Hướng dẫn bảo mật WordPress toàn diện: 18 bước bảo vệ website an toàn tuyệt đối

WordPress là nền tảng website phổ biến toàn cầu nhưng cũng là mục tiêu hàng đầu của tin tặc với hàng ngàn cuộc tấn công mỗi ngày. Nhiều website bị xâm nhập do vô tình tạo ra lỗ hổng bảo mật. Trong bài viết này, mình sẽ hướng dẫn bạn các bước bảo mật WordPress toàn diện, từ cơ bản đến nâng cao, giúp bảo vệ website khỏi các nguy cơ như brute force, DDoS, malware và code injection.

Những điểm chính 

• Lý do cần bảo mật cho website WordPress: Hiểu được tầm quan trọng của bảo mật WordPress, nhận thức được các mối nguy hiểm tiềm tàng nếu website bị tấn công, từ đó có động lực tìm hiểu và áp dụng các biện pháp bảo mật.
• Hướng dẫn bảo mật website WordPress thông qua quản trị website: Nắm được các bước thực hiện bảo mật WordPress từ cơ bản đến nâng cao.
• Cách bảo mật website WordPress bằng cPanel: Hiểu cách sử dụng cPanel và WordPress Toolkit để bảo mật website, đặc biệt hữu ích cho người dùng hosting có cPanel.
• Sử dụng các plugin để bảo mật cho WordPress: Biết cách sử dụng plugin để tăng cường bảo mật, lựa chọn được plugin phù hợp với nhu cầu.
• Giới thiệu Vietnix: Biết được Vietnix cung cấp giải pháp hosting chất lượng cao, bảo mật tốt.

Tại sao bảo mật WordPress lại quan trọng?

WordPress hiện đang là nền tảng xây dựng website phổ biến nhất thế giới, được sử dụng bởi hàng triệu doanh nghiệp, tổ chức và cá nhân. Tuy nhiên, chính sự phổ biến này đã khiến WordPress trở thành mục tiêu tấn công hàng đầu của tin tặc. Theo thống kê, mỗi ngày có hàng nghìn website WordPress bị xâm nhập do các lỗ hổng bảo mật chưa được khắc phục hoặc do người quản trị chủ quan trong việc bảo vệ website.

Các hình thức tấn công phổ biến nhằm vào WordPress bao gồm:

• Brute-force: Tin tặc sử dụng các chương trình tự động để thử hàng ngàn mật khẩu khác nhau cho đến khi tìm ra mật khẩu chính xác để đăng nhập vào website.
• DDoS (Distributed Denial of Service): Hình thức tấn công này làm quá tải máy chủ bằng lượng truy cập khổng lồ từ nhiều nguồn khác nhau, khiến website bị sập và không thể hoạt động.
• Lỗ hổng plugin/theme: Các plugin và theme không được cập nhật thường xuyên có thể chứa lỗ hổng bảo mật, tạo điều kiện cho tin tặc xâm nhập.
• Code injection: Tin tặc chèn mã độc vào website để chiếm quyền điều khiển, đánh cắp dữ liệu hoặc gây hại cho website.

Khi website WordPress bị tấn công, hậu quả có thể rất nghiêm trọng:

• Mất dữ liệu: Dữ liệu quan trọng của website, bao gồm thông tin khách hàng, bài viết, hình ảnh, có thể bị đánh cắp hoặc xóa sạch.
• Ảnh hưởng uy tín: Website bị hack có thể làm mất lòng tin của khách hàng, gây ảnh hưởng nghiêm trọng đến uy tín và thương hiệu.
• Gián đoạn kinh doanh: Website bị sập hoặc không thể hoạt động sẽ làm gián đoạn hoạt động kinh doanh, gây thiệt hại về doanh thu và lợi nhuận.
• Lây nhiễm mã độc: Website bị nhiễm mã độc có thể bị lợi dụng để phát tán mã độc sang các website khác hoặc máy tính của người truy cập.
• Bị đưa vào blacklist: Các công cụ tìm kiếm như Google có thể đưa website bị hack vào blacklist, khiến website bị giảm thứ hạng hoặc thậm chí bị xóa khỏi kết quả tìm kiếm.

Vì vậy, việc đầu tư vào bảo mật WordPress là vô cùng quan trọng để bảo vệ website, dữ liệu, uy tín và hoạt động kinh doanh của bạn.

Chỉ với việc quản lý và theo dõi cũng như cài đặt cấu hình cơ bản tốt và cẩn thận là bạn cũng đã thực hiện bảo mật website của mình. Dưới đây là những công việc bảo mật WordPress thông qua quản trị website WordPress.

1. Lựa chọn WordPress Hosting uy tín và bảo mật

Việc lựa chọn dịch vụ WordPress Hosting uy tín với hệ thống bảo mật mạnh mẽ là điều cần thiết để bảo vệ website khỏi các mối đe dọa mạng. Một nhà cung cấp chất lượng cần đáp ứng các tiêu chí như cấu hình máy chủ tối ưu, cập nhật phần mềm thường xuyên, hỗ trợ vá lỗi kịp thời và tích hợp các lớp bảo mật như quét mã độc, chống tấn công, sao lưu dữ liệu tự động…

2. Sử dụng phiên bản PHP mới nhất

PHP là xương sống của website WordPress, do đó, sử dụng phiên bản PHP mới nhất rất quan trọng để đảm bảo bảo mật website PHP và tối ưu hiệu suất. Mỗi phiên bản PHP chỉ được hỗ trợ bảo mật trong hai năm, vì vậy các phiên bản cũ như PHP 7.1 trở xuống không còn được vá lỗi, tiềm ẩn nhiều rủi ro nghiêm trọng.

