14 mẹo giúp bảo mật WordPress Admin

Bạn có thấy rất nhiều cuộc tấn công vào quản trị WordPress của bạn không? Bảo mật trang quản trị khỏi sự truy cập trái phép /cuộc tấn công từ bên ngoài. Trong bài viết này, mình sẽ chỉ cho bạn một số mẹo quan trọng để bảo vệ trang quản trị WordPress của bạn.

1. Sử dụng ứng dụng Firewall

Ứng dụng tường lửa trang web hoặc WAF (đo lường lưu lượng truy cập trang web) và chặn các yêu cầu đáng ngờ truy cập vào trang web của bạn.

Có một số plugin tường lửa WordPress khá tốt, chúng tôi khuyên bạn nên sử dụng Sucuri. Đây là một dịch vụ bảo mật trang web dựa trên WAF đám mây để bảo vệ trang web của bạn.

Tất cả lưu lượng truy cập trang web của bạn trước tiên đều đi qua proxy đám mây của họ, nơi họ phân tích từng lượt truy cập và chặn những người đáng ngờ không bao giờ truy cập trang web của bạn. Nó ngăn trang web của bạn khỏi các cuộc tấn công, lừa đảo, phần mềm độc hại và các hoạt động độc đáng ngờ khác.

2. Bảo vệ thư mục bằng mật khẩu

Trang quản trị WordPress của bạn đã được bảo vệ bằng mật khẩu đăng nhập. Tuy nhiên, việc thêm mật khẩu bảo vệ vào thư mục quản trị viên WordPress sẽ thêm một lớp bảo mật khác cho trang web của bạn.

Trước tiên hãy đăng nhập vào cPanel của hosting WordPress và nhấp vào biểu tượng ‘Password Protect Directories’ hoặc ‘Directory Privacy’.

Tiếp theo, bạn chọn thư mục /public_html/wp-admin. Trên màn hình tiếp theo, bạn chọn tùy chọn ‘Password protect this directory’ và cung cấp một tên cho thư mục được bảo vệ.

Sau đó, nhấp vào nút lưu để thiết lập quyền.

Tiếp theo, bạn cần nhấn nút quay lại và sau đó tạo người dùng. Bạn sẽ được yêu cầu cung cấp tên người dùng / mật khẩu, sau đó nhấn vào nút ‘Save’.

Bây giờ khi ai đó cố gắng truy cập trang quản trị WordPress hoặc thư mục wp-admin trên trang web của bạn, họ sẽ được yêu cầu nhập tên người dùng và mật khẩu.

3. Sử dụng mật khẩu khó đoán

Luôn sử dụng mật khẩu mạnh cho tất cả các tài khoản trực tuyến của bạn, kể cả cho trang web WordPress của bạn. Chúng tôi khuyên bạn nên sử dụng kết hợp các chữ cái, số và ký tự đặc biệt trong mật khẩu. Ví điều này sẽ làm cho tin tặc khó đoán mật khẩu của bạn hơn.

Có một số ứng dụng quản lý mật khẩu thực sự tuyệt vời mà bạn có thể cài đặt trên máy tính và điện thoại. vd:
https://passwordsgenerator.net

4. Kích hoạt 2 bước xác minh

Xác minh hai bước để thêm một lớp bảo mật vào mật khẩu của bạn. Thay vì chỉ sử dụng mật khẩu, nó yêu cầu bạn nhập mã xác minh được tạo bởi ứng dụng Google Authenticator trên điện thoại của bạn.

Ngay cả khi ai đó có thể đoán mật khẩu WordPress của bạn, họ vẫn sẽ cần mã Google Authenticator để đăng nhập.

Xem hướng dẫn cách thiết lập 2 bước xác minh trong WordPress sử dụng Google Authenticator

5. Giới hạn số lần đăng nhập lỗi

Mặc định, WordPress cho phép người dùng nhập mật khẩu nhiều lần để thử như một hacker. Điều này có nghĩa là ai đó có thể tiếp tục cố gắng đoán mật khẩu WordPress của bạn bằng cách lặp lại thao tác này. Nó cũng cho phép tin tặc sử dụng các tập lệnh tự động để bẻ khóa mật khẩu.

Để khắc phục điều này, bạn nên cài đặt và kích hoạt plugin Login LockDown. Sau khi kích hoạt, hãy truy cập Settings » Login LockDown để cấu hình cài đặt plugin.

Xem thêm cách Bỏ chặn đăng nhập giới hạn trong WordPress.

