỉ vi phạm bản quyền mà còn đặt bạn vào nguy cơ bị mã độc tấn công.
Một nghiên cứu đã chỉ ra rằng, hầu hết các sản phẩm null tràn lan trên mạng đều chứa mã độc, có thể khai thác tài nguyên host của bạn, chèn backlink ẩn hoặc thậm chí đánh sập website của bạn.
6. Tránh CHMOD 777
Nếu bạn chỉ nghe qua về CHMOD mà chưa hiểu rõ, hãy tạm gác lại việc tìm hiểu chi tiết vì nó khá phức tạp. Điều quan trọng cần biết là tránh thiết lập CHMOD thư mục thành 777. Thiết lập 777 cho phép tất cả người dùng trên server có quyền ghi, xóa và thực thi thư mục và các tập tin bên trong, dẫn đến nguy cơ xuất hiện mã độc không rõ nguồn gốc trên website của bạn.
Nếu bạn sử dụng Shared Host, cách CHMOD chuẩn nhất là 755 cho thư mục và 644 cho các tập tin. Đối với các tập tin nhạy cảm như wp-config.php, hãy đặt CHMOD thành 444, 440 hoặc 400.
Lời kết
Ở trên là tổng hợp 6 lời khuyên rất quan trọng trong quãng thời gian bạn quản trị website WordPress cần phải ghi nhớ để tránh các vấn đề đáng tiếc xảy ra, nhưng may mắn là 6 lời khuyên trên đều dễ dàng thực hiện.