10 thủ thuật đơn giản để bảo vệ trang web WordPress của bạn khỏi tin tặc

Cập nhật: 13/2020/XNUMX / Bài viết của: WHSR Guest

Trang web của bạn bị tấn công có thể là một trong những cơn ác mộng tồi tệ nhất của tất cả các chủ sở hữu trang web. Là hệ thống quản lý nội dung (CMS) mã nguồn mở và phổ biến nhất trong ngành (chiếm 38.1% các trang web), WordPress dễ bị tấn công hơn các phần còn lại là điều đương nhiên.

Trên thực tế, bạn có biết rằng có gần 90,000 cuộc tấn công trên các trang web WordPress mỗi phút một lần? Điều này có thể là nguyên nhân gây lo lắng cho nhiều chủ sở hữu trang web, ít nhất là. May mắn thay, nhiều bản sửa lỗi dễ thực hiện có thể bảo vệ trang web thương mại điện tử của bạn khỏi các cuộc tấn công.

Để tránh rắc rối cho bạn, đây là mười cách bạn có thể bảo vệ trang web WordPress của mình khỏi tin tặc.

1. Chọn Nhà cung cấp Máy chủ Chất lượng

Bạn có thể coi máy chủ lưu trữ web của mình là con đường mà trang web của bạn sinh sống. Danh tiếng và bảo mật của máy chủ lưu trữ quyết định mức độ an toàn của trang web của bạn. Theo nguyên tắc chung, hãy xem xét một máy chủ web chất lượng, người liên tục cập nhật các dịch vụ và công cụ của họ.

Ngoài ra, hãy đảm bảo rằng máy chủ cung cấp hỗ trợ 24/7, 365 ngày một năm. Bằng cách đó, bạn sẽ có sự trợ giúp cần thiết trong trường hợp mọi thứ không suôn sẻ. Hãy thử tránh xa các nhà cung cấp dịch vụ lưu trữ giá rẻ vì trong hầu hết các trường hợp, họ có thể thỏa hiệp về chất lượng và bảo mật.

Tip: Want to know who's hosting your favorite website? Use the site checker tool at WHSR to reveal infrastructure and web technology information of any website.
Mẹo: Bạn muốn biết ai đang lưu trữ trang web yêu thích của bạn? Sử dụng công cụ kiểm tra trang web tại WHSR để tiết lộ thông tin cơ sở hạ tầng và công nghệ web của bất kỳ trang web nào.

2. Giữ cho trang web của bạn được cập nhật

Thường xuyên cập nhật trang web của bạn có thể tăng hiệu suất và giảm nguy cơ vi phạm bảo mật. Tốt nhất, bạn nên theo dõi các tab cập nhật có sẵn hàng tháng.

Để kiểm tra các bản cập nhật mới nhất, hãy chuyển đến menu Cập nhật trên trang tổng quan của bạn. 

3. Tránh xa các chủ đề vô nghĩa

Một trong những phương pháp hiệu quả để bảo vệ trang web WordPress của bạn khỏi tin tặc là chọn chủ đề một cách thận trọng.

Mặc dù các chủ đề miễn phí có thể giúp bạn bắt đầu “miễn phí” nhưng chúng có ít tùy chọn và khả năng tùy chỉnh hơn so với các chủ đề cao cấp. Ngoài ra, các chủ đề cao cấp trải qua nhiều lần kiểm tra WordPress trước khi chúng được hiển thị cho bạn và đảm bảo hỗ trợ đầy đủ từ các nhà phát triển.

Để tiết kiệm một vài đô la, có được một phiên bản crack của các chủ đề cao cấp có sẵn thông qua các phương tiện bất hợp pháp có vẻ hấp dẫn. Nhưng hành động có thể đặt trang web của bạn vào rủi ro cao. Các chủ đề này có thể chứa phần mềm độc hại có thể khai thác cơ sở dữ liệu của bạn trong vòng vài giây. Tránh xa các chủ đề như vậy bằng mọi cách.

4. Bảo vệ tệp wp-config.php

Tệp wp-config.php chứa thông tin quan trọng về cài đặt WordPress và là một trong những tệp cần thiết trong thư mục gốc của trang web của bạn. Để tin tặc không thể truy cập tệp, hãy thử chuyển tệp lên cấp cao hơn thư mục gốc của bạn.

5. Chuyển sang HTTPS

HTTP là một giao thức giúp bạn có thể chuyển thông tin giữa bất kỳ trình duyệt nào và trang web của mình. Tuy nhiên, nó có một số lỗi bảo mật và dễ bị tin tặc đánh cắp dữ liệu.

HTTPS giải quyết các vấn đề bảo mật liên quan đến HTTP và bảo mật thông tin khách hàng nhạy cảm mà trang web của bạn xử lý. Để chuyển sang HTTPS, trước tiên bạn sẽ yêu cầu Chứng chỉ SSL / TLS. Mặc dù hầu hết các nhà cung cấp dịch vụ lưu trữ web đều cung cấp chứng chỉ SSL, nhưng bạn có thể nhanh chóng nhận được một chứng chỉ trực tuyến.

