Home WordpressWordPress cơ bản 11 cách bảo vệ WordPress Admin khỏi các cuộc tấn công

11 cách bảo vệ WordPress Admin khỏi các cuộc tấn công

by admincp

Trong bài viết này VINASTAR sẽ chia sẻ với các bạn 12 cách bảo vệ WordPress Admin giúp website của các bạn an toàn hơn trước các cuộc tấn công của tin tặc.

Với tính chất linh hoạt, miễn phí và tiện lợi WordPress hiện đang là một trong những CMS nổi tiếng và phổ biến nhất thế giới. Sự phổ biến này cũng khiến nó trở thành mục tiêu của các tin tặc muốn truy cập trái phép vào các website sử dụng WordPress với mục đích xấu. Trong bài viết này VINASTAR sẽ chia sẻ với các bạn 11 cách bảo vệ WordPress Admin giúp website của các bạn an toàn hơn trước các cuộc tấn công của tin tặc.

11 cách bảo vệ WordPress Admin khỏi các cuộc tấn công

1. Sử dụng một mật khẩu đủ mạnh

password

Một lỗi phổ biến mà hầu hết mọi người đều phạm phải là sử dụng một mật khẩu đơn giản như 123456, acb@123, ngày tháng năm sinh, số điện thoại ..v.v.. điều này giúp tin tặc dễ dàng tấn công wesbite của bạn.

Hãy nhớ luôn sử dụng một mật khẩu đủ mạnh bao gồm chữ in hoa, chứ thường, ký tự đặc biệt và số. Một lỗi khác mà mọi người thường mắc phải là sử dụng chung một mật khẩu cho tất cả các dịch vụ của họ. Việc này hết sức nguy hiểm vì chỉ cần biết được mật khẩu của một dịch vụ tin tặc sẽ chiểm được quyền điều khiển các dịch vụ khác. Vấn đề ghi nhớ mật khẩu có thể được giải quyết bằng cách sử ứng dụng quản lý mật khẩu trên như RoboForm, LastPass.

2. Không sử dụng tên đăng nhập là Admin

login

Một thói quen nguy hiểm khác đó là sử dụng admin làm tên đăng nhập. Hầu hết người dùng sau khi cài đặt WordPress đều sử dụng admin làm tên đăng nhập vào trang quản trị. Việc này giúp tin tặc dễ dàng hơn trong việc tấn công trang quản trị của bạn.

Hãy thay đổi tên đăng nhập bằng một tên đăng nhập mà chỉ bạn biết. Để làm điều này hãy xem hướng dẫn thay đổi tên đăng nhập trong WordPress.

3. Thay đổi link đăng nhập

Theo mặc định link đăng nhập trang quản trị của WordPress sẽ có dạng example.com/wp-admin. Để tăng cường bảo mật VINASTAR khuyên bạn nên thay đổi link đăng nhập này thành một link khác mà chỉ có bạn biết. Việc thay đổi link đăng nhập trang quản trị của WordPress rất đơn giản. Hiện nhiều plugins bảo mật như iThemes Security đều có chức năng này hoặc bạn có thể sử dụng plugins WPS Hide Login.

Để biết cách cài đặt plugins cho WordPress hãy xem hướng dẫn cài đặt plugin cho WordPress của VINASTAR.

4. Đặt mật khẩu hai lớp cho wp-admin

sign in - bảo vệ WordPress Admin

Bạn có thể sử dụng chức năng Protect Directory của các phần mềm quản lý hosting như cPanel, DirectAdmin để đặt thêm một lớp mật khẩu truy cập wp-admin nữa cho website của mình. Việc này hết sức đơn giản và không cần sử dụng bất cứ plugins nào. Để làm điều này hãy xem hướng dẫn đặt mật khẩu hai lớp cho wp-admin.

5. Sử dụng xác thực hai yếu tố cho WordPress

authenticator - bảo vệ WordPress Admin

Nếu bạn đã sử dụng các dịch vụ như Gmail, Facebook chắc hẳn các bạn cũng không xa lại gì với việc xác thực 2 yếu tố khi đăng nhập. Và bạn cũng hoàn toàn có thể áp dụng điều này vào website WordPress của mình.

Để bật xác thực hai yếu tố cho WordPress hãy xem hướng dẫn bật xác thực hai yếu tố cho WordPress với Google Authenticator.

