10 mẹo để bảo mật trang web WordPress

Trang web WordPress của bạn an toàn đến mức nào? Là trang web của bạn là một mục tiêu dễ dàng cho tin tặc? Với một vài bước và bằng cách áp dụng một vài thực tiễn tốt nhất về bảo mật WordPress, bạn có thể giảm đáng kể lỗ hổng để tấn công. Trong bài đăng này, chúng tôi sẽ đề cập đến một số mẹo để bảo mật trang web WordPress.

1. Giữ cốt lõi, plugin và chủ đề của WordPress được cập nhật lên phiên bản mới nhất.

Bạn có biết rằng một số vấn đề bảo mật WordPress phổ biến nhất có liên quan đến việc chạy các phiên bản lỗi thời của lõi, chủ đề và plugin WordPress không?Bạn có biết rằng một số vấn đề bảo mật WordPressphổ biến nhất có liên quan đến việc chạy các phiên bản lỗi thời của lõi, chủ đề và plugin WordPress không? Đó là lý do tại sao việc giữ cho mọi thứ được cập nhật là rất quan trọng.

Ngay bây giờ, nếu bạn đăng nhập vào trang web WordPress của mình để kiểm tra, bạn thấy bao nhiêu thông báo cập nhật trong bảng điều khiển quản trị viên WordPress của mình? Bạn sẽ tìm thấy số này ở một số nơi, bao gồm thanh quản trị viên hàng đầu, trong menu thanh bên và cũng như một thông báo (nếu bạn đang chạy phiên bản WordPress đã lỗi thời).

thông báo cập nhật wordpress

Thông báo cập nhật WordPress xuất hiện ở một số nơi trong bảng điều khiển WordPress của bạn.

Khi trang web WordPress của bạn đang chạy các phiên bản plugin, chủ đề và WordPress lỗi thời, bạn sẽ gặp rủi ro khi biết các lỗ hổng đã biết trên trang web của mìnhKhi trang web WordPress của bạn đang chạy các phiên bản plugin, chủ đề và WordPress lỗi thời, bạn có nguy cơ gặp phải các lỗ hổng đã biết trang web của bạn .

Thông báo cập nhật liên tục có vẻ khó chịu và thật dễ dàng để tắt các bản cập nhật đang chạy, nhưng hãy thử chỉnh sửa lại các bản cập nhật vì có liên quan trực tiếp đến bảo mật và sức khỏe của trang web của bạn.

Các bản cập nhật cho cốt lõi, chủ đề và plugin của WordPress thường bao gồm các bản vá cho các vấn đề bảo mật cũng như sửa lỗi và các tính năng mới. Đó là lý do tại sao những cập nhật này là một điều tốt.

Danh sách kiểm tra cập nhật WordPress

Đây là danh sách kiểm tra để chạy các bản cập nhật WordPress để mọi thứ diễn ra suôn sẻ:

  • 1. Trước khi bạn chạy cập nhật, hãy tạo một bản sao lưu hiện tại của trang web của bạn. Không có giải pháp sao lưu? Sử dụng plugin sao lưu WordPress như BackupBuddy để sao lưu toàn bộ cài đặt WordPress của bạn, bao gồm Thư viện phương tiện, cũng như tất cả các tệp chủ đề và plugin.
  • 2. Xem lại thay đổi cho bản cập nhật phiên bản trước khi cập nhật. Các nhà phát triển sử dụng các thay đổi để người dùng có thể biết những thay đổi có trong bản cập nhật phiên bản. Bạn có thể tìm thấy các thay đổi trên trang Cập nhật trong bảng điều khiển WordPress của mình bằng cách nhấp vào liên kết Phiên bản xem chi tiết xxx xem chi tiết.
  • 3. Điều hướng đến trang Cập nhật trong bảng điều khiển quản trị viên WordPress của bạn. Nhấp vào liên kết Cập nhật trong thanh bên của bảng điều khiển WordPress của bạn hoặc biểu tượng trong thanh điều hướng trên cùng để xem trang Cập nhật.
  • 4. Nhấp vào nút Cập nhật để chạy các bản cập nhật. Bạn sẽ thấy các nút Cập nhật riêng cho plugin, chủ đề và lõi WordPress (nếu bạn có bản cập nhật lõi WordPress đang chờ xử lý), cùng với danh sách các plugin và chủ đề bạn sắp cập nhật.
  • 5. Xác nhận mọi thứ vẫn hoạt động như mong đợi trên trang web của bạn. Mặc dù thường không cần thiết, nhưng bạn nên lướt qua trang web của mình để đảm bảo không có gì bị hỏng hoặc trông lạ sau khi cập nhật.

