22 cách để cải thiện bảo mật trang web WordPress của bạn

Bảo mật trang web WordPressLà chủ sở hữu trang web, bạn’đã nghe tin đồn về các trang web khác bị hack. Bạn có thể đã có kinh nghiệm về việc trang web của bạn bị hack trong quá khứ. Dù bằng cách nào, bạn biết làm thế nào là tức giận để đối phó với.


Có thể mất hàng giờ, đôi khi nhiều ngày để cố gắng tìm ra cách sửa chữa thiệt hại do hack cấp độ thấp, nhưng điều đó’chỉ khi bạn’đủ may mắn để tránh thiệt hại từ một cuộc tấn công nghiêm trọng hơn.

May mắn thay, nhiều bản hack có thể được sửa chữa với một số sửa chữa đơn giản và thay đổi trang web, chẳng hạn như chuyển sang một máy chủ web khác. nếu bạn’đang tìm kiếm một máy chủ web mới, chúng tôi có một danh sách yêu thích của chúng tôi, máy chủ web đáng tin cậy để giúp bạn chọn.

Trước khi bạn bắt đầu nghĩ rằng điều này đã thắng’T xảy ra với bạn, tỷ lệ cược là nó sẽ.

Có, tin tặc sẽ nhắm mục tiêu trang web của bạn.

Thậm chí nếu nó’là một trang web WordPress nhỏ.

Thật không may, các trang web WordPress bị tấn công thường xuyên hơn bạn nghĩ và số vụ hack được báo cáo đã tăng lên hàng năm kể từ năm 2009.

Don’Hãy để trang web của bạn là một trong những hàng trăm ngàn người dễ bị hack, đặc biệt là khi tỷ lệ trang web của bạn bị hack đang tăng đều đặn.

Thay vì lãng phí thời gian của bạn để cố gắng đảo ngược thiệt hại xảy ra khi trang web của bạn bị hack, hãy làm việc để thắt chặt bảo mật WordPress của bạn trước khi nó’quá muộn.

Contents

Không có trang web nào quá nhỏ để bị hack

hack trang webNgay cả khi bạn nghĩ rằng trang web của bạn’Sự nhỏ bé bảo vệ nó khỏi khả năng bị hack, ở đó’bằng chứng cho thấy sự phổ biến của một trang web không ngăn chặn hack.

Trong thực tế, nhiều hack được tự động và không xem xét đến chất lượng hoặc thành công của một trang web trước khi tấn công.

Phần lớn tin tặc quan tâm đến các trang web tập thể họ có thể chạm tay vào. Điều đó có nghĩa là, mặc dù trang web của bạn không đáng kể, nhưng rất nhiều trang web như của bạn hoàn toàn quan trọng đối với một hacker’Mục tiêu của: cơ sở dữ liệu, SEO mũ đen và gửi email hàng loạt. Điều đó nói rằng, cần phải rõ ràng rằng ngay cả các trang web nhỏ cũng dễ bị hack.

nếu bạn’Đang sử dụng WordPress, bạn có thể đã có cảm giác an toàn với trang web của mình. WordPress là một nền tảng lớn phục vụ cho nhiều loại trang web của bạn’nhu cầu. Nó’Có thể bạn nghĩ rằng WordPress, tất cả của riêng nó, sẽ bảo vệ bạn khỏi bị hack. Cái đó’Mặc dù không đúng.

Mặc dù WordPress rất lớn và mạnh mẽ, nhưng số lượng người dùng cao khiến nó trở thành mục tiêu của tin tặc. Điều này là do nhiều trang web được chạy trên cùng một hệ thống và tin tặc có thể khái quát các lỗ hổng để tấn công số lượng trang web đáng kể nhất.

Thay vì tìm ra các lỗ hổng của một hệ thống, một hacker có thể tìm ra lỗ hổng của WordPress’ nền tảng lớn, được sử dụng rộng rãi. Điều này có liên quan gì đến bạn? Là người dùng WordPress, bạn nên đảm bảo bạn đã thiết lập các biện pháp phòng ngừa và bảo mật cần thiết. Bằng cách đó, bạn có thể yên tâm rằng trang web của bạn không’t dễ bị tấn công.

