Đâu là cải tiến bảo mật được đề xuất cho trang web WordPress của bạn?

Hướng dẫn này sẽ cung cấp cho bạn một số bước cần tuân theo để giữ an toàn cho trang web WordPress của bạn.

đối với chủ đề cPanel paper_lantern
đối với chủ đề cPanel x3

LƯU Ý. Trước khi tiếp tục với bất kỳ thay đổi nào, hãy đảm bảo rằng bạn tạo bản sao lưu đầy đủ cho trang web của mình. Nếu bạn đã tạo trang web của mình bằng trình cài đặt tập lệnh Softaculous, vui lòng tham khảo hướng dẫn này (bước #4 – Phần mềm sao lưu).


đối với chủ đề paper_lantern cPanel.
1. Giới thiệu
2. Sao lưu thường xuyên
3. Cập nhật WordPress, chủ đề và plugin lên phiên bản mới nhất
4. Sử dụng các nguồn đáng tin cậy
5. Sử dụng tên người dùng và mật khẩu an toàn
6. Thay đổi tiền tố cơ sở dữ liệu, tên người dùng và mật khẩu
7. Đặt mật khẩu bảo vệ cho các tệp và thư mục quan trọng
8. Sử dụng quyền truy cập FTP (SFTP) và Shell (SSH) bảo mật
9. Ẩn phiên bản WordPress
10. Giới hạn số lần kết nối không thành công
11. Plugin bảo mật WordPress
12. Bảo mật tài khoản và bên ngoài



1. Giới thiệu


Ngày nay, chúng tôi gặp phải rất nhiều vấn đề về bảo mật với các hệ thống quản lý nội dung (CMS) và ứng dụng web khác nhau. WordPress không phải là ngoại lệ vì đây là một trong những hệ thống quản lý nội dung blog phổ biến và mạnh mẽ nhất.

Có một số lý do cho việc này.

• CMS sử dụng các tệp điển hình cho mật khẩu và cài đặt nằm trong cùng thư mục cho mỗi tài khoản (wp-config. php, wp-admin/ thư mục, v.v. ) nên chúng rất dễ định vị và sửa đổi sau khi có quyền truy cập một phần.
• Bảng quản trị (wp-admin) chạy trong cùng một miền và sử dụng cùng một cơ sở mã/quyền như phần còn lại của ứng dụng
• Người dùng quản trị có thể cài đặt một plugin/chủ đề, sau đó có thể sửa đổi bất kỳ tệp nào hoặc thay đổi bất kỳ thứ gì trong cơ sở dữ liệu (điều này liên quan đến các chủ đề hoặc plugin bị hỏng, không chính thức, không cập nhật, tự sửa đổi hoặc lừa đảo)
  

Bài viết này cung cấp cho bạn danh sách các mẹo và hướng dẫn có thể cải thiện mức độ bảo mật cho cài đặt WordPress của bạn.


2. Tạo bản sao lưu thường xuyên


Tạo bản sao lưu thường xuyên cho trang web WordPress của bạn là bước đầu tiên và quan trọng nhất. Trước khi bạn áp dụng bất kỳ thay đổi nào, hãy đảm bảo rằng bạn đã sao lưu toàn bộ cơ sở dữ liệu hoặc cài đặt WordPress của mình.

Để tạo bản sao lưu, bạn có thể sử dụng tùy chọn Softaculous WordPress Backup.

Bạn nên tạo bản sao lưu thường xuyên cho toàn bộ tài khoản cPanel của mình bằng công cụ Sao lưu và tạo Bản sao lưu cPanel đầy đủ, bạn có thể tham khảo hướng dẫn này để biết thêm chi tiết.

Ngoài ra, bạn có thể sao lưu trang web WordPress của mình bằng CodeGuard, chúng tôi có hướng dẫn chi tiết tại đây.


3. Cập nhật WordPress, giao diện và plugin lên phiên bản mới nhất

 
Phiên bản mới nhất của WordPress luôn có sẵn trên trang web chính thức của WordPress. Bản phát hành chính thức không có sẵn từ các trang web hoặc tài nguyên khác, do đó KHÔNG BAO GIỜ cập nhật WordPress từ tài nguyên của bên thứ ba. Ngoài ra, bạn có thể dễ dàng cập nhật WordPress trực tiếp từ Bảng điều khiển dành cho quản trị viên hoặc qua Softaculous bằng hướng dẫn này. Mặc dù duy trì một trang web WordPress không phải là khoa học tên lửa, nhưng nó vẫn là một nhiệm vụ đòi hỏi sự tập trung và chú ý liên tục-điều mà nhiều chủ sở hữu trang web không cần phải rảnh rỗi. Cân nhắc sử dụng dịch vụ bảo trì WordPress để giúp bạn theo kịp các tác vụ khẩn cấp và đã lên lịch khác nhau, chẳng hạn như khắc phục sự cố DNS hoặc phân loại các sự cố tương thích plugin.



