Hướng dẫn bảo mật cho WordPress

23/08/2021

1.349

Lượt xem

WordPress ngày càng là hệ thống quản lý nội dung được sử dụng rộng rãi. Đây cũng là CMS bị tấn công nhiều nhất. Bài viết này sẽ giúp khám phá ra các lỗ hổng của WordPress và cách bảo mật WordPress bằng các phương pháp đơn giản thông qua việc quản trị website và plugin bảo mật WordPress. Hơn nữa là bảo mật WordPress nâng cao trên các hệ thống.

Các lỗ hổng WordPress phổ biến hiện nay

Mỗi lỗ hổng bảo mật là duy nhất. Nhưng hầu hết các cuộc tấn công chống lại các website WordPress đều thuộc một trong bốn loại sau:

Brute force attack và dictionary attack: Những hacker cố gắng đoán thông tin xác thực bảo mật như username và password. Các cuộc tấn công kiểu này được thực hiện bởi các bot có thể nhanh chóng làm tràn ngập hệ thống xác thực WordPress với vô số lần đăng nhập.
Denial of Service (DOS) và Distributed Denial of Service (DDoS): Hacker phá các trang web và mạng bằng các yêu cầu và dữ liệu. Làm tiêu tốn tài nguyên, giảm hiệu suất và có khả năng đưa chúng vào chế độ ngoại tuyến. WordPress bao gồm một hệ thống có tên là XML-RPC thường được sử dụng trong các cuộc tấn công từ chối dịch vụ.
Các lỗ hổng, plugin và theme: Các bug trong code có thể bị khai thác để phá vỡ hệ thống xác thực, tải lên các mã độc hại. Những hacker thường xem xét các file của một trang web để tìm manh mối về các loại tấn công. Lúc này bạn có thể phải cài lại website WordPress bị mã độc của mình.
Tấn công code injection: Chạy code độc là mục tiêu của nhiều hacker. Họ lùng sục các web WordPress để tìm các lỗ hổng cho phép họ đưa code PHP, JavaScript hoặc SQL vào.

WordPress Toolkit cho cPanel triển khai các tính năng và biện pháp bảo mật để bảo các trang web chống lại từng loại tấn công này.

Bảo mật website WordPress thông qua quản trị website

Chỉ với việc quản lý và theo dõi cũng như cài đặt cấu hình cơ bản tốt và cẩn thận là bạn cũng đã thực hiện bảo mật website của mình. Dưới đây là những công việc bảo mật WordPress thông qua quản trị website WordPress.

1. Đầu tư vào bảo mật cho WordPress Hosting

Điều quan trọng là bạn phải chọn một nhà cung cấp dịch vụ WordPress Hosting mà bạn có thể tin tưởng cho doanh nghiệp của mình. Hoặc nếu bạn đang lưu trữ WordPress trên VPS của riêng mình, thì bạn cần phải có kiến thức kỹ thuật để tự bảo mật website.

2. Sử dụng phiên bản PHP mới nhất

PHP là xương sống của website WordPress và vì vậy việc sử dụng phiên bản mới nhất trên máy chủ của bạn là rất quan trọng. Mỗi bản phát hành chính của PHP thường được hỗ trợ đầy đủ trong hai năm sau khi phát hành. Trong thời gian đó, các lỗi và vấn đề bảo mật được khắc phục và vá thường xuyên. Kể từ bây giờ, bất kỳ ai đang chạy trên phiên bản PHP 7.1 trở xuống không còn được hỗ trợ bảo mật và có các lỗ hổng bảo mật chưa được vá.

báo cáo Phiên bản PHP hỗ trợ — Phiên bản PHP hỗ trợ

Theo trang Thống kê WordPress chính thức, tính đến thời điểm viết bài này, hơn 57% người dùng WordPress vẫn đang sử dụng PHP 5.6 trở xuống. Nếu cộng với cả phiên bản PHP 7.0, thì con số 77,5% là người dùng hiện đang sử dụng các phiên bản PHP không còn được hỗ trợ. Điều này rất đáng để lưu ý.

Đôi khi, các doanh nghiệp và developer phải mất thời gian để kiểm tra và đảm bảo tính tương thích với code của họ. Nhưng để chạy các code mà mình đã miệt mài viết ra và thử nghiệm trên một nền tảng khác mà không có hỗ trợ bảo mật là rất mạo hiểm. Chưa kể đến tác động lớn đến hiệu suất chạy trên các phiên bản cũ.

cPanel PHP version mới giúp bảo mật WordPress — cPanel PHP version

Nếu bạn đang sử dụng máy chủ lưu trữ WordPress sử dụng cPanel, bạn có thể chuyển đổi giữa các phiên bản PHP bằng cách nhấp vào “PHP Select” trong danh mục phần mềm.

3. Đặt Username và Password thông minh

Bạn không bao giờ được sử dụng tên người dùng “admin” làm mặc định. Tạo tên người dùng WordPress duy nhất cho tài khoản quản trị viên và xóa người dùng “admin” nếu nó tồn tại.

Bạn có thể thực hiện việc này bằng cách thêm người dùng mới trong phần “User” trong Dashboard và gán cho người đó quyền “Admin” (như hình bên dưới).

4. Luôn sử dụng phiên bản WordPress, plugin và theme mới nhất

Một cách rất quan trọng khác để tăng cường bảo mật WordPress của bạn là luôn cập nhật nó. Điều này bao gồm WordPress core, plugin và theme. Chúng được cập nhật vì để cải tiến bảo mật và sửa lỗi.

5. Khoá WordPress Admin

Đôi khi, bảo mật WordPress bằng cách ẩn đi lại có hiệu quả tốt đối với một doanh nghiệp trung bình và website WordPress. Nếu bạn khiến tin tặc khó tìm thấy các backdoor thì bạn sẽ ít có khả năng bị tấn công hơn. Khóa khu vực quản trị và đăng nhập trên WordPress là một cách tốt để tăng cường bảo mật. Để thực hiện việc này trước tiên là thay đổi URL đăng nhập wp-admin mặc định và hạn chế các lần đăng nhập.

Cách thay đổi URL đăng nhập WordPress

Theo mặc định, URL đăng nhập của trang web WordPress của bạn là domain.com/wp-admin.

Để thay đổi URL đăng nhập WordPress , bạn có thể sử dụng plugin WPS Hide Login miễn phí hoặc plugin Perfmatters cao cấp.

thay đổi url login để bảo mật WordPress — thay đổi url login WordPress

Cách giới hạn số lần đăng nhập trên WordPress

Plugin Cerber Limit Login Attempts miễn phí là một cách tuyệt vời để dễ dàng thiết lập thời gian khóa, số lần đăng nhập cũng như Whitelist IP và Blacklist IP.

giới hạn số lần đăng nhập WordPress — Giới hạn số lần đăng nhập WordPress

6. Sử dụng xác thực hai yếu tố để bảo mật cho website WordPress

Xác thực hai yếu tố là một quy trình gồm hai bước, trong đó bạn không chỉ cần mật khẩu để đăng nhập mà còn cần một phương pháp thứ hai. Nó thường là tin nhắn văn bản (SMS), cuộc gọi điện thoại hoặc mật khẩu dùng một lần dựa trên thời gian (TOTP).

Bạn sẽ cần cài đặt plugin để bảo mật wordpress bằng phương pháp xác thực 2 yếu tố. Một số plugin mà chúng tôi khuyên dùng:

Duo Two-Factor Authentication.
Google Authenticator.
Two Factor Authentication.

Có những Ứng dụng Authenticator riêng mà bạn có thể cài đặt trên điện thoại của mình:

Android Duo Mobile App.
iPhone Duo Mobile App.
Android Google Authenticator App.
iPhone Google Authenticator App.