Để thuận tiện cho bạn, danh sách các mẹo bảo mật của chúng tôi bắt đầu bằng các cách cơ bản nhất để bảo mật trang web của bạn và sau đó chuyển sang các tùy chọn chuyên nghiệp và nâng cao hơn.

Nếu bạn có một trang web nhỏ, cá nhân, hãy tuân thủ những điều cơ bản trừ khi bạn cảm thấy rất có khuynh hướng tăng cường bảo mật của mình lên các cấp độ tiên tiến nhất. Bắt đầu bằng cách tìm hiểu về an toàn internet cơ bản, và sau đó làm theo danh sách này.

Đối với những người bạn có trang web chuyên nghiệp và cao cấp, bạn có thể muốn theo dõi danh sách này cho đến khi kết thúc, tùy thuộc vào nhu cầu của bạn.

Để cho’s bắt đầu:

1. Đảm bảo tài khoản quản trị viên của bạn được bảo vệ

khóa tài khoản quản trị viênTài khoản Administrator là tài khoản mặc định cho tất cả người dùng WordPress. Điều đó có nghĩa là, khi tin tặc muốn tấn công tài khoản chính trên trang web của bạn, chúng sẽ biết mặc định chính xác được thiết lập để thử.

Khi chọn tài khoản Quản trị viên mới, không’t chọn một cái gì đó dễ đoán, và không chọn “quản trị viên” như tên người dùng của bạn. Hãy sáng tạo và biến nó thành một cái gì đó cá nhân.

Thật không may, bạn có thể’Thay đổi tên người dùng WordPress của bạn sau khi nó’s đã được tạo ra. Thay vào đó, hãy làm theo các hướng dẫn sau để giải quyết vấn đề này:

  • Trên trang USERS của bảng điều khiển WordPress của bạn, hãy tạo một tài khoản người dùng mới. Don’Đừng quên sử dụng tên người dùng / mật khẩu duy nhất (A.K.A khó đoán).
  • Gán tài khoản người dùng mới này cho vai trò Quản trị viên.
  • Sau đó XÓA tài khoản quản trị ban đầu của bạn.

2. Cập nhật trang web của bạn

Có thể tẻ nhạt để theo kịp cập nhật, nhưng tôi có thể’Tôi nhấn mạnh đủ tầm quan trọng của việc giữ cho trang web của bạn được cập nhật mọi lúc.

Hầu hết các cập nhật bao gồm củng cố và sửa chữa các lỗ hổng và các lỗi tồn tại trong các phiên bản cũ hơn của WordPress. Don’t là một mục tiêu dễ dàng bởi vì trang web của bạn không’t cập nhật!

Bạn có thể nghi ngờ rằng các bản cập nhật là nghiêm túc mà quan trọng, nhưng chúng. WordPress thông báo rằng các trang web sử dụng một phiên bản cụ thể trong năm 2014 dễ bị tấn công. Một tỷ lệ lớn các trang web WordPress dễ bị tấn công vào thời điểm đó vì phiên bản WordPress lỗi thời mà họ đang sử dụng.

Trang web của bạn’Bảo mật bao gồm các plugin cập nhật! Hãy chắc chắn rằng không có plugin nào bạn sử dụng đã lỗi thời. Một lỗ hổng trong plugin có thể dẫn đến việc tin tặc có quyền truy cập và kiểm soát trang web của bạn.

Bạn có thể’bạn đã nghe về vụ hack MailPoet, nơi có hơn 50 nghìn trang web bị hack.

Nếu điều đó không’Nói cho chính nó, hãy để tôi đánh vần nó cho bạn: giữ cho phiên bản WordPress và plugin của bạn được cập nhật mọi lúc.

Mẹo chuyên nghiệp: Xóa các plugin bạn không’t sử dụng. Điều này sẽ giúp bạn không phải lo lắng về bất kỳ plugin không cần thiết nào và các bản cập nhật của chúng; tất cả trong khi giữ cho trang web của bạn an toàn hơn.

3. Don Patrick Sử dụng tài khoản quản trị viên của bạn để viết / chỉnh sửa nội dung

Như chúng ta’đã được thiết lập, bảo vệ tài khoản Administrator của bạn là điều cần thiết. Don’Không mạo hiểm trang web của bạn bằng cách sử dụng tài khoản này để làm việc trên nội dung của bạn, chẳng hạn như viết và chỉnh sửa bài đăng hoặc trang. Là đặc biệt thận trọng khi sử dụng Wi-Fi công cộng.