Đảm bảo rằng phiên bản blog của bạn được cập nhật. Nhóm WordPress liên tục tạo các bản vá để sửa các 'lỗ hổng' bảo mật và cửa hậu. Đó là lý do tại sao việc có phiên bản WordPress mới nhất là rất quan trọng.

Bạn cũng nên cập nhật plugin và chủ đề của mình lên phiên bản mới nhất vì lỗi của một trong những chủ đề này có thể ảnh hưởng đến toàn bộ quá trình cài đặt của bạn. Bạn có thể cập nhật cả plugin và chủ đề thông qua Bảng điều khiển dành cho quản trị viên > chọn menu Plugins hoặc Chủ đề và nhấp vào Cập nhật ngay bên cạnh plugin hoặc chủ đề cần thiết.





LƯU Ý. Bạn nên tạo bản sao lưu các tệp và cơ sở dữ liệu WordPress của mình trước khi áp dụng bất kỳ thay đổi nào.


4. Sử dụng các nguồn đáng tin cậy


Nhiều chủ đề WordPress 'miễn phí' tùy chỉnh bao gồm mã hóa base64, thường được sử dụng để ẩn mã độc hại. Vì vậy, với các chủ đề hoặc plugin như vậy, bạn có thể dễ dàng tải phần mềm độc hại vào tài khoản của mình. Đây là cách hầu hết các 'tin tặc' truy cập vào tệp và trang web của bạn.

Chúng tôi khuyên bạn chỉ nên sử dụng nội dung từ nguồn chính thức như http. //wordpress. org/ vì đây là nơi an toàn nhất để tải chủ đề và plugin.


5. Sử dụng tên người dùng và mật khẩu an toàn


Thông tin đăng nhập mặc định của WordPress là 'quản trị viên' và hầu hết tin tặc đều biết điều đó. Nó nên được thay đổi thành mật khẩu tùy chỉnh với mật khẩu mạnh bao gồm các phím trên/dưới, số và ký hiệu.

Giả sử bạn sử dụng Softaculous, bạn chỉ định tên người dùng trên màn hình cài đặt.



Ngoài ra, bạn không nên sử dụng mật khẩu hoặc địa chỉ email tương tự như tài khoản của mình từ các tài nguyên web khác.

Bạn có thể thay đổi Tên người dùng hoặc Mật khẩu quản trị của mình thông qua cơ sở dữ liệu, bạn có thể tìm thấy các hướng dẫn tương ứng tại đây.
 


6. Thay đổi tiền tố cơ sở dữ liệu, tên người dùng và mật khẩu


6. 1 Thay đổi tiền tố cơ sở dữ liệu

Bạn nên thay đổi tiền tố cơ sở dữ liệu vì tiền tố bảng mặc định cho WordPress là wp_. Các cuộc tấn công SQL Injection dễ dàng hơn với tiền tố bảng mặc định vì nó dễ đoán hơn. Chúng tôi khuyên bạn nên thay đổi tiền tố cơ sở dữ liệu thành thứ gì đó an toàn hơn wp_.

LƯU Ý. Tạo bản sao lưu cơ sở dữ liệu của bạn trước khi áp dụng bất kỳ thay đổi nào.

Nếu bạn cài đặt WordPress bằng Softaculous, bạn có thể đặt tiền tố Bảng tùy chỉnh và tên Cơ sở dữ liệu trong quá trình cài đặt, trong phần Tùy chọn nâng cao mở rộng.



Nếu bạn đã cài đặt WordPress, bạn vẫn có thể thay đổi tiền tố cơ sở dữ liệu theo hai cách. thủ công hoặc sử dụng một plugin đặc biệt.

Để thay đổi tiền tố cơ sở dữ liệu thủ công, hãy chuyển đến menu cPanel > phpMyAdmin > chọn cơ sở dữ liệu cần thiết từ phía bên trái > nhấp vào tùy chọn SQL ở trên.





Tại đây, bạn cần chạy các truy vấn SQL ĐỔI TÊN trên các bảng trong cơ sở dữ liệu WordPress của mình.

ĐỔI TÊN bảng `wp_commentmeta` THÀNH `newprefix_commentmeta`;
ĐỔI TÊN bảng `wp_comments` THÀNH `newprefix_comments`;
ĐỔI TÊN bảng ` . newprefix_ nên được thay thế bằng tiền tố cơ sở dữ liệu mới mà bạn muốn có thay vì wp_.
RENAME table `wp_options` TO `newprefix_options`;
RENAME table `wp_postmeta` TO `newprefix_postmeta`;
RENAME table `wp_posts` TO `newprefix_posts`;
RENAME table `wp_terms` TO `newprefix_terms`;
RENAME table `wp_term_relationships` TO `newprefix_term_relationships`;
RENAME table `wp_term_taxonomy` TO `newprefix_term_taxonomy`;
RENAME table `wp_usermeta` TO `newprefix_usermeta`;
RENAME table `wp_users` TO `newprefix_users`;

NOTE: newprefix_ should be replaced with the new database prefix you wish to have instead of wp_.

Nhấn Đi để tiếp tục thay đổi.



Sau khi hoàn tất, bạn sẽ thấy tiền tố cơ sở dữ liệu mới đã được áp dụng cho cơ sở dữ liệu WordPress của mình.



