Bảo mật website WordPress là một trong những yếu tố quan trọng để bảo vệ dữ liệu và nâng cao trải nghiệm người dùng. Dưới đây là tổng hợp các bước bảo mật toàn diện giúp bạn nâng cao khả năng chống lại các mối đe dọa từ hacker.
1. Xóa Các Plugin và Theme Không Sử Dụng
- Lý do: Các plugin và theme không sử dụng thường bị bỏ quên, dễ trở thành mục tiêu khai thác lỗ hổng bảo mật.
- Cách thực hiện: Xóa hoàn toàn các plugin và theme không cần thiết để giảm dung lượng hosting và hạn chế rủi ro.
2. Giới Hạn File Upload Trong Quản Trị WordPress
- Mục đích: Ngăn hacker tải lên các file độc hại như *.php.
- Hướng dẫn:
Tham khảo bài viết hướng dẫn giới hạn hoặc thêm định dạng file upload trong WordPress và cấu hình theo nhu cầu.
3. Tắt Tính Năng Bình Luận (Nếu Không Sử Dụng)
- Lý do: Tránh spam, nhúng link quảng cáo, hoặc nội dung không phù hợp.
- Cách thực hiện:
- Mở file
single.phpcủa theme. - Tìm hàm
comments_template();và xóa hoặc ẩn đi. - Để chặn hoàn toàn, thêm lệnh
die();vào filewp-comments-post.php.
- Mở file
Gợi ý: Nếu vẫn cần bình luận, bạn có thể tích hợp tính năng bình luận Facebook hoặc sử dụng plugin bình luận.
4. Chặn Truy Cập Đến File wp-config và Các File Quan Trọng
Thêm đoạn mã sau vào file .htaccess để ngăn chặn truy cập trái phép:
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
<FilesMatch "^.*(error_log|wp-config\.php|php.ini|\.[hH][tT][aApP].*)$">
Order deny,allow
Deny from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
5. Giới Hạn Truy Cập Đến File .php Trong Thư Mục wp-content
Ngăn hacker khai thác các file độc hại bằng cách thêm mã sau vào file .htaccess trong thư mục wp-content:
Order deny,allow
Deny from all
<Files ~ ".(xml|css|js|jpe?g|png|gif|pdf|docx|rtf|odf|zip|rar|ttf|eof|woff|woff2|otf|json|svg|ico)$">
Allow from all
</Files>
6. Cài Đặt Plugin Bảo Mật “WP Cerber”
- Lợi ích: Plugin nhẹ và cung cấp nhiều tính năng bảo mật quan trọng.
- Tính năng nổi bật:
- Giới hạn số lần đăng nhập sai.
- Đổi đường dẫn đăng nhập mặc định.
- Chặn IP đáng ngờ.
- Thêm CAPTCHA ở trang đăng nhập.
Lưu ý: Nếu sử dụng các plugin cache như W3 Total Cache, WP Super Cache, WP Rocket…, hãy thêm slug đăng nhập mới vào danh sách loại trừ cache.
Order deny,allow
Deny from all
<Files ~ ".(xml|css|js|jpe?g|png|gif|pdf|docx|rtf|odf|zip|rar|ttf|eof|woff|woff2|otf|json|svg|ico)$">
Allow from all
</Files>
7. Vô Hiệu Hóa Tính Năng “Theme Editor”
Ngăn hacker chỉnh sửa mã nguồn bằng cách thêm đoạn mã sau vào file wp-config.php:
define('DISALLOW_FILE_EDIT', true);
8. Tắt Chế Độ Debug Khi Không Sử Dụng
- Lý do: Tính năng debug hiển thị lỗi chi tiết, có thể bị lợi dụng bởi hacker.
- Cách thực hiện: Đặt
WP_DEBUGthànhfalsetrong filewp-config.php.
define('WP_DEBUG', false);
9. Xóa Thông Tin Phiên Bản WordPress
Thêm đoạn mã sau vào file functions.php để ẩn thông tin phiên bản WordPress:
function remove_wordpress_version() {
return '';
}
add_filter('the_generator', 'remove_wordpress_version');
function remove_version_from_assets($src) {
if (strpos($src, 'ver='))
$src = remove_query_arg('ver', $src);
return $src;
}
add_filter('style_loader_src', 'remove_version_from_assets');
add_filter('script_loader_src', 'remove_version_from_assets');
10. Các Lưu Ý Quan Trọng Khác
- Cấu hình HTTPS: Cài SSL (miễn phí hoặc trả phí).
- Backup định kỳ: Backup cả mã nguồn và database theo tuần hoặc tháng.
- Sử dụng mật khẩu mạnh: Tối thiểu 14 ký tự, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt.
- Xóa user không sử dụng: Tránh để user như
admin,root,system. - Tắt WP CRON nếu không dùng: Thêm đoạn mã sau vào
wp-config.php:
define('DISABLE_WP_CRON', true);
- Cập nhật phiên bản WordPress và plugin: Luôn sử dụng phiên bản mới nhất.
- Không sử dụng theme và plugin nulled: Tránh các