Nếu bạn có thể’Bạn sử dụng tài khoản Administrator của mình, sau đó bạn sử dụng cái gì? Tạo và sử dụng tài khoản mới với vai trò Trình chỉnh sửa.

Để làm điều này:

  • Trên trang NGƯỜI DÙNG, bấm THÊM MỚI.
  • Gán cho người dùng vai trò Trình chỉnh sửa trong menu thả xuống.
  • Sử dụng tài khoản này để viết hoặc chỉnh sửa nội dung (đặc biệt là ở nơi công cộng).

4. Don Patrick Giúp các hacker dễ dàng đoán được mật khẩu của bạn

Mật khẩu bảo mậtĐây có thể là cách dễ nhất và rõ ràng nhất để ngăn chặn tin tặc truy cập trang web của bạn. Tin tặc có đủ kỹ năng đã xâm nhập vào các trang web, don’Làm cho nó dễ dàng hơn cho họ bằng cách sử dụng một mật khẩu quen thuộc hoặc có thể dự đoán.

Chọn một mật khẩu khác thường, không bao gồm các từ hoặc cụm từ riêng biệt và bao gồm nhiều loại ký tự: ký hiệu, chữ cái và số.

Dưới đây là một số tùy chọn để bảo mật mật khẩu của bạn:

  • Duyệt các trình quản lý mật khẩu khác nhau, chẳng hạn như LastPass.
  • Hãy thử một trình tạo mật khẩu.

5. Bắt đầu tại nhà bằng cách bảo vệ máy tính của bạn!

Bạn có thể đã biết tất cả về các loại virus có thể tấn công máy tính của bạn, nhưng bạn có thể trú ẩn’Tôi nhận ra rằng bảo vệ mạng của bạn cũng giúp bảo vệ dữ liệu trực tuyến của bạn, bao gồm cả trang web của bạn.

Một số tin tặc sử dụng vi-rút để theo dõi tổ hợp phím để tìm ra thông tin đăng nhập và mật khẩu của bạn.

Theo những bươc này để giữ cho máy tính của bạn khỏe mạnh và an toàn:

  • Hoàn thành cập nhật thường xuyên.
  • Sử dụng phần mềm diệt virus an toàn, có uy tín.
  • Hãy thận trọng khi sử dụng Wi-Fi công cộng.

6. Ngăn chặn một Hacker đoán mật khẩu của bạn bằng cách chặn các nỗ lực đăng nhập của họ

Nếu bạn cho phép các lần thử đăng nhập không giới hạn trên trang web của mình, bạn’đang để cho tin tặc và bot đoán thông tin đăng nhập của bạn nhiều lần cho đến khi chúng tìm ra.khóa đăng nhập

Ngay cả khi mật khẩu của bạn không’dễ đoán nhất, với một số lần thử không giới hạn, một hacker cuối cùng sẽ thu hẹp các khả năng cho đến khi họ đoán được.

May mắn thay’s một plugin dễ dàng khắc phục vấn đề này. Thử Đăng nhập LockDown!

7. Sử dụng các nguồn được biết đến và đáng tin cậy cho nội dung được tải xuống (như chủ đề và plugin)

Không phải mọi nguồn đều có uy tín và đáng tin cậy, và nhiều nguồn cung cấp nội dung có thể tải xuống với mục đích rõ ràng là tạo lỗ hổng để lộ trang web của bạn cho tin tặc.

Trong khi bạn có thể không nhận thức được nó, sử dụng các nguồn không đáng tin cậy có thể khiến bạn tuân thủ việc hack trang web của bạn. Don’t để tin tặc lừa bạn!

Bám sát các nguồn từ các thư mục WordPress.org. Nếu bạn phải sử dụng nguồn bên ngoài, luôn kiểm tra kỹ các đánh giá và uy tín của người bán mà bạn có thể mua từ.

Mẹo nâng cao: Xóa TẤT CẢ các plugin đã được báo cáo về các lỗ hổng hoặc nội dung độc hại. Kiểm tra Sucuri hoặc WP White Security để giám sát các plugin bạn sử dụng có thể bị hoặc dễ bị tấn công.

