Những phương pháp bảo mật và tối ưu cho WordPress

Khi chúng ta mới bắt đầu xây dựng một Website thì thông thường chúng ta chỉ sử dụng rộng rãi tới một vấn đề là làm cho sao để lôi kéo được người xem, làm thế nào để có thể SEO website lên top mà ít khi quan tâm đến vấn đề bảo mật. Tuy nhiên, đây lại là một khâu hết sức quan trọng mà những ai làm website nên lưu ý kỹ hơn nếu muốn tăng trưởng blog lâu dài.

Nếu bạn ko muốn công sức của mình bỏ ra có thể đổ sông đổ biển vào một ngày nào đấy thì bạn nên cân nhắc thật kỹ càng những vấn đề bảo mật ngay từ lúc này. Tại bài viết này, Tuấn Anh sẽ giới thiệu cho các bạn một số cách cơ bản nhất để nâng cao khả năng bảo mật và tối ưu cho blog WordPress.

1. Đổi username admin và đặt password phức tạp

Đây là điều kiện đầu tiên mà chúng ta phải làm. Khi cài đặt WordPress, bạn cần thay đổi tên đăng nhập mặc định là admin bằng một tên khác và dùng 1 mật khẩu dài, phức tạp bao gồm những chữ hoa, chữ thường, chữ số và những ký tự đặt biêt nhất. Trong vài trường hợp mà bạn đã sử dụng tên đăng nhập là admin, bạn hoàn toàn có thể đổi lại với sự hổ trợ của plugin Better WP Security mình sẽ giới thiệu bên dưới.

Song song đó, bạn phải thay đổi tên hiển thị khác với tên đăng nhập bằng cách vào mục Users -> Tìm đến Your Profile sau đấy đổi lại Nickname.

2. Cần tối ưu CHMOD cho WordPress

CHMOD nghĩa là thiết lập quyền đọc, chỉnh sửa và thực thi cho file hoặc thư mục. Để đảm bảo an toàn cho những file và thư mục trên website của chúng ta, bạn phải CHMOD cho đúng bí quyết và thông minh. Bạn có thể làm cho việc này bằng cách tìm đến mục File Manager của cPanel quản lý host hoặc có thể sử dụng các trình upload FTP. Sau khi đăng nhập vào File Manager, click chuột nên vào file hoặc folder muốn CHMOD và chọn Change Permissions.

chmod

Một bảng xuất hiện, lúc này ta tiến hành CHMOD bằng cách tích chọn vào các ô như hình bên dưới:

chmod

Tại đây, chúng ta có các phần như:
Read (Đọc): Phần này được quy định tính bằng 4
Write” (Chỉnh sửa): Phần này được quy định tính bằng 2
Execute (Thực thi): Phần này được quy định tính bằng 1

Chẳng hạn như để CHMOD một file quy về 755 thì chúng ta chỉ đơn giản sẽ tick chọn vào các ô như hình trên. Mặt khác, nếu bạn muốn CHMOD về 644 thì bạn sẽ đánh dấu tick như hình bên dưới nhé:

Ngay lúc này, chúng ta sẽ tiến hành CHMOD cho 1 số file và thư mục sao cho thật tối ưu nhất.
wp-config.php: Đây được xem là file vô cùng quan trọng chứa các thông tin liên quan về database, để an toàn chúng ta sẽ CHMOD nó là 400.
những file còn lại bạn cóthể CHMOD là 644 hoặc 404.
Hai thư mục wp-admin, wp-includes ta sẽ CHMOD là 701 hoặc để bảo mật cao hơn nữa thì bạn có thể CHMOD thành 101.
Riêng đối với thư mục wp-content thì bạn cần phải CHMOD là 755 để cho phép upload hoặc chỉnh sửa theme…

3. Kiểm tra mã độc

1 mối nguy hiểm từ việc dùng những themes, plugins null hoặc đã crack được chia sẽ trên mạng. Nó có thể chứa khá nhiều những đoạn mã độc gây hai cho website của bạn. Do đó, cách tốt nhất các bạn bắt buộc dùng các themes và plugins được mua bản quyền. Nhưng ví như bạn không có điều kiện để tiêu dùng mà nên dùng đến các themes, plugins được chia sẻ, tốt nhất các bạn cần kiểm tra kĩ càng. Sau khi đã tải về các themes ấy thì có thể quét nó bằng các phần mềm diệt virus như Kaspersky, Norton, Avira…Bạn cũng có thể dùng công cụ quét virus trực tuyến tại virustotal.com.
Bên cạnh đó, chúng ta ta với thể sử dùng 1 số plugins hỗ trợ việc dò tìm mã độc trong code WordPress như 6Scan Security, hay Wordfence Security, Theme Authenticity Checker…Các plugins này có hỗ trợ quét và dò tìm những mã độc hay các lỗi liên quan tới code trên Website và hướng dẫn cho bạn phương pháp fix những lỗi này.