Sau khi cài đặt và cấu hình một trong các plugin trên, bạn thường sẽ có một trường bổ sung trên trang đăng nhập WordPress để nhập mã bảo mật của mình. Hoặc, với plugin Duo, trước tiên bạn đăng nhập bằng thông tin đăng nhập của mình và sau đó được yêu cầu chọn phương thức xác thực, chẳng hạn như Duo Push, cuộc gọi hoặc mật mã.

cài đặt xác thực hai yếu tố để bảo mật WordPress — cài đặt xác thực hai yếu tố WordPress

7. Sử dụng HTTPS – chứng chỉ SSL

Một trong những cách bị bỏ qua nhiều nhất để tăng cường bảo mật WordPress là cài đặt chứng chỉ SSL và chạy trang web của bạn qua HTTPS. HTTPS (Hyper Text Transfer Protocol Secure) là một cơ chế cho phép trình duyệt hoặc ứng dụng web của bạn kết nối an toàn.

8. Bảo mật file wp-config.php

File wp-config.php giống như trái tim và linh hồn của quá trình cài đặt WordPress. Cho đến nay, nó là tệp quan trọng nhất trên website khi nói đến bảo mật WordPress. Nó chứa thông tin đăng nhập cơ sở dữ liệu và các khóa bảo mật xử lý việc mã hóa thông tin trong cookie. Dưới đây là một số điều bạn có thể làm để bảo vệ tệp quan trọng này tốt hơn.

Di chuyển wp-config.php

Theo mặc định, file wp-config.php của bạn nằm trong thư mục gốc của cài đặt WordPress (thư mực /public HTML). Nhưng bạn có thể di chuyển nó đến một thư mục khác.

Để di chuyển file wp-config.php của bạn, chỉ cần sao chép mọi thứ từ nó vào một file khác.Sau đó, trong file wp-config.php của bạn, bạn có thể đặt đoạn code sau:

<?php
include('/home/yourname/wp-config.php');

Cập nhật khóa bảo mật WordPress

Khóa bảo mật WordPress là một tập hợp các biến ngẫu nhiên giúp cải thiện việc mã hóa thông tin được lưu trữ trong cookie của người dùng. Kể từ WordPress 2.7 đã có 4 khóa khác nhau: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY

Khi bạn cài đặt WordPress, chúng sẽ được tạo ngẫu nhiên . Tuy nhiên, nếu bạn đã trải qua nhiều lần di chuyển hoặc mua một trang web từ người khác, bạn có thể tạo các khóa WordPress mới.

WordPress có một công cụ miễn phí mà bạn có thể sử dụng để tạo các khóa ngẫu nhiên. Bạn có thể cập nhật các khóa hiện tại được lưu trữ trong tệp wp-config.php của bạn.

Thay đổi quyền

Thông thường, các file trong thư mục gốc của trang web WordPress sẽ được đặt thành 644, có nghĩa là chủ sở hữu file có thể đọc và ghi được và người dùng trong chủ sở hữu nhóm của file đó có thể đọc được và mọi người khác có thể đọc được. Theo tài liệu WordPress, các quyền trên file wp-config.php nên được đặt thành 440 hoặc 400 để ngăn người dùng khác trên máy chủ đọc được. Bạn có thể dễ dàng thay đổi điều này với ứng dụng FTP client của mình.

phân quyền WordPress — Phân quyền WordPress

9. Vô hiệu hoá XML-RPC

Bạn có thể cài đặt plugin Disable XML-RPC miễn phí để vô hiệu hóa xmlrpc.php. Hoặc bạn có thể vô hiệu hóa nó bằng plugin Perfmatters premium cũng chứa các cải tiến về hiệu suất website.

10. Ẩn phiên bản WordPress của bạn

Càng ít người khác biết về cấu hình trang web WordPress của bạn càng tốt. Nếu họ thấy bạn đang chạy một bản cài đặt WordPress lỗi thời, đây có thể là một dấu hiệu để kẻ tấn công ngắm vào bạn.

Xem phiên bản WordPress trong source code

Bạn có thể sử dụng code sau để thực hiện. Chỉ cần thêm nó vào file functions.php của theme WordPress.

function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');

Bạn cũng có thể sử dụng một plugin cao cấp như perfmatters cho phép bạn ẩn phiên bản WordPress đơn giản với việc tích chọn tính năng, cùng với các tối ưu hóa khác cho trang web WordPress .

ẩn phiên bản để bảo mật WordPress — Ẩn phiên bản WordPress

11. Thêm bảo mật HTTP Header mới nhất

Một bước khác bạn có thể thực hiện để tăng cường bảo mật WordPress của mình là tận dụng các bảo mật HTTP Header. Chúng thường được cấu hình ở cấp máy chủ và cho trình duyệt biết cách hoạt động khi xử lý nội dung trang web của bạn. Có rất nhiều bảo mật HTTP Header khác nhau, nhưng dưới đây thường là những Header quan trọng nhất.

Content-Security Policy.
X-XSS-Protection.
Strict-Transport-Security.
X-Frame-Options.
Public-Key-Pins.
X-Content-Type.

12. Bảo mật Database

Theo mặc định, WordPress sử dụng wp_. Thay đổi điều này thành một cái gì đó như 47xw_ có thể an toàn hơn nhiều. Khi bạn cài đặt WordPress, nó sẽ yêu cầu một tiền tố bảng (như hình bên dưới).

13. Luôn sử dụng kết nối an toàn

Hãy đảm bảo rằng WordPress sử dụng biện pháp phòng ngừa như cung cấp SFTP hoặc SSH. SFTP hoặc Secure File Transfer Protocol (còn được gọi là giao thức truyền file SSH), là một giao thức mạng được sử dụng để truyền file. Đây là một phương pháp an toàn hơn so với FTP tiêu chuẩn.

Điều quan trọng nữa là đảm bảo rằng router tại nhà của bạn được thiết lập chính xác. Nếu ai đó tấn công mạng gia đình của bạn, họ có thể có quyền truy cập vào tất cả các loại thông tin, bao gồm cả nơi lưu trữ thông tin quan trọng về (các) trang web WordPress của bạn. Dưới đây là một số mẹo đơn giản:

Không bật VPN. Người dùng thông thường không bao giờ sử dụng tính năng này và bằng cách tắt tính năng VPN, bạn có thể tránh để mạng của mình tiếp xúc với thế giới bên ngoài.
Theo mặc định, các sử dụng các IP trong range như 192.168.1.1. Sử dụng một range khác, chẳng hạn như 10.9.8.7. Bật mức mã hóa cao nhất trên Wifi của bạn.
Whitelist IP cho Wifi của bạn để chỉ những người có mật khẩu và IP nhất định mới có thể truy cập.

14. Kiểm tra quyền đối với file và máy chủ

Bạn có thể sử dụng một plugin miễn phí như iThemes Security để quét các quyền trên trang WordPress của mình.

Dưới đây là một số khuyến nghị về phân quyền khi nói đến file và thư mục trong WordPress.

Tất cả các file phải là 644 hoặc 640. Ngoại lệ: wp-config.php phải là 440 hoặc 400 để ngăn người dùng khác trên máy chủ đọc được.
Tất cả các thư mục phải là 755 hoặc 750.
Không có thư mục nào được cung cấp 777, ngay cả khi tải lên các thư mục mới.

15. Tắt chỉnh sửa File trong WordPress Dashboard

Nếu website WordPress của bạn bị tấn công, điều đầu tiên người tấn công có thể làm là cố gắng chỉnh sửa file hoặc theme PHP thông qua Trình chỉnh sửa giao diện. Đây là một cách nhanh chóng để chúng thực thi mã độc trên trang web của bạn. Nếu chúng không có quyền truy cập vào từ dashboard, thì trước tiên, nó có thể giúp ngăn chặn các cuộc tấn công. Đặt mã sau vào tệp wp-config.php của bạn để xóa khả năng ‘edit_themes’, ‘edit_plugins’ và ‘edit_files’ của tất cả người dùng.

define('DISALLOW_FILE_EDIT', true);

16. Ngăn chặn liên kết nóng

Khái niệm liên kết nóng rất đơn giản. Bạn tìm thấy một hình ảnh trên Internet và sử dụng URL của hình ảnh đó trực tiếp trên trang web của bạn. Hình ảnh này sẽ được hiển thị trên trang web của bạn nhưng nó sẽ được phục vụ từ vị trí ban đầu. Ngăn chặn điều này để website của bạn tiết kiệm được tài nguyên.

