Bootstrap Skip to main content
Use code LAMVT for an extra 10% off!

From the Firehose

5/5 - (1 bình chọn)

Bạn có biết là khu vực quản trị WordPress (WordPress Admin) thường xuyên bị rình rập bởi bị tấn công bởi nhiều nguồn độc hại không? Bảo vệ khu vực quản trị khỏi bị truy cập trái phép cho phép bạn chặn nhiều mối đe dọa bảo mật thông thường. Trong bài này, chúng tôi sẽ giới thiệu cho bạn một số mẹo và thủ thuật quan trọng để bảo vệ khu vực quản trị WordPress của bạn.

14 Mẹo và thủ thuật giúp Bảo vệ khu vực quản trị WordPress 14-meo-de-bao-ve-khu-vuc-quan-tri-wordpress

Contents

1. Sử dụng Website Application Firewall

Website Application Firewall hay là WAF giúp theo dõi lưu lượng truy cập trang web và chặn các yêu cầu đáng ngờ liên quan tới việc truy cập vào trang web của bạn.

Mặc dù có một số plugins tường lửa cho WordPress nhưng chúng tôi khuyên bạn nên sử dụng Sucuri. Đây là một trang web bảo mật và giám sát dịch vụ nhằm cung cấp một cloud dựa trên WAF để bảo vệ trang web của bạn.

14 Mẹo và thủ thuật giúp Bảo vệ khu vực quản trị WordPress Website-Application-Firewall

Tất cả lưu lượng truy cập trang web của bạn đều đi qua proxy đám mây, nơi phân tích từng yêu cầu và chặn những người đáng ngờ khỏi việc truy cập vào trang web của bạn. Những hành vi cố gắng hacking, Phishing, malware và các hoạt động độc hại khác sẽ bị ngăn chặn lại.

  1. Bảo vệ mật khẩu WordPress Admin Directory

Khu vực quản trị WordPress của bạn đã được bảo vệ bởi mật khẩu. Tuy nhiên, việc thêm mật khẩu bảo vệ vào thư mục quản trị WordPress của bạn lại rất cần thiết.

Đầu tiên, đăng nhập vào WordPress hosting cPanel dashboard và sau đó nhấp vào biểu tượng “Password Protect Directories” hoặc “Directory Privacy”.

14 Mẹo và thủ thuật giúp Bảo vệ khu vực quản trị WordPress Password-Protect

Tiếp theo, bạn sẽ cần phải chọn thư mục wp-admin, thường nằm trong thư mục / public_html /.

Trên màn hình tiếp theo, bạn cần phải kiểm tra hộp bên cạnh tùy chọn “Password protect this directory” và cung cấp tên cho thư mục được bảo vệ.

Sau đó, nhấp vào nút lưu để thiết lập quyền.

14 Mẹo và thủ thuật giúp Bảo vệ khu vực quản trị WordPress Password-Protect2

Tiếp theo, bạn cần nhấn nút quay lại và sau đó tạo một user. Bạn sẽ được yêu cầu cung cấp tên người dùng / mật khẩu và sau đó nhấp vào nút lưu.

Bây giờ khi ai đó cố gắng truy cập vào thư mục quản trị viên WordPress hoặc wp-admin trên trang web của bạn, họ sẽ được yêu cầu nhập tên người dùng và mật khẩu.

14 Mẹo và thủ thuật giúp Bảo vệ khu vực quản trị WordPress Password-Protect3

  1. Luôn luôn sử dụng mật khẩu mạnh

14 Mẹo và thủ thuật giúp Bảo vệ khu vực quản trị WordPress Use-Strong-Passwords

Luôn sử dụng mật khẩu mạnh cho tất cả các tài khoản trực tuyến của bạn gồm cả trang web WordPress của bạn. Chúng tôi khuyên bạn nên sử dụng kết hợp các chữ cái, số và các ký tự đặc biệt trong mật khẩu. Điều này làm cho tin tặc khó đoán mật khẩu của bạn hơn.

Chúng tôi thường hỏi những người mới dùng wordpress là làm thế nào để nhớ tất cả những mật khẩu đó. Câu trả lời đơn giản nhất là không cần làm gì. Có một số ứng dụng quản lý mật khẩu thực sự tuyệt vời mà bạn có thể cài đặt trên máy tính và điện thoại của mình.

  1. Dùng hai bước xác minh đăng nhập WordPress

14 Mẹo và thủ thuật giúp Bảo vệ khu vực quản trị WordPress Two-Step-Verification

Xác minh hai bước nghĩa là thêm lớp bảo mật khác vào mật khẩu của bạn. Thay vì chỉ sử dụng mật khẩu, nó sẽ yêu cầu bạn nhập mã xác minh được tạo bởi ứng dụng Google Authenticator trên điện thoại của bạn.