Theo thống kê, hơn 77,5% người dùng WordPress vẫn sử dụng các phiên bản PHP không được hỗ trợ, gây nguy cơ lớn cho website. Để bảo vệ website, hãy đảm bảo cập nhật PHP thường xuyên. Nếu sử dụng cPanel, bạn có thể dễ dàng thay đổi phiên bản PHP qua mục “PHP Select”.

3. Sử dụng tên người dùng và mật khẩu quản trị mạnh

Một khía cạnh quan trọng của bảo mật website bằng password là không bao giờ sử dụng tên người dùng mặc định “admin”. Tên người dùng này là mục tiêu phổ biến cho các cuộc tấn công brute-force, nơi kẻ tấn công cố gắng đăng nhập bằng cách thử nhiều mật khẩu khác nhau. Thay vào đó, hãy tạo một tên người dùng quản trị duy nhất và khó đoán. WordPress cho phép bạn dễ dàng tạo người dùng quản trị mới trong phần “User” trên bảng điều khiển. Sau khi tạo người dùng mới với quyền quản trị, bạn có thể xóa tài khoản “admin” cũ.

Bên cạnh tên người dùng mạnh, việc sử dụng mật khẩu mạnh và duy nhất cũng vô cùng quan trọng cho bảo mật website bằng password. Mật khẩu mạnh nên dài (ít nhất 12 ký tự), bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt. Tránh sử dụng thông tin cá nhân dễ đoán như ngày sinh, tên, số điện thoại,…

4. Luôn sử dụng phiên bản WordPress, plugin và theme mới nhất

Một cách rất quan trọng khác để tăng cường bảo mật WordPress của bạn là luôn cập nhật nó. Điều này bao gồm WordPress core, plugin và theme. Chúng được cập nhật vì để cải tiến bảo mật và sửa lỗi.

5. Khoá WordPress Admin

Đôi khi, bảo mật WordPress bằng cách ẩn đi lại có hiệu quả tốt đối với một doanh nghiệp trung bình và website WordPress. Nếu bạn khiến tin tặc khó tìm thấy các backdoor thì bạn sẽ ít có khả năng bị tấn công hơn. Khóa khu vực quản trị và đăng nhập trên WordPress là một cách tốt để tăng cường bảo mật. Để thực hiện việc này trước tiên là thay đổi URL đăng nhập wp-admin mặc định và hạn chế các lần đăng nhập.

Cách thay đổi URL đăng nhập WordPress

Theo mặc định, URL đăng nhập của trang web WordPress của bạn là domain.com/wp-admin.

Để thay đổi URL đăng nhập WordPress , bạn có thể sử dụng plugin WPS Hide Login miễn phí hoặc plugin Perfmatters cao cấp.

Cách giới hạn số lần đăng nhập trên WordPress

Plugin Cerber Limit Login Attempts miễn phí là một cách tuyệt vời để dễ dàng thiết lập thời gian khóa, số lần đăng nhập cũng như Whitelist IP và Blacklist IP.

6. Sử dụng xác thực hai yếu tố (2FA) để bảo mật cho website WordPress

Xác thực hai yếu tố là một quy trình gồm hai bước, trong đó bạn không chỉ cần mật khẩu để đăng nhập mà còn cần một phương pháp thứ hai. Nó thường là tin nhắn văn bản (SMS), cuộc gọi điện thoại hoặc mật khẩu dùng một lần dựa trên thời gian (TOTP).

Bạn sẽ cần cài đặt plugin để bảo mật WordPress bằng phương pháp xác thực 2 yếu tố. Một số plugin mà chúng tôi khuyên dùng:

• Duo Two-Factor Authentication.
• Google Authenticator.
• Two Factor Authentication.

Có những Ứng dụng Authenticator riêng mà bạn có thể cài đặt trên điện thoại của mình:

• Android Duo Mobile App.
• iPhone Duo Mobile App.
• Android Google Authenticator App.
• iPhone Google Authenticator App.

Sau khi cài đặt và cấu hình một trong các plugin trên, bạn thường sẽ có một trường bổ sung trên trang đăng nhập WordPress để nhập mã bảo mật của mình. Hoặc, với plugin Duo, trước tiên bạn đăng nhập bằng thông tin đăng nhập của mình và sau đó được yêu cầu chọn phương thức xác thực, chẳng hạn như Duo Push, cuộc gọi hoặc mật mã.

7. Sử dụng HTTPS – chứng chỉ SSL

Một trong những cách bị bỏ qua nhiều nhất để tăng cường bảo mật WordPress là cài đặt chứng chỉ SSL và chạy trang web của bạn qua HTTPS. HTTPS (Hyper Text Transfer Protocol Secure) là một cơ chế cho phép trình duyệt hoặc ứng dụng web của bạn kết nối an toàn.

8. Bảo mật file wp-config.php

File wp-config.php giống như trái tim và linh hồn của quá trình cài đặt WordPress. Cho đến nay, nó là tệp quan trọng nhất trên website khi nói đến bảo mật WordPress. Nó chứa thông tin đăng nhập cơ sở dữ liệu và các khóa bảo mật xử lý việc mã hóa thông tin trong cookie. Dưới đây là một số điều bạn có thể làm để bảo vệ tệp quan trọng này tốt hơn.

Di chuyển wp-config.php

Theo mặc định, file wp-config.php của bạn nằm trong thư mục gốc của cài đặt WordPress (thư mực /public HTML). Nhưng bạn có thể di chuyển nó đến một thư mục khác.