Sau đó, bạn sẽ cần tìm kiếm trong bảng tùy chọn để tìm bất kỳ trường nào khác đang sử dụng wp_ làm tiền tố để thay thế chúng. Cần phải chạy truy vấn sau theo cùng một cách.

CHỌN * TỪ `newprefix_options` WHERE `option_name` LIKE '%wp_%'




Sau đó nhấp vào Bắt đầu và bạn sẽ nhận được kết quả như trong ảnh chụp màn hình bên dưới.



Tại đây, bạn sẽ cần thực hiện từng dòng một để thay đổi các dòng này và thay thế tiền tố cơ sở dữ liệu cũ bằng tiền tố cơ sở dữ liệu mới. Sau khi hoàn tất, chúng tôi cần tìm kiếm usermeta cho tất cả các trường đang sử dụng wp_ làm tiền tố với sự trợ giúp của truy vấn SQL này.

CHỌN * TỪ `newprefix_usermeta` WHERE `meta_key` LIKE '%wp_%'




Sau đó, nhấp vào Đi và các kết quả sau sẽ xuất hiện.



Số lượng mục nhập có thể khác nhau tùy thuộc vào số lượng plugin bạn đang sử dụng, v.v. Tại đây, bạn cũng cần thay đổi mọi thứ với wp_ thành tiền tố mới.

Sau khi hoàn tất, hãy đảm bảo rằng bạn cập nhật wp-config. php với tiền tố cơ sở dữ liệu mới.



Ngoài ra, bạn có thể thay đổi tiền tố cơ sở dữ liệu bằng các plugin đặc biệt như Thay đổi tiền tố DB hoặc Thay đổi tiền tố bảng.


6. 2 Thay đổi tên người dùng và mật khẩu cơ sở dữ liệu

Để thay đổi tên người dùng hoặc mật khẩu cơ sở dữ liệu, hãy đăng nhập vào cPanel và điều hướng đến menu Cơ sở dữ liệu MySQL trong phần Cơ sở dữ liệu.



Trong Người dùng hiện tại, bạn sẽ thấy tất cả người dùng cơ sở dữ liệu đã tạo trong tài khoản của mình. Tại đây bạn có thể Thay đổi mật khẩu hoặc Đổi tên người dùng cơ sở dữ liệu cần thiết bằng cách chọn tùy chọn tương ứng.




Để thay đổi mật khẩu, nhấp vào Thay đổi mật khẩu. Trong cửa sổ mới, nhập mật khẩu mới của bạn hai lần và nhấp vào Thay đổi mật khẩu.




Để thay đổi tên người dùng cơ sở dữ liệu, hãy nhấp vào Đổi tên. Trong cửa sổ mới, bạn cần chỉ định tên người dùng mới mà bạn muốn có (đây sẽ là phần sau cPanelusername_ ) và nhấp vào Tiến hành để lưu thay đổi.



Sau khi tên người dùng hoặc mật khẩu cơ sở dữ liệu được thay đổi, bạn cần cập nhật wp-config của mình. php với các chi tiết tương ứng.




7. Đặt mật khẩu bảo vệ cho các tệp và thư mục quan trọng

Khi tăng cường bảo vệ WordPress để ngăn trang web của bạn bị tấn công, chúng tôi khuyên bạn nên đặt mật khẩu bảo vệ cho các tệp hệ thống.

Để tạo mật khẩu bảo vệ, hãy làm theo các bước sau.

Truy cập cPanel > phần Tệp > Quyền riêng tư của thư mục để truy cập danh sách các thư mục trên trang web của bạn.





Chọn thư mục bạn muốn bảo vệ và nhấp vào thư mục đó.



Đánh dấu vào Mật khẩu bảo vệ thư mục này và đặt tên cho thư mục được bảo vệ của bạn.



Sau đó, Tạo Người dùng được phép truy cập thư mục và lưu các thay đổi.



Bạn có thể làm theo hướng dẫn được tạo đặc biệt của chúng tôi về cách thiết lập bảo vệ bằng mật khẩu để biết thêm chi tiết. Ngoài ra, bạn có thể thiết lập các quy tắc bảo vệ nội bộ trong. htaccess để bảo vệ các tệp và thư mục của bạn như được hiển thị ở đây.

LƯU Ý. Điều rất quan trọng là bảo vệ wp-config. php và wp-adminfolder vì chúng dễ bị tin tặc tấn công hơn.

8. Sử dụng quyền truy cập FTP (SFTP) và Shell (SSH) bảo mật

Tải tệp lên qua FTP là cách nhanh chóng để thiết lập và chạy một trang web mới hoặc thêm tệp mới vào tài khoản của bạn. Tuy nhiên, SFTP an toàn hơn và mật khẩu của bạn được mã hóa để giúp ngăn tin tặc biết được mật khẩu đó. Bạn có thể xem hướng dẫn chi tiết hơn về cách tải tệp lên qua FTP hoặc SFTP tại đây.