8. Chọn một máy chủ web bạn có thể tin tưởng và dựa vào, không chỉ là máy chủ rẻ nhất hiện có

Chọn một máy chủ webBạn có thể tìm thấy lưu trữ giá cả phải chăng đó có vẻ như là một kẻ ăn cắp, nhưng người bị cướp là bạn nếu chủ nhà bạn’đang trả tiền cho’t cung cấp mọi thứ mà trang web của bạn cần.

Bạn nên yêu cầu một máy chủ web chất lượng Điều đó sẽ giữ cho trang web của bạn được bảo vệ và hoạt động.

Mua sắm xung quanh và so sánh giá cả, danh tiếng và đánh giá của một số máy chủ web trước khi lựa chọn.

9. Thường xuyên sao lưu trang web của bạn, chỉ trong trường hợp

Mục tiêu của chúng tôi là ngăn chặn trang web của bạn khỏi bị tấn công ngay từ đầu và trong khi đó’Đây là một mục tiêu đáng ngưỡng mộ và có thể đạt được nếu thực hiện các biện pháp phòng ngừa chính xác, đôi khi tin tặc giành chiến thắng.

Nếu điều đó xảy ra, giữ cho trang web của bạn được bảo vệ bằng cách lưu lại tất cả dữ liệu và nội dung của bạn. Bằng cách đó, bạn’sẽ có thể khiến trang web của bạn hoạt động trơn tru trở lại.

Mặc dù bạn có thể thực hiện việc này một cách thủ công, một dịch vụ tự động sẽ giúp bạn tránh các lỗi của con người (như sự lãng quên). Hãy thử hai dịch vụ sau: Sao lưu WordPress vào DropboxVaultPress. Cái trước là miễn phí, nhưng cái sau là một tùy chọn trả phí với nhiều tính năng hơn.

10. Thêm bảo mật bổ sung cho trang web của bạn với một Plugin được thiết kế để giữ an toàn cho trang web của bạn

Một số plugin bảo mật miễn phí và trả phí sẽ đảm nhiệm một số công việc khó khăn hơn cho bạn. Hãy yên tâm khi biết một trong những plugin này có lưng của bạn!

Những plugin này có thể làm gì cho bạn? Hầu hết trong số họ sẽ:

  • Chặn lực lượng vũ phu và tấn công phức tạp
  • Quét trang web của bạn cho bất kỳ vấn đề hoặc vi phạm bảo mật.
  • Theo dõi và bảo vệ các tập tin của bạn
  • Bảo mật thông tin đăng nhập của bạn
  • Báo cáo về mọi nỗ lực hack
  • Giúp bạn khôi phục trang web của bạn nếu có bất cứ vấn đề gì xảy ra

Dưới đây là một số plugin chúng tôi khuyên dùng: Chống vi-rút, Bảo mật WordFence, An ninh Sucuri, và Bảo mật BulletProof. Tránh sử dụng nhiều hơn một plugin để tránh lỗi.

Phần tốt nhất? Tất cả những gì bạn phải làm là định cấu hình các cài đặt và sau đó để plugin xử lý phần còn lại.

Mẹo nâng cao: JetPack hiện bảo vệ chống lại các cuộc tấn công của Brute Force (các cuộc tấn công liên quan đến tin tặc hoặc bot mạnh mẽ và liên tục cố gắng đoán thông tin đăng nhập của bạn trở lại cho đến khi chúng phát hiện ra).

11. Thường xuyên kiểm tra phần mềm độc hại

Kiểm tra phần mềm độc hại thường xuyênPhần mềm độc hại (phần mềm độc hại), nói một cách đơn giản, là phần mềm được tạo ra để tấn công máy tính và trang web. Bạn có thể đã nghe nói về một loại rồi: virus.

Tất cả quá thường xuyên, bạn không’T nhận thấy rằng trang web của bạn có phần mềm độc hại kịp thời để ngăn chặn thiệt hại. Tránh điều này bằng quét trang web của bạn thường xuyên để tìm phần mềm độc hại.

Bạn có thể sử dụng một trong các plugin bảo mật được liệt kê ở trên hoặc mua sắm xung quanh. Một số dịch vụ trả phí đáng tin cậy hơn các tùy chọn miễn phí, vì vậy hãy chắc chắn kiểm tra danh tiếng và đánh giá trước khi chọn.