Để di chuyển file wp-config.php của bạn, chỉ cần sao chép mọi thứ từ nó vào một file khác.Sau đó, trong file wp-config.php của bạn, bạn có thể đặt đoạn code sau:

<?php
include('/home/yourname/wp-config.php');

Cập nhật khóa bảo mật WordPress

Khóa bảo mật WordPress là một tập hợp các biến ngẫu nhiên giúp cải thiện việc mã hóa thông tin được lưu trữ trong cookie của người dùng. Kể từ WordPress 2.7 đã có 4 khóa khác nhau: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY

Khi bạn cài đặt WordPress, chúng sẽ được tạo ngẫu nhiên . Tuy nhiên, nếu bạn đã trải qua nhiều lần di chuyển hoặc mua một trang web từ người khác, bạn có thể tạo các khóa WordPress mới.

WordPress có một công cụ miễn phí mà bạn có thể sử dụng để tạo các khóa ngẫu nhiên. Bạn có thể cập nhật các khóa hiện tại được lưu trữ trong tệp wp-config.php của bạn.

Thay đổi quyền

Thông thường, các file trong thư mục gốc của trang web WordPress sẽ được đặt thành 644, có nghĩa là chủ sở hữu file có thể đọc và ghi được và người dùng trong chủ sở hữu nhóm của file đó có thể đọc được và mọi người khác có thể đọc được. Theo tài liệu WordPress, các quyền trên file wp-config.php nên được đặt thành 440 hoặc 400 để ngăn người dùng khác trên máy chủ đọc được. Bạn có thể dễ dàng thay đổi điều này với ứng dụng FTP client của mình.

9. Vô hiệu hoá XML-RPC

Bạn có thể cài đặt plugin Disable XML-RPC miễn phí để vô hiệu hóa xmlrpc.php. Hoặc bạn có thể vô hiệu hóa nó bằng plugin Perfmatters premium cũng chứa các cải tiến về hiệu suất website.

10. Ẩn phiên bản WordPress đang sử dụng

Càng ít người khác biết về cấu hình trang web WordPress của bạn càng tốt. Nếu họ thấy bạn đang chạy một bản cài đặt WordPress lỗi thời, đây có thể là một dấu hiệu để kẻ tấn công ngắm vào bạn.

Bạn có thể sử dụng code sau để thực hiện. Chỉ cần thêm nó vào file functions.php của theme WordPress.

function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');

Bạn cũng có thể sử dụng một plugin cao cấp như perfmatters cho phép bạn ẩn phiên bản WordPress đơn giản với việc tích chọn tính năng, cùng với các tối ưu hóa khác cho trang web WordPress .

11. Tăng cường bảo mật HTTP Header

Một bước khác bạn có thể thực hiện để tăng cường bảo mật WordPress của mình là tận dụng các bảo mật HTTP Header. Chúng thường được cấu hình ở cấp máy chủ và cho trình duyệt biết cách hoạt động khi xử lý nội dung trang web của bạn. Có rất nhiều bảo mật HTTP Header khác nhau, nhưng dưới đây thường là những Header quan trọng nhất.

• Content-Security Policy.
• X-XSS-Protection.
• Strict-Transport-Security.
• X-Frame-Options.
• Public-Key-Pins.
• X-Content-Type.

12. Bảo mật Database

Theo mặc định, WordPress sử dụng wp_. Thay đổi điều này thành một cái gì đó như 47xw_ có thể an toàn hơn nhiều. Khi bạn cài đặt WordPress, nó sẽ yêu cầu một tiền tố bảng (như hình bên dưới).

13. Luôn sử dụng kết nối an toàn

Hãy đảm bảo rằng WordPress sử dụng biện pháp phòng ngừa như cung cấp SFTP hoặc SSH. SFTP hoặc Secure File Transfer Protocol (còn được gọi là giao thức truyền file SSH), là một giao thức mạng được sử dụng để truyền file. Đây là một phương pháp an toàn hơn so với FTP tiêu chuẩn.

Điều quan trọng nữa là đảm bảo rằng router tại nhà của bạn được thiết lập chính xác. Nếu ai đó tấn công mạng gia đình của bạn, họ có thể có quyền truy cập vào tất cả các loại thông tin, bao gồm cả nơi lưu trữ thông tin quan trọng về (các) trang web WordPress của bạn. Dưới đây là một số mẹo đơn giản:

• Không bật VPN. Người dùng thông thường không bao giờ sử dụng tính năng này và bằng cách tắt tính năng VPN, bạn có thể tránh để mạng của mình tiếp xúc với thế giới bên ngoài.
• Theo mặc định, các sử dụng các IP trong range như 192.168.1.1. Sử dụng một range khác, chẳng hạn như 10.9.8.7. Bật mức mã hóa cao nhất trên Wifi của bạn.
• Whitelist IP cho Wifi của bạn để chỉ những người có mật khẩu và IP nhất định mới có thể truy cập.

14. Kiểm tra quyền đối với file và máy chủ

Bạn có thể sử dụng một plugin miễn phí như iThemes Security để quét các quyền trên trang WordPress của mình.

Dưới đây là một số khuyến nghị về phân quyền khi nói đến file và thư mục trong WordPress.

• Tất cả các file phải là 644 hoặc 640. Ngoại lệ: wp-config.php phải là 440 hoặc 400 để ngăn người dùng khác trên máy chủ đọc được.
• Tất cả các thư mục phải là 755 hoặc 750.
• Không có thư mục nào được cung cấp 777, ngay cả khi tải lên các thư mục mới.