SCP và SSH là một phương pháp an toàn khác để thêm hoặc chuyển các tệp trên trang web của bạn.

Nếu bạn muốn sử dụng FTP (hoặc sử dụng chi tiết cPanel để kết nối FTP), bạn nên xóa bất kỳ tài khoản FTP nào mà bạn không sử dụng để ngăn chặn việc truy cập chúng mà không có sự đồng ý của bạn. Đây là một cách tuyệt vời để giúp giữ cho trang web và thông tin của bạn an toàn hơn.


9. Ẩn phiên bản WordPress

Một ý tưởng hay khác là xóa meta trình tạo cho WordPress. Meta này hiển thị phiên bản trang web WordPress của bạn. Bạn có thể mở trang web của mình và kiểm tra mã nguồn bằng cách nhấn CTRL + U trên Windows hoặc Option+Command+U trên máy Mac. Nếu phiên bản WordPress hiển thị cho tin tặc, chúng sẽ dễ dàng nhắm mục tiêu vào các lỗ hổng của phiên bản cụ thể để xâm nhập vào trang web của bạn.

Để ẩn phiên bản WordPress của bạn, hãy điều hướng chủ đề hiện tại của bạn tại /wp-content/themes/yourtheme/ và chèn mã bên dưới vào chức năng. tập tin php.

/* Ẩn chuỗi phiên bản WP khỏi tập lệnh và kiểu
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function fjarrett_remove_wp_version_strings( $src ) {
            global $wp_version;
            parse_str(parse_url($src, PHP_URL_QUERY), $query);
            if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
            $src = remove_query_arg('ver', $src);
            }
            return $src;
}
add_filter( 'script_loader_src', 'fjarrett_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'fjarrett_remove_wp_version_strings' );

/* Hide WP version strings from generator meta tag */
function wpmudev_remove_version() {
return '';
}
add_filter('the_generator', 'wpmudev_remove_version');



10. Limiting the number of failed connections


Bạn nên giới hạn số lần đăng nhập vào Trang tổng quan WordPress của mình với sự trợ giúp của plugin Login LockDown. Nó ghi lại địa chỉ IP của mọi lần đăng nhập thất bại trong một khoảng thời gian nhất định. Nếu phát hiện nhiều hơn một số lần thử nhất định trong một khoảng thời gian ngắn từ cùng một dải IP, thì chức năng đăng nhập sẽ bị tắt đối với tất cả các yêu cầu từ dải đó. Điều này cho phép ngăn chặn phát hiện mật khẩu vũ phu.


11. Plugin bảo mật WordPress

Một trong những bước quan trọng nhất để bảo vệ tốt trang web WordPress của bạn là sử dụng plugin bảo mật.


Bảo mật Wordfence.



Wordfence Security là plugin bảo mật WordPress miễn phí cho phép quét trang web của bạn để tìm mã độc hại, cửa hậu hoặc trình bao mà tin tặc đã cài đặt, hiển thị số liệu phân tích và lưu lượng truy cập trang web trong thời gian thực, thiết lập tính năng quét tự động, v.v. . Bạn có thể tìm thấy mô tả của từng tùy chọn tại đây.


Phần bổ trợ Bảo mật WP của Accunetix.



Acunetix WP Security kiểm tra trang web WordPress của bạn để tìm các lỗ hổng bảo mật và đề xuất các hành động khắc phục như mật khẩu, quyền đối với tệp, bảo mật cơ sở dữ liệu, ẩn phiên bản WordPress và bảo vệ quản trị viên.

Plugin bảo mật WordPress tất cả trong một.




Plugin bảo mật WordPress tất cả trong một là một plugin thân thiện với người dùng sẽ mang lại sự bảo mật cho trang web WordPress của bạn ở cấp độ mới. Nó cung cấp tài khoản người dùng và bảo mật đăng nhập, bảo mật hệ thống tệp và cơ sở dữ liệu, ngăn chặn tấn công đăng nhập vũ phu, quét trang web, v.v.


12. Bảo mật tài khoản và bên ngoài
 
Dưới đây là các mẹo và đề xuất chung sẽ giúp bạn tăng cường bảo mật tài khoản và bên ngoài.

• Giữ cho môi trường cục bộ của bạn được cập nhật và sạch sẽ khỏi vi-rút.
• Bảo vệ dịch vụ lưu trữ của bạn (tài khoản cPanel). Tại đây, bạn có thể tìm thấy các mẹo chung về cách ngăn chặn cuộc tấn công của tin tặc
  
• Sử dụng mật khẩu an toàn và kết nối SFTP + loại để tải lên FTP/tệp
• Thay đổi mật khẩu cPanel của bạn thường xuyên. Cố gắng sử dụng mật khẩu mạnh (với số đăng ký cao và thấp Aa-Zz và các ký hiệu đặc biệt) và chúng tôi khuyên bạn cũng nên thay đổi mật khẩu cho tất cả các tài khoản email của mình
  
• Không lưu trữ mật khẩu ở những nơi có thể lấy được dễ dàng (e. g. , mật khẩu. txt trên máy tính để bàn không an toàn lắm)
• Cập nhật tất cả các tập lệnh của bên thứ ba lên phiên bản mới nhất của họ
• Luôn có một bản sao lưu toàn bộ trang web của bạn và cơ sở dữ liệu của nó
  

Các mẹo được cung cấp ở trên không đảm bảo an toàn 100% cho trang web WordPress của bạn, tuy nhiên, chúng làm giảm đáng kể khả năng bị tấn công. Chúng tôi chân thành hy vọng bài viết này đã giúp bạn đủ để đảm bảo công việc kinh doanh trực tuyến của bạn và trở thành một khách hàng hài lòng và không gặp rắc rối.




