12 mẹo quan trọng để bảo vệ khu vực quản trị WordPress của bạn
Gần đây trên báo chí liên tục đưa tin các trang web của ngân hàng bị tin tặc tấn công và chúng lấy đi không ít những thông tin quan trọng như tài khoản ngân hàng, tài khoản cá nhân… Để bảo vệ khu vực quản trị khỏi bị truy cập trái phép cho phép bạn chặn nhiều mối đe dọa an ninh thông thường. Trong bài này, chúng tôi sẽ giới thiệu cho bạn một số mẹo và hacks quan trọng để bảo vệ khu vực quản trị WordPress của bạn.
Contents
1. Sử dụng ứng dụng tường lửa cho trang web của bạn
Tường lửa của ứng dụng web hoặc WAF giám sát lưu lượng trang web và chặn các yêu cầu đáng ngờ từ việc tiếp cận trang web của bạn. Trong khi có một số plugin tường lửa WordPress ra ở đó, chúng tôi khuyên bạn nên sử dụng Sucuri. Đó là một trang web bảo mật và giám sát dịch vụ cung cấp một đám mây dựa WAF để bảo vệ trang web của bạn.
Tất cả lưu lượng truy cập trang web của bạn đi qua proxy trên đám mây của họ, ở đó họ phân tích từng yêu cầu và chặn những người đáng ngờ khỏi việc truy cập vào trang web của bạn. Nó ngăn cản trang web của bạn khỏi những cố gắng hacking, phishing, malware và các hoạt động độc hại khác.
2. Mật khẩu bảo vệ trong WordPress Admin
Khu vực quản trị của bạn đã được bảo vệ bằng mật khẩu WordPress. Tuy nhiên, việc thêm mật khẩu bảo vệ vào thư mục quản trị WordPress là thêm một lớp bảo mật nữa vào trang web. Sau khi đăng nhập vào bảng điều khiển WordPress hosting cPanel, sau đó click vào biểu tượng ‘mật khẩu bảo vệ thư mục’ (Password Protect Directories) hoặc ‘thư mục riêng tư’ (Directory Privacy).
Tiếp theo, bạn sẽ cần phải chọn thư mục wp-admin của bạn, thường nằm bên trong thư mục /public_html/. Trên màn hình tiếp theo, bạn cần phải đánh dấu hộp kiểm bên cạnh tùy chọn ‘Bảo vệ mật khẩu thư mục này’ (Password protect this directory) và cung cấp tên cho thư mục được bảo vệ. Sau đó nhấp vào nút lưu để thiết lập quyền.
Tiếp theo, bạn cần phải nhấn nút quay lại và sau đó tạo người dùng. Bạn sẽ được yêu cầu cung cấp tên người dùng / mật khẩu và sau đó nhấp vào nút lưu. Bây giờ khi ai đó cố gắng truy cập vào thư mục quản trị WordPress hoặc wp-admin trên trang web của bạn, họ sẽ được yêu cầu nhập tên người dùng và mật khẩu.
3. Luôn sử dụng mật khẩu mạnh
Luôn luôn sử dụng mật khẩu mạnh cho tất cả các tài khoản trực tuyến của bạn bao gồm cả trang web WordPress của bạn. Chúng tôi khuyên bạn nên sử dụng kết hợp các chữ cái, số và các ký tự đặc biệt trong mật khẩu của bạn. điều này làm cho tin tặc khó đoán được mật khẩu. Chúng tôi thường hỏi những người mới bắt đầu là làm thế nào để nhớ tất cả những mật khẩu đó. Câu trả lời đơn giản nhất là bạn không cần nhớ. Có một số ứng dụng quản lý mật khẩu thực sự tuyệt vời mà bạn có thể cài đặt trên máy tính của mình đó là LastPass. Nó tương thích cho các trình duyệt như Chrome, Firefox hoặc cả Safari nữa nên bạn yên tâm cài đặt chúng.
4. Sử dụng mật khẩu hai lớp để đăng nhập vào WordPress
Xác minh hai bước là thêm một lớp bảo mật khác vào mật khẩu của bạn. Thay vì chỉ sử dụng một mật khẩu, nó sẽ yêu cầu bạn nhập mã xác minh được tạo bởi ứng dụng xác thực của Google trên điện thoại của bạn. Ngay cả khi ai đó có thể đoán mật khẩu WordPress của bạn, họ sẽ vẫn cần mã xác thực Google để đăng nhập.
5. Giới hạn số lần đăng nhập
Theo mặc định, WordPress cho phép người dùng nhập mật khẩu nhiều lần như họ muốn. Điều này có nghĩa là ai đó có thể tiếp tục thử đoán mật khẩu WordPress của bạn bằng cách nhập các kết hợp khác nhau. Nó cũng cho phép các hacker sử dụng các kịch bản tự động để lấy mật khẩu của bạn. Để khắc phục điều này, bạn cần phải cài đặt plugin Login LockDown và kích hoạt chúng. Khi kích hoạt, hãy truy cập vào Cài đặt » Login LockDown trang để cấu hình cài đặt plugin.
