Trang web WordPress của bạn an toàn đến mức nào? Là trang web của bạn là một mục tiêu dễ dàng cho tin tặc? Với một vài bước và bằng cách áp dụng một vài thực tiễn tốt nhất về bảo mật WordPress, bạn có thể giảm đáng kể lỗ hổng để tấn công. Trong bài đăng này, chúng tôi sẽ đề cập đến một số mẹo để bảo mật trang web WordPress.
1. Giữ cốt lõi, plugin và chủ đề của WordPress được cập nhật lên phiên bản mới nhất.
Bạn có biết rằng một sốvấn đề bảo mật WordPressphổ biến nhất có liên quan đến việc chạy các phiên bản lỗi thời của lõi, chủ đề và plugin WordPress không?Bạn có biết rằng một sốvấn đề bảo mật WordPressphổ biến nhất có liên quan đến việc chạy các phiên bản lỗi thời của lõi, chủ đề và plugin WordPress không? Đó là lý do tại sao việc giữ cho mọi thứ được cập nhật là rất quan trọng.
Ngay bây giờ, nếu bạn đăng nhập vào trang web WordPress của mình để kiểm tra, bạn thấy bao nhiêu thông báo cập nhật trong bảng điều khiển quản trị viên WordPress của mình? Bạn sẽ tìm thấy số này ở một số nơi, bao gồm thanh quản trị viên hàng đầu, trong menu thanh bên và cũng như một thông báo (nếu bạn đang chạy phiên bản WordPress đã lỗi thời).
Khi trang web WordPress của bạn đang chạy các phiên bản plugin, chủ đề và WordPress lỗi thời, bạn sẽ gặp rủi ro khi biết các lỗ hổng đã biết trên trang web của mìnhKhi trang web WordPress của bạn đang chạy các phiên bản plugin, chủ đề và WordPress lỗi thời, bạn có nguy cơ gặp phải các lỗ hổng đã biết trang web của bạn .
Thông báo cập nhật liên tục có vẻ khó chịu và thật dễ dàng để tắt các bản cập nhật đang chạy, nhưng hãy thử chỉnh sửa lại các bản cập nhật vì có liên quan trực tiếp đến bảo mật và sức khỏe của trang web của bạn.
Các bản cập nhật cho cốt lõi, chủ đề và plugin của WordPress thường bao gồm các bản vá cho các vấn đề bảo mật cũng như sửa lỗi và các tính năng mới. Đó là lý do tại sao những cập nhật này là một điều tốt.
Danh sách kiểm tra cập nhật WordPress
Đây là danh sách kiểm tra để chạy các bản cập nhật WordPress để mọi thứ diễn ra suôn sẻ:
- 1. Trước khi bạn chạy cập nhật, hãy tạo một bản sao lưu hiện tại của trang web của bạn.Không có giải pháp sao lưu? Sử dụngplugin sao lưu WordPressnhư BackupBuddy để sao lưu toàn bộ cài đặt WordPress của bạn, bao gồm Thư viện phương tiện, cũng như tất cả các tệp chủ đề và plugin.
- 2. Xem lại thay đổi cho bản cập nhật phiên bản trước khi cập nhật.Các nhà phát triển sử dụng các thay đổi để người dùng có thể biết những thay đổi có trong bản cập nhật phiên bản. Bạn có thể tìm thấy các thay đổi trên trang Cập nhật trong bảng điều khiển WordPress của mình bằng cách nhấp vào liên kết Phiên bản xem chi tiết xxx xem chi tiết.
- 3. Điều hướng đến trang Cập nhật trong bảng điều khiển quản trị viên WordPress của bạn.Nhấp vào liên kết Cập nhật trong thanh bên của bảng điều khiển WordPress của bạn hoặc biểu tượng trong thanh điều hướng trên cùng để xem trang Cập nhật.
- 4. Nhấp vào nút Cập nhật để chạy các bản cập nhật.Bạn sẽ thấy các nút Cập nhật riêng cho plugin, chủ đề và lõi WordPress (nếu bạn có bản cập nhật lõi WordPress đang chờ xử lý), cùng với danh sách các plugin và chủ đề bạn sắp cập nhật.