Ngay cả khi ai đó có thể đoán mật khẩu WordPress của bạn, họ vẫn cần mã Google Authenticator để đăng nhập.

Xem thêm: 

12 mẹo quan trọng để bảo vệ khu vực quản trị WordPress của bạn

55+ Mẹo và thủ thuật cực hay trong WordPress

  1. Giới hạn số lần đăng nhập

Theo mặc định, WordPress cho phép người dùng nhập mật khẩu nhiều lần như họ muốn. Điều này có nghĩa là ai đó có thể tiếp tục thử đoán mật khẩu WordPress bằng cách nhập các kết hợp khác nhau. Nó cũng cho phép hacker sử dụng các kịch bản tự động để crack mật khẩu.

Để khắc phục điều này, bạn cần cài đặt và kích hoạt plugin Login LockDown. Khi kích hoạt, hãy truy cập Settings » Login LockDown để định cấu hình cài đặt plugin.

  1. Giới hạn đăng nhập từ địa chỉ IP

Một cách tuyệt vời khác để bảo vệ đăng nhập WordPress là hạn chế quyền truy cập từ các địa chỉ IP cụ thể. Mẹo này đặc biệt hữu ích nếu chỉ bạn hoặc một vài người dùng tin cậy cần truy cập vào khu vực quản trị.

Đơn giản là chỉ cần thêm mã code này vào tệp tin .htaccess của bạn.

AuthUserFile /dev/null

AuthGroupFile /dev/null

AuthName “WordPress Admin Access Control”

AuthType Basic

<LIMIT GET>

order deny,allow

deny from all

# whitelist Syed’s IP address

allow from xx.xx.xx.xxx

# whitelist David’s IP address

allow from xx.xx.xx.xxx

</LIMIT>

Đừng quên thay thế các giá trị xx bằng địa chỉ IP của bạn. Nếu bạn sử dụng nhiều địa chỉ IP để truy cập vào internet, hãy nhớ là bạn đã thêm chúng vào.

  1. Vô hiệu hoá gợi ý đăng nhập

Khi nỗ lực đăng nhập thất bại, WordPress hiển thị lỗi nhằm nói cho người dùng biết tên người dùng hoặc mật khẩu của họ là không chính xác. Những gợi ý đăng nhập này có thể được sử dụng bởi ai đó với mục đích nguy hiểm.

Bạn có thể dễ dàng ẩn những gợi ý đăng nhập này bằng cách thêm mã này vào tệp functions.php của theme.

function no_wordpress_errors(){

return ‘Something is wrong!’;

}

add_filter( ‘login_errors’, ‘no_wordpress_errors’ );

  1. Yêu cầu người dùng sử dụng mật khẩu mạnh

Nếu bạn chạy một trang web WordPress được dùng bởi nhiều tác giả thì những người này có thể chỉnh sửa hồ sơ của họ và sử dụng một mật khẩu yếu. Những mật khẩu này có thể bị crack và cung cấp cho một người nào đó truy cập vào khu vực quản trị WordPress.

Để khắc phục điều này, bạn có thể cài đặt và kích hoạt plugin Force Strong Passwords. Sau khi kích hoạt, nó sẽ ngăn cản người dùng sử dụng mật khẩu yếu.

Nó sẽ không kiểm tra độ mạnh mật khẩu cho các tài khoản người dùng hiện có. Nếu người dùng đã sử dụng một mật khẩu yếu trước khi dùng plugin được cài đặt thì họ sẽ có thể tiếp tục sử dụng mật khẩu đó.

  1. Đặt lại mật khẩu cho tất cả người dùng

Bạn có quan tâm đến việc bảo mật mật khẩu trên WordPress của mình với rất nhiều người dùng không? Bạn có thể yêu cầu tất cả người dùng website đặt lại mật khẩu.

Trước tiên, bạn cần phải cài đặt và kích hoạt plugin Emergency Password Reset. Khi kích hoạt, hãy truy cập vào Users » Emergency Password Reset và nhấp vào nút “Reset All Passwords”.

14 Mẹo và thủ thuật giúp Bảo vệ khu vực quản trị WordPress Reset-Password

Xem thêm:

3 Cách hiển thị bài viết liên quan bởi Tác giả (author) trong WordPress

Làm thế nào để sửa lỗi bảo mật kết nối trong WordPress

  1. Luôn để chế độ cập nhật WordPress

WordPress thường phát hành phiên bản mới của phần mềm. Mỗi bản phát hành mới của WordPress đều chứa các bản sửa lỗi, các tính năng mới và các bản sửa lỗi bảo mật quan trọng.

