10 việc cần làm ngay để bảo mật cho wordpress

(Kienthucmeovat.com) – Như các bạn đã biết, WordPress CMS là một nền tảng đứng đầu về số lượng sử dụng trên toàn thế giới. Độ tùy biến cao, tính thân thiện với đại đa số người dùng, cộng đồng hỗ trợ lớn và mạnh mẽ. Nhưng cũng chính vì thế mà số lượng website làm trên nền tảng WP bị hack rất cao.

10 việc cần làm ngay để bảo mật cho wordpress

Những nguyên nhân khiến website của bạn bị hack

  • Sử dụng themes và plugins trả phí được share miễn phí trên mạng (hay gọi là nulled).
  • Đặt password quản trị đơn giản.
  • Sử dụng source code share trên mạng không rõ nguồn gốc hoặc chưa được kiểm duyệt an toàn.
  • Upload source code lên hosting mà không cài đặt ngay.
  • Bị tấn công local attack.
  • Bị tấn công brute force.
  • Máy tính nhiễm trojan, keylogger…

Trong quá trình nghiên cứu học về wordpress, mình thấy đa phần các website bị hack nằm ở nguyên nhân số 1, 2, 3.

Dấu hiệu nhận biết bị hack

  • Giao diện bị thay đổi (deface).
  • Tự động redirect về trang web lạ.
  • Chèn backlink ẩn.
  • Bị chiếm quyền quản trị (backend)…

10 việc cần làm ngay để bảo mật cho wordpress

Vậy, làm sao để giảm thiểu khả năng bị hack?

  1. Nên backup website thường xuyên.

Đây là tiêu chí đầu tiên cực kỳ quan trong mà mình muốn chia sẻ. Dù xảy ra bất kỳ sự cố nào đi chăng nữa, thì bạn luôn luôn cần đến các bản backup website của mình. Vậy, đừng để đến khi “mất bò mới lo làm chuồng”. Hãy tạo thói quen backup website của mình một cách thường xuyên.

  1. Sử dụng themes và plugins

Mình không cổ xúy cho việc dùng phần mềm lậu nhưng nếu bạn sử dụng cho mục đích học tập thì bạn có thể dùng các bản nulled được chia sẻ trên mạng. Tuy nhiên, cần test kỹ nguồn gốc của nó. Các bạn có thể tải về và quét bằng các phần mềm diệt virus để phát hiện shell, mã độc…Đọc các comment, feedback về nó.

Bên cạnh đó, thường xuyên theo dõi về các lỗi bảo mật của wordpress core, themes và plugin cũng giúp bạn có phương án khắc phục cho website của mình. Có thể tham khảo tại:http://packetstormsecurity.com/search/?q=wordpress

Một thói quen nữa mà mình cũng mong các bạn lưu tâm. Đó là thường xuyên cập nhật website của mình để tránh các lỗ hổng bảo mật đáng tiếc.

  1. Hạn chế dùng source code share trên mạng. Cho dù nó không bị chèn shell thì cũng có thể bị chèn backlink ẩn mà bạn không mong muốn. Quan điểm của mình là: “không ai cho không ai cái gì.”
  2. Đặt password quản trị phức tạp.

Nhiều bạn có thói quen đặt password đơn giản để login cho nhanh. Điều này sẽ giết chết chính bạn. Hãy đặt pass với đầy đủ: Chữ in hoa, in thường, số và ký tực đặc biệt và thường xuyên thay đổi. Ngoài ra, tránh đặt user đăng nhập là “admin”.

  1. Nếu bạn có thói quen cài đặt website WP trực tiếp trên hosting thì tốt nhất nên cài đặt ngay khi upload source code.
  2. Nên thay đổi đường dẫn đăng nhập

Mặc định URL trang quản trị sẽ có dạng domain.com/wp-admin. Điều này cũng giúp cho hacker dễ dàng hơn trong việc dò password, giảm thiểu nguy cơ bị brute force nhé!

Để thay đổi, có nhiều plugin giúp bạn thực hiện việc này. Điển hình như iThemes Security. Tham khảo tại: https://wordpress.org/plugins/better-wp-security/

10 việc cần làm ngay để bảo mật cho wordpress

  1. Nên đăng nhập vào backend trên các máy tính, network an toàn.

Điều gì sẽ xảy ra nếu bạn mượn máy tính của người khác mà không biết nó có an toàn (nhiễm virus, backdoor, trojan, keylogger)? Kể cả khi bạn sử dụng mạng công cộng cũng nên dè chừng. Nếu bắt buộc phải login, hãy sử dụng bàn phím ảo có sẵn trong hệ điều hành nhé!

  1. Chọn nhà cung cấp hosting uy tín

Không hiểu sao mình lại đưa tiêu chí này vào đây. Nhưng thực tâm mà nói, mình không tin tưởng bất cứ nhà cung cấp dịch vụ nào, ngay cả các ông lớn công nghệ. Không ai giúp mình bảo mật bằng chính mình. Tuy nhiên, nếu điều kiện và khả năng không đủ để “tự biên tự diễn” trong vấn đề hosting thì bạn nên chọn những nơi đáng tin cậy. Đôi khi các website khác bị tấn công, hay server vật lý bị chiếm quyền điều khiển thì gói hosting của bạn chỉ là con rối trong tay họ.

  1. Quản trị tên miền

Mình tin chắc rằng số đông trong các bạn sau khi đăng ký tên miền, trỏ các record cần thiết để cấu hình website, thì quên bén đi thông tin quản trị domain. Điều này thực sự nguy hiểm. Bạn cấu hình được thì hacker cũng có thể cấu hình được. Còn nhớ vụ của Google.com.vn đợt vừa rồi chứ? Chỉ cần có thông tin quản trị domain thì cũng coi như website của bạn trở thành vô dụng.

  1. Đừng quên cập nhật kiến thức

Học hỏi không bao giờ là thừa và muộn. Hãy luôn tìm đọc các tài liệu mới nhất về các vấn đề liên quan đến wordpress nói riêng, các mã nguồn, code nói chung.

Kết luận:

Hàng ngày, hàng giờ có rất nhiều nguy cơ bảo mật xảy ra. Vậy nên, việc các bạn cần làm hơn tất cả, đó là giám sát hoạt động của website, hosting và thường xuyên backup nhé!

Theo: HoangSuu.Com

You may also like...