15. Tắt chỉnh sửa File trong WordPress Dashboard

Nếu website WordPress của bạn bị tấn công, điều đầu tiên người tấn công có thể làm là cố gắng chỉnh sửa file hoặc theme PHP thông qua Trình chỉnh sửa giao diện. Đây là một cách nhanh chóng để chúng thực thi mã độc trên trang web của bạn. Nếu chúng không có quyền truy cập vào từ dashboard, thì trước tiên, nó có thể giúp ngăn chặn các cuộc tấn công. Đặt mã sau vào tệp wp-config.php của bạn để xóa khả năng ‘edit_themes’, ‘edit_plugins’ và ‘edit_files’ của tất cả người dùng.

define('DISALLOW_FILE_EDIT', true);

16. Ngăn chặn liên kết nóng (Hotlinking)

Khái niệm liên kết nóng rất đơn giản. Bạn tìm thấy một hình ảnh trên Internet và sử dụng URL của hình ảnh đó trực tiếp trên trang web của bạn. Hình ảnh này sẽ được hiển thị trên trang web của bạn nhưng nó sẽ được phục vụ từ vị trí ban đầu. Ngăn chặn điều này để website của bạn tiết kiệm được tài nguyên.

Bạn có thể dùng plugin WP Rocket để hỗ trợ tính năng này.

17. Thường xuyên backup dữ liệu website

Backup là một việc mà ai cũng biết là cần thiết nhưng thường bị bỏ qua. Dù bạn đã thực hiện bao nhiêu biện pháp bảo mật cho website WordPress, không có hệ thống nào đảm bảo an toàn tuyệt đối 100%. Vì vậy, việc có bản sao lưu là vô cùng quan trọng để phòng trường hợp xấu nhất xảy ra.

Hầu hết các nhà cung cấp dịch vụ WordPress Hosting đều cung cấp tính năng backup. Đặc biệt, WordPress Hosting tại Vietnix còn cung cấp dịch vụ tự động backup hoàn toàn miễn phí với tần suất 4 lần/ngày. Điều này giúp bạn yên tâm rằng dữ liệu website luôn được bảo vệ và có thể dễ dàng khôi phục khi cần thiết, giảm thiểu tối đa rủi ro mất mát dữ liệu.

18. Chống tấn công DDoS

Để tăng cường bảo mật WordPress trước các cuộc tấn công DDoS, bạn có thể sử dụng các dịch vụ chống DDoS như Firewall tại Vietnix hoặc CloudFlare. Những giải pháp này có khả năng phát hiện và ngăn chặn lưu lượng truy cập bất thường, bảo vệ website khỏi bị quá tải hoặc gián đoạn, giúp duy trì hiệu suất ổn định và đảm bảo trải nghiệm người dùng liền mạch.

Bảo mật WordPress với cPanel cũng đòi hỏi bạn phải tìm hiểu nhiều hơn so với người dùng WordPress cơ bản. Tuy nhiên, bạn hoàn toàn có thể tự thực hiện theo hướng dẫn dưới đây để bảo mật website WordPress của mình.

Tăng cường bảo mật với WordPress Toolkit cho cPanel

WordPress Toolkit cho cPanel là một giải pháp quản lý WordPress hoàn chỉnh với giao diện trực quan. Bạn có thể coi nó như một bảng điều khiển kiểm soát tất cả các trang web WordPress của mình. Nó tự động hóa các tác vụ lưu trữ WordPress, bao gồm cài đặt, cập nhật và backup. Nó cũng hiển thị các chỉnh sửa cấu hình. Nếu không, bạn phải tìm hiểu kỹ trong giao diện admin hoặc chỉnh sửa file config để thay đổi.

WordPress security là một trong những nơi mà WordPress Toolkit thực sự thể hiện rõ vai trò. Đầu tiên, nó áp dụng các bản sửa lỗi cho các lỗ hổng nghiêm trọng trong quá trình cài đặt. Vì vậy các trang web được bảo mật trước khi chúng trực tuyến. Thứ hai, nó quét các trang web hiện có để tìm các cài đặt bảo mật dưới mức tối ưu và có thể sửa chúng rất dễ dàng.

Để bảo mật WordPress với cPanel, bạn sẽ cần:

• Một phiên bản cPanel đã cài đặt WordPress ToolKit.
• Giấy phép WordPress Toolkit Deluxe.

Bạn có thể tìm thấy WordPress Toolkit ở trong Application trên cPanel. Các trang web được liệt kê trên trang tổng quan với thông tin trạng thái và công tắc cấu hình.

Nếu bạn xem xét kỹ hơn trang web thứ hai, bạn sẽ nhận thấy rằng bên dưới tiêu đề Status, dòng Security có nội dung Check Security. WordPress Toolkit đã quét trang web và nhận thấy rằng một trong số các phương pháp bảo mật website ít quan trọng đã không được áp dụng. Trang web đầu tiên đã được là cứng, vì vậy nó sẽ hiểu thị View Settings.

Bạn cũng có thể thấy Fix Security tại đây. Có nghĩa là các biện pháp bảo mật quan trọng chưa được áp dụng.

Chúng ta có thể nhấp vào để mở Security Status. Bảng này hiển thị tất cả các biện pháp bảo mật mà WordPress Toolkit có thể áp dụng.

Bạn có thể áp dụng từng biện pháp riêng lẻ bằng cách chọn ô bên cạnh và nhấp vào Security. Chúng có thể được hoàn tác, nếu bạn muốn, bằng cách chọn chúng và nhấp vào Revert. Nhưng mình muốn thao tác bảo mật WordPress với cPanel của bạn đơn giản và nhanh chóng hơn. Để làm điều đó, bạn nên chọn ô Security Measures và nhấp vào nút Secure.