Bạn có thể dùng plugin WP Rocket để hỗ trợ tính năng này.

17. Luôn luôn Backup

Backup là thứ mà mọi người đều biết sẽ cần nhưng không phải lúc nào cũng dùng. Hầu hết các khuyến nghị ở trên là các biện pháp bảo mật mà bạn có thể thực hiện để bảo vệ mình tốt hơn. Nhưng cho dù trang web của bạn có bảo mật đến đâu, nó sẽ không bao giờ an toàn 100%. Vì vậy, bạn sẽ muốn backup trong trường hợp xấu nhất xảy ra.

Hầu hết các nhà cung cấp dịch vụ WordPress Hosting đều có dịch vụ backup.

18. Chống DDoS

Bạn có thể sử dụng các dịch vụ chống tấn công DDoS như ở Vietnix, CloudFlare…

Vietnix có cung cấp Hosting chống DDoS cơ bản và các gói Firewall Anti DDoS với giá cả hợp lí và tích hợp khả năng ngăn chặn các kiểu đánh thông thường ở Việt Nam. Firewall của Vietnix luôn cập nhật các phiên bản mới nhất để bảo vệ khách hàng tránh các cuộc tấn công.

Bảo mật WordPress bằng cPanel

Chống tấn công DDoS là một giải pháp an ninh khá phức tạp, áp dụng cho mọi nền tảng. Bảo mật WordPress với cPanel cũng đòi hỏi bạn phải tìm hiểu nhiều hơn so với người dùng WordPress cơ bản. Tuy nhiên, bạn hoàn toàn có thể tự thực hiện theo hướng dẫn dưới đây để bảo mật website của mình.

Xem thêm: cPanel là gì?

Tăng cường bảo mật với WordPress Toolkit cho cPanel

WordPress Toolkit cho cPanel là một giải pháp quản lý WordPress hoàn chỉnh với giao diện trực quan. Bạn có thể coi nó như một bảng điều khiển kiểm soát tất cả các trang web WordPress của mình. Nó tự động hóa các tác vụ lưu trữ WordPress, bao gồm cài đặt, cập nhật và backup. Nó cũng hiển thị các chỉnh sửa cấu hình. Nếu không, bạn phải tìm hiểu kỹ trong giao diện admin hoặc chỉnh sửa file config để thay đổi.

WordPress security là một trong những nơi mà WordPress Toolkit thực sự thể hiện rõ vai trò. Đầu tiên, nó áp dụng các bản sửa lỗi cho các lỗ hổng nghiêm trọng trong quá trình cài đặt. Vì vậy các trang web được bảo mật trước khi chúng trực tuyến. Thứ hai, nó quét các trang web hiện có để tìm các cài đặt bảo mật dưới mức tối ưu và có thể sửa chúng rất dễ dàng.

Để bảo mật WordPress với cPanel, bạn sẽ cần:

Một phiên bản cPanel đã cài đặt WordPress ToolKit.
Giấy phép WordPress Toolkit Deluxe.

Bạn có thể tìm thấy WordPress Toolkit ở trong Application trên cPanel. Các trang web được liệt kê trên trang tổng quan với thông tin trạng thái và công tắc cấu hình.

Bảo mật WordPress bằng cPanel — WordPress Toolkit

Nếu bạn xem xét kỹ hơn trang web thứ hai, bạn sẽ nhận thấy rằng bên dưới tiêu đề Status, dòng Security có nội dung Check Security. WordPress Toolkit đã quét trang web và nhận thấy rằng một trong số các phương pháp bảo mật website ít quan trọng đã không được áp dụng. Trang web đầu tiên đã được là cứng, vì vậy nó sẽ hiểu thị View Settings.

Bạn cũng có thể thấy Fix Security tại đây. Có nghĩa là các biện pháp bảo mật quan trọng chưa được áp dụng.

Chúng ta có thể nhấp vào để mở Security Status. Bảng này hiển thị tất cả các biện pháp bảo mật mà WordPress Toolkit có thể áp dụng.

Bạn có thể áp dụng từng biện pháp riêng lẻ bằng cách chọn ô bên cạnh và nhấp vào Security. Chúng có thể được hoàn tác, nếu bạn muốn, bằng cách chọn chúng và nhấp vào Revert. Nhưng Vietnix muốn thao tác bảo mật WordPress với cPanel của bạn đơn giản và nhanh chóng hơn. Để làm điều đó, bạn nên chọn ô Security Measures và nhấp vào nút Secure.

Đặc biệt, khi đăng ký sử dụng dịch vụ hosting tại Vietnix, bạn sẽ bạn sẽ được nhận miễn phí công cụ WordPress Toolkit và bộ quà tặng theme và plugin WordPress hỗ trợ cài đặt nền tảng nhanh chóng, xây dựng website một cách dễ dàng, tiện lợi và tiết kiệm thời gian.

Cơ bản

63,000đ

/tháng

10%

56,700đ

1 Core

1GB RAM

1 GB NVME

1 Domain

Backup tự động 4 lần/ngày

1 - 5.000 Traffic/tháng

Tặng theme & plugin trị giá 50.000.000 VND

Plugin: Rank Math SEO Pro
Plugin: Elementor Pro
Plugin: WPML
Plugin: WP Smush Pro
Theme: Divi
Theme + plugin: MyThemeShop
Theme: Bricks

Bán chạy nhất

Tiêu chuẩn

199,800đ

/tháng

10%

179,820đ

3 Core

6GB RAM

10 GB NVME

2 Domain

Backup tự động 4 lần/ngày

5.000 - 15.000 Traffic/tháng

Tặng theme & plugin trị giá 50.000.000 VND

Plugin: Rank Math SEO Pro
Plugin: Elementor Pro
Plugin: WPML
Plugin: WP Smush Pro
Theme: Divi
Theme + plugin: MyThemeShop
Theme: Bricks

Nâng cao

481,500đ

/tháng

10%

433,350đ

8 Core

12GB RAM

25 GB NVME

4 Domain

Backup tự động 4 lần/ngày

15.000 - 100.000 Traffic/tháng

Tặng theme & plugin trị giá 50.000.000 VND

Plugin: Rank Math SEO Pro
Plugin: Elementor Pro
Plugin: WPML
Plugin: WP Smush Pro
Theme: Divi
Theme + plugin: MyThemeShop
Theme: Bricks

Xem Thêm

Nhanh tay đăng ký sử dụng dịch vụ hosting tốc độ cao của Vietnix ngay hôm nay!

Tăng cường bảo mật cho website WordPress

Điều gì xảy ra nếu bạn lưu trữ hàng chục trang WordPress? Sẽ tốn nhiều thời gian để bảo mật từng trang riêng lẻ, vì vậy bạn sẽ rất vui khi biết rằng bạn có thể sử dụng WordPress Toolkit để bảo mật bất kỳ số lượng trang web nào cùng một lúc. Trên trang tổng quan, nhấp vào Security.

cPanel hiển thị danh sách trang web và trạng thái bảo mật của chúng. Sử dụng ô bên cạnh mỗi trang web để chọn những trang web chưa được làm cứng hoàn toàn. Sau đó nhấp vào nút Secure ở đầu trang.

Bạn có cơ hội chỉ định các biện pháp bảo mật nào sẽ áp dụng và sau đó cPanel sẽ tự động tăng cường tất cả các trang web đã chọn. Bạn có thể sử dụng phương pháp này để bảo mật hàng chục hoặc thậm chí hàng trăm trang web WordPress đồng thời.

Security Settings trong WordPress Toolkit

WordPress Toolkit áp dụng gần 20 biện pháp bảo mật, nhưng ở đây Vietnix xin liệt kê những biện pháp nổi bật nhất.