- 5. Xác nhận mọi thứ vẫn hoạt động như mong đợi trên trang web của bạn.Mặc dù thường không cần thiết, nhưng bạn nên lướt qua trang web của mình để đảm bảo không có gì bị hỏng hoặc trông lạ sau khi cập nhật.
Công cụ giúp tiết kiệm thời gian khi quản lý cập nhật phiên bản
Nếu bạn quản lý nhiều trang web WordPress, quá trình chạy cập nhật có thể tốn thời gian vì bạn phải đăng nhập vào từng trang web riêng lẻ để thực hiện cập nhật. Rất may, các công cụ như iTheme Sync tồn tại để giúp bạn quản lý nhiều trang web WordPress từ một bảng điều khiển.
Plugin iTheme Security cũng cung cấpquản lý phiên bản WordPressđể bảo vệ trang web của bạn khi phần mềm lỗi thời không được cập nhật đủ nhanh.
Người dùng có thể nhận được email thông báo chứa thông tin chi tiết về các bản cập nhật WordPress được cài đặt tự động. iTheme Security cũng sẽ cảnh báo bạn nếu phát hiện bất kỳ sự cố cấu hình máy chủ hoặc trang web nào có thể ngăn các bản cập nhật WordPress tự động hoạt động.
2. Không bao giờ cài đặt plugin hoặc chủ đề từ các nguồn không đáng tin cậy.
Chỉ cài đặt các plugin và chủ đề WordPress từ các nguồn đáng tin cậy. Bạn chỉ nên cài đặt phần mềm bạn tải xuống từWordPress.org, kho lưu trữ thương mại nổi tiếng hoặc nhà phát triển có uy tín và trang web của họ.
Nếu bạn tìm thấy một phiên bản khác của plugin hoặc chủ đề WordPress không được phân phối trực tiếp từ trang web của nhà phát triển, hãy cẩn thận trước khi tải xuống và cài đặt nó trên trang web của bạn. Hãy liên hệ với các nhà phát triển để xem họ có liên kết với trang web đang cung cấp sản phẩm của họ với giá miễn phí hay chiết khấu hay không.
3. Xem lại bảo mật mật khẩu WordPress của bạn.
Mẹo này gói một vài thực hành tốt nhất liên quan đến mật khẩu. Chiến lược bảo mật WordPress thành công cần bao gồm các bước để tăng cường đăng nhập WordPress của bạn, điều này cuối cùng liên quan đến mật khẩu được sử dụng để đăng nhập vào trang web của bạn.
Tại sao? Đăng nhập WordPress của bạn là lỗ hổng bảo mật WordPress bị tấn công phổ biến nhất vì nó cung cấp quyền truy cập dễ dàng nhất vào bảng điều khiển quản trị trang web của bạn.
Sử dụng một mật khẩu mạnh, độc đáo và phức tạp.
Mật khẩu WordPress của bạn tốt như thế nào? Đây là một bài kiểm trasức mạnh mật khẩu WordPress:
- 1. Bạn đã sử dụng lại mật khẩu ở một nơi khác, cho một tài khoản riêng chưa?
- 2. Bạn có đang sử dụng dịch vụ quản trị của người dùng trên mạng của bạn không?
- 3. Mật khẩu của bạn có phải là một từ trong từ điển không?
- 4. Bạn đã chia sẻ mật khẩu của mình với bất kỳ ai khác chưa?
- 5. Mật khẩu của bạn có ít hơn 12 ký tự không?
- 6. Mật khẩu của bạn có bao gồm số, ký hiệu và cả chữ in hoa và chữ thường không?
- 7. Bạn có đang sử dụng xác thực hai yếu tố để đăng nhập WordPress không?
Mật khẩu WordPress của bạn phải đáp ứng các yêu cầu sau:
- Bao gồm số, chữ hoa, ký tự đặc biệt (@, #, *, v.v.)