đối với chủ đề cPanel x3.
1. Giới thiệu
2. Sao lưu thường xuyên
3. Cập nhật WordPress, chủ đề và plugin lên phiên bản mới nhất
4. Sử dụng các nguồn đáng tin cậy
5. Sử dụng tên người dùng và mật khẩu an toàn
6. Thay đổi tiền tố cơ sở dữ liệu, tên người dùng và mật khẩu
7. Đặt mật khẩu bảo vệ cho các tệp và thư mục quan trọng
8. Sử dụng quyền truy cập FTP (SFTP) và Shell (SSH) bảo mật
9. Ẩn phiên bản WordPress
10. Giới hạn số lần kết nối không thành công
11. Plugin bảo mật WordPress
12. Bảo mật tài khoản và bên ngoài



1. Giới thiệu


Ngày nay, chúng tôi gặp phải rất nhiều vấn đề về bảo mật với các hệ thống quản lý nội dung (CMS) và ứng dụng web khác nhau. WordPress không phải là ngoại lệ vì đây là một trong những hệ thống quản lý nội dung blog phổ biến và mạnh mẽ nhất.

Có nhiều nguyên nhân.

• CMS sử dụng các tệp điển hình cho mật khẩu và cài đặt nằm trong cùng thư mục cho từng tài khoản (wp-config. php, wp-admin/ thư mục, v.v. ) nên chúng rất dễ định vị và sửa đổi sau khi có quyền truy cập một phần.
• Bảng quản trị (wp-admin) chạy trong cùng một miền và sử dụng cùng một cơ sở mã/quyền như phần còn lại của ứng dụng
• Người dùng quản trị có thể cài đặt một plugin/chủ đề, sau đó có thể sửa đổi bất kỳ tệp nào hoặc thay đổi bất kỳ thứ gì trong cơ sở dữ liệu (điều này liên quan đến các chủ đề hoặc plugin bị hỏng, không chính thức, không cập nhật, tự sửa đổi hoặc lừa đảo)
  

Bài viết này cung cấp cho bạn danh sách các mẹo và hướng dẫn có thể cải thiện mức độ bảo mật cho cài đặt WordPress của bạn.


2. Tạo bản sao lưu thường xuyên


Tạo bản sao lưu thường xuyên cho trang web WordPress của bạn là bước đầu tiên và quan trọng nhất. Trước khi bạn áp dụng bất kỳ thay đổi nào, hãy đảm bảo rằng bạn đã sao lưu toàn bộ cơ sở dữ liệu hoặc cài đặt WordPress của mình.

Để tạo bản sao lưu, bạn có thể sử dụng tùy chọn Softaculous WordPress Backup.

Bạn nên tạo các bản sao lưu thường xuyên cho toàn bộ tài khoản cPanel của mình bằng cPanel > Công cụ sao lưu, bạn có thể tham khảo hướng dẫn này để biết thêm chi tiết.

Ngoài ra, bạn có thể sao lưu trang web WordPress của mình bằng CodeGuard, chúng tôi có hướng dẫn chi tiết tại đây.


3. Cập nhật WordPress, giao diện và plugin lên phiên bản mới nhất

 
Phiên bản mới nhất của WordPress luôn có sẵn trên trang web chính thức của WordPress. Bản phát hành chính thức không có sẵn từ các trang web hoặc tài nguyên khác, do đó KHÔNG BAO GIỜ cập nhật WordPress từ tài nguyên của bên thứ ba. Ngoài ra, bạn có thể dễ dàng cập nhật WordPress trực tiếp từ Bảng điều khiển dành cho quản trị viên hoặc qua Softaculous bằng hướng dẫn này.



Đảm bảo rằng phiên bản blog của bạn được cập nhật. Nhóm WordPress làm việc liên tục để tạo các bản vá để sửa các 'lỗ hổng' bảo mật và cửa hậu. Đó là lý do tại sao việc có phiên bản WordPress mới nhất là rất quan trọng.

Bạn cũng nên cập nhật plugin và chủ đề của mình lên phiên bản mới nhất vì lỗi của một trong những thứ này có thể ảnh hưởng đến toàn bộ quá trình cài đặt của bạn. Bạn có thể cập nhật cả plugin và chủ đề thông qua Bảng điều khiển dành cho quản trị viên > chọn menu Plugins hoặc Chủ đề và nhấp vào 'Cập nhật ngay' bên cạnh plugin hoặc chủ đề cần thiết.