Cấm thực thi các file PHP: Bộ công cụ cấm thực thi các file PHP trong folder wp-include và wp-content / uploads. Cả hai đều là mục tiêu phổ biến của những kẻ xấu và người dùng độc hại, những người tải lên mã PHP và cố gắng thực thi nó.
Chặn duyệt các thư mục: Các file bên trong thư mục của WordPress chứa thông tin về các plugin, theme và code khác có thể làm lộ lỗ hổng bảo mật. Toolkit giúp bất kỳ người dùng chưa được xác thực nào không thể xem trong các thư mục. Nó cũng đặt các file an toàn cho file wp-config và tất cả các file và thư mục khác.
Bật tính năng bảo vệ các bot: Việc cho phép bot quét trang web của bạn là một rủi ro bảo mật cũng như lãng phí tài nguyên của server. WordPress Toolkit chặn các bot xấu để hạn chế sự xuất hiện của một trang web.
Thay đổi username của admin: Khi được cài đặt lần đầu tiên, WordPress tạo một người dùng có đặc quyền quản trị được gọi là admin. Bots và các tác nhân xấu khác thường nhắm mục tiêu vào admin bằng các cuộc tấn công brute force và dictionary.
Tắt Pingback: Khi một trang web WordPress liên kết đến web của bạn, nó sẽ gửi một ping, dẫn đến một nhận xét trên blog của bạn. Pingback dựa vào giao thức XML-RPC không an toàn, nó có thể bị lạm dụng để lấn át tài nguyên của một trang web trong một cuộc tấn công DDoS.
Bảo vệ hotlink: Hotlink cho phép các trang web bên ngoài nhúng hoặc hiển thị hình ảnh được lưu trữ trên server của bạn. Bạn thu được ít lợi ích từ hotlink và nó có thể trở thành một nguồn tiêu hao đáng kể đối với server và tài nguyên mạng.

Cuối cùng, WordPress Toolkit giúp dễ dàng cập nhật nhanh chóng WordPress Core, plugin và theme trong một giao diện thống nhất, cũng như quản lý các bản cập nhật tự động. Các lỗ hổng plugin và theme là cách khai thác WordPress phổ biến nhất và cập nhật thường xuyên là cách duy nhất để bảo vệ các trang web khỏi các lỗ hổng trong code của chúng.

Khôi phục bản sao lưu bằng WordPress Toolkit

Để kết thúc, chúng ta hãy xem xét một yếu tố bảo mật khác mà cPanel đơn giản hóa: khôi phục các backup. Nó cho phép người dùng khôi phục trang web bị xâm phạm. Với WordPress Toolkit việc tạo và khôi phục các backup chỉ mất vài giây.

Để tạo backup với cPanel, hãy nhấn vào nút Back Up. Nếu bạn có các backup trước đó, chúng sẽ được liệt kê trên trang. Để khôi phục trang web WordPress của bạn và cơ sở dữ liệu của nó về trạng thái trước đó, hãy chọn một file và nhấp vào biểu tượng khôi phục, như được hiển thị trong hình ảnh tiếp theo.

WordPress Toolkit giúp việc xây dựng một nền tảng lưu trữ WordPress an toàn với cPanel và trở nên dễ hơn bao giờ hết. Tăng cường bảo mật hiện là quy trình một cú nhấp chuột, cho phép host bảo vệ server, trang web và người dùng mà không cần quá trình thủ công lâu dài và tốn kém.

Bảo mật WordPress trên cPanel không quá khó khăn và phức tạp nhưng đòi hỏi sự nghiên cứu và hiểu biết nhất định. Bạn có thể đơn giản hóa một vài thao tác nếu thấy cần thiết thông qua các plugin bảo mật WordPress. Các plugin này sẽ hỗ trợ nhiều tính năng mà trong phần quản trị website WordPress, Vietnix đã nhắc đến.

Sử dụng các Plugin để bảo mật cho WordPress

Dưới đây là một vài plugin bảo mật WordPress mà Vietnix khuyên bạn sử dụng. Hầu hết các plugin bảo hàng đầu đều có thể mất phí, cũng có một số ít đi kèm với chức năng cơ bản miễn phí.

1. Sucuri Security

Plugin Sucuri Security cung cấp cả phiên bản miễn phí và trả phí, nhưng phần lớn các trang web sẽ ổn với plugin miễn phí.

Plugin bảo mật WordPress — Hướng dẫn bảo mật cho WordPress 140

Đối với các tính năng miễn phí, plugin đi kèm với kiểm tra hoạt động bảo mật để xem plugin đang bảo vệ trang web của bạn tốt như thế nào. Nó có chức năng giám sát tính toàn vẹn của tệp, giám sát danh sách đen, thông báo bảo mật và tăng cường bảo mật. Các gói cao cấp mở ra các kênh dịch vụ khách hàng và quét thường xuyên hơn. Ví dụ: Bạn có thể muốn hoàn tất quá trình quét sau mỗi 12 giờ. Để được như vậy, bạn sẽ phải trả khoảng 17$ mỗi tháng.

Các tính năng của plugin Sucuri Security:

Cung cấp nhiều biến thể của chứng chỉ SSL. Bạn phải trả tiền cho những thứ này, nhưng nó có sẵn trong các gói.
Dịch vụ khách hàng có sẵn dưới dạng trò chuyện tức thì và email.
Bạn nhận được thông báo ngay lập tức khi có vấn đề gì xảy ra với trang web của bạn.
Bảo vệ DDoS nâng cao có sẵn trong một số gói.
Nếu không muốn trả bất kỳ khoản tiền nào, bạn vẫn nhận được các công cụ có giá trị để theo dõi danh sách đen, quét phần mềm độc hại, giám sát tính toàn vẹn của tệp và tăng cường bảo mật.

2. iThemes Security

Plugin iThemes Security (trước đây được gọi là Better WP Security) là một trong những cách cực kỳ tốt để bảo vệ trang web của bạn, với hơn 30 dịch vụ để ngăn chặn những thứ như hack và những kẻ xâm nhập không mong muốn. Plugin này tập trung mạnh vào việc nhận biết các lỗ hổng plugin, phần mềm lỗi thời và mật khẩu yếu.

Nếu bạn nâng cấp lên iThemes Security Pro với mức giá thấp 80$ mỗi năm. Điều này cung cấp hỗ trợ ticket, một năm cập nhật plugin và hỗ trợ cho hai trang web. Nếu bạn muốn bảo vệ nhiều trang web hơn, bạn có thể chọn nâng cấp lên gói đắt hơn.

Đối với các tính năng chính trong phiên bản pro, iThemes Security Pro cung cấp khả năng thực thi mật khẩu mạnh mẽ, khóa người dùng xấu, sao lưu cơ sở dữ liệu và xác thực hai yếu tố. Đây chỉ là một số cách để bảo vệ trang web của bạn bằng plugin bảo mật WordPress này. Bạn có thể kích hoạt tổng số 30 biện pháp bảo mật, làm cho iThemes Security Pro trở nên vô cùng giá trị.

Các tính năng của plugin iThemes Security:

Plugin bảo mật cung cấp tính năng phát hiện thay đổi tệp, điều này rất quan trọng vì hầu hết các quản trị viên web không nhận thấy khi tệp bị nhầm lẫn.
Thêm một lớp bảo vệ bổ sung cho thông tin đăng nhập của bạn bằng cách sử dụng tích hợp reCAPTCHA của Google.
Plugin so sánh các core file WordPress của bạn với phiên bản WordPress hiện tại, giúp bạn hiểu liệu có bất kỳ thứ gì độc hại được đặt trong các tệp đó hay không.
Cập nhật các WordPress salts và keys của bạn để tăng thêm một lớp phức tạp cho khóa xác thực của bạn.
Bạn có thể đặt “Chế độ vắng mặt” khi bạn không cập nhật liên tục cho trang web của mình và muốn khóa hoàn toàn trang tổng quan WordPress của mình khỏi tất cả người dùng.
Các yếu tố cần thiết khác như phát hiện lỗi 404, bảo vệ vũ phu và thực thi mật khẩu mạnh.

3. Wordfence Security

Wordfence Security là một trong những plugin bảo mật WordPress phổ biến nhất hiện nay. Wordfence kết hợp sự đơn giản với các công cụ bảo vệ mạnh mẽ, chẳng hạn như các tính năng bảo mật đăng nhập mạnh mẽ và các công cụ khôi phục sự cố bảo mật. Một trong những lợi thế chính của Wordfence là bạn có thể hiểu rõ hơn về xu hướng lưu lượng truy cập tổng thể và các nỗ lực tấn công.