6. Giới hạn IP cho đăng nhập

Một cách tuyệt vời khác để bảo mật trang đăng nhập WordPress là giới hạn quyền truy cập vào các địa chỉ IP cụ thể. Mẹo này đặc biệt hữu ích nếu bạn hoặc chỉ một vài người dùng đáng tin cậy cần truy cập vào khu vực quản trị.

Chỉ cần thêm mã này vào tệp .htaccess của bạn.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
 	 	<limit get="">
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</limit>

Đừng quên thay thế giá trị xx bằng địa chỉ IP của riêng bạn. Nếu bạn sử dụng nhiều hơn một địa chỉ IP để truy cập internet, thì hãy đảm bảo bạn cũng thêm chúng vào.

7. Vô hiệu hóa gợi ý đăng nhập

Khi thử đăng nhập thất bại, WordPress hiển thị các lỗi cho người dùng biết tên người dùng của họ không chính xác hay mật khẩu. Những gợi ý đăng nhập này có thể để lộ cho hacker biết & rất dễ gợi ý cho họ sửa sai.

Bạn có thể dễ dàng ẩn các gợi ý đăng nhập này bằng cách thêm mã này vào tập tin functions.php trong giao diện WordPress của bạn.

function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

8. Yêu cầu sử dụng mật khẩu mạnh

Nếu bạn duy trì một trang web WordPress với nhiều tác giả, thì những người dùng đó có thể chỉnh sửa hồ sơ của họ và sử dụng mật khẩu yếu. Các mật khẩu này có thể bị bẻ khóa và cung cấp cho ai đó quyền truy cập vào khu vực quản trị WordPress.

Để khắc phục điều này, bạn có thể sử dụng plugin Force Strong Passwords. Plugin không có trang cấu hình , bạn có thể sử dụng ngay sau khi kích hoạt plugin. Sau khi kích hoạt, nó sẽ ngăn người dùng lưu mật khẩu yếu hơn.

Lưu ý: Plugin sẽ không kiểm tra cường độ mật khẩu cho các tài khoản người dùng hiện có. Nếu người dùng đã sử dụng mật khẩu yếu, thì họ sẽ có thể tiếp tục sử dụng mật khẩu của mình.

9. Đặt lại mật khẩu cho tất cả người dùng

Bạn có thể dễ dàng yêu cầu tất cả người dùng của bạn đặt lại mật khẩu của họ.

Trước tiên, bạn cần cài đặt và kích hoạt plugin Emergency Password Reset. Sau khi kích hoạt, truy cập Users » Emergency Password Reset và nhấn vào ‘Reset All Passwords’.

Plugin sẽ tự động đặt lại mật khẩu cho tất cả người dùng (bao gồm cả người dùng quản trị viên). Nó cũng sẽ gửi email đến tất cả người dùng có chứa mật khẩu mới của họ.

Nếu vì một lý do nào đó, người dùng không nhận được mật khẩu của họ trong email, thì họ có thể dễ dàng khôi phục lại. Tất cả những gì họ cần làm là nhấp vào liên kết ‘Lost your password’ trên trang đăng nhập.

Sau khi đặt lại tất cả mật khẩu, chúng tôi khuyên bạn nên thay đổi khóa bảo mật WordPress (gọi là SALT). Thay đổi khóa bảo mật sẽ kết thúc tất cả các phiên cho người dùng đã đăng nhập, vì vậy nếu người dùng bị hack đang bị đăng nhập, họ sẽ tự động đăng xuất.

10. Luôn cập nhật WordPress mới nhất

WordPress có từng đợt phát hành các phiên bản mới của hệ thống. Mỗi bản phát hành mới của WordPress chứa các bản sửa lỗi quan trọng, các tính năng mới và sửa các lỗi về bảo mật.

Sử dụng phiên bản cũ trên trang web của bạn giúp hacker tiếp tục tìm ra các vấn đề cũ để khai thác và các lỗ hổng tiềm ẩn. Để khắc phục điều này, bạn cần đảm bảo rằng bạn đang sử dụng phiên bản WordPress mới nhất.

Tương tự, các plugin WordPress cũng thường được cập nhật để giới thiệu các tính năng mới hoặc sửa lỗi bảo mật, cũng như các vấn đề khác. Hãy chắc chắn rằng các plugin WordPress của bạn cũng được cập nhật.