Tăng cường bảo mật cho website WordPress

Điều gì xảy ra nếu bạn lưu trữ hàng chục trang WordPress? Sẽ tốn nhiều thời gian để bảo mật từng trang riêng lẻ, vì vậy bạn sẽ rất vui khi biết rằng bạn có thể sử dụng WordPress Toolkit để bảo mật bất kỳ số lượng trang web nào cùng một lúc. Trên trang tổng quan, nhấp vào Security.

cPanel hiển thị danh sách trang web và trạng thái bảo mật của chúng. Sử dụng ô bên cạnh mỗi trang web để chọn những trang web chưa được làm cứng hoàn toàn. Sau đó nhấp vào nút Secure ở đầu trang.

Bạn có cơ hội chỉ định các biện pháp bảo mật nào sẽ áp dụng và sau đó cPanel sẽ tự động tăng cường tất cả các trang web đã chọn. Bạn có thể sử dụng phương pháp này để bảo mật hàng chục hoặc thậm chí hàng trăm trang web WordPress đồng thời.

Security Settings trong WordPress Toolkit

WordPress Toolkit áp dụng gần 20 biện pháp bảo mật, nhưng ở đây mình xin liệt kê những biện pháp nổi bật nhất.

• Cấm thực thi các file PHP: Bộ công cụ cấm thực thi các file PHP trong folder wp-include và wp-content / uploads. Cả hai đều là mục tiêu phổ biến của những kẻ xấu và người dùng độc hại, những người tải lên mã PHP và cố gắng thực thi nó.
• Chặn duyệt các thư mục: Các file bên trong thư mục của WordPress chứa thông tin về các plugin, theme và code khác có thể làm lộ lỗ hổng bảo mật. Toolkit giúp bất kỳ người dùng chưa được xác thực nào không thể xem trong các thư mục. Nó cũng đặt các file an toàn cho file wp-config và tất cả các file và thư mục khác.
• Bật tính năng bảo vệ các bot: Việc cho phép bot quét trang web của bạn là một rủi ro bảo mật cũng như lãng phí tài nguyên của server. WordPress Toolkit chặn các bot xấu để hạn chế sự xuất hiện của một trang web.
• Thay đổi username của admin: Khi được cài đặt lần đầu tiên, WordPress tạo một người dùng có đặc quyền quản trị được gọi là admin. Bots và các tác nhân xấu khác thường nhắm mục tiêu vào admin bằng các cuộc tấn công brute force và dictionary.
• Tắt Pingback: Khi một trang web WordPress liên kết đến web của bạn, nó sẽ gửi một ping, dẫn đến một nhận xét trên blog của bạn. Pingback dựa vào giao thức XML-RPC không an toàn, nó có thể bị lạm dụng để lấn át tài nguyên của một trang web trong một cuộc tấn công DDoS.
• Bảo vệ hotlink: Hotlink cho phép các trang web bên ngoài nhúng hoặc hiển thị hình ảnh được lưu trữ trên server của bạn. Bạn thu được ít lợi ích từ hotlink và nó có thể trở thành một nguồn tiêu hao đáng kể đối với server và tài nguyên mạng.

Cuối cùng, WordPress Toolkit giúp dễ dàng cập nhật nhanh chóng WordPress Core, plugin và theme trong một giao diện thống nhất, cũng như quản lý các bản cập nhật tự động. Các lỗ hổng plugin và theme là cách khai thác WordPress phổ biến nhất và cập nhật thường xuyên là cách duy nhất để bảo vệ các trang web khỏi các lỗ hổng trong code của chúng.

Khôi phục bản sao lưu bằng WordPress Toolkit

Để kết thúc, chúng ta hãy xem xét một yếu tố bảo mật khác mà cPanel đơn giản hóa: khôi phục các backup. Nó cho phép người dùng khôi phục trang web bị xâm phạm. Với WordPress Toolkit việc tạo và khôi phục các backup chỉ mất vài giây.

Để tạo backup với cPanel, hãy nhấn vào nút Back Up. Nếu bạn có các backup trước đó, chúng sẽ được liệt kê trên trang. Để khôi phục trang web WordPress của bạn và cơ sở dữ liệu của nó về trạng thái trước đó, hãy chọn một file và nhấp vào biểu tượng khôi phục, như được hiển thị trong hình ảnh tiếp theo.

WordPress Toolkit giúp việc xây dựng một nền tảng lưu trữ WordPress an toàn với cPanel và trở nên dễ hơn bao giờ hết. Tăng cường bảo mật hiện là quy trình một cú nhấp chuột, cho phép host bảo vệ server, trang web và người dùng mà không cần quá trình thủ công lâu dài và tốn kém.

Bảo mật WordPress trên cPanel không quá khó khăn và phức tạp nhưng đòi hỏi sự nghiên cứu và hiểu biết nhất định. Bạn có thể đơn giản hóa một vài thao tác nếu thấy cần thiết thông qua các plugin bảo mật WordPress. Các plugin này sẽ hỗ trợ nhiều tính năng mà trong phần quản trị website WordPress.

Dưới đây là một vài plugin bảo mật WordPress mà mình khuyên bạn sử dụng. Hầu hết các plugin bảo hàng đầu đều có thể mất phí, cũng có một số ít đi kèm với chức năng cơ bản miễn phí.

1. Sucuri Security

Sucuri Security là plugin bảo mật WordPress phổ biến với cả phiên bản miễn phí và trả phí. Bản miễn phí cung cấp các công cụ quan trọng như kiểm tra bảo mật, giám sát file và blacklist, thông báo bảo mật và các biện pháp tăng cường bảo mật cơ bản.

Các gói trả phí mở rộng với dịch vụ hỗ trợ khách hàng tốt hơn, tần suất quét cao hơn (ví dụ mỗi 12 giờ với chi phí khoảng 17$/tháng), cung cấp chứng chỉ SSL và bảo vệ DDoS nâng cao. Ngay cả khi không trả phí, bạn vẫn có thể tận dụng Sucuri để theo dõi các mối đe dọa, quét malware và đảm bảo tính toàn vẹn của website.