12. Đảm bảo chủ đề của bạn tuân thủ các tiêu chuẩn mới nhất

Sử dụng một plugin, chẳng hạn như Kiểm tra chủ đề, để quét chủ đề của bạn để xác định xem nó có được cập nhật không với các tiêu chuẩn đánh giá chủ đề gần đây nhất.

Điều này rất quan trọng vì các tiêu chuẩn phản ánh các yêu cầu và biện pháp phòng ngừa bảo vệ chủ đề và trang web của bạn khỏi lỗ hổng và tin tặc.

Don’đừng quên – chỉ sử dụng các chủ đề từ các nguồn đáng tin cậy, như chúng ta đã thảo luận trước đó.

13. Vô hiệu hóa Pingbacks và Trackbacks

Vô hiệu hóa-pingbacks-và-trackbacksSự nguy hiểm của pingback có thể lớn hơn bất kỳ chức năng tiện lợi nào mà chúng cung cấp. Tin tặc có thể sử dụng pingback để nhắm mục tiêu trang web của bạn và khiến nó bị sập.

Những cuộc tấn công này được gọi là Tấn công DDoS, và chúng có thể khiến trang web của bạn (hoặc máy chủ) không khả dụng cho khách truy cập thực sự đang cố gắng truy cập trang web của bạn.

Truy cập tab THẢO LUẬN trên bảng điều khiển WordPress của bạn để tắt pingback và trackback.

14. Xem xét Cloudflare để tăng cường hiệu suất và bảo mật trang web của bạn

Đám mây là một dịch vụ cam kết hợp lý hóa internet và cung cấp các dịch vụ miễn phí để bảo vệ quyền truy cập của bạn vào các tính năng an toàn, đáng tin cậy.

CloudFlare cung cấp một số kế hoạch cho các mức độ nhu cầu khác nhau. Đối với một trang web nhỏ chỉ yêu cầu những điều cơ bản, bạn có thể sử dụng gói miễn phí của họ.

Đây’s những gì kế hoạch miễn phí có thể giúp bạn:

  • Giảm thiểu DDoS
  • CDN toàn cầu
  • Chứng chỉ SSL được chia sẻ
  • Quy tắc 3 trang

Các gói trả phí cung cấp tất cả những thứ đó và hơn thế nữa, nhưng hãy chọn một chương trình’đúng cho trang web của bạn’nhu cầu của.

15. Bảo mật Khóa bảo mật WordPress của bạn

WordPress khuyên bạn nên sử dụng một máy phát ngẫu nhiên để tạo chìa khóa của bạn.

“Bạn không’Không phải nhớ các phím, chỉ cần làm cho chúng dài, ngẫu nhiên và phức tạp – hoặc tốt hơn nữa, sử dụng máy phát điện trực tuyến.” (Codex WordPress)

Sử dụng tệp wp-config.php để truy cập các khóa của bạn.

16. Bảo vệ tệp .htaccess của bạn

bảo mật tập tin htaccessCủa bạn .tập tin htaccess giúp trang web của bạn hoạt động trơn tru, nhưng có thể nhanh chóng bị hỏng hoặc bị hack. Sử dụng các thủ thuật này hoặc một plugin bảo mật để đảm bảo dữ liệu của bạn được an toàn.

Mẹo nâng cao: Tệp .htaccess của bạn cũng có thể được sử dụng để cung cấp bảo vệ bổ sung cho trang web của bạn. Bạn có thể sử dụng nó để mật khẩu bảo vệ thư mục quản trị của bạn hoặc vô hiệu hóa thực thi PHP trong một số thư mục để ngăn chặn tin tặc truy cập vào trang web của bạn.

17. Chỉnh sửa tiền tố cơ sở dữ liệu của bạn

Khi bạn cài đặt WordPress, cơ sở dữ liệu mặc định của bạn có tiền tố là Wp-. Đến bây giờ, bạn có thể nhận thấy rằng nhiều thiết lập mặc định giúp hacker dễ dàng tìm ra hệ thống của bạn hơn và có quyền truy cập vào trang web của bạn.