LƯU Ý. Bạn nên tạo bản sao lưu các tệp và cơ sở dữ liệu WordPress của mình trước khi áp dụng bất kỳ thay đổi nào.


4. Sử dụng các nguồn đáng tin cậy


Nhiều chủ đề WordPress 'miễn phí' tùy chỉnh bao gồm mã hóa base64, thường được sử dụng để ẩn mã độc hại. Vì vậy, với các chủ đề hoặc plugin như vậy, bạn có thể dễ dàng tải phần mềm độc hại vào tài khoản của mình. Đây là cách hầu hết các 'tin tặc' truy cập vào tệp và trang web của bạn.

Chúng tôi khuyên bạn chỉ nên sử dụng nội dung từ nguồn chính thức như http. //wordpress. org/ vì đây là nơi an toàn nhất để tải chủ đề và plugin.


5. Sử dụng tên người dùng và mật khẩu an toàn


Thông tin đăng nhập mặc định của WordPress là 'quản trị viên' và hầu hết tin tặc đều biết điều đó. Nó nên được thay đổi thành mật khẩu tùy chỉnh với mật khẩu mạnh bao gồm các phím trên/dưới, số và ký hiệu.

Giả sử bạn sử dụng Softaculous, bạn chỉ định tên người dùng trên màn hình cài đặt.



Ngoài ra, bạn không nên sử dụng mật khẩu hoặc địa chỉ email tương tự như tài khoản của mình từ các tài nguyên web khác.

Bạn có thể thay đổi Tên người dùng hoặc Mật khẩu quản trị của mình thông qua cơ sở dữ liệu, bạn có thể tìm thấy các hướng dẫn tương ứng tại đây.
 


6. Thay đổi tiền tố cơ sở dữ liệu, tên người dùng và mật khẩu

 
6. 1 Thay đổi tiền tố cơ sở dữ liệu

Bạn nên thay đổi tiền tố cơ sở dữ liệu vì tiền tố bảng mặc định cho WordPress là wp_. Các cuộc tấn công SQL Injection dễ dàng hơn với tiền tố bảng mặc định vì nó dễ đoán hơn. Chúng tôi khuyên bạn nên thay đổi tiền tố cơ sở dữ liệu thành thứ gì đó an toàn hơn wp_.

LƯU Ý. Tạo bản sao lưu cơ sở dữ liệu của bạn trước khi áp dụng bất kỳ thay đổi nào.

Nếu bạn cài đặt WordPress từ Softaculous, bạn có thể đặt tiền tố bảng tùy chỉnh và tên cơ sở dữ liệu trên màn hình cài đặt.



Nếu bạn đã cài đặt WordPress, bạn vẫn có thể thay đổi tiền tố cơ sở dữ liệu theo hai cách. thủ công hoặc sử dụng một plugin đặc biệt.

Để thay đổi tiền tố cơ sở dữ liệu thủ công, hãy chuyển đến menu cPanel > phpMyAdmin > chọn cơ sở dữ liệu cần thiết từ phía bên trái > nhấp vào tùy chọn SQL ở trên.

Tại đây, bạn cần chạy các truy vấn SQL ĐỔI TÊN trên các bảng trong cơ sở dữ liệu WordPress của mình.

ĐỔI TÊN bảng `wp_commentmeta` THÀNH `newprefix_commentmeta`;
ĐỔI TÊN bảng `wp_comments` THÀNH `newprefix_comments`;
ĐỔI TÊN bảng ` .
RENAME table `wp_options` TO `newprefix_options`;
RENAME table `wp_postmeta` TO `newprefix_postmeta`;
RENAME table `wp_posts` TO `newprefix_posts`;
RENAME table `wp_terms` TO `newprefix_terms`;
RENAME table `wp_term_relationships` TO `newprefix_term_relationships`;
RENAME table `wp_term_taxonomy` TO `newprefix_term_taxonomy`;
RENAME table `wp_usermeta` TO `newprefix_usermeta`;
RENAME table `wp_users` TO `newprefix_users`;

*where newprefix_ should be replaced with the new database prefix you wish to have instead of wp_, then click Go:



Sau khi hoàn tất, bạn sẽ thấy tiền tố cơ sở dữ liệu mới đã được áp dụng cho cơ sở dữ liệu WordPress của mình.



Sau đó, bạn sẽ cần tìm kiếm trong bảng tùy chọn để tìm bất kỳ trường nào khác đang sử dụng wp_ làm tiền tố để thay thế chúng. Cần phải chạy truy vấn sau theo cùng một cách.

CHỌN * TỪ `newprefix_options` WHERE `option_name` LIKE '%wp_%'




Sau đó nhấp vào Bắt đầu và bạn sẽ nhận được kết quả như trên ảnh chụp màn hình bên dưới.



Tại đây, bạn sẽ cần thực hiện từng dòng một để thay đổi các dòng này và thay thế tiền tố cơ sở dữ liệu cũ bằng tiền tố cơ sở dữ liệu mới. Sau khi hoàn tất, chúng tôi cần tìm kiếm usermeta cho tất cả các trường đang sử dụng wp_ làm tiền tố với sự trợ giúp của truy vấn SQL này.