6. Sử dụng SSL cho website

https

Việc đăng ký và sử dụng chứng chỉ SSL cho trang web của bạn là một lựa chọn khác để tăng tính bảo mật cho website của bạn. Đối với hosting tại VINASTAR đều được tích hợp sẵn SSL miễn phí. Nếu bạn đang sử dụng hosting tại VINASTAR các bạn có thể bật SSL theo hướng dẫn sau:

Sau khi đã kích hoạt SSL các bạn sẽ cần chuyển toàn bộ link http sang https. Để làm điều này hãy xem hướng dẫn chuyển HTTP sang HTTPS cho WordPress.

7. Sử dụng tường lửa (Firewall)

firewall

Tường lửa cho WordPress (còn được gọi là tường lửa ứng dụng web hoặc WAF), hoạt động như một lá chắn giữa trang web của bạn và lưu lượng truy cập đến. Tường lửa sẽ giám sát lưu lượng truy cập trang web của bạn và ngăn chặn các mối đe dọa bảo mật phổ biến trước khi chúng truy cập trang web WordPress của bạn.

Bên cạnh việc cải thiện đáng kể bảo mật cho website WordPress của bạn, thường thì các tường lửa này cũng giúp tăng tốc trang web của bạn và tăng hiệu suất của website.

Để lựa chọn cho mình một tường lửa phù hợp hãy xem bài viết Top 6 tường lửa cho WordPress tốt nhất hiện nay của VINASTAR.

8. Giới hạn số lần đăng nhập sai

Một cuộc tấn công Bruteforce attack wordpress là một nỗ lực để dò mật khẩu hoặc tên đăng nhập. Bruteforce hoạt động bằng cách dò tên người dùng và mật khẩu, lặp đi lặp lại, cho đến khi tìm được thông tin chính xác. Đây là một phương thức tấn công cũ, nhưng nó vẫn hiệu quả và phổ biến với tin tặc.

Để chống lại Bruteforce attack các bạn nên hạn chế số lần đăng nhập sai và khi vượt quá số lần đó thì sẽ khoá đăng nhập từ IP nghi ngờ. Có một cách rất đơn giản để làm điều này đó là hạn chế Bruteforce attack wordpress với plugins Limit Login Attempts.

9. Ẩn thông báo lỗi khi đăng nhập sai

Bất kỳ người dùng nào khi nhập sai tên người dùng hoặc mật khẩu đều được WordPress thông báo về lỗi và chỉ định trường nào trong hai trường trên không chính xác. Điều này có thể giúp tin tặc biết được các thông tin để lợi dụng tấn công website của bạn. Ví dụ khi đăng nhập chỉ nhận được thông báo sai mật khẩu thì có nghĩa rằng tên người dùng đã đúng, lúc này kẻ tấn công sẽ chỉ cần tập trung vào việc dò mật khẩu thay vì phải dò cả tên người dùng. Để ẩn thông báo lỗi khi đăng nhập sai hãy thêm đoạn code sau vào file functions.php của theme các bạn đang sử dụng.

function no_wordpress_errors(){
   return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

10. Giới hạn địa chỉ IP được phép truy cập trang quản trị

Quyền truy cập vào khu vực wp-admin có thể được kiểm soát bằng cách giới hạn quyền đối với một số địa chỉ IP cụ thể. Để làm điều này hãy tạo một file .htaccess bên trong thư mục wp-admin với nội dung như sau

order deny,allow
deny from all

# whitelist P address
allow from xx.xx.xx.xxx

Trong đó xx.xx.xx.xxx là địa chỉ IP được phép truy cập trang quản trị của bạn.

11. Luôn cập nhập WordPress, Plugins, theme

Bạn cần đảm bảo rằng WordPress cũng như các plugins, theme các bạn đang sử dụng luôn được cập nhật phiên bản mới nhất. Điều này sẽ giúp các bạn tránh được các lỗ hổng bảo mật khi chúng được phát hiệm.

Kết luận

WordPress là một nền tảng mạnh mẽ và an toàn nhưng sự phổ biến của nó khiến nó dễ bị tấn công và với những mẹo bảo vệ khu vực quản trị WordPress trên sẽ giúp website của bạn trở nên an toàn hơn và tránh được các cuộc tấn công của tin tặc. Nếu có thêm bất kỳ ý kiến đóng góp nào các bạn có thể để lại bình luận bên dưới cho chúng tôi biết.

Nguồn bài viết được sưu tầm trên internet

You may also like

Leave a Comment