2. iThemes Security

iThemes Security (trước đây là Better WP Security) cung cấp hơn 30 tính năng bảo mật WordPress, giúp ngăn chặn tấn công và xâm nhập trái phép. Plugin này tập trung vào việc phát hiện lỗ hổng plugin, phần mềm lỗi thời và mật khẩu yếu. Phiên bản miễn phí cung cấp nhiều tính năng hữu ích như phát hiện thay đổi tệp, tích hợp reCAPTCHA, so sánh core file, cập nhật salts & keys, chế độ Away Mode, phát hiện lỗi 404 và bảo vệ brute-force.

Phiên bản Pro (80$/năm cho 2 website) bổ sung hỗ trợ ticket, cập nhật plugin, thực thi mật khẩu mạnh, khóa người dùng xấu, sao lưu cơ sở dữ liệu và xác thực hai yếu tố.

3. Wordfence Security

Wordfence Security là plugin bảo mật WordPress phổ biến, kết hợp tính dễ sử dụng với các tính năng mạnh mẽ. Bản miễn phí cung cấp tường lửa, bảo vệ brute-force, quét malware/spam, giám sát traffic và nhiều tính năng khác, đủ cho website nhỏ.

Bản trả phí (99$/năm/website, chiết khấu cho nhiều website) bổ sung các tính năng nâng cao như chặn theo quốc gia, tường lửa ứng dụng web, đăng nhập bằng điện thoại, kiểm tra mật khẩu và hỗ trợ chuyên sâu. Đặc biệt, Wordfence giúp bạn nắm rõ xu hướng traffic và các nỗ lực tấn công vào website.

4. WP fail2ban

WP fail2ban là plugin bảo mật WordPress miễn phí, tập trung vào bảo vệ chống brute-force attack hiệu quả. Khác với các plugin khác, WP fail2ban ghi lại mọi nỗ lực đăng nhập vào nhật ký hệ thống (LOG_AUTH) và cho phép lựa chọn cấm “mềm” hoặc “cứng”. Plugin dễ cấu hình (chỉ cần cài đặt và kích hoạt), tương thích với CloudFlare và proxy, đồng thời ghi lại cả bình luận spam, pingback và thông tin người dùng. Ngoài ra, WP fail2ban còn cho phép chặn người dùng ngay lập tức trước khi họ đến được trang đăng nhập.

5. All In One WP Security & Firewall

All In One WP Security & Firewall là một plugin bảo mật WordPress miễn phí, toàn diện, dễ sử dụng ngay cả với người mới bắt đầu. Giao diện trực quan với biểu đồ và thước đo giúp dễ dàng đánh giá và cải thiện mức độ bảo mật website.

Plugin cung cấp các tính năng từ cơ bản đến nâng cao, bao gồm bảo vệ tài khoản người dùng, chống brute-force, tăng cường bảo mật đăng ký, bảo mật cơ sở dữ liệu và tệp. Các tính năng nổi bật bao gồm công cụ blacklist người dùng, sao lưu và phục hồi file .htaccess và .wp-config. Không có phiên bản trả phí hay upsell.

6. Jetpack

Jetpack là một plugin phổ biến được phát triển bởi WordPress.com, cung cấp nhiều tính năng hữu ích, bao gồm cả bảo mật cho website WordPress. Phiên bản miễn phí cung cấp bảo vệ chống brute-force, chặn hoạt động đáng ngờ và danh sách trắng. Các gói trả phí (99$/năm và 299$/năm) bổ sung quét malware, sao lưu theo lịch trình và sao lưu thời gian thực.

Ngoài bảo mật, Jetpack còn tích hợp các tính năng như tối ưu tốc độ website, chống spam, marketing qua email, mạng xã hội và tùy chỉnh giao diện, giúp giảm thiểu nhu cầu sử dụng nhiều plugin khác. Plugin cũng cung cấp giám sát thời gian chết và quản lý cập nhật tự động.

7. SecuPress

SecuPress là một plugin bảo mật WordPress tương đối mới nhưng phát triển nhanh chóng, nổi bật với giao diện người dùng thân thiện, dễ sử dụng. Phiên bản miễn phí cung cấp các tính năng bảo mật thiết yếu như chống brute-force, chặn IP, tường lửa và bảo vệ khóa bảo mật, cùng với khả năng chặn bot độc hại, một tính năng thường chỉ có trong phiên bản trả phí của các plugin khác.

Bản trả phí (từ 59$/năm/website) mở rộng thêm các tính năng như cảnh báo và thông báo, xác thực hai yếu tố, chặn IP theo vị trí địa lý, quét mã độc PHP và báo cáo PDF. SecuPress còn cho phép thay đổi URL đăng nhập và phát hiện theme/plugin chứa lỗ hổng bảo mật hoặc mã độc.

8. BulletProof Security

Plugin BulletProof Security cung cấp cả phiên bản miễn phí và trả phí (69.95$ một lần). Phiên bản miễn phí đã bao gồm nhiều tính năng mạnh mẽ như bảo mật đăng nhập, sao lưu/phục hồi cơ sở dữ liệu, quét malware, chống spam, nhật ký bảo mật, ẩn thư mục plugin và chế độ bảo trì, cùng với trình hướng dẫn cài đặt.

Mặc dù giao diện có thể hơi phức tạp cho người mới bắt đầu, nhưng plugin này phù hợp với các nhà phát triển nhờ các tính năng nâng cao như bảo vệ chống khai thác và giải mã Base64. Phiên bản trả phí bổ sung thêm nhiều tính năng độc đáo như ARQ IDPS, quét cURL và khóa thư mục. Điểm cộng là plugin bảo mật WordPress này là có chính sách hoàn tiền trong 30 ngày.