Việc sử dụng một phiên bản WordPress cũ trên website của bạn sẽ có nguy cơ mở ra các lỗ hổng tiềm ẩn. Để khắc phục điều này, bạn cần đảm bảo rằng bạn đang sử dụng phiên bản mới nhất của WordPress.

Tương tự như vậy, các plugin WordPress cũng thường được cập nhật để giới thiệu các tính năng mới hoặc sửa chữa bảo mật và các vấn đề khác. Hãy chắc chắn rằng plugin WordPress của bạn cũng được cập nhật.

Xem thêm: 

Làm thế nào để sửa lỗi bảo mật kết nối trong WordPress

  1. Tạo trang đăng nhập và đăng ký tùy chỉnh

Nhiều trang web WordPress yêu cầu người dùng đăng ký. Ví dụ: các trang web thành viên, trang quản lý học tập hoặc cửa hàng trực tuyến cần người dùng tạo tài khoản.

Tuy nhiên, những người dùng này có thể sử dụng tài khoản của họ để đăng nhập vào khu vực quản trị WordPress. Đây không phải là một vấn đề lớn vì họ sẽ chỉ có thể làm những điều được cho phép với vai trò người dùng. Tuy nhiên, nó ngăn cản bạn hạn chế quyền truy cập vào các trang đăng nhập và đăng ký vì bạn cần các trang đó để người dùng đăng ký, quản lý hồ sơ của họ và đăng nhập.

Cách dễ dàng để khắc phục sự cố này là tạo các trang đăng nhập và đăng ký tùy chỉnh để người dùng có thể đăng ký và đăng nhập trực tiếp từ trang web của bạn.

  1. Tìm hiểu về Vai trò và quyền của Người dùng WordPress

WordPress đi kèm với một hệ thống quản lý người dùng mạnh mẽ với vai trò và khả năng khác nhau đối với mỗi người dùng. Khi thêm một người dùng mới vào trang WordPress của bạn, bạn có thể chọn một vai trò người dùng cho họ. Vai trò người dùng này định nghĩa những gì họ có thể làm trên trang web WordPress của bạn.

Việc gán vai trò người dùng không chính xác có thể cung cấp cho họ nhiều khả năng hơn mức họ cần. Để tránh điều này bạn cần phải hiểu những năng lực đi kèm với vai trò từng người dùng trong WordPress.

  1. Giới hạn Truy cập bảng điều khiển Dashboard.

Một số trang web WordPress có một số người dùng nhất định được truy cập vào bảng điều khiển và một số người dùng thì không được phép. Tuy nhiên, theo mặc định tất cả họ đều có thể truy cập khu vực quản trị.

Để khắc phục vấn đề này, bạn cần phải cài đặt và kích hoạt plugin Remove Dashboard Access. Khi kích hoạt, hãy truy cập trang Cài đặt »Trang Truy cập trên Bảng điều khi Settings » Dashboard Access và chọn vai trò người dùng nào sẽ có quyền truy cập vào khu vực quản trị trên trang web của bạn.

  1. Đăng xuất người dùng không hoạt động

14 Mẹo và thủ thuật giúp Bảo vệ khu vực quản trị WordPress Log-out-Idle-Users

WordPress không tự động đăng xuất người dùng cho đến khi họ có hành động đăng xuất hoặc đóng cửa sổ trình duyệt của họ. Đây có thể là mối quan tâm đối với các trang web WordPress với thông tin nhạy cảm. Đó là lý do tại sao các trang web và ứng dụng thường tự động đăng xuất người dùng nếu họ không hoạt động trong một thời gian ngắn.

Để làm điều này, bạn có thể cài đặt và kích hoạt plugin Idle User Logout. Khi kích hoạt, hãy đi tới Settings » Idle User Logout   và nhập thời gian mà bạn muốn người dùng tự động đăng xuất.

Bài viết này chắc chắn sẽ giúp bạn quan tâm hơn và cảnh giác hơn với việc bảo mật khu vực quản trị WordPress. Và 14 mẹo, thủ thuật trên ít nhiều cũng sẽ giúp bạn cản trở nỗ lực xâm nhập bất hợp pháp từ những đối tượng nguy hiểm. Hãy chia sẻ nếu bạn thấy bài viết hữu ích nhé.

About

Chào bạn, mình là Vũ Thành Lâm.
Tri Thức là Sức Mạnh, Tri thức không của riêng ai, hãy chia sẻ nó!

Recent posts