Các Bước Bảo Mật Trang Quản Trị Wordpress 2023

Các Bước Bảo Mật Trang Quản Trị Wordpress 2023


Ngày 6 Tháng 2 Năm 2023

Ngày nay Wordpress vẫn được sử dụng phổ biến cho nên việc các tin tặc tìm kiếm các lỗ hổng bảo mật để khai thác là điều không thể tránh khỏi. Do đó trong bài viết hôm nay mình sẽ hướng dẫn bạn cách tăng độ bảo mật cho website bằng cách đảm bảo an toàn cho trang quản trị Wordpress.

Sử dụng mật khẩu mạnh

Không chỉ đối với tài khoản Wordpress mà đối với các tài khoản khác khi sử dụng trên môi trường online thì bạn cũng nên thiết lập mật khẩu mạnh để đảm bảo tính bảo mật. Một mật khẩu mạnh sẽ được đặt dựa trên các yếu tố là phải chứa ít nhất 8 ký tự, phải có chứa chữ hoa và chữ thường, chứa các ký tự đặc biệt và số. Ngoài ra khi đặt mật khẩu thì bạn nên tránh việc sử dụng tên của người thân hoặc của chính mình. Bạn có thể sử dụng tiện ích tự động tạo strong password để thiết lập mật khẩu cho tài khoản.

Thiết lập strong password

Thay đổi hoặc ẩn địa chỉ đăng nhập

Theo mặc địch thì địa chỉ đăng nhập của Wordpress mặc định sẽ là:
https://www.tenwebsite.com/wp-admin hoặc https://www.tenwebsite.com/wp-login.php
Nhằm để ngăn chặn ngay từ đầu việc người khác muốn truy cập vào trang web một cách bất hợp pháp thì bạn có thể thay đổi đường dẫn này sang một đường dẫn khác an toàn hơn.

Một cách đơn giản và nhanh chóng thay đổi dường dẫn đăng nhập trong Wordpress là sử dụng plugin WPS Hide Login. Các bước thực hiện là:

  • Cài đặt và kích hoạt plugin WPS Hide Login.
  • Bạn đi đến phần Settings trong phần menu của trang quản trị.
  • Bạn chọn vào Plugin WPS Hide Login
  • Cuối cùng bạn nhập địa chỉ đăng nhập mới dành cho Wordpres.

Thiết lập mật khẩu cho thư mục wp-admin

Thư mục wp-admin là nơi chứa các thông tin quan trọng của website. Do đó ngoài việc thiết lập bảo mật vòng ngoài là trang đăng nập wordpress thì mình nghĩ bạn nên tạo thêm một lớp bảo mật dành cho thư mục wp-admin bằng cách:

  • Đầu tiên bạn truy cập vào cPannel của máy chủ hoặc FTP Client.
  • Nhấn vào icon với tên là "Password Protect Directories" hoặc "Directory Privacy"
    • Thiết lập mật khẩu wp-admin
  • Sau đó bạn tìm đến thư mục wp-admin.
  • Tích chọn vào "Password protect this directory" để thiết lập mật khẩu cho thư mục này.
  • Tiếp đến bạn nhập tên đăng nhập và mật khẩu.
  • Cuối cùng là nhất Save để lưu lại các thiết lập.

Khi mỗi lần có người truy cập vào trang Wordpress admin thì sẽ có thông bắt đăng nhập như hình ở dưới đây:

Thiết lập mật khẩu wp-admin 2

Giới hạn số lần đăng nhập

Thông thường là Wordpress sẽ cho phép người dùng có thể nhập thông tin tài khoản bao nhiêu lần tùy thích. Đối với chúng ta thì đây là bình thường. Nhưng bạn hãy tưởng tượng nếu tin tặc biết username của bạn và bắt đầu thử đăng nhập tự động với các mật khẩu khác nhau bằng phần mềm thì điều này sẽ có thể làm mật khẩu bị lộ. Dù xác suất thành công sẽ không cao nhưng việc ngăn chặn tình trạng này sẽ giúp trang web của bạn được bảo mật hơn.