9. WPScan – WordPress Security Scanner

WPScan nổi bật với cách tiếp cận bảo mật độc đáo, sử dụng cơ sở dữ liệu hơn 21.000 lỗ hổng bảo mật WordPress được cập nhật hàng ngày bởi các chuyên gia và cộng đồng, được hỗ trợ bởi Automattic. Plugin quét website của bạn (lõi, plugin, theme) để tìm các lỗi bảo mật WordPress đã biết, đồng thời thực hiện các kiểm tra bảo mật bổ sung như kiểm tra file nhật ký gỡ lỗi, file wp-config.php sao lưu và mật khẩu yếu.

WPScan cung cấp gói API miễn phí cho hầu hết người dùng và gói trả phí cho nhu cầu sử dụng API cao hơn. Tính năng lên lịch quét và thông báo qua email khi phát hiện lỗ hổng cũng được hỗ trợ.

10. VaultPress

VaultPress là một plugin bảo mật WordPress trả phí, cung cấp bảo vệ website với mức giá phải chăng, từ 39$/năm. Điểm mạnh của VaultPress là tính năng sao lưu tự động hàng ngày và thời gian thực, cho phép khôi phục website chỉ với một cú nhấp chuột. Lịch sử sao lưu được lưu trữ và dễ dàng truy cập qua giao diện quản lý trực quan.

Plugin bảo mật WordPress này liên tục theo dõi các hoạt động đáng ngờ và hiển thị thông tin chi tiết về các mối đe dọa đã được xử lý. Bảng điều khiển cung cấp thống kê về thời gian truy cập và các mối đe dọa tương ứng. Ngoài ra, người dùng có thể liên hệ với đội ngũ hỗ trợ của VaultPress để được trợ giúp về sao lưu và phục hồi. Gói cao cấp hơn có giá 99$ và 299$ mỗi năm.

11. Google Authenticator – Two Factor Authentication

Google Authenticator cung cấp xác thực hai yếu tố (2FA), một lớp bảo mật quan trọng thường thiếu trong các plugin bảo mật tổng hợp. Plugin này tăng cường bảo mật đăng nhập bằng cách yêu cầu xác thực bổ sung qua thông báo đẩy điện thoại, mã QR hoặc câu hỏi bảo mật, bên cạnh mật khẩu thông thường. Điều này giúp ngăn chặn truy cập trái phép ngay cả khi mật khẩu bị lộ.

Plugin bảo mật WordPress miễn phí này có giao diện dễ sử dụng, cho phép tùy chỉnh phương thức 2FA và áp dụng cho các vai trò người dùng cụ thể. Tuy nhiên, việc sử dụng 2FA có thể gây khó khăn khi đăng nhập bằng thiết bị di động. Plugin cũng hỗ trợ mã ngắn cho các trang đăng nhập tùy chỉnh.

12. Security Ninja

Security Ninja là một plugin bảo mật WordPress trước đây được bán trên CodeCanyon, hiện cung cấp phiên bản miễn phí và trả phí (từ 29$/năm). Phiên bản miễn phí bao gồm hơn 50 kiểm tra bảo mật, từ kiểm tra file và quyền MySQL đến cài đặt PHP. Plugin cũng kiểm tra mật khẩu người dùng, loại bỏ các mật khẩu yếu và cung cấp cả sửa lỗi tự động lẫn hướng dẫn sửa lỗi thủ công. Nó phù hợp cho những người dùng muốn kiểm soát bảo mật trang web mà không cần plugin can thiệp quá nhiều.

Các tính năng chính bao gồm quét lõi, plugin và theme WordPress để tìm mã độc, chặn IP độc hại, ghi nhật ký sự kiện trang web và lên lịch quét. Phiên bản trả phí cung cấp các tính năng nâng cao hơn.

13. Defender

Defender là một plugin bảo mật WordPress dễ sử dụng với cả phiên bản miễn phí và trả phí. Phiên bản miễn phí cho phép bạn quét tìm mã độc hại và so sánh các file WordPress với bản gốc, giúp khôi phục tệp dễ dàng. Phiên bản pro, với giá khởi điểm chưa được đề cập, bổ sung các tính năng như sao lưu đám mây 10GB, nhật ký kiểm tra, quét tự động, giám sát danh sách đen và hỗ trợ dọn dẹp website bị tấn công.

Defender cung cấp nhiều lớp bảo mật, bao gồm xác minh hai bước, quét và sửa lỗi lõi, che giấu trang đăng nhập, quản lý IP, giới hạn 404 và bảo vệ chống tấn công brute-force.

14. Astra Web Security

Astra Web Security là giải pháp bảo mật toàn diện cho WordPress, bảo vệ website khỏi hơn 100 mối đe dọa, bao gồm malware, SQL injection, XSS, spam và tấn công brute-force. Được tin dùng bởi các thương hiệu lớn như Gillette và Ford, Astra có bảng điều khiển trực quan, dễ sử dụng, giúp bạn kiểm soát bảo mật mà không cần nhiều plugin khác. Giá từ 9$/tháng (giảm 20% nếu trả năm).

Astra cài đặt dễ dàng qua plugin, không cần chỉnh sửa DNS, cung cấp tường lửa, quét bảo mật toàn diện, quản lý danh sách đen/trắng IP và URL, cùng nền tảng quản lý tiền thưởng lỗi miễn phí. Với khả năng dọn dẹp malware tức thì và giám sát liên tục, Astra là lựa chọn đầu tư tốt cho bảo mật cho website WordPress.