Wordfence cũng là một trong những giải pháp miễn phí ấn tượng hơn, với mọi thứ từ các khối tường lửa đến bảo vệ khỏi các Brute force attack. Phiên bản cao cấp được bán với giá ban đầu khoảng 99$ mỗi năm cho một trang web. Những người tạo plugin cũng làm cho nó rẻ hơn cho các nhà phát triển, cung cấp chiết khấu cao khi bạn đăng ký nhiều khóa trang web. Ví dụ: nếu bạn mua hơn 15 giấy phép, bạn sẽ được giảm giá 25% hoặc 74,25$ cho mỗi giấy phép. Nhìn chung, bạn nên xem xét Wordfence nếu đang phát triển nhiều trang web và muốn bảo vệ tất cả các trang đó.

Các tính năng của plugin WordFence Security:

Phiên bản miễn phí đủ mạnh cho các trang web nhỏ.
Các nhà phát triển có thể tiết kiệm rất nhiều tiền khi họ đăng ký nhiều khóa trang web.
Có một bộ tường lửa đầy đủ với các công cụ để chặn quốc gia, chặn thủ công, bảo vệ bạo lực, phòng thủ mối đe dọa trong thời gian thực và tường lửa ứng dụng web.
Phần quét của plugin chống lại phần mềm độc hại, các mối đe dọa trong thời gian thực và spam. Nó quét tất cả các tệp của bạn để tìm phần mềm độc hại, không chỉ các tệp WordPress.
Plugin giám sát lưu lượng truy cập trực tiếp bằng cách xem những thứ như hoạt động thu thập thông tin của Google, thông tin đăng nhập và đăng xuất, khách truy cập là con người và bot.
Bạn có quyền truy cập vào một số công cụ độc đáo như tùy chọn đăng nhập bằng điện thoại di động và kiểm tra mật khẩu.
Bộ lọc spam nhận xét loại bỏ sự cần thiết phải cài đặt một plugin riêng cho việc này.
Nó giám sát các plugin của bạn và cho bạn biết nếu chúng đã bị xóa khỏi kho plugin của WordPress (thường là do không an toàn hoặc bị tấn công) không còn được cập nhật và đã bị bỏ rơi.

4. WP fail2ban

WP fail2ban cung cấp một tính năng khá quan trọng: bảo vệ khỏi các Brute force attack. Plugin có một cách tiếp cận khác mà nhiều người cho là hiệu quả hơn những gì bạn nhận được từ một số plugin của bộ bảo mật được liệt kê ở trên. WP fail2ban ghi lại tất cả các nỗ lực đăng nhập, bất kể tính chất hay mức độ thành công, vào nhật ký hệ thống bằng LOG_AUTH. Bạn có tùy chọn thực hiện lệnh cấm mềm hoặc cấm cứng, khác với cách tiếp cận truyền thống hơn là chỉ chọn một lệnh cấm.

Không có nhiều điều phức tạp cho việc cấu hình cho plugin WP fail2ban, bạn chỉ đơn giản là cài đặt và kích hoạt nó. Ngoài ra, plugin bảo mật brute force hoàn toàn miễn phí nên bạn không phải lo lắng về việc chi tiêu bất kỳ khoản tiền nào. Plugin này thực sự là một ứng dụng nổi bật và được nhiều người dùng đánh giá cao.

Các tính năng của plugin WP fail2ban:

Chọn giữa các khối cứng hoặc mềm.
Tích hợp với CloudFlare và máy chủ proxy.
Ghi lại các bình luận để ngăn chặn các bình luận spam hoặc ác ý.
Plugin cũng ghi lại thông tin về spam, pingback và liệt kê người dùng.
Bạn cũng có tùy chọn tạo mã ngăn chặn người dùng ngay lập tức trước khi có cơ hội tiếp cận quá trình đăng nhập.

5. All In One WP Security & Firewall

Là một trong những plugin bảo mật miễn phí có nhiều tính năng nhất, All In One WP Security & Firewall cung cấp giao diện dễ dàng và hỗ trợ khách hàng tốt mà không cần bất kỳ gói cao cấp nào. Đây là một plugin bảo mật trực quan cao với các biểu đồ và thước đo để giải thích cho người mới bắt đầu các chỉ số như sức mạnh bảo mật và những gì cần phải làm để làm cho trang web của bạn mạnh hơn.

Các tính năng được chia thành ba loại: Cơ bản, Trung cấp và Nâng cao. Do đó, bạn vẫn có thể tận dụng plugin nếu bạn là nhà phát triển nâng cao hơn. Các cách chính plugin này hoạt động là bảo vệ tài khoản người dùng của bạn, chặn các nỗ lực cưỡng bức đăng nhập của bạn và tăng cường bảo mật đăng ký người dùng. Cơ sở dữ liệu và bảo mật tệp cũng được đóng gói trong plugin.

Các tính năng của plugin All In One WP Security & Firewall:

Plugin bảo mật WordPress có công cụ danh sách đen, nơi bạn có thể đặt các yêu cầu nhất định để chặn người dùng.
Bạn có thể sao lưu các tệp .htaccess và .wp-config. Ngoài ra còn có một công cụ để khôi phục chúng nếu có gì sai.
Plugin hiển thị một biểu đồ để chỉ định mức độ mạnh mẽ của trang web và một biểu đồ chỉ định các điểm đến các khu vực nhất định trên trang web của bạn. Đây là một trong những tính năng tốt nhất để người dùng bình thường có thể hình dung những gì đang diễn ra với tính bảo mật của một trang web.
Plugin này miễn phí mà không có bất kỳ đợt bán thêm nào.

6. Jetpack

Hầu hết những người sử dụng WordPress đều quen thuộc với Jetpack và chủ yếu là do plugin có rất nhiều tính năng, nhưng cũng do plugin được tạo ra bởi những người từ WordPress.com. Jetpack chứa đầy các mô-đun để tăng cường mạng xã hội, tốc độ trang web và bảo vệ chống spam. Có rất nhiều tính năng trong Jetpack đáng để bạn khám phá.

Một số công cụ bảo mật cũng được bao gồm trong Jetpack, làm cho nó trở thành một plugin hấp dẫn cho những ai muốn tiết kiệm tiền và dựa vào một giải pháp uy tín. Ví dụ: mô-đun Protect là miễn phí và nó chặn các hoạt động đáng ngờ xảy ra. Tính năng bảo vệ tấn công Brute force attack và danh sách trắng cũng được hỗ trợ bởi chức năng bảo mật cơ bản từ Jetpack.

Các phiên bản trả phí của Jetpack mạnh hơn về bảo mật. Ví dụ: gói 99$ mỗi năm bao gồm quét phần mềm độc hại, sao lưu trang web theo lịch trình và khôi phục nếu có sự cố. Hơn nữa, gói 299$ mỗi năm cung cấp quét phần mềm độc hại theo yêu cầu và sao lưu theo thời gian thực để bảo vệ tối ưu.

Các tính năng của plugin Jetpack:

Gói miễn phí cung cấp một lượng bảo mật tốt cho một trang web nhỏ, sau đó bạn có thể nâng cấp lên các gói trả phí có giá hợp lý và nhận được hỗ trợ đầy đủ cũng như một plugin là một trong những plugin tốt nhất trên thị trường.
Các gói cao cấp biến plugin giống một bộ ứng dụng hơn, với các lợi ích như sao lưu, bảo vệ chống spam và quét bảo mật.
Các bản cập nhật plugin được quản lý hoàn toàn thông qua Jetpack.
Bạn được giám sát thời gian chết.
Jetpack cũng là một plugin giúp loại bỏ sự cần thiết của các plugin khác. Ví dụ, nó có các tính năng tiếp thị qua email, mạng xã hội, tùy chỉnh trang web và tối ưu hóa.

7. SecuPress

SecuPress là một plugin bảo mật mới hơn trên thị trường (ban đầu được phát hành dưới dạng miễn phí vào năm 2016), nhưng lại đang là một plugin đang phát triển nhanh chóng. Được thiết kế phát triển bởi Julio Potier, một trong những người đồng sáng lập ban đầu của WP Media, người đồng phát triển WP Rocket và Imagify. Có cả phiên bản miễn phí và phiên bản cao cấp bao gồm rất nhiều tính năng bổ sung.

