Bảo mật WordPress là việc mà hàng triệu chủ web WordPress luôn muốn và cần phải làm để đảm bảo an toàn cho website của mình. Bởi,
Theo thống kê mới nhất, WordPress hiện tại đang được dùng bởi hơn 34% tổng số website trên thế giới (khoảng 1.695.657.191 website theo thống kê của InternetLiveStats năm 2019). Như vậy đủ thấy mã nguồn WordPress phổ biến tới mức độ nào.
Bản thân nền tảng WordPress là rất tốt và an toàn nhưng nó vẫn có thể bị hacker tấn công bởi không có một hệ thống nào là bảo mật hoàn toàn. Tuy nhiên, hầu hết các lỗi phát sinh từ mã nguồn WordPress đều được fix rất nhanh chóng vậy nên trường hợp web bị tấn công chủ yếu đến từ việc bảo mật web WordPress chưa tốt của người dùng.
Để giúp bạn hạn chế tới mức cao nhất các trường hợp website bị tấn công và giúp bạn bảo mật WordPress tốt hơn. Dưới đây mình sẽ chia sẻ một số thủ thuật bảo vệ cho web WordPress của bạn.
1. Tài khoản quản trị không nên đặt là “admin” hoặc “root”
Ngay từ bước đầu tạo web WordPress, khi đặt tên tài khoản quản trị bạn không nên đặt là admin, administrator hay root,… Bởi, đây là những cái tên rất phổ biến và hacker có thể dùng cách thức tấn công là Brute Force Attack để cố gắng đăng nhập vào trang quản trị.
Tên tài khoản và mật khẩu kém bảo mật
Nếu web của bạn đang để tài khoản quản trị theo cách kém bảo mật kia thì hãy đổi ngay đi nhé. Cách đổi có thể làm theo 2 cách như sau:
Tạo 1 tài khoản với username mới và set quyền quản trị cao nhất cho nó. Sau đó, đăng nhập vào tài khoản mới và xóa tài khoản có username là admin kia đi (xem: hướng dẫn tạo tài khoản mới trong WordPress).
Nếu bạn biết về quản trị cơ sở dữ liệu, đăng nhập vào trang PhpMyadmin sau đó tìm bảng wp-users và thay đổi username là admin trong cột user_login thành tên username mới.
2. Đặt mật khẩu phức tạp, khó đoán
Cũng giống như username, việc đặt password quá đơn giản cũng rất dễ bị hacker dò ra. Khi đặt passwords, hãy tránh sử dụng ngày tháng năm sinh, số điện thoại, số CMND,… Mật khẩu an toàn sẽ bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt.
Ngoài ra, mật khẩu cũng cần có độ dài nhất định (khoảng từ 8 – 12 ký tự). Với mình, mình thường dùng phần mềm LastPass để tạo và mật khẩu. Thế nên mình thường tạo mật khẩu dài khoảng 30 ký tự sau đó lưu nó trên phần mềm LastPass và không bao giờ phải nhớ và cũng chẳng bao giờ sợ quên mật khẩu.
3. Update WordPress, theme, plugin lên phiên bản mới nhất
Các phiên bản mới của WordPress, theme hay plugin thường sẽ là bản fix lỗi, cập nhật tính năng mới. Vậy nên bất cứ khi nào có thông báo cập nhật bạn hãy check changelogs xem bản cập nhật mới có gì mới.
Thường xuyên cập nhật WordPress, theme, plugin
Nếu nhận thấy bản cập nhật đó là fix lỗi thì bạn hãy backup lại web sau đó update ngay lên phiên bản mới để tránh rủi ro.
Việc backup web là cần thiết bởi bản cập nhật đó thể là bản nâng cấp tính năng và nhiều theme, plugin không tương thích sẽ gây ra lỗi cho web. Lúc này bản backup sẽ giúp bạn restore về tạm bản cũ và bạn có thời gian để tìm hướng khắc phục lỗi.
4. Backup dữ liệu web thường xuyên
Như vừa nói ở trên, không chỉ trước khi thực hiện update hay hành động gì can thiệp vào source web bạn mới cần phải backup. Các dữ liệu cần backup ở đây thường là database, code web.
Việc backup dữ liệu web cần được thực hiện thường xuyên (hàng ngày hoặc hàng tuần). Bạn có thể thực hiện việc backup thủ công hoặc tự động đều được. Nhưng để đỡ vất vả thì bạn nên thiết lập cho hệ thống backup tự động.
Nếu bạn đang chạy WordPress trên hosting, hãy tham khảo hướng dẫn backup web tự động sang server khác hoặc backup lên Google Drive, Dropbox.
Còn nếu bạn chạy web trên VPS thì cũng đừng lo, mình đã có bài hướng dẫn backup VPS lên Google Drive trên blog rồi đó. Bạn chỉ việc đọc và làm theo hướng dẫn thôi.