11. Tùy biến trang đăng nhập & đăng ký

Nhiều trang web WordPress yêu cầu người dùng đăng ký. Ví dụ: trang web thành viên, trang web quản lý học tập hoặc cửa hàng trực tuyến sẽ yêu cầu người dùng tạo tài khoản.

Tuy nhiên, những người dùng này có thể sử dụng tài khoản của họ để đăng nhập vào khu vực quản trị WordPress. Đây không phải là một vấn đề lớn, vì họ sẽ chỉ có thể làm những việc được cho phép bởi “vai trò và quyền hạn” của người dùng. Tuy nhiên, điều đó ngăn bạn hạn chế quyền truy cập vào các trang đăng nhập và đăng ký vì bạn cần những trang đó để người dùng đăng ký, quản lý hồ sơ của họ và đăng nhập.

Cách dễ dàng để khắc phục điều này là bằng cách tạo riêng các trang đăng nhập và đăng ký để người dùng có thể đăng ký và đăng nhập trực tiếp từ trang web của bạn.

Xem hướng dẫn cách tạo trang đăng nhập & đăng ký trong WordPress

12. Tìm hiểu về vai trò và quyền của người dùng WordPress

WordPress đi kèm với một hệ thống quản lý người dùng mạnh mẽ với các vai trò và quyền hạn người dùng khác nhau. Khi thêm người dùng mới vào trang web WordPress của bạn, bạn có thể chọn vai trò cho người dùng. Vai trò người dùng này xác định những gì họ có thể làm trên trang web WordPress của bạn.

Lưu ý: Gán vai trò người dùng không chính xác có thể cung cấp cho mọi người nhiều quyền truy cập hơn. Để tránh điều này, bạn cần hiểu những vai trò & khả năng sử dụng quyền người dùng khác nhau trong WordPress.

13. Giới hạn truy cập bảng điều khiển

Bạn muốn có một số người dùng nhất định cần truy cập vào bảng điều khiển và một số người dùng không được phép. Tuy nhiên, theo mặc định, tất cả họ có thể truy cập vào khu vực quản trị.

Để khắc phục điều này, bạn cần cài đặt plugin Remove Dashboard Access. Sau khi kích hoạt, truy cập Settings » Dashboard Access và chọn vai trò người dùng nào sẽ có quyền truy cập vào khu vực quản trị viên trên trang web của bạn.

Xem chi tiết hướng dẫn làm sao giới hạn truy cập trang quản trị WordPress.

14. Đăng xuất người dùng không hoạt động

WordPress không tự động đăng xuất người dùng cho đến khi họ đăng xuất hoặc đóng cửa sổ trình duyệt của họ. Điều này có thể là một mối quan tâm cho các trang web WordPress với thông tin nhạy cảm. Đó là lý do tại sao các trang web và ứng dụng của tổ chức tài chính tự động đăng xuất người dùng nếu họ không hoạt động.

Để khắc phục điều này, bạn có thể cài đặt và kích hoạt plugin Idle User Logout. Sau khi kích hoạt, bạn truy cập Settings » Idle User Logout và nhập thời gian sau đó bạn muốn người dùng tự động đăng xuất.

Giá trị mặc định là 20 giây, nhưng bạn có thể đặt nó thành giá trị thấp hơn hoặc cao hơn. Tiếp theo, bạn cần chọn có tính thời gian nhàn rỗi trong khu vực quản trị WordPress hay không. Hãy chắc chắn rằng bạn bỏ chọn tùy chọn này để bảo mật tốt hơn.

Nhấp vào nút lưu thay đổi để lưu lại các thay đổi của bạn.

Bây giờ bạn cần nhấn vào tab behavior. Trên trang này, bạn có thể điều chỉnh hành vi của plugin. Bạn có thể đặt các quy tắc đăng xuất khác nhau cho các vai trò người dùng khác nhau.

Bạn cũng có thể chọn những việc cần làm khi người dùng không sử dụng trong thời gian nhất định. Bạn có thể đăng xuất người dùng và gửi lại cho trang đăng nhập, chuyển hướng họ đến một trang tùy chỉnh, hiển thị cho họ một cửa sổ bật lên, v.v.

Chúng tôi hy vọng bài viết này đã giúp bạn tìm hiểu một số mẹo hay mới để bảo mật trang quản trị WordPress của bạn.

Để nhận được bài viết mới vui lòng đăng ký kênh kiến thức WordPress từ A-Z ở Form bên dưới. Bạn cũng có thể nhận được sự trợ giúp trên Twitter và Facebook