CHỌN * TỪ `newprefix_usermeta` WHERE `meta_key` LIKE '%wp_%'




Sau đó, nhấp vào Đi và các kết quả sau sẽ xuất hiện.

Số lượng mục nhập có thể khác nhau tùy thuộc vào số lượng plugin bạn đang sử dụng, v.v. Tại đây, bạn cũng cần thay đổi mọi thứ với wp_ thành tiền tố mới.

Sau khi hoàn tất, hãy đảm bảo bạn cập nhật wp-config. php với tiền tố cơ sở dữ liệu mới.

Ngoài ra, bạn có thể thay đổi tiền tố cơ sở dữ liệu bằng các plugin đặc biệt như Thay đổi tiền tố DB hoặc Thay đổi tiền tố bảng.


6. 2 Thay đổi tên người dùng và mật khẩu cơ sở dữ liệu

Để thay đổi tên người dùng hoặc mật khẩu cơ sở dữ liệu, hãy đăng nhập vào cPanel >> nhấp vào menu Cơ sở dữ liệu MySQL trong phần Cơ sở dữ liệu.



Trong Người dùng hiện tại, bạn sẽ thấy tất cả người dùng cơ sở dữ liệu đã tạo trong tài khoản của mình. Tại đây bạn có thể Đặt mật khẩu mới hoặc Đổi tên người dùng cơ sở dữ liệu cần thiết bằng cách chọn tùy chọn tương ứng.




Để thay đổi mật khẩu, nhấp vào Đặt mật khẩu. Trong cửa sổ mới, nhập mật khẩu mới của bạn hai lần và nhấp vào Thay đổi mật khẩu.




Để thay đổi tên người dùng cơ sở dữ liệu, hãy nhấp vào Đổi tên. Trong cửa sổ mới, bạn cần chỉ định tên người dùng mới mà bạn muốn có (đây sẽ là phần sau cPanelusername_ ) và nhấp vào Tiến hành để lưu thay đổi.



Sau khi tên người dùng hoặc mật khẩu cơ sở dữ liệu được thay đổi, bạn cần cập nhật wp-config của mình. php với các chi tiết tương ứng.

7. Đặt mật khẩu bảo vệ cho các tệp và thư mục quan trọng

Để ngăn trang web WordPress của bạn bị tấn công, chúng tôi khuyên bạn nên đặt mật khẩu bảo vệ cho các tệp và thư mục hệ thống.

Để tạo mật khẩu bảo vệ, hãy làm theo các bước sau.

7. 1 Truy cập cPanel >> Tệp >> Quyền riêng tư của thư mục để truy cập danh sách các thư mục trên trang web của bạn.

7. 2 Chọn thư mục bạn muốn bảo vệ và nhấp vào thư mục đó.




7. 3 Đánh dấu vào Mật khẩu bảo vệ thư mục này và đặt tên cho thư mục được bảo vệ của bạn, nhập tên người dùng và mật khẩu và nhấp vào nút Lưu để lưu các thay đổi của bạn.



Bạn có thể làm theo hướng dẫn được tạo đặc biệt của chúng tôi về cách thiết lập bảo vệ bằng mật khẩu để biết thêm chi tiết. Ngoài ra, bạn có thể thiết lập các quy tắc bảo vệ nội bộ trong. htaccess để bảo vệ các tệp và thư mục của bạn.

LƯU Ý. Điều rất quan trọng là bảo vệ wp-config. php và wp-adminfolder vì chúng dễ bị tin tặc tấn công hơn.

8. Sử dụng quyền truy cập FTP (SFTP) và Shell (SSH) bảo mật

Tải tệp lên qua FTP là cách nhanh chóng để thiết lập và chạy một trang web mới hoặc thêm tệp mới vào tài khoản của bạn. Tuy nhiên, SFTP an toàn hơn và mật khẩu của bạn được mã hóa để giúp ngăn tin tặc biết được mật khẩu đó. Bạn có thể xem hướng dẫn chi tiết hơn về cách tải tệp lên qua FTP hoặc SFTP tại đây.

SCP và SSH là một phương pháp an toàn khác để thêm hoặc chuyển các tệp trên trang web của bạn.

Nếu bạn muốn sử dụng FTP (hoặc sử dụng chi tiết cPanel để kết nối FTP), bạn nên xóa bất kỳ tài khoản FTP nào mà bạn không sử dụng để ngăn chặn việc truy cập chúng mà không có sự đồng ý của bạn. Đây là một cách tuyệt vời để giúp giữ cho trang web và thông tin của bạn an toàn hơn.


9. Ẩn phiên bản WordPress

Một ý tưởng hay khác là xóa meta trình tạo cho WordPress. Meta này hiển thị phiên bản trang web WordPress của bạn. Bạn có thể mở trang web của mình và kiểm tra mã nguồn bằng cách nhấn CTRL + U trên Windows hoặc Option+Command+U trên máy Mac. Nếu phiên bản WordPress hiển thị cho tin tặc, chúng sẽ dễ dàng nhắm mục tiêu vào các lỗ hổng của phiên bản cụ thể để xâm nhập vào trang web của bạn.