Bảo vệ trang web của bạn bằng cách thay đổi tiền tố, nằm trong tệp wp-config.php.

18. Xem xét việc vô hiệu hóa các tính năng mà bạn không cần (Như Xml-RPC và báo cáo lỗi Php)

XML-RPC đã được báo cáo để tăng lỗ hổng WordPress vì nó cho phép nhiều lệnh được thực thi cùng một lúc.

Điều này đã dẫn đến việc nó được sử dụng cho các cuộc tấn công vũ phu. Bảo vệ trang web của bạn bằng cách vô hiệu hóa hoặc xóa tệp này (xmlrpc.php) nếu bạn’không tích cực sử dụng nó.

Một tính năng khác có ý định tốt, nhưng có thể khiến trang web của bạn dễ bị tổn thương là Báo cáo lỗi PHP. Mặc dù tính năng này hữu ích trong khi xây dựng hoặc thiết lập các trang web PHP mới, nhưng nó ghi lại máy chủ của bạn’Toàn bộ con đường. Đây có thể là thông tin nguy hiểm để tin tặc có được.

Nếu trang web của bạn được thiết lập và chạy, bạn có thể không cần tính năng này. Tìm hiểu cách vô hiệu hóa nó ở đây.

19. Sử dụng Google Search Console

Google cung cấp một số công cụ để mang lại lợi ích cho trang web của bạn, nhưng chúng Bảng điều khiển tìm kiếm có thể đặc biệt hữu ích để theo dõi bất cứ điều gì sơ sài có thể xảy ra.

Google Search Console có thể giúp bạn theo dõi hiệu suất của trang web của bạn và cách trang web của bạn hiển thị trong kết quả tìm kiếm cho người dùng.

Hãy chú ý đến GSC, nó có thể cảnh báo bạn sớm về bất kỳ vụ hack nào vào trang web của bạn.

20. Theo dõi hoạt động của tất cả người dùng và bảng điều khiển của bạn

theo dõi hoạt động wordpressChúng tôi biết bạn (hy vọng) tin tưởng người dùng mà bạn’đã thêm vào bảng điều khiển WordPress của bạn, nhưng ngay cả những người dùng đáng tin cậy nhất cũng mắc lỗi. Theo kịp tất cả hoạt động của họ và những thay đổi họ thực hiện trên trang web của bạn để theo dõi các lỗi hoặc lỗi vô ý được giới thiệu.

Đây’là một plugin miễn phí có thể giúp bạn theo dõi tất cả các hoạt động diễn ra trên dấu gạch ngang của bạn: Nhật ký kiểm toán bảo mật WP.

21. Xem tin tức về lỗ hổng WordPress và các cuộc tấn công mới

Luôn biết về những gì đang xảy ra trong cộng đồng WP, đặc biệt là liên quan đến các lỗ hổng hoặc các cuộc tấn công mới được báo cáo.

Một số trang web và blog chia sẻ các loại cập nhật này:

22. Kích hoạt SSL trên trang web của bạn

Đây có thể là mục khó nhất và tốn thời gian nhất trong danh sách này, nhưng chúng tôi sẽ không’bao gồm nó nếu nó không’t đáng nỗ lực.

Bật SSL trên trang web của bạn có thể bảo vệ bất kỳ và tất cả dữ liệu được truyền khi khách truy cập duyệt trang web của bạn.

Dưới đây là một vài hướng dẫn về cách bật SSL:

Bạn cũng có thể thử các plugin này: SSL thần kinh hoặc là Lực lượng WP.

Đó là tất cả những gì chúng tôi có cho bạn ngày hôm nay.

Bạn có bị choáng ngợp bởi tất cả các mục trong danh sách này? Đừng lo lắng, hầu hết chúng đều đủ dễ thực hiện và chúng sẽ giúp bạn tiết kiệm rất nhiều rắc rối trong tương lai.

Sử dụng các mẹo này để ưu tiên bảo mật trang web của bạn và tránh phải đối phó với hậu quả của vụ hack.

Bạn có thêm cái gì nữa không? Chúng tôi muốn danh sách của mình được toàn diện và bao gồm tất cả các biện pháp bảo mật WordPress cơ bản và nâng cao, vì vậy hãy cho chúng tôi biết nếu chúng tôi bỏ qua một cái gì đó!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map