Bảo mật Website WordPress

Hầu hết các bạn sinh viên FPT Polytechic học Digital Marketing đều sử dụng đến WordPress cho môn Xây dựng trang Web – một mã nguồn mở khá nổi tiếng. Tuy nhiên WordPress được đánh giá là dễ bị tấn công hoặc bị hack với nhiều lí do khác nhau.
Vì thế, đội ngũ Poly Cảm Xúc sẽ hướng dẫn các bạn bảo mật website của mình để hạn chế các rủi ro do bị hacker tấn công hoặc do cài các theme/plugin chứa mã độc. Dưới đây là các hướng dẫn thêm để đảm bảo website an toàn dành cho các bạn không hiểu biết nhiều về dòng code.

1. Thường xuyên cập nhật lên bản mới nhất
– WordPress thường xuyên ra các bản cập nhật mới để vá các lỗi trên hệ thống bảo mật. Từ phiên bản 3.7 trở đi WordPress đã có tự động cập nhật hoặc các bạn có thể tự cập nhật thủ công.
– Các plugin và theme cũng tương tự, các nhà phát hành thường cập nhật các bản vá lỗi bảo mật và nâng cấp tính năng và tốc độ xử lý. Vì vậy để bảo mật website cập nhật chúng thường xuyên sẽ làm cho website của bạn nhanh hơn và bảo mật tốt hơn.

2. Sử dụng tài khoản/mật khẩu quản trị viên có độ khóa cao
– Đừng sử dụng tài khoản quen thuộc hoặc quá dễ đoán như vậy có thể bị chiếm quyền quản lý website.
Trường hợp này chỉ có thể can thiệp Database ngay lập tức thì mới có thể may mắn ngăn chặn phá hoại và kịp thời bảo vệ website đã xây dựng trước đó

3. Kích hoạt bảo mật 2 lớp
– Nó khá tương tự với chức năng xác thực 2 bước của ngân hàng, gmail, hay facebook, … các bạn có thể tham khảo thêm thôi vì môn học này khá ngắn nên kích hoạt hay không cũng không quan trọng lắm. Tuy nhiên sau này đi làm thì có thể thực hiện kích hoạt bảo mật 2 lớp Hướng dẫn Kích hoạt bảo mật 2 lớp

4. Tuyệt đối không sử dụng theme và Plugins nulled
– Không sử dụng các plugin và themes crack tràn lan trên mạng. Nó vi phạm bản quyền và ảnh hưởng lớn tới bảo mật website. Bạn có thể bị hack thông tin thanh toán và website có thể bị tấn công bất cứ lúc nào.
Các đặc điểm thường gặp khi dính mã độc:
– Website tự dưng có post mới bằng Tiếng Anh, xóa đi 1 thời gian lại xuất hiện
– Website hiện thông báo các nội dung 18+, nhạy cảm, …
– Và nhiều hiện tượng khác …
Nó sẽ rất khó để kiểm tra và rà soát vì chúng đã được cài sẵn trong website. Việc rà soát và xóa bỏ sẽ tốn nhiều thời gian hoặc gây hệ lụy kéo dài.

5. Thường xuyên sao lưu (backup) dữ liệu
– Mặc dù đã bảo mật website rất tốt nhưng việc backup là việc rất quan trọng khi sử dụng WordPress. Trường hợp website dính mã độc mà không thể rà soát được thì backup là 1 phương án nhanh nhất để cứu cánh cho bạn.
Các nhà cung cấp hosting thường cũng đi kèm các gói backup cho bạn, bạn nên chú ý nó và backup thường xuyên. Nhất là trường hợp cài theme mới hay plugin mới để đảm bảo an toàn tuyệt đối cho website của bạn
Hoặc bạn có thể sử dụng các Plugin để hỗ trợ backup dữ liệu như:

• All-in-One WP Migration
• BackUpWordPress
• VaultPress
• BackWPup

6. Xóa bớt các Themes và plugin không dùng hoặc lỗi thời
– Chỉ giữ lại nhưng theme hoặc plugin cần dùng cho website vì hacker có thể lợi dụng vào các theme plugin lỗi thời này để xâm nhập vào trang Quản trị để tải lên các phần mềm độc hại. Hãy xóa chúng để giảm các nguy cơ bị tấn công và làm cho trang web của bạn trở nên bảo mật hơn.

7. Chuyển hướng SSL/HTPPS cho Website
– Chứng chỉ SSL là một giao thức mã hóa việc truyền dữ liệu giữa website của bạn và trình duyệt của người dùng. Website có mã hóa này sẽ khiến Hacker khó đánh cắp thông tin hơn.  Khi bật SSL, trang web của bạn sẽ sử dụng HTTPS thay vì HTTP
Ví dụ:
https://polycamxuc.com  (chưa có SSL)
https://polycamxuc.com (đã có SSL)
Làm sao để có SSL?
Các nhà cung cấp hosting thường có hỗ trợ sẵn SSL free cho website hoặc bạn có thể mua nếu có nhu cầu sử dụng

8. Cấu hình và chặn truy cập
Dùng các phương thức khác với kĩ thuật cao hơn như cấu hình .htaccess, chặn truy cập tới trang quản trị, … Tuy nhiên những phương pháp này có thể quá khả năng của các bạn không phải lập trình viên. Chúng tôi khuyên bạn nên nhờ các bạn có am hiểu về WordPress để thực hiện các hành động chỉnh sửa này để tránh gây sự cố hoặc sập website, …
Chỉ cần thực hiện các cách cơ bản ở trên là đủ để có thể giúp website của bạn trở nên bảo mật hơn rất nhiều rồi.

Dưới dây là các hướng dẫn đơn giản nhất dành cho các bạn không thuần thục về những dòng code.

Ngoài ra bạn có thể tham khảo bài viết: Tối ưu hóa – tăng tốc độ tải trang cho WordPress

Chúc các bạn học tập và làm việc tốt!