- Độ dài (12 ký tự – tối thiểu; 50 ký tự – lý tưởng)
- Có thể bao gồm dấu cách và là cụm mật khẩu (Chỉ cần không sử dụng cùng một mật khẩu ở nhiều nơi)
- Thay đổi cứ sau 120 ngày, hoặc 4 tháng
Thực thi các yêu cầu về mật khẩu + Từ chối mật khẩu thỏa hiệp
Một thực tiễn tốt nhất quan trọng khác để bảo mật trực tuyến là sử dụng mật khẩu duy nhấtcho mỗi tài khoản và trang đăng nhập bạn có.Một thực tiễn tốt nhất quan trọng khác để bảo mật trực tuyến là sử dụng mật khẩu duy nhấtcho mỗi tài khoản và trang đăng nhập bạn có. Tại sao việc sử dụng lại mật khẩu lại quan trọng đến vậy? Nếu bạn sử dụng cùng một mật khẩu cho tất cả các tài khoản của mình và thậm chí một trong những trang web đó bị xâm phạm, thì bạn hiện đang sử dụng mật khẩu bị xâm phạm cho tất cả các tài khoản của mình. Tin tặc có thể sử dụng các dữ liệu của mật khẩu bị xâm nhập được ghép nối với địa chỉ email hoặc tên người dùng của bạn để có quyền truy cập vào tất cả các tài khoản của bạn. Đó là lý do tại sao tốt nhất là không mạo hiểm.
Càng nhiều người dùng trên trang web của bạn đang sử dụng lại mật khẩu, bảo mật đăng nhập WordPress của bạn càng yếu. Trong một danh sách gần đây được biên soạn bởi Splash Data, mật khẩu phổ biến nhất có trong tất cả các bãi chứa dữ liệu là123456. Bảo mật đăng nhập WordPress của trang web của bạn chỉ mạnh bằng liên kết yếu nhất, vì vậy hãy chủ động với các yêu cầu mật khẩu mạnh.
Đối với cài đặt Mật khẩu từ chối thỏa hiệp, iTheme Security tận dụng API HaveIBeenPwned để phát hiện xem mật khẩu có xuất hiện trong vi phạm dữ liệu hay không.
Hạn chế các nỗ lực đăng nhập thất bại
Theo mặc định, không có bất cứ điều gì được tích hợp trong WordPress để hạn chế số lần đăng nhập thất bại mà ai đó có thể thực hiện. Không có giới hạn về các lần thử đăng nhập thất bại, tin tặc có thể tiếp tục thử vô số tên người dùng và mật khẩu cho đến khi chúng thành công.
Bạn có thể tăng bảo mật đăng nhập WordPress của mình bằng cách cài đặt plugin bảo mật WordPress như iTheme Security Pro để hạn chế số lần đăng nhập thất bại trên trang web của bạn.
Tính năng iTheme Security Pro WordPress Brute Force Protection cung cấp cho bạn khả năng đặt số lần thử đăng nhập thất bại được phép trước khi tên người dùng hoặc IP bị khóa. Việc khóa tạm thời vô hiệu hóa khả năng của kẻ tấn công để thực hiện các nỗ lực đăng nhập. Một khi những kẻ tấn công đã bị khóa ba lần, chúng thậm chí bị cấm thậm chí xem trang web.
4. Thêm xác thực hai yếu tố cho tài khoản đăng nhập quản trị viên của bạn.
Xác thực hai yếu tố là một hệ thống yêu cầu hai mục để đăng nhập vào tài khoản của bạn: Đầu tiên là tên người dùng và mật khẩu thông thường, nhưng thứ hai là một mã duy nhất được phân phối qua định dạng khác. Mã thứ cấp có thể được gửi qua văn bản, email, mã sử dụng một lần, ứng dụng di động hoặc các định dạng khác.
Bất cứ khi nào bạn có thể, bạn nên bật xác thực hai yếu tố. Nó bổ sung thêm một bước cho quy trình đăng nhập, nhưng lớp bảo mật bảo vệ tài khoản của bạn là xứng đáng.