6. Cẩn thận với các plugin bạn thêm vào

Mặc dù các plugin có sẵn là một tính năng hấp dẫn của WordPress, nhưng nó có thể là thảm họa nếu bạn chọn sai. Các nhà phát triển có ít kinh nghiệm nhất trong việc xây dựng các plugin có thể tạo ra những plugin không an toàn và không đáng tin cậy.

Để đảm bảo bạn chọn đúng bộ plugin, hãy luôn xem xét đánh giá của khách hàng, số lượt tải xuống và liệu chúng có được cập nhật thường xuyên hay không. Bạn cũng có thể ghé thăm Cơ sở dữ liệu lỗ hổng WPScan WordPressKho lưu trữ cơ sở dữ liệu khai thác của Offensive Security để kiểm tra xem plugin có dễ bị tấn công hay không. 

Ngoài ra, hãy tạo thói quen cập nhật các plugin cùng với chủ đề trang web của bạn thường xuyên.

7. Không cho phép chỉnh sửa tệp

Nếu một tin tặc có được quyền truy cập quản trị viên, một trong những điều đầu tiên họ sẽ làm là sửa đổi hoặc xóa các tệp trang web của bạn. Theo tệp, chúng tôi có nghĩa là bất kỳ tệp nào liên quan đến cài đặt WordPress của bạn, được cấp cho tin tặc quyền truy cập quản trị viên.

Để ngăn điều này xảy ra, bạn có thể không cho phép chỉnh sửa tệp để không ai có thể chỉnh sửa bất kỳ tệp nào. Vì vậy, ở cuối tệp wp-config.php, hãy thêm:

xác định ('DISALLOW_FILE_EDIT', true);

8. Hạn chế nỗ lực đăng nhập

Theo mặc định, các trang web WordPress cho phép người dùng thực hiện đăng nhập nhiều lần. Mặc dù đây có thể là một cứu cánh khi bạn đang vật lộn với việc nhớ mật khẩu của mình, nhưng nó lại là cơ hội để tin tặc phá hoại trang web của bạn đến mức không thể sửa chữa.

Hãy thử giới hạn số lần đăng nhập ở một số lượng lớn, và bạn có thể tránh được rắc rối khi bị tấn công. Bạn có thể sử dụng một plugin như Login Lockdown, Giới hạn nỗ lực đăng nhập được tải lại, hoặc là Nỗ lực đăng nhập giới hạn WP để ghi lại địa chỉ IP cho mọi lần đăng nhập không thành công và giới hạn số lần thử.

9. Thay đổi tên người dùng quản trị

Trong quá trình cài đặt WordPress, hầu hết chủ sở hữu trang web có thể sử dụng tên người dùng quản trị viên làm “quản trị viên”. Tin tặc hoàn toàn nhận thức được những trường hợp như vậy và sau đó sẽ phải tập trung vào việc tìm mật khẩu.

Đảm bảo rằng bạn không bao giờ sử dụng "admin" trong bất kỳ tên người dùng nào. Ngoài ra, trong khi chọn tên người dùng và mật khẩu quản trị viên, hãy tránh xa những tên dễ đoán và sử dụng những thứ hoàn toàn không liên quan và không thể đoán được. Nếu quá khó để ghi nhớ, hãy viết nó ra một nơi nào đó hoặc sử dụng trình quản lý mật khẩu.

10. Sử dụng Plugin bảo mật WordPress

Thường xuyên kiểm tra trang web của bạn để tìm phần mềm độc hại có thể tốn nhiều thời gian chứ chưa nói đến việc mệt mỏi, đặc biệt nếu bạn có kiến ​​thức mã hóa tối thiểu. May mắn thay, có rất nhiều plugin bảo mật WordPress có sẵn sẽ quét và giám sát trang web của bạn 24/7. Sucuri, Wordfence, jetpackAn ninh Ninja là những ví dụ tuyệt vời về các plugin bảo mật của WordPress.

bottom Line

Thật khó để bảo vệ bạn hoàn toàn khỏi tin tặc vì các chuyên gia WordPress đang xác định các lỗ hổng bảo mật mới hơn mỗi ngày. Tuy nhiên, mười cách tuyệt vời này để bảo vệ trang web WordPress của bạn khỏi tin tặc, chắc chắn có thể làm giảm nguy cơ trang web của bạn bị tấn công do các lỗ hổng phổ biến. 

Điều đặc biệt quan trọng là phải cập nhật và theo dõi định kỳ trang web thương mại điện tử của bạn vì một trang web bị tấn công sẽ tiêu tốn hàng giờ hoặc thậm chí vài ngày trong cuộc đời của bạn để cố gắng hoàn tác các thiệt hại.


Về tác giả: Samuel Griffith

Samuel Griffith là một nhà phát triển web giàu kinh nghiệm và là người sáng lập của SamBuildsSites.com. Anh ấy đã đạt được chuyên môn của mình về Lưu trữ Web, Quản lý Nội dung, Thiết kế Trang web và Phát triển. Những hiểu biết sâu sắc của ông về những diễn biến mới nhất trong ngành công nghệ đã được đăng trên một số blog nổi tiếng trên internet. Anh ấy giúp khách hàng của mình xây dựng trang web mơ ước của họ.

Giới thiệu về khách WHSR

Bài viết này được viết bởi một người đóng góp khách mời. Quan điểm của tác giả dưới đây hoàn toàn là của riêng mình và có thể không phản ánh quan điểm của WHSR.