Bạn nên sử dụng plugin Wordfence Security để:

  • Giới hạn số lần đăng nhập thất bại.
  • Giới hạn số lần quên mật khẩu.
  • Thiết lập khoảng thời gian để đếm các lần đăng nhập thất bại.
  • Thiết lập thời gian khóa tài khoản khi họ đăng nhập thất bại quá nhiều lần.
Giới hạn số lần đăng nhập Wordpress

Sử dụng phương thức xác thực hai yếu tố

Bằng cách ngoài việc người dùng nhập tên đăng nhập và mật khẩu thì bạn cần phải thêm một bước để xác định danh tính nữa. Nó có thể là một kí tự gồm 6 chữ số được gửi vào tin nhắn, email hay chấp thuận cho phép đăng nhập bằng ứng dụng bên thức ba như Microsoft Authenticator, Google Authenticator... Theo mình đây là một bước quan trọng mà bạn cần phải thiết lập ngay cho tài khoản của mình. Vì dù tin tặc có biết được thông tin đăng nhập thì cũng phải cần có bước xác thực cuối cùng đến từ bạn.

Bạn có thể sử dụng plugin Google Authenticator để thiết lập bảo mật hai yếu tố dành cho trang Wordpress của mình nha.

Xác thực hai yếu tố

Bỏ tính năng login hints

Tính năng này sẽ đưa ra các thông báo gợi ý cho người dùng là tên đăng nhập không đúng hoặc mật khẩu không đúng khi đăng nhập thất bại. Từ đó giúp chúng ta dễ dàng xác định được phần nào đang bị sai để sửa lại. Nhưng nếu tin tặc muốn truy cập vào trang web của bạn thì các gợi ý này có thể bị họ lợi dụng để tăng khả năng đăng nhập vào website của bạn.

Tính năng login hints

Để loại bỏ phương thức login hints thì bạn truy cập vào function.php và thêm đoạn mã như hình bên dưới nhé!

Đoạn mã để disable login hints

Giới hạn quyền truy cập thông qua IP Adressess

Cái này mình khuyên chỉ sử dụng khi bạn đã có sơ qua một số kiến thức nền tảng về lập trình web. IP là duy nhất và không thể sao chép cho nên bạn có thể dễ dàng kiểm soát được người truy cập vào admin của trang web thông qua việc giới hạn địa chỉ IP bằng cách thêm mã vào file .htaccess.

Cập nhật phiên bản Wordpress

Wordpress vẫn thường cập nhật các phiên bản mới để vá các lỗi bảo mật, thêm các tính năng mới hay sửa các lỗi quan trọng. Do đó việc update các phiên bản mới nhất của Wordpress là điều cần thiết để bạn có thể nâng cao bảo mật cho trang web của mình. Ngoài ra bạn cũng nên quan tâm đến việc cập nhật theme và plugin cho trang web nữa nhé.

Nếu bạn muốn tham khảo plugin về công cụ bảo mật trong Wordpress thì truy cập ở đây nhé.

Tổng kết:

Qua đây mình mong bài viết sẽ cung cấp cho bạn các kiến thức để bảo mật cho trang quản trị Wordpress tốt hơn. Nếu có thắc mắc gì cứ gửi email mình sẽ phản hồi sớm nhất có thể. Rất mong bạn tiếp tục ủng hộ trang web để mình có thể viết nhiều bài hay hơn nữa nhé. Chúc bạn có một ngày vui vẻ!

Từ Khóa

CSS HTML Javascript Nguồn Lập Trình Wordpress

Udemy
DigitalOcean Referral Badge
Góc trả lời

Nếu các bạn có gì thắc mắc thì liên hệ mình qua những mạng xã hội sau đây nhé!

© 2022 Copyright: Niềm Vui Lập Trình (Thái Viết Nhật).