5. Bắt đầu tạo bản sao lưu thường xuyên của trang web của bạn.
Một cách khác để đảm bảo bảo mật WordPress là sao lưu trang web của bạn. Sao lưu đảm bảo rằng nếu trang web của bạn bị xâm phạm, bạn sẽ có thể lấy lại. Ngoài ra, vì WordPress không bao gồm hệ thống sao lưu tích hợp, bạn sẽ cần tự mình thực hiện chiến lược sao lưu (hầu hết các bản sao lưu máy chủ đều không đủ).
Một kế hoạch sao lưu WordPress tốt bao gồm:
- Sao lưu theo lịch trình xảy ra tự động
- Quét các bản sao lưu đó để tìm phần mềm độc hại (bản sao lưu bị nhiễm là không tốt)
- Lưu trữ các tập tin sao lưu ngoài trang web ở một nơi an toàn, từ xa
- Khả năng khôi phục trang web của bạn từ bản sao lưu
BackupBuddy,plugin sao lưu WordPresscủa chúng tôi , là công cụ sao lưu của chúng tôi, chúng tôi thực sự đã tạo ra nó khỏi sự cần thiết sau khi mất trang web của chính mình sau sự cố máy chủ và không có bản sao lưu.
Với BackupBuddy, bạn có thể thiết lập lịch sao lưu để sao lưu tự động chạy. Bạn cũng có thể kích hoạt Stash Live đểsao lưu WordPress thời gian thực, chủ động theo dõi các thay đổi đối với trang web của bạn để bạn luôn có bản sao lưu hiện tại.
6. Cài đặt plugin bảo mật WordPress để xử lý các tác vụ bảo mật.
Như chúng tôi đã lưu ý một vài lần, sử dụngplugin bảo mật WordPresscó thể giúp thực hiện một số tác vụ bảo mật WordPress, nếu không sẽ ghi lại thời gian và kiến thức kỹ thuật.
Một plugin bảo mật WordPress có thể giúp khắc phục các lỗ hổng bảo mật phổ biến và củng cố thông tin đăng nhập của người dùng. Plugin iTheme Security Pro cũng bao gồm bảng điều khiển bảo mật WordPress thời gian thực mới để theo dõi các thống kê và hoạt động liên quan đến bảo mật WordPress.
7. Sử dụng một máy chủ web chất lượng.
Not all web hosts are created equal and choosing one solely on price can end up costing you way more in the long run with security issues.Not all web hosts are created equal and choosing one solely on price can end up costing you way more in the long run with security issues. Most shared hosting environments are secure, but some do not adequately separate users accounts.
Your host should be vigilant about applying the latest security patches and following other important hosting security best practices related to server and file security. Your host should be vigilant about applying the latest security patches and following other important hosting security best practices related to server and file security.
8. Add SSL.
When someone visits your WordPress website, a line of communication between their device and your server begins. The communication isn’t a direct line, and the information passed between the visitor and your server makes several stops before being delivered to its final destination.
To better understand how encryption works, consider how your online purchases get delivered. If you’ve ever tracked delivery status, you have seen that your order made several stops before arriving at your home. If the seller didn’t properly package your purchase, it would be easy for people to see what you purchased.
When a visitor logs into your WordPress website and enters payment information, this information isn’t encrypted by default. So just like your unpackaged purchase, there is an opportunity for the login credentials and credit card details to be discovered at every stop between the visitor’s computer and your server.
Luckily, unencrypted communication is a WordPress security vulnerability that is easy to mitigate. Adding an SSL certificate to your website is a great way to encrypt and package the communication on your site to ensure that only the intended recipients can view the sensitive information being shared.
9. Uninstall and completely delete any unused plugins and themes.
Do you have any unused plugins and themes just sitting on your WordPress website? These are plugins or themes that are currently marked as “Inactive.”
It’s a good idea to uninstall and completely delete any of these unused plugins or themes as they can pose a security risk if known vulnerabilities exist within the plugin or theme. You can speed up this process by bulk selecting all inactive plugins/themes and then clicking the Delete action from your WordPress admin dashboard.
10. Set up WordPress security logging.
WordPress security logs are another way to keep tabs on activity on your website related to your security. A WordPress security plugin like iThemes Security can set up logging to track several activities and can email you about certain suspicious activities.