Nếu bạn muốn một plugin bảo mật WordPress có giao diện người dùng tuyệt vời và dễ sử dụng, SecuPress chắc chắn là plugin đi kèm. Phiên bản miễn phí có tính năng đăng nhập chống bạo lực, các IP bị chặn và tường lửa. Nó cũng bao gồm bảo vệ các khóa bảo mật của bạn cũng như chặn các lượt truy cập từ các bot xấu (bạn thường phải trả phí trong các plugin bảo mật khác).

Nếu bạn muốn nhiều tính năng hơn nữa, các phiên bản cao cấp của chúng có giá khởi điểm 59 đô la một năm cho mỗi trang web và bao gồm các tính năng bổ sung như cảnh báo và thông báo, xác thực hai yếu tố, chặn vị trí địa lý IP, quét phần mềm độc hại PHP và báo cáo PDF.

Các tính năng của plugin SecuPress:

Giao diện người dùng trong SecuPress có lẽ là một trong những giao diện tốt nhất. Điều này làm cho nó rất dễ sử dụng, ngay cả đối với người mới bắt đầu.
Phiên bản cao cấp chắc chắn bổ sung rất nhiều giá trị. Kiểm tra 35 điểm bảo mật trong 5 phút, nhận một báo cáo đẹp và sau đó củng cố trang web WordPress của bạn.
Bao gồm khả năng thay đổi URL đăng nhập WordPress của bạn để bot không thể tìm thấy nó.
Giúp bạn phát hiện các chủ đề và plugin dễ bị tấn công hoặc đã bị giả mạo để bao gồm mã độc hại.

>> Xem thêm: Cách quét mã độc WordPress

8. BulletProof Security

Plugin BulletProof Security có cả phiên bản miễn phí và cao cấp. Tùy chọn trả phí được bán với khoản thanh toán một lần là 69,95 đô la và được tích cực phát triển, cập nhật và có thể chứa nhiều tính năng hơn hầu hết các plugin bảo mật khác trên thị trường. Họ cung cấp bảo đảm hoàn lại tiền trong 30 ngày và bạn nhận được các tính năng cách ly, cảnh báo qua email, chống thư rác, tự động khôi phục và hơn thế nữa.

Vietnix khuyên bạn nên dùng thử plugin miễn phí trước tiên, vì nó cung cấp các công cụ sau:

Bảo mật và giám sát đăng nhập.
Sao lưu và khôi phục cơ sở dữ liệu.
MScan Malware Scanner.
Công cụ chống thư rác và chống hack.
Nhật ký bảo mật.
Thư mục plugin ẩn.
Chế độ bảo trì.
Một trình hướng dẫn thiết lập đầy đủ.

Đây không phải là plugin bảo mật WordPress thân thiện với người dùng nhất, nhưng nó hoạt động tốt cho các nhà phát triển nâng cao muốn tận dụng các cài đặt và tính năng độc đáo như trình bảo vệ chống khai thác và bộ giải mã Base64 trực tuyến. Nó cũng có tính năng tự động sửa lỗi của trình hướng dẫn thiết lập để giúp việc này dễ dàng hơn một chút.

Các tính năng nổi bật BulletProof Security:

BulletProof Security có một số công cụ bảo mật tiên tiến độc đáo nhất trên thị trường, với các tính năng như giải pháp mã hóa Hệ thống ngăn chặn và phát hiện xâm nhập BPS Pro ARQ (ARQ IDPS), cũng như cắt theo lịch trình, quét cURL, khóa thư mục, v.v.
Phiên bản miễn phí được đóng gói với đủ các tính năng cho các trang web trung bình.
Các bản sao lưu cơ sở dữ liệu được cung cấp trong phiên bản miễn phí.
Bạn có thể ẩn các thư mục plugin riêng lẻ.
Chức năng chế độ bảo trì không phải là thứ bạn có thể tìm thấy trong hầu hết các plugin bảo mật khác.

>> Xem thêm: 5 Plugin bảo trì WordPress tốt nhất hiện nay

9. WPScan – WordPress Security Scanner

Plugin bảo mật WPScan WordPress có một cách tiếp cận bảo mật khác vì nó tận dụng cơ sở dữ liệu lỗ hổng bảo mật được quản lý thủ công được cập nhật bởi các chuyên gia bảo mật chuyên dụng và cộng đồng nói chung hàng ngày. Được tài trợ bởi Automattic, cơ sở dữ liệu bao gồm hơn 21.000 lỗ hổng bảo mật đã biết.

Nhờ đó, plugin WPScan có thể quét phiên bản lõi, plugin và chủ đề WordPress của bạn để tìm các lỗ hổng bảo mật đã biết.

Ngoài ra, plugin cũng có nhiều kiểm tra bảo mật khác, chẳng hạn như quét các tệp nhật ký gỡ lỗi bị lộ, tệp wp-config.php đã sao lưu, người dùng có mật khẩu yếu và hơn thế nữa. WPScan có gói API miễn phí nên phù hợp với hầu hết các trang web WordPress, tuy nhiên, cũng có gói trả phí cho những người dùng có thể cần nhiều lệnh gọi API hơn.

Các tính năng của plugin WPScan:

Nó sử dụng cơ sở dữ liệu lỗ hổng được cập nhật liên tục của riêng mình.
Nó có các tùy chọn miễn phí và trả phí tùy thuộc vào nhu cầu của bạn.
Kiểm tra bảo mật bổ sung.
Các tùy chọn để gửi thông báo qua email khi phát hiện ra lỗ hổng bảo mật.
Bạn có thể lên lịch quét để chạy vào những thời điểm cụ thể.

10. VaultPress

VaultPress hoạt động tương tự như các plugin như iThemes Security Pro và Sucuri Scanner. Bạn cần phải trả tiền để có thể kích hoạt các tính năng bảo vệ, nhưng các gói này chỉ bắt đầu từ 39$ mỗi năm, khiến nó trở thành một trong những plugin bảo mật cao cấp giá mà cả phải chăng. Nếu trang web của bạn là website doanh nghiệp bạn có thể chọn nâng cấp lên gói mạnh hơn với giá 99$ hoặc 299$ mỗi năm.

Các bản sao lưu hàng ngày và theo thời gian thực là cơ sở của hoạt động, với chế độ xem lịch để chỉ định thời điểm bạn muốn hoàn tất các bản sao lưu của mình. Bạn cũng có thể hoàn thành việc khôi phục trang web chỉ bằng một cú nhấp chuột nhanh. Hơn nữa, các tệp khôi phục được ghi vào trang tổng quan và một số tệp trong số đó được lưu trữ để bạn có thể chọn tệp mình muốn.

Các công cụ bảo mật chính theo dõi hoạt động đáng ngờ trên trang web của bạn, với các tab để xem lịch sử của bạn và xem những mối đe dọa nào đã được xử lý hoặc bỏ qua. Bạn cũng có thể kiểm tra số liệu thống kê và quản lý toàn bộ chi tiết bảo mật của mình từ sự tiện lợi của một bảng điều khiển sạch.

Các tính năng của plugin VaultPress:

Giá cả tốt hơn hầu hết các plugin bảo mật WordPress cao cấp khác.
Bảng điều khiển trông gọn gàng và dễ hiểu đối với tất cả người dùng.
Bạn có thể sao lưu theo thời gian thực hoặc thủ công bằng lịch.
Tab thống kê hiển thị thông tin về thời gian truy cập phổ biến nhất trên trang web của bạn, đồng thời hiển thị những mối đe dọa nào đã xảy ra trong thời gian đó.
Bạn có thể liên hệ với các chuyên gia từ VaultPress để giúp bạn thực hiện các công việc như khôi phục và sao lưu trang web.