4. Bảo mật bằng plugin Better WP Security

Bên cạnh những cách cơ bản trên, chúng ta còn có một số biện pháp khác mà để thực hiện được ta nên nhờ tới sự hổ trợ của các plugins WordPress. Có khá nhiều plugins bảo mật được giới thiệu nhưng theo Tuan Anh nhận thấy thì tất cả chúng đều thực hiện những chức năng giống nhau. Ở đây mình giới thiệu 1 plugin mà mình nghĩ chúng ta buộc phải sử dụng, đấy là plugin Better WP Security.

Tải Plugin tại:  www.wordpress.org/plugins/better-wp-security/

Better WP Security mang đến cho người dùng những chức năng cần phải có để bảo mật cho blog WordPress. Mình cũng chưa khai thác hết chức năng của plugin này tuy nhiên thì có 1 số chức năng cơ bản mà bạn nên sử dụng tương ứng với những mục:

Admin User: Đây là nơi mà bạn có thể thay đổi tên đăng nhập và ID của admin như đã kể ở phần trên.

Ban Users: Ngặn chặn truy cập vào Website của bạn từ một địa chỉ IP hay một users nào ấy.

Content Directory: Thay đổi tên thư mục wp-content thành một tên khác. Bạn phải thật kỹ lưỡng khi sử dùng chức năng này. Nó sẽ làm cho hỏng các đường dẫn có liên quan đến thư mục này như đường dẫn của những hình ảnh trong bài viết…Bạn cần backup dữ liệu trước khi dùng đến chức năng này.

Database Prefix: Đổi tiền tố của database. Mặc định tiền tố trong database khi cài đặt WordPress là “wp_”, để tăng khả năng bảo mật, bạn buộc phải đổi sang một tiền tố khác.

Hide Backend: Bạn có thể tùy biến thay đổi đường dẫn đến trang đăng nhập, trang đăng ký và trang quản trị. Điều này sẽ làm những hacker cạnh tranh hơn trong việc đăng nhập vào trang điều khiển lúc đã có được tài khoản admin.

Intrusion Detection: Cho phép dừng số lần truy cập vào những trang ko tồn tại trên website của chúng ta và cảnh báo sự thay đổi nội dung của những file qua email. Điều này sẽ gây nên cạnh tranh cho các hacker trong việc nỗ lực mua kiếm 1 địa chỉ trên blog chẳng hạn như liên hệ trang quản trị mình đã thay đổi ở mục trên. Đồng thời bạn cũng sẽ nhận được những thông báo thay đổi nội dung của các file, giúp bạn biết được trường hợp mang kẻ phá hoại và xác định được các file bị xâm nhập và thay đổi nội dung.

Login Limits: Cho phép dừng số lần đăng nhập lỗi. Điều này sẽ ngăn chặn hacker sử dụng những biện pháp dò sắm password tự động.

Bên cạnh đó còn 1 số chức năng khác như đặt lịch backup cho database, bảo vệ những file readme.html, readme.txt, wp-config.php, install.php, wp-includes, .htaccess, tắt thông báo update theme và plugin đối có các users, bật tính năng SSL đối sở hữu những hosting mang hổ trợ (bạn phải kỹ càng khi tiêu dùng đến chức năng này)…

giả dụ bạn ko thích sử dùng plugin Better WP Security vì gặp những khó khăn trong việc cấu hình các chức năng thì bạn có thể dùng 1 plugin khác sở hữu khả năng bảo mật được đánh giá cao là tương đương với Better WP Security nhưng thân thiện có các bạn hơn, plugin với tên là Wordfence Security.

Tải Plugin Wordfence Security tại đây: www.wordpress.org/extend/plugins/wordfence/

Bản thân Tuấn Anh thấy thì đây là 1 plugin cực kỳ hiệu quả trong việc rà soát những mã độc và những lỗi liên quan đến code WordPress. Ngoài ta ra nó cũng có thể chặn truy cập từ các địa chỉ IP, lãnh thổ và 1 số chức năng khác. Tuy nhiên plugin này mang nhược điểm là ảnh hưởng đến tốc độ tải trang của website trong giai đoạn scan và 1 số chức năng nâng cao bạn cần trả tiền để sở hữu thể sử dụng.

Trên đây là một số phương pháp cơ bản nhất giúp các bạn tăng khả năng bảo mật cho trang web của mình, hạn chế những nguy cơ gây hại từ bên ngoài. Tuy nhiên, cho dù bạn với sử dụng bất kì cách gì thì cũng ko thể đảm bảo rằng blog của bạn không thể bị xâm phạm. vì thế một việc cần thiết mà các bạn cần khiến cho là backup dữ liệu thường xuyên, bao gồm cả database và source code.

Bạn đang xem bài viết  Những phương pháp bảo mật và tối ưu cho WordPress

Add Comment