Security logging in iThemes Security can track:
- Brute Force Attacks– Suspicious/failed login attempts on your WordPress admin login screen.
- Thay đổi tệp– Phát hiện thay đổi tệp cho bạn biết những tệp nào đã thay đổi trong cài đặt WordPress của bạn, cảnh báo bạn về những thay đổi không phải do chính bạn thực hiện.
- Phát hiện 404–Phát hiện404 xem xét người dùng đang truy cập một số lượng lớn các trang không tồn tại và nhận được một số lượng lớn lỗi 404. Phát hiện 404 giả định rằng người dùng gặp nhiều lỗi 404 trong một khoảng thời gian ngắn là quét một thứ gì đó (có lẽ là một lỗ hổng) và khóa chúng theo đó. Điều này cũng mang lại lợi ích bổ sung trong việc giúp bạn tìm ra các vấn đề tiềm ẩn gây ra lỗi 404 trên các phần chưa xem của trang web của bạn.
- Khóa máy– IP bị khóa do có quá nhiều 404, tấn công vũ phu, v.v.
- Quét phần mềm độc hại– Kết quả quét phần mềm độc hại trên trang web của bạn.
- Ghi nhật ký người dùng– Theo dõi các thay đổi / hành động được thực hiện bởi người dùng đã đăng ký trên trang web của bạn.
- Quản lý phiên bản– Theo dõi các bản cập nhật được thực hiện cho các chủ đề, plugin và WordPress.
Mẹo để bảo mật WordPress
Hy vọng, bài đăng này đã cung cấp cho bạn một vài mẹo để bảo mật trang web WordPress của bạn. Bằng cách tìm hiểu một vài thực tiễn tốt nhất về bảo mật WordPress và thực hiện một số mẹo ở trên, bạn sẽ có một trang web an toàn hơn.
- 1. Giữ cốt lõi, plugin và chủ đề của WordPress được cập nhật lên phiên bản mới nhất.
- 2. Không bao giờ cài đặt plugin hoặc chủ đề từ các nguồn không đáng tin cậy.
- 3. Xem lại bảo mật mật khẩu WordPress của bạn.
- 4. Thêm xác thực hai yếu tố cho tài khoản đăng nhập quản trị viên của bạn.
- 5. Bắt đầu tạo bản sao lưu thường xuyên của trang web của bạn.
- 6. Cài đặt plugin bảo mật WordPress để xử lý các tác vụ bảo mật.
- 7. Sử dụng một máy chủ web chất lượng.
- 8. Thêm SSL.
- 9. Gỡ cài đặt và xóa hoàn toàn mọi plugin và chủ đề không sử dụng.
- 10. Thiết lập ghi nhật ký bảo mật WordPress.
Sẵn sàng để phát triển doanh nghiệp của bạn?
Để được tư vấn chi tiết hơn về dịch vụ, quý khách vui lòng cung cấp thông tin cho chúng tôi theo mẫu sau.
Bài viết liên quan
Google Tag Manager là gì? Cách sử dụng GTM từ A đến Z 2024
Rất có thể bạn đã từng nghe nói về Google Tag Manager (Trình quản lý...
Th11
Sales Director là gì? Công việc, Yêu cầu và Mức lương vị trí này
Sales Director là vị trí cao nhất trong ngành Sales, một vị trí đáng mơ ước...
Th10
Câu chuyện thú vị đằng sau những logo nổi tiếng
Là gương mặt đại diện cho thương hiệu, mỗi logo được tạo ra đều mang...
Th10
Looker Studio là gì? Hướng Dẫn Sử Dụng Looker Studio Từ A-Z
Nội dung bài viết1. Giữ cốt lõi, plugin và chủ đề của WordPress được cập...
Th10
Aegisub là gì? Hướng dẫn tải và sử dụng Aegisub để làm phụ đề phim cực đơn giản
Subtitle là một định nghĩa không còn xa lạ với những tín đồ xem phim...
Th10
File .htaccess là gì? Ý nghĩa của file .htaccess trong quản trị website
Trong bài viết này, chúng ta sẽ tìm hiểu về file .htaccess, cách sử dụng...
Th10