6. Giới hạn truy cập đăng nhập vào địa chỉ IP
Một cách tuyệt vời để bảo đảm đăng nhập WordPress là bằng cách hạn chế truy cập vào địa chỉ IP cụ thể. Mẹo này đặc biệt hữu ích chỉ để bạn hoặc chỉ một vài người dùng tin cậy cần truy cập vào khu vực quản trị. Chỉ cần thêm mã này vào tệp tin .htaccess của bạn.
Đừng quên thay thế các giá trị xx bằng địa chỉ IP của bạn. Nếu bạn sử dụng nhiều hơn một địa chỉ IP để truy cập internet, sau đó hãy chắc chắn rằng bạn thêm chúng là tốt.
7. Vô hiệu hóa gợi ý đăng nhập
Khi bạn cố gắng đăng nhập nhưng lại thất bại nhiều lần, WordPress sẽ hiển thị lỗi cho người dùng biết rằng tên người dùng hoặc mật khẩu của họ không chính xác. Những gợi ý đăng nhập này có thể được sử dụng bởi ai đó vì vậy chúng rất nguy hiểm nếu rơi vào tay của các hacker chuyên nghiệp. Bạn có thể dễ dàng ẩn những gợi ý đăng nhập này bằng cách thêm mã này vào tệp functions.php hoặc cài plugin dành riêng cho trang web.
8. Yêu cầu người dùng sử dụng mật khẩu mạnh
Nếu bạn chạy một trang web WordPress bao gồm nhiều tác giả, sau đó những người dùng có thể chỉnh sửa hồ sơ của họ và sử dụng một mật khẩu yếu. Những mật khẩu này có thể được hỏi và cung cấp cho ai đó truy cập vào khu vực quản trị WordPress. Để khắc phục điều này, bạn có thể cài đặt plugin Force Strong Passwords. Pluginnày không có phần cài đặt cho bạn để cấu hình. Một khi được kích hoạt, nó sẽ ngăn người dùng sử dụng mật khẩu yếu. Nó sẽ không kiểm tra mật khẩu cho các tài khoản người dùng hiện có. Nếu người dùng đã sử dụng một mật khẩu yếu, sau đó họ sẽ có thể tiếp tục sử dụng mật khẩu của họ.
9. Đặt lại mật khẩu cho tất cả người dùng
Nếu bạn quan tâm đến bảo mật mật khẩu trên trang web WordPress đa người dùng? Bạn có thể yêu cầu tất cả người dùng của mình đặt lại mật khẩu. Trước tiên, bạn cần cài đặt và kích hoạt plugin Emergency Password Reset. Khi kích hoạt, hãy truy cập vào Users » Emergency Password Reset và nhấp vào nút ‘Reset All Passwords’.
10. Luôn luôn cập nhật phiên bản WordPress
WordPress thường phát hành phiên bản mới của phần mềm. Mỗi phiên bản mới của WordPress chứa các bản sửa lỗi quan trọng, các tính năng mới và đặc biệt là các bản sửa lỗi bảo mật. Việc sử dụng một phiên bản WordPress cũ hơn trên trang của bạn sẽ giúp bạn mở ra các lỗ hổng tiềm ẩn. Để khắc phục điều này, bạn cần phải chắc chắn rằng bạn đang sử dụng phiên bản mới nhất của WordPress. Tương tự như vậy, các plugin WordPress cũng thường được cập nhật để giới thiệu các tính năng mới hoặc sửa chữa bảo mật và các vấn đề khác. Đảm bảo các plugin WordPress của bạn cũng được cập nhật.
11. Quyền hạn truy cập bảng điều khiển (Dashboard)
Một số trang WordPress có một số người dùng cần truy cập vào bảng điều khiển và một số người dùng không. Tuy nhiên, theo mặc định tất cả họ đều có thể truy cập khu vực quản trị viên. Để khắc phục điều này, bạn cần cài đặt và kích hoạt plugin Remove Dashboard Access. Khi kích hoạt, bạn tìm đến mục Settings » Dashboard Access và chọn vai trò người dùng nào sẽ có quyền truy cập vào khu vực quản trị trên trang web của bạn.
12. Đăng xuất người dùng khi không hoạt động
WordPress không tự động đăng xuất người dùng cho đến khi họ tự đăng xuất hoặc đóng cửa sổ trình duyệt của họ. Điều này có thể là một mối quan tâm cho các trang web WordPress với thông tin nhạy cảm. Đó là lý do các trang web và ứng dụng của tổ chức tài chính tự động đăng xuất người dùng nếu họ không hoạt động. Để khắc phục điều này, bạn có thể cài đặt và kích hoạt plugin Idle User Logout. Khi kích hoạt, hãy đi tới Settings » Idle User Logout và nhập thời gian mà sau đó bạn muốn người dùng tự động đăng xuất. Chúng tôi hy vọng bài viết này đã giúp bạn tìm hiểu một số mẹo mới và hacks để bảo vệ khu vực quản trị WordPress của bạn. Mong rằng qua bài này các bạn sẽ tự bảo vệ trang web của mình trước những tin tặc, hacker nguy hiểm.