Để ẩn phiên bản WordPress của bạn, hãy điều hướng chủ đề hiện tại của bạn tại /wp-content/themes/yourtheme/ và chèn mã bên dưới vào chức năng. tập tin php.

/* Ẩn chuỗi phiên bản WP khỏi tập lệnh và kiểu
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function fjarrett_remove_wp_version_strings( $src ) {
            global $wp_version;
            parse_str(parse_url($src, PHP_URL_QUERY), $query);
            if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
            $src = remove_query_arg('ver', $src);
            }
            return $src;
}
add_filter( 'script_loader_src', 'fjarrett_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'fjarrett_remove_wp_version_strings' );

/* Hide WP version strings from generator meta tag */
function wpmudev_remove_version() {
return '';
}
add_filter('the_generator', 'wpmudev_remove_version');



10. Limiting the number of failed connections


Bạn nên giới hạn số lần đăng nhập vào Trang tổng quan WordPress của mình với sự trợ giúp của plugin Login LockDown. Nó ghi lại địa chỉ IP của mọi lần đăng nhập thất bại trong một khoảng thời gian nhất định. Nếu phát hiện nhiều hơn một số lần thử nhất định trong một khoảng thời gian ngắn từ cùng một dải IP, thì chức năng đăng nhập sẽ bị tắt đối với tất cả các yêu cầu từ dải đó. Điều này cho phép ngăn chặn phát hiện mật khẩu vũ phu.

11. Plugin bảo mật WordPress

Một trong những bước quan trọng nhất để bảo vệ tốt trang web WordPress của bạn là sử dụng plugin bảo mật.


Bảo mật Wordfence.



Wordfence Security là plugin bảo mật WordPress miễn phí cho phép quét trang web của bạn để tìm mã độc hại, cửa hậu hoặc trình bao mà tin tặc đã cài đặt, hiển thị số liệu phân tích và lưu lượng truy cập trang web trong thời gian thực, thiết lập tính năng quét tự động, v.v. . Bạn có thể tìm thấy mô tả của từng tùy chọn tại đây.


Phần bổ trợ Bảo mật WP của Accunetix.



Acunetix WP Security kiểm tra trang web WordPress của bạn để tìm các lỗ hổng bảo mật và đề xuất các hành động khắc phục như mật khẩu, quyền đối với tệp, bảo mật cơ sở dữ liệu, ẩn phiên bản WordPress và bảo vệ quản trị viên.


Plugin bảo mật WordPress tất cả trong một.




Plugin bảo mật WordPress tất cả trong một là một plugin thân thiện với người dùng sẽ mang lại sự bảo mật cho trang web WordPress của bạn ở cấp độ mới. Nó cung cấp tài khoản người dùng và bảo mật đăng nhập, bảo mật hệ thống tệp và cơ sở dữ liệu, ngăn chặn tấn công đăng nhập vũ phu, quét trang web, v.v.


12. Bảo mật tài khoản và bên ngoài
 
Dưới đây là các mẹo và đề xuất chung sẽ giúp bạn tăng cường bảo mật tài khoản và bên ngoài.

• Giữ cho môi trường cục bộ của bạn được cập nhật và sạch sẽ khỏi vi-rút.
• Bảo vệ dịch vụ lưu trữ của bạn (tài khoản cPanel). Tại đây, bạn có thể tìm thấy các mẹo chung về cách ngăn chặn cuộc tấn công của tin tặc
  
• Sử dụng mật khẩu an toàn và kết nối SFTP + loại để tải lên FTP/tệp
• Thay đổi mật khẩu cPanel của bạn thường xuyên. Cố gắng sử dụng mật khẩu mạnh (với số đăng ký cao và thấp Aa-Zz và các ký hiệu đặc biệt) và chúng tôi khuyên bạn cũng nên thay đổi mật khẩu cho tất cả các tài khoản email của mình
  
• Không lưu trữ mật khẩu ở những nơi có thể lấy được dễ dàng (e. g. , mật khẩu. txt trên máy tính để bàn không an toàn lắm)
• Cập nhật tất cả các tập lệnh của bên thứ ba lên phiên bản mới nhất của họ
• Luôn có một bản sao lưu toàn bộ trang web của bạn và cơ sở dữ liệu của nó
  

Các mẹo được cung cấp ở trên không đảm bảo an toàn 100% cho trang web WordPress của bạn, tuy nhiên, chúng làm giảm đáng kể khả năng bị tấn công. Chúng tôi chân thành hy vọng bài viết này đã giúp bạn đủ để đảm bảo công việc kinh doanh trực tuyến của bạn và trở thành một khách hàng hài lòng và không gặp rắc rối.


Thế là xong.

              
             Bạn cần trợ giúp?

Cái nào không phải là cải tiến bảo mật được đề xuất cho trang web WordPress?

Bảo mật tốt nhất cho WordPress là gì?

Các vấn đề bảo mật với WordPress là gì?