15. Shield Security

Shield Security là plugin bảo mật WordPress phù hợp cho cả người mới và chuyên gia, cung cấp bảo vệ tự động ngay khi kích hoạt. Với giao diện dễ sử dụng và tài liệu hướng dẫn chi tiết, Shield giúp bạn dễ dàng quản lý bảo mật website. Phiên bản miễn phí cung cấp các tính năng cốt lõi, trong khi bản Pro (12$/website) bổ sung thêm các tính năng nâng cao như quét sâu hơn, chính sách mật khẩu, hỗ trợ WooCommerce và giám sát lưu lượng.

Điểm nổi bật của Shield bao gồm hạn chế truy cập cài đặt cho người dùng cụ thể, hoạt động nền tự động không gây phiền nhiễu, ba loại xác thực hai yếu tố miễn phí và mức giá Pro hợp lý.

16. Hide My WP

Hide My WP là plugin bảo mật WordPress giúp che giấu việc bạn sử dụng WordPress, bảo vệ website khỏi hacker, spam và các công cụ dò tìm như Wappalyzer. Với hệ thống phát hiện xâm nhập (IDS), plugin chặn các cuộc tấn công thời gian thực như SQL injection và XSS. Giá của plugin là 24$.

Hide My WP cho phép bạn ẩn thông tin về theme, plugin, permalink, wp-admin và URL đăng nhập. Nó cũng chặn truy cập trực tiếp vào file PHP, dọn dẹp tên lớp WP và vô hiệu hóa danh sách thư mục. Plugin cung cấp thông báo chi tiết về các hoạt động đáng ngờ, tự động chặn IP độc hại và dễ dàng cấu hình với các cài đặt sẵn. Hide My WP tương thích với nhiều loại website, bao gồm multisite và hoạt động tốt với các theme, plugin khác.

17. WebARX

WebARX là nền tảng bảo mật cao cấp cho các ứng dụng PHP, nổi bật với tường lửa điểm cuối mạnh mẽ, cho phép kiểm soát toàn diện lưu lượng truy cập website thông qua bảng điều khiển đám mây. WebARX bảo vệ website khỏi lỗ hổng plugin, bot độc hại và truy cập giả mạo.

Plugin cho phép tùy chỉnh quy tắc tường lửa, tăng cường bảo mật WordPress (bao gồm 2FA, reCAPTCHA, và chống brute-force), sao lưu dữ liệu, theo dõi thời gian hoạt động, nhận cảnh báo và tạo báo cáo bảo mật PDF tùy chỉnh. Dễ dàng thiết lập và quản lý, WebARX cung cấp giải pháp bảo mật tập trung cho số lượng website không giới hạn.

Plugin bảo mật WordPress nào phù hợp nhất với bạn?

Các gợi ý lựa chọn plugin bảo mật WordPress phù hợp với nhu cầu của bạn như sau:

• Tối ưu về giá: Sucuri Security, SecuPress, Jetpack, iThemes Security, Shield Security, WPScan.
• Miễn phí: All In One WP Security & Firewall, Sucuri Security (bản miễn phí), Wordfence Security.
• Dễ sử dụng cho người mới bắt đầu: All In One WP Security & Firewall, Security Ninja, Defender.
• Chống tấn công brute-force mạnh mẽ: WP fail2ban, Astra.
• Xác thực hai yếu tố: Google Authenticator.
• Giao diện đẹp: SecuPress, VaultPress.

Lưu ý

Hãy kiểm tra kỹ các tính năng bảo mật WordPress có sẵn từ nhà cung cấp hosting của bạn trước khi cài đặt thêm plugin. Có thể bạn đã được bảo vệ đầy đủ mà không cần thêm plugin bảo mật WordPress.

Vietnix: Giải Pháp WordPress Hosting tốc độ cao, bảo mật tối ưu

Vietnix là nhà cung cấp WordPress Hosting hàng đầu, nổi bật với tốc độ vượt trội, bảo mật tối ưu và sự ổn định đáng tin cậy. Hệ thống bảo mật đa lớp cùng đội ngũ kỹ thuật chuyên nghiệp hỗ trợ 24/7 đảm bảo website của bạn luôn an toàn và hoạt động mượt mà. Vietnix cam kết mang đến trải nghiệm hosting tốt nhất, giúp bạn tập trung phát triển nội dung và kinh doanh online hiệu quả. 

Với hosting Vietnix, website của bạn không chỉ nhanh chóng, ổn định mà còn được bảo vệ an toàn tuyệt đối.

Thông tin liên hệ:

• Địa chỉ: 265 Hồng Lạc, Phường 10, Quận Tân Bình, Thành Phố Hồ Chí Minh
• Hotline: 1800 1093
• Email: sales@vietnix.com.vn
• Website: https://vietnix.vn/ 

Bảo mật WordPress không phải là đích đến mà là một hành trình liên tục. Áp dụng các bước hướng dẫn này, kết hợp với việc lựa chọn hosting uy tín như Vietnix, bạn đã trang bị cho website “tấm lá chắn” vững chắc. Hãy chủ động bảo vệ website ngay hôm nay để tránh những hậu quả đáng tiếc. Ngoài ra, bạn cũng đừng quên theo dõi thêm nhiều bài viết hữu ích khác về WordPress bên dưới.

Mọi người cũng đọc thêm:

• Cách thực hiện kiểm tra bảo mật WordPress (Danh sách kiểm tra đầy đủ)
• Cách cài đặt và thiết lập Wordfence Security trong WordPress từ A-Z
• Thêm tiêu đề bảo mật HTTP vào WordPress nhanh và đơn giản
• Cách đặt mật khẩu bảo vệ thư mục quản trị viên WordPress (wp-admin) của bạn
• Tổng hợp 12 plugin chống spam WordPress giúp bảo mật trang web