Công cụ giúp tiết kiệm thời gian khi quản lý cập nhật phiên bản

Nếu bạn quản lý nhiều trang web WordPress, quá trình chạy cập nhật có thể tốn thời gian vì bạn phải đăng nhập vào từng trang web riêng lẻ để thực hiện cập nhật. Rất may, các công cụ như iTheme Sync tồn tại để giúp bạn quản lý nhiều trang web WordPress từ một bảng điều khiển.

Bảng điều khiển iTheme Sync

Với iTheme Sync , bạn sẽ không phải đăng nhập vào nhiều trang web để chạy cập nhật. Bạn có thể chạy các bản cập nhật trên nhiều trang web chỉ bằng vài cú nhấp chuột và xem tất cả các bản cập nhật có sẵn ở một nơi. Đồng bộ hóa cũng gửi thông báo email hàng ngày hữu ích cho các bản cập nhật có sẵn.

Plugin iTheme Security cũng cung cấp quản lý phiên bản WordPress để bảo vệ trang web của bạn khi phần mềm lỗi thời không được cập nhật đủ nhanh.

Quản lý phiên bản WordPress

iTheme Security Tính năng quản lý phiên bản WordPress có thể tự động cập nhật lên các phiên bản mới của WordPress, chủ đề và plugin, cùng với các biện pháp bảo mật bổ sung khi phần mềm của trang web bị lỗi thời. Ngoài ra, nó có thể quét các trang web WordPress lỗi thời khác có thể được cài đặt trên tài khoản lưu trữ của bạn.

Người dùng có thể nhận được email thông báo chứa thông tin chi tiết về các bản cập nhật WordPress được cài đặt tự động. iTheme Security cũng sẽ cảnh báo bạn nếu phát hiện bất kỳ sự cố cấu hình máy chủ hoặc trang web nào có thể ngăn các bản cập nhật WordPress tự động hoạt động.

2. Không bao giờ cài đặt plugin hoặc chủ đề từ các nguồn không đáng tin cậy.

Chỉ cài đặt các plugin và chủ đề WordPress từ các nguồn đáng tin cậy. Bạn chỉ nên cài đặt phần mềm bạn tải xuống từ WordPress.org , kho lưu trữ thương mại nổi tiếng hoặc nhà phát triển có uy tín và trang web của họ.
plugin rỗng
Nếu bạn tìm thấy một phiên bản khác của plugin hoặc chủ đề WordPress không được phân phối trực tiếp từ trang web của nhà phát triển, hãy cẩn thận trước khi tải xuống và cài đặt nó trên trang web của bạn. Hãy liên hệ với các nhà phát triển để xem họ có liên kết với trang web đang cung cấp sản phẩm của họ với giá miễn phí hay chiết khấu hay không.

Tránh các phiên bản bổ sung thương mại của null null vì chúng thường chứa mã độc. Việc bạn khóa trang web WordPress của bạn không quan trọng nếu bạn là người cài đặt phần mềm độc hại.

3. Xem lại bảo mật mật khẩu WordPress của bạn.

Mẹo này gói một vài thực hành tốt nhất liên quan đến mật khẩu. Chiến lược bảo mật WordPress thành công cần bao gồm các bước để tăng cường đăng nhập WordPress của bạn, điều này cuối cùng liên quan đến mật khẩu được sử dụng để đăng nhập vào trang web của bạn.

Tại sao? Đăng nhập WordPress của bạn là lỗ hổng bảo mật WordPress bị tấn công phổ biến nhất vì nó cung cấp quyền truy cập dễ dàng nhất vào bảng điều khiển quản trị trang web của bạn.

Tấn công vũ phu là phương pháp phổ biến nhất để khai thác thông tin đăng nhập WordPress của bạn. Phương pháp tấn công vũ phu khai thác hình thức đơn giản nhất để có quyền truy cập vào một trang web: bằng cách cố gắng đoán tên người dùng và mật khẩu, lặp đi lặp lại, cho đến khi đăng nhập thành công.

Sử dụng một mật khẩu mạnh, độc đáo và phức tạp.

