Chắc hẳn là các bạn đã biết đến WordPress là gì, đây chính xác là một nền tảng CMS đã được cộng đồng SEO lựa chọn nhiều nhất trong khoảng thời gian qua nhờ vào các tính năng chuẩn SEO trong hệ thống. Cũng chính vì vậy mà hiện nay các trang web/ blog từ WordPress đã không ngừng bị tấn công. Hãy cùng xem qua một số các nguyên tắc cơ bản về WordPress và cách để đảm bảo được sự an toàn cho trang web của bạn.
Virus hay mã độc luôn là một vấn đề gây đau đầu cho các trang web của bạn, nếu bạn không có bất kỳ kiến thức chuyên môn về quản trị, hoặc là chưa có kinh nghiệm trong việc đề cao tính năng bảo mật. Tuy nhiên thì bạn vẫn có thể phòng chống được ngay từ ban đầu với những cách mà chúng tôi muốn đề xuất cho bạn ngay sau đây để giảm thiểu việc trang web bị dính mã độc, hạn chế từ các cuộc tấn công.
WordPress có an toàn hay không?
Câu trả lời là có và phiên bản mới nhất của WordPress rất an toàn. Bỏ qua phần cập nhật phần mềm tuy nhiên vẫn có một số vấn đề khác làm cho WordPress không an toàn. Đây là lý do tại sao nhiều chuyên gia bảo mật và developer không “hâm mộ” WordPress. Thực ra phần mềm này cũng giống như mã spaghetti PHP vốn không an toàn, trong đó chính WordPress cảnh báo rằng những sai sót đó “bắt nguồn từ phần mở rộng của nền tảng, đặc biệt là các plugin và chủ đề”.
Lý giải nguyên nhân vì sao bị mã độc
- Trong quá trình sử dụng, bạn thực hiện upload dữ liệu, nếu dữ liệu ở máy tính cá nhân nhiễm virus khi thực hiện upload sẽ kéo theo virus.
- Thông tin quản trị mật khẩu đặt ở mức độ đơn giản, không đủ độ khó, rất dể hacker khai thác. Vd: Một số trường hợp để password 12345678, 12345678a, 1234512345, 123acb … Password cần để có độ phức tạp cao như BkodbOjNBu5H
- Không thực update phiên bản WordPress, plugin và theme lên bản mới, các bản cũ có nhiều lổ hỗng
- Sử dụng theme, plugin free rất khả năng nhiễm virus rất cao so với bản trả phí (bản trả phí vẫn bị, tuy nhiên bản trả phí có update định kỳ của nhà phát triển)
- Sử dụng theme, plugin trả phí nhưng được share miễn phí rất dể bị cài mã độc vào.
- Không tuân thủ chuẩn, nguyên tắt bảo mật, sử dụng website/hosting.
- Không thường xuyên scan website bằng các công cụ, plugin quét tìm mã độc.
- Website hoạt động ở internet, sẽ có rủi ro hằng ngày, hằng giờ vì sẽ có hacker, con bot auto tìm lỗ hổng để khai thác và chèn các mã độc vào, vì thế website cần được kiểm tra cập nhật và bảo trì thường xuyên. (Một sốcông ty, doanh nghiệp luôn có team dev, IT để thực hiện việc rà soát này)
Một số cách phòng chống hạn chế cơ bản
Không đặt tài khoản là “admin”
Mặc định user sẽ là admin, nhưng tốt nhất bạn cứ thay đổi đi luôn là được. Tốt hơn bạn cứ để user và passwod vô nghĩa như
- User: YEz_nL6k9sA3
- Pass: XU$fewKEO2Jy
Sử dụng Password độ khó cao
Một số người dùng thường để pass 12345678, 12345678a, 1234512345, 123acb để dễ nhớ, tuy nhiên việc dễ nhớ này sẽ gây ảnh hưởng rất nghiêm trọng cho website bạn về lâu dài. Tốt nhất bạn hãy để Password Generator
Update WordPress, Themes, Plugin lên các phiên bản mới nhất
Version WordPress, Themes, Plugin đều có các bản update, và bạn cần thực hiện update lên để được bảo mật, vá những lỗ hổng nguy hiểm.
Set Permissions cho các thư mục như là wp-admin và wp-config.php
Việc set quyền cho file này rất quan trọng, bạn cần set cho file chỉ đọc, ghi, hoặc thực thi để bảo mật tốt hơn
>>> Xem thêm về chuyên mục kiến thức seo
Hạn chế việc cài đặt và sử dụng Plugin bên ngoài
Việc hạn chế cài đặt Plugin không uy tín vào website là vấn đề rất cần thiết, khi bạn cài Plugin không uy tín vào website cũng giống như bạn đang tiếp tay đưa kẻ xấu vào nhà bạn vậy.
Thay đổi đường dẫn URL đăng nhập
Bạn nên thay đổi URL đăng nhập, mặc định sẽ là domain/wp-admin. Tuy nhiên rất dể đoán và bạn có thể thay đổi luôn đường dẫn này. Bạn có thể sử dụng Plugin sau để thay đổi, Plugin an toàn và được đánh giá rất tốt. Plugin: WPS Hide Login
Thay đổi bảng dữ liệu – Prefix Table Database
Mặc định khi bạn cài WordPress Database của bạn sẽ có Prefix là wp_table. Bạn có thể thay đổi wp_ thành tiền tố khác để bảo vệ database của bạn an toàn.
Cài đặt SSL cho website để cấp quyền sử dụng giao thức https
Hiện nay các website Google bắt buộc có chứng chỉ SSL và Google đánh giá cao các website có SSL. Không chỉ như thế khi bạn sử dụng SSL dữ liệu của bạn khi truyền đi sẽ được mã hóa giúp an toàn hơn rất nhiều.
Kiểm tra các file trước khi upload lên web và hosting
Trước khi bạn thực hiện upload bất kỳ file nào lên website. Thì hosting bạn cần cân nhắc trước khi upload, phải scan virus trước. Ở máy local bạn có thể cài một số phần mềm quét Virus để quét các file, các phần mềm free tuy nhiên quét cũng khá tốt.
Backup tất cả dữ liệu định kỳ
Mặc định các nhà cung cấp đều có hỗ trợ backup định kỳ hosting của bạn. Tuy nhiên việc bạn thực hiện chủ động backup theo tùy ý của bạn. Và giữ riêng ở máy cá nhân vẫn là vấn đề bạn cần quan tâm và thực hiện.
Quản trị viên
Nếu bạn đang có vai trò là quản trị viên trên trang WordPress; thì hãy tạo một new user cho chính bạn và chỉ giới hạn ở vai trò biên tập viên. Bắt đầu sử dụng hồ sơ mới thay vì quản trị viên. Bằng cách đó, các cuộc tấn công mạng diện rộng sẽ tập trung vào tấn công thông tin xác thực vai trò biên tập viên, nếu bị tấn công thì bạn vẫn có khả năng quản trị viên để thay đổi mật khẩu và kiểm soát trang web của mình.