11. Google Authenticator – Two Factor Authentication

Phần lớn các plugin có các tính năng bảo mật riêng lẻ không có nhiều ý nghĩa khi cài đặt. Lý do cho điều này là vì bạn thường có thể sử dụng một plugin như iThemes Security Pro và sử dụng một tính năng đó cùng với hàng chục tính năng khác. Tuy nhiên, xác thực hai yếu tố là một câu chuyện khác, vì có vẻ như hầu hết các bộ bảo mật không bao gồm nó. Do đó, bạn có thể tăng cường bảo mật đăng nhập của mình bằng một plugin như thế này.

Plugin Google Authenticator thêm lớp bảo mật thứ hai vào mô-đun đăng nhập của bạn, lớp này khá quan trọng vì phần lớn các nỗ lực tấn công xảy ra với thông tin đăng nhập. Ngoài mật khẩu thông thường của bạn, plugin này còn gửi thông báo đẩy đến điện thoại của bạn hoặc một số hình thức xác thực khác như sử dụng mã QR hoặc đặt câu hỏi bảo mật.

Bằng cách này, thông tin đăng nhập của bạn trở nên ít bị xâm nhập hơn vì lớp thứ hai rất có thể là thứ mà chỉ bạn biết hoặc có trên người của bạn (như điện thoại của bạn).

Plugin bảo mật WordPress này không yêu cầu bất kỳ khoản thanh toán nào và giao diện đủ dễ hiểu. Bên cạnh việc chọn loại xác thực, một tính năng thú vị khác cho phép bạn chỉ định loại vai trò người dùng nào cần phải trải qua quá trình xác thực. Vì vậy, bạn có thể cho phép quản trị viên truy cập dễ dàng hơn, nhưng bạn có thể yêu cầu tác giả hoặc người dùng khác thực hiện quy trình hai yếu tố.

Vấn đề duy nhất là xác thực hai yếu tố khiến việc đăng nhập vào chương trình phụ trợ của bạn bằng thiết bị di động khá khó khăn.

Các tính năng của plugin Google Authenticator:

Nó gần như loại bỏ lỗ hổng là khu vực đăng nhập của bạn.
Bạn có thể chọn phương pháp xác thực hai yếu tố nào là dễ nhất cho mình.
Bạn có thể chọn loại người dùng nào cần trải qua quá trình xác thực.
Plugin có một mã ngắn để sử dụng với các trang đăng nhập tùy chỉnh.

12. Security Ninja

Security Ninja là một trong những plugin bảo mật đầu tiên được bán trên CodeCanyon (với bốn tiện ích bổ sung có sẵn), nó đã chuyển sang mô hình freemium vào năm 2016. Các tiện ích bổ sung đã được loại bỏ để chỉ có hai phiên bản – miễn phí và cao cấp. Mô-đun chính (là mô-đun duy nhất có sẵn miễn phí) thực hiện hơn 50 bài kiểm tra bảo mật khác nhau, từ kiểm tra tệp và quyền MySQL đến các cài đặt PHP khác nhau.

Security Ninja cũng thực hiện kiểm tra tất cả mật khẩu của người dùng để loại bỏ các tài khoản có mật khẩu yếu như “12345” hoặc “password”. Điều này giúp nhắc nhở tầm quan trọng cho người dùng về bảo mật. Nó bao gồm một mô-đun sửa lỗi tự động, nhưng nếu bạn muốn kiểm điều gì đang xảy ra, có một giải thích chi tiết về mọi thử nghiệm bao gồm mã để khắc phục sự cố bảo mật theo cách thủ công.

Nếu bạn không thích các plugin gây rối với trang web của mình, Security Ninja cung cấp một giải pháp thay thế tốt cho cách tiếp cận thông thường “chỉ cần nhấp vào đây để khắc phục sự cố”. Các mô-đun khác trong phiên bản trả phí, bắt đầu từ 29$ một năm cho mỗi trang web.

Các tính năng của plugin Security Ninja:

Mô-đun trình kiểm tra bảo mật (có sẵn trong phiên bản miễn phí) thực hiện hơn 50 kiểm tra bảo mật trên trang web của bạn.
Không am hiểu công nghệ? Không thành vấn đề, mô-đun trình sửa lỗi tự động có thể giải quyết bất kỳ sự cố nào được phát hiện.
Quét lõi WordPress để đảm bảo tính toàn vẹn của các tệp lõi bằng cách so sánh chúng với bản sao an toàn và mới nhất từ wordpress.org.
Quét các plugin và chủ đề để tìm kiếm mã và phần mềm độc hại đáng ngờ.
Tận dụng danh sách khổng lồ các IP xấu đã biết và tự động chặn chúng.
Ghi nhật ký tất cả các sự kiện đang diễn ra trên trang WordPress của bạn, từ người dùng đăng nhập đến cài đặt được thay đổi.
Bạn có thể lên lịch quét thường xuyên.

13. Defender

Defender là plugin bảo mật WordPress nhiều lớp được thực hiện rất dễ dàng. Cả phiên bản miễn phí và chuyên nghiệp đều bắt đầu với danh sách các kỹ thuật tăng cường hiệu quả nhất để nâng cấp ngay lập tức bảo mật WordPress của bạn.

Bạn có thể chạy quét miễn phí để kiểm tra mã đáng ngờ của WordPress. Công cụ quét Defender so sánh cài đặt WordPress của bạn với thư mục, báo cáo các thay đổi và cho phép bạn khôi phục tệp gốc nhanh chóng. Defender cũng cung cấp phiên bản chuyên nghiệp bao gồm sao lưu đám mây với bộ nhớ từ xa 10GB, nhật ký kiểm tra để theo dõi các thay đổi, quét bảo mật tự động và giám sát danh sách đen. Các chuyên gia của họ thậm chí sẽ giúp bạn dọn dẹp một trang web bị tấn công.

Các tính năng làm cho Defender trở thành một lựa chọn tuyệt vời:

Xác minh 2 bước của Google.
Quét và sửa chữa tệp lõi WordPress.
Mặt nạ màn hình đăng nhập.
Quản lý danh sách đen IP và ghi nhật ký.
Quét tệp không giới hạn.
Đã hẹn giờ Lockout lá chắn tấn công bạo lực để bảo vệ đăng nhập.
404 giới hạn để chặn quét lỗ hổng bảo mật.
Thông báo và báo cáo khóa IP.

14. Astra Web Security

Astra Web Security là một “security suit” dành cho trang web WordPress của bạn. Với Astra, bạn không phải lo lắng về phần mềm độc hại, SQL injection, XSS, spam nhận xét, bạo lực và hơn 100 mối đe dọa, có nghĩa là bạn có thể loại bỏ các plugin bảo mật khác và để Astra xử lý tất cả. Bảng điều khiển siêu trực quan của Astra không giúp bạn không bị rối và dễ dàng kiểm soát.

Nhiều thương hiệu uy tín như Gillette, African Union, Ford, Oman Airways đều sử dụng giải pháp an ninh Astra. Giá của Astra bắt đầu từ 9$ mỗi tháng và được giảm giá cố định 20% nếu gói được thanh toán hàng năm. Nhìn chung, Astra có thể là một khoản đầu tư tốt nếu bạn định chi tiền cho việc bảo mật trang web của mình.

Các tính năng của plugin Astra Web Security:

Giải pháp bảo mật Astra được cài đặt dưới dạng plugin WordPress và không cần thay đổi cài đặt DNS.
Họ cung cấp khả năng dọn dẹp phần mềm độc hại ngay lập tức, một bức tường lửa vững chắc ngăn chặn các cuộc tấn công như SQLi, XSS, Code Injection, Bad Bots, Brute force, SEO spam và hơn 100 cuộc tấn công mạng khác.
Hoàn thành kiểm tra bảo mật bao gồm logic lỗi nghiệp vụ cho trang web WordPress của bạn.
Bảng điều khiển trực quan ghi lại tất cả các cuộc tấn công và cung cấp cho bạn tùy chọn để chặn hoặc đưa vào danh sách trắng quốc gia, dải IP hoặc URL, danh sách đen liên tục và giám sát danh tiếng, thông báo đăng nhập quản trị hàng giờ.
Nền tảng quản lý tiền thưởng lỗi hoặc bảo mật cộng đồng miễn phí, nơi bạn cung cấp cho tin tặc một cách an toàn và bảo mật để báo cáo bất kỳ lỗ hổng bảo mật nào mà họ tìm thấy trên trang web của bạn. Mọi vấn đề được báo cáo đều được các kỹ sư của Astra xác nhận.