Mật khẩu WordPress của bạn tốt như thế nào? Đây là một bài kiểm tra sức mạnh mật khẩu WordPress :

  • 1. Bạn đã sử dụng lại mật khẩu ở một nơi khác, cho một tài khoản riêng chưa?
  • 2. Bạn có đang sử dụng dịch vụ quản trị của người dùng trên mạng của bạn không?
  • 3. Mật khẩu của bạn có phải là một từ trong từ điển không?
  • 4. Bạn đã chia sẻ mật khẩu của mình với bất kỳ ai khác chưa?
  • 5. Mật khẩu của bạn có ít hơn 12 ký tự không?
  • 6. Mật khẩu của bạn có bao gồm số, ký hiệu và cả chữ in hoa và chữ thường không?
  • 7. Bạn có đang sử dụng xác thực hai yếu tố để đăng nhập WordPress không?
Nghe có vẻ không thể, phải không? Đây là lý do tại sao bạn nên sử dụng trình quản lý mật khẩuđể tạo mật khẩu ngẫu nhiên, mạnh và lưu trữ chúng an toàn cho tất cả thông tin đăng nhập tài khoản của bạn.

Mật khẩu WordPress của bạn phải đáp ứng các yêu cầu sau:

  • Bao gồm số, chữ hoa, ký tự đặc biệt (@, #, *, v.v.)
  • Độ dài (12 ký tự – tối thiểu; 50 ký tự – lý tưởng)
  • Có thể bao gồm dấu cách và là cụm mật khẩu (Chỉ cần không sử dụng cùng một mật khẩu ở nhiều nơi)
  • Thay đổi cứ sau 120 ngày, hoặc 4 tháng

Thực thi các yêu cầu về mật khẩu + Từ chối mật khẩu thỏa hiệp

Một thực tiễn tốt nhất quan trọng khác để bảo mật trực tuyến là sử dụng mật khẩu duy nhất cho mỗi tài khoản và trang đăng nhập bạn có .Một thực tiễn tốt nhất quan trọng khác để bảo mật trực tuyến là sử dụng mật khẩu duy nhất cho mỗi tài khoản và trang đăng nhập bạn có . Tại sao việc sử dụng lại mật khẩu lại quan trọng đến vậy? Nếu bạn sử dụng cùng một mật khẩu cho tất cả các tài khoản của mình và thậm chí một trong những trang web đó bị xâm phạm, thì bạn hiện đang sử dụng mật khẩu bị xâm phạm cho tất cả các tài khoản của mình. Tin tặc có thể sử dụng các dữ liệu của mật khẩu bị xâm nhập được ghép nối với địa chỉ email hoặc tên người dùng của bạn để có quyền truy cập vào tất cả các tài khoản của bạn. Đó là lý do tại sao tốt nhất là không mạo hiểm.

Càng nhiều người dùng trên trang web của bạn đang sử dụng lại mật khẩu, bảo mật đăng nhập WordPress của bạn càng yếu. Trong một danh sách gần đây được biên soạn bởi Splash Data, mật khẩu phổ biến nhất có trong tất cả các bãi chứa dữ liệu là 123456 . Bảo mật đăng nhập WordPress của trang web của bạn chỉ mạnh bằng liên kết yếu nhất, vì vậy hãy chủ động với các yêu cầu mật khẩu mạnh.

Bạn có thể bảo vệ WordPress khỏi các mật khẩu bị xâm nhập bằng một plugin như iTheme Security Pro. iTheme Security cho phép bạn thiết lập các yêu cầu mật khẩu như mật khẩu mạnh, hết hạn mật khẩu và khả năng từ chối mật khẩu bị xâm phạm.

yêu cầu mật khẩu wordpress

Đối với cài đặt Mật khẩu từ chối thỏa hiệp, iTheme Security tận dụng API HaveIBeenPwned để phát hiện xem mật khẩu có xuất hiện trong vi phạm dữ liệu hay không.

Hạn chế các nỗ lực đăng nhập thất bại

Theo mặc định, không có bất cứ điều gì được tích hợp trong WordPress để hạn chế số lần đăng nhập thất bại mà ai đó có thể thực hiện. Không có giới hạn về các lần thử đăng nhập thất bại, tin tặc có thể tiếp tục thử vô số tên người dùng và mật khẩu cho đến khi chúng thành công.

hạn chế các lần đăng nhập thất bại

Bạn có thể tăng bảo mật đăng nhập WordPress của mình bằng cách cài đặt plugin bảo mật WordPress như iTheme Security Pro để hạn chế số lần đăng nhập thất bại trên trang web của bạn.

Tính năng iTheme Security Pro WordPress Brute Force Protection cung cấp cho bạn khả năng đặt số lần thử đăng nhập thất bại được phép trước khi tên người dùng hoặc IP bị khóa. Việc khóa tạm thời vô hiệu hóa khả năng của kẻ tấn công để thực hiện các nỗ lực đăng nhập. Một khi những kẻ tấn công đã bị khóa ba lần, chúng thậm chí bị cấm thậm chí xem trang web.

