Bảo mật website wordpress là một vấn đềcó tầm ảnh hưởng quan trọng đối với website. Nếu không đảm bảo tốt khâu này khi xảy ra sự cố thì hậu quả thường rất nghiêm trọng. Vì vậy việc bảo mật website ngày càng được quan tâm đến khi xây dựng website, blog. Hôm nay blog sẽ chia sẻ những cách giúp các bạn giảm các nguy cơ bị tấn công website hãy cùng tìm hiểu và thực hiện nhé.
Các Phương Pháp Bảo Mật Website WordPress
Phương pháp 1: Đặt một pass đủ phức tạp
Phương pháp 2: Đặt lại tên hiển thị khác với tên dùng để đăng nhập để hạn chế hacker biết biệt tài khoản đăng nhập để dò pass.
Phương Pháp 3: Tắt tính năng cho phép chỉnh sửa file, thư mục
Vào file wp-config.php thiết lập Tắt tính năng cho phép chỉnh sửa file, thư mục trong trường hợp đăng nhập được vào wordpress.
define(‘DISALLOW_FILE_EDIT’, true);
Phương Pháp 4: Cài chứng chỉ SSL
Phương Pháp 5: Cài và thiết lập ithemes-security-pro theo link hướng dẫn Tại Đây!
Tính năng Away Mode: Tính năng này sẽ giúp khóa các thời gian mà bạn không vào trang quản trị, việc này giúp hạn chế rủi ro tấn công hacker vào các giờ ít người vào.
Enable away mode : Bật chức năng Away Mode.
Type of Restriction : Loại từ chối, nếu bạn truy cập vào website mỗi ngày thì chọn Daily.
Start Time: – Thời gian bắt đầu “mở cổng” trang admin.
End Time : Thời gian đóng cổng trang admin.
Phương Pháp 6: Cập nhật phiên bản wordpress và plugin mới nhất
Phương Pháp 7: Thay đổi đường dẫn đăng nhập vào wp-admin sử dụng plugin itheme security (Có thể cài thêm Two-Factor Authentication:)
Phương Pháp 8: Gỡ bảo hiển thị phiên bản wordpress
Chèn vào function.php
remove_action( ‘wp_head’, ‘wp_generator’ );
Phương Pháp 9: Vô hiệu hóa XML-RPC
Cách thực hiện: Vào file function.php trong thư mục theme thêm dòng code phía dưới
# Block WordPress xmlrpc.php requests
order deny,allow
deny from all
allow from 123.123.123.123
Phương Pháp 10: Hạn chế số lần đăng nhập sai
Local Brute Force Protection: Đây là tính năng itheme security pro giúp hạn chế số lần đăng nhập sai.
Max Login Attempts Per Host
Số lần đăng nhập mà người dùng có trước khi máy chủ hoặc máy tính của họ bị khóa khỏi hệ thống.
Đặt là 0 hệ thống sẽ lưu log lại, tuy nhiên sẽ không khóa nếu đăng nhập sai.
Max Login Attempts Per User
Số lần đăng nhập mà người dùng có trước khi tên người dùng của họ bị khóa khỏi hệ thống.
Lưu ý rằng điều này khác với máy chủ trong trường hợp kẻ tấn công đang sử dụng nhiều máy tính.
Ngoài ra, nếu họ đang sử dụng tên đăng nhập của mình, có thể tự khóa mình.
Đặt thành 0 để ghi nhật ký các lần đăng nhập xấu cho mỗi người dùng mà không bao giờ khóa người dùng (điều này không được khuyến nghị).
Minutes to Remember Bad Login (check period)
Đây là mốc thời gian giữa 1 lần đăng nhập xấu.
Nên để 5 – 10 phút