15. Shield Security

Shield Security là một plugin có thể gánh vác gánh nặng về bảo mật trang web của bạn rất tốt. Rất nhiều người trong chúng ta đều thiếu thời gian, vì vậy chúng ta cần các biện pháp bảo vệ thông minh hơn và một plugin bảo mật biết cách đối phó với các mối đe dọa mà không làm phiền bạn bằng email.

Shield thích hợp cho cả người mới bắt đầu và nâng cao, Shield bắt đầu quét và bảo vệ trang web của bạn ngay từ khi bạn kích hoạt nó. Tất cả các tùy chọn đều được ghi lại đầy đủ, vì vậy bạn có thể tìm hiểu sâu hơn về bảo mật trang web của mình khi rảnh rỗi.

Cốt lõi của Shield Security là miễn phí vĩnh viễn. Các chuyên gia và doanh nghiệp cần được bảo vệ sâu hơn và hỗ trợ 24/24 luôn sẵn sàng, có thể nhận được Shield Pro chỉ với 12$/ trang web. Sứ mệnh đằng sau Shield Security là “không có trang web nào bị bỏ lại phía sau” – mục tiêu là làm cho bảo mật Pro-Grade có thể truy cập được cho mọi trang web, chứ không phải chỉ dành cho một số người giàu có.

Bản pro mang đến nhiều bản quét hơn, chạy thường xuyên hơn, chính sách mật khẩu người dùng, đường dẫn kiểm tra lớn hơn, hỗ trợ WooCommerce, giám sát lưu lượng và các tính năng giúp chính sách bảo mật mượt mà hơn cho người dùng.

Các tính năng làm cho Shield Security trở thành một lựa chọn tuyệt vời:

Một trong những plugin bảo mật duy nhất hạn chế quyền truy cập vào cài đặt của riêng nó đối với một số người dùng nhất định.
Bảo vệ thông minh hơn với các tính năng hoạt động không mệt mỏi trong nền mà không làm phiền bạn với các thông báo.
Plugin bảo mật duy nhất cung cấp miễn phí ba loại xác thực hai yếu tố và một tùy chọn để chọn người dùng có thể sử dụng nó.
Nâng cấp Pro cho tất cả mọi người với giá 12$/ trang web – định giá hàng loạt mà không cần mua số lượng lớn.
Bản pro cung cấp khả năng quét mạnh mẽ gấp 6 lần để phát hiện sự cố trong tất cả các khu vực trên trang web của bạn.

16. Hide My WP

Hide My WP là một plugin bảo mật phổ biến dành cho WordPress giúp che giấu sự thật rằng bạn đang sử dụng WordPress làm CMS của mình cho những kẻ tấn công, người gửi thư rác và cả những công cụ phát hiện chủ đề như Wappalyzer hoặc BuiltWith.

Plugin bảo mật này bao gồm trình phát hiện xâm nhập nghệ thuật rắn (IDS) để chặn các cuộc tấn công bảo mật thời gian thực như SQL injection, XSS và những thứ khác. Hide My WP là một plugin bảo mật WordPress cao cấp mà bạn có thể nhận được với giá 24$.

Các tính năng cảu plugin Hide My WP:

Ẩn tên của chủ đề, plugin, thay đổi liên kết cố định, ẩn wp-admin, URL đăng nhập.
Chặn quyền truy cập trực tiếp vào các tệp PHP, dọn dẹp tên lớp WP, vô hiệu hóa danh sách thư mục.
Thông báo về bất kỳ hành vi xấu tiềm ẩn nào với đầy đủ thông tin chi tiết về kẻ tấn công bao gồm tên người dùng, địa chỉ IP, ngày tháng,…
Tự động chặn lưu lượng truy cập từ các địa chỉ IP nguồn xấu.
Dễ sử dụng, chọn từ các cài đặt được tạo sẵn để triển khai bằng một cú nhấp chuột.
Tương thích với multi-site, apache, Nginx, IIS, các chủ đề cao cấp và các plugin bảo mật khác.

17. WebARX

WebARX là một nền tảng bảo mật trang web cao cấp hỗ trợ mọi ứng dụng PHP. WebARX chủ yếu được biết đến với tường lửa điểm cuối nâng cao, cho phép bạn kiểm soát hoàn toàn lưu lượng truy cập giữa các trang web của mình thông qua bảng điều khiển dựa trên đám mây của chúng.

Trên thực tế, WebARX có một tường lửa ứng dụng web được quản lý để bảo vệ trang web của bạn khỏi các lỗ hổng plugin, các cuộc tấn công của bot và khỏi lưu lượng truy cập giả mạo.

Plugin này cho phép bạn tạo các quy tắc tường lửa của riêng mình, tăng cường cài đặt WordPress của bạn, tạo bản sao lưu, theo dõi thời gian hoạt động và các vấn đề bảo mật, nhận cảnh báo, xuất báo cáo và hơn thế nữa. Nó cũng khá dễ thiết lập.

Các tính năng làm cho WebARX trở thành một lựa chọn tuyệt vời:

Tường lửa trang web nâng cao (Hoàn toàn có thể tùy chỉnh từ cổng WebARX).
Bản vá ảo tự động nhận các quy tắc để vá các lỗ hổng plugin và chủ đề.
Tăng cường cài đặt WordPress: 2FA, recaptcha, tự động thêm tiêu đề bảo mật, chặn các cuộc tấn công brute-force, thay đổi wp-admin, thêm cookie,…
Giám sát thời gian hoạt động: nhận thông báo về thời gian hoạt động và email khi một trang web gặp sự cố.
Báo cáo bảo mật PDF tùy chỉnh (Tùy chỉnh chúng bằng biểu tượng của riêng bạn để gửi cho khách hàng).
Bảo mật tập trung cho các trang web không giới hạn.

Plugin bảo mật WordPress nào phù hợp nhất với bạn?

Bây giờ chúng ta đã xem qua các plugin bảo mật WordPress tốt nhất, hãy xem các đề xuất chính của chúng tôi bên dưới. Điều này giúp bạn chọn một hoặc hai plugin dễ dàng hơn mà không cần phải kiểm tra từng plugin một. Hãy nhớ rằng tùy thuộc vào những gì máy chủ lưu trữ WordPress của bạn đã cung cấp, các plugin bảo mật có thể không cần thiết.

Những đề xuất này phù hợp với những tình huống nhất định mà bạn có thể chọn một plugin bảo mật này thay cho một plugin khác.

Để có giá trị tốt nhất – Sucuri Security, SecuPress, Jetpack, iThemes Security, Shield Security và WPScan.
Nếu bạn muốn có một plugin bảo mật WordPress miễn phí – All In One WP Security & Firewall, Sucuri Security (phiên bản miễn phí) hoặc Wordfence Security.
Nếu bạn đang tìm kiếm một plugin bảo mật cho người mới bắt đầu – All In One WP Security & Firewall, Security Ninja hoặc Defender.
Khi bạn yêu cầu một plugin bảo vệ bạo lực nâng cao hơn – WP fail2ban hoặc Astra.
Nếu bạn muốn xác thực hai yếu tố – Google Authenticator
Để có giao diện đẹp – SecuPress hoặc VaultPress.

Lời kết

Hy vọng bài viết trên sẽ giúp bạn có thêm kiến thức bảo mật WordPress. Nếu có thắc mắc hay đóng góp ý kiến, mời bạn để lại bình luận phía dưới bài viết này. Vietnix xin chân thành cảm ơn bạn đã quan tâm!

Chia sẻ lên

Theo dõi trên

Đánh giá

5/5 - (119 bình chọn)

Hưng Nguyễn

Kết nối với mình qua

Tôi là Nguyễn Hưng (Bo Vietnix) là Co-Founder tại Vietnix. Tôi đã có hơn 10 năm làm việc trong mảng System, Network, Security đã trải nghiệm và đạt các chứng chỉ như CCNP, CISSP, CISA, đặc biệt là chống tấn công DDoS.