4. Thêm xác thực hai yếu tố cho tài khoản đăng nhập quản trị viên của bạn.

Xác thực hai yếu tố là một hệ thống yêu cầu hai mục để đăng nhập vào tài khoản của bạn: Đầu tiên là tên người dùng và mật khẩu thông thường, nhưng thứ hai là một mã duy nhất được phân phối qua định dạng khác. Mã thứ cấp có thể được gửi qua văn bản, email, mã sử dụng một lần, ứng dụng di động hoặc các định dạng khác.

xác thực hai yếu tố wordpress

Bất cứ khi nào bạn có thể, bạn nên bật xác thực hai yếu tố. Nó bổ sung thêm một bước cho quy trình đăng nhập, nhưng lớp bảo mật bảo vệ tài khoản của bạn là xứng đáng.

Xác thực hai yếu tố WordPress là một cách rất lớn để tăng cường bảo mật WordPress của bạn và đó là một trong những tính năng tốt nhất đối với iTheme Security Pro. Plugin cũng bao gồm phần đưa lên hai yếu tố giải thích cách sử dụng xác thực hai yếu tố và lý do tại sao nó quan trọng đối với bảo mật.

5. Bắt đầu tạo bản sao lưu thường xuyên của trang web của bạn.

Một cách khác để đảm bảo bảo mật WordPress là sao lưu trang web của bạn. Sao lưu đảm bảo rằng nếu trang web của bạn bị xâm phạm, bạn sẽ có thể lấy lại. Ngoài ra, vì WordPress không bao gồm hệ thống sao lưu tích hợp, bạn sẽ cần tự mình thực hiện chiến lược sao lưu (hầu hết các bản sao lưu máy chủ đều không đủ).

sao lưu wordpress

Một kế hoạch sao lưu WordPress tốt bao gồm:

  • Sao lưu theo lịch trình xảy ra tự động
  • Quét các bản sao lưu đó để tìm phần mềm độc hại (bản sao lưu bị nhiễm là không tốt)
  • Lưu trữ các tập tin sao lưu ngoài trang web ở một nơi an toàn, từ xa
  • Khả năng khôi phục trang web của bạn từ bản sao lưu

BackupBuddy, plugin sao lưu WordPress của chúng tôi , là công cụ sao lưu của chúng tôi, chúng tôi thực sự đã tạo ra nó khỏi sự cần thiết sau khi mất trang web của chính mình sau sự cố máy chủ và không có bản sao lưu.

Với BackupBuddy, bạn có thể thiết lập lịch sao lưu để sao lưu tự động chạy. Bạn cũng có thể kích hoạt Stash Live để sao lưu WordPress thời gian thực , chủ động theo dõi các thay đổi đối với trang web của bạn để bạn luôn có bản sao lưu hiện tại.

sao lưu wordpress thời gian thực

6. Cài đặt plugin bảo mật WordPress để xử lý các tác vụ bảo mật.

Như chúng tôi đã lưu ý một vài lần, sử dụng plugin bảo mật WordPress có thể giúp thực hiện một số tác vụ bảo mật WordPress, nếu không sẽ ghi lại thời gian và kiến ​​thức kỹ thuật.

Một plugin bảo mật WordPress có thể giúp khắc phục các lỗ hổng bảo mật phổ biến và củng cố thông tin đăng nhập của người dùng. Plugin iTheme Security Pro cũng bao gồm bảng điều khiển bảo mật WordPress thời gian thực mới để theo dõi các thống kê và hoạt động liên quan đến bảo mật WordPress.

bảng điều khiển bảo mật wordpress

7. Sử dụng một máy chủ web chất lượng.

Not all web hosts are created equal and choosing one solely on price can end up costing you way more in the long run with security issues.Not all web hosts are created equal and choosing one solely on price can end up costing you way more in the long run with security issues. Most shared hosting environments are secure, but some do not adequately separate users accounts.

Your host should be vigilant about applying the latest security patches and following other important hosting security best practices related to server and file security. Your host should be vigilant about applying the latest security patches and following other important hosting security best practices related to server and file security.

Choose a reputable host for your website with a solid security record. Finding WordPress hosting that you can trust is the first of the WordPress security vulnerabilities you should try to mitigate.

8. Add SSL.

When someone visits your WordPress website, a line of communication between their device and your server begins. The communication isn’t a direct line, and the information passed between the visitor and your server makes several stops before being delivered to its final destination.

To better understand how encryption works, consider how your online purchases get delivered. If you’ve ever tracked delivery status, you have seen that your order made several stops before arriving at your home. If the seller didn’t properly package your purchase, it would be easy for people to see what you purchased.

When a visitor logs into your WordPress website and enters payment information, this information isn’t encrypted by default. So just like your unpackaged purchase, there is an opportunity for the login credentials and credit card details to be discovered at every stop between the visitor’s computer and your server.

Luckily, unencrypted communication is a WordPress security vulnerability that is easy to mitigate. Adding an SSL certificate to your website is a great way to encrypt and package the communication on your site to ensure that only the intended recipients can view the sensitive information being shared.

Your host may provide a service to add an SSL certificate to your WordPress website or you can add the SSL certificate on your own. If you decide to go the do-it-yourself route, we recommend using Certbot. Certbot makes it very easy to add a Let’s Encrypt certificate to your website as well as set it up to automatically renew your SSL certificate. You can also check out our WordPress HTTPS training to learn how to add an SSL certificate to your website.

9. Uninstall and completely delete any unused plugins and themes.

Do you have any unused plugins and themes just sitting on your WordPress website? These are plugins or themes that are currently marked as “Inactive.”

It’s a good idea to uninstall and completely delete any of these unused plugins or themes as they can pose a security risk if known vulnerabilities exist within the plugin or theme. You can speed up this process by bulk selecting all inactive plugins/themes and then clicking the Delete action from your WordPress admin dashboard.

10. Set up WordPress security logging.

WordPress security logs are another way to keep tabs on activity on your website related to your security. A WordPress security plugin like iThemes Security can set up logging to track several activities and can email you about certain suspicious activities.

Security logging in iThemes Security can track:

  • Brute Force Attacks – Suspicious/failed login attempts on your WordPress admin login screen.
  • Thay đổi tệp – Phát hiện thay đổi tệp cho bạn biết những tệp nào đã thay đổi trong cài đặt WordPress của bạn, cảnh báo bạn về những thay đổi không phải do chính bạn thực hiện.
  • Phát hiện 404 – Phát hiện 404 xem xét người dùng đang truy cập một số lượng lớn các trang không tồn tại và nhận được một số lượng lớn lỗi 404. Phát hiện 404 giả định rằng người dùng gặp nhiều lỗi 404 trong một khoảng thời gian ngắn là quét một thứ gì đó (có lẽ là một lỗ hổng) và khóa chúng theo đó. Điều này cũng mang lại lợi ích bổ sung trong việc giúp bạn tìm ra các vấn đề tiềm ẩn gây ra lỗi 404 trên các phần chưa xem của trang web của bạn.
  • Khóa máy – IP bị khóa do có quá nhiều 404, tấn công vũ phu, v.v.
  • Quét phần mềm độc hại – Kết quả quét phần mềm độc hại trên trang web của bạn.
  • Ghi nhật ký người dùng – Theo dõi các thay đổi / hành động được thực hiện bởi người dùng đã đăng ký trên trang web của bạn.
  • Quản lý phiên bản – Theo dõi các bản cập nhật được thực hiện cho các chủ đề, plugin và WordPress.

Mẹo để bảo mật WordPress

Hy vọng, bài đăng này đã cung cấp cho bạn một vài mẹo để bảo mật trang web WordPress của bạn. Bằng cách tìm hiểu một vài thực tiễn tốt nhất về bảo mật WordPress và thực hiện một số mẹo ở trên, bạn sẽ có một trang web an toàn hơn.

  • 1. Giữ cốt lõi, plugin và chủ đề của WordPress được cập nhật lên phiên bản mới nhất.
  • 2. Không bao giờ cài đặt plugin hoặc chủ đề từ các nguồn không đáng tin cậy.
  • 3. Xem lại bảo mật mật khẩu WordPress của bạn.
  • 4. Thêm xác thực hai yếu tố cho tài khoản đăng nhập quản trị viên của bạn.
  • 5. Bắt đầu tạo bản sao lưu thường xuyên của trang web của bạn.
  • 6. Cài đặt plugin bảo mật WordPress để xử lý các tác vụ bảo mật.
  • 7. Sử dụng một máy chủ web chất lượng.
  • 8. Thêm SSL.
  • 9. Gỡ cài đặt và xóa hoàn toàn mọi plugin và chủ đề không sử dụng.
  • 10. Thiết lập ghi nhật ký bảo mật WordPress.

 

 

Giảm giá thiết kế nhận diện thương hiệu tại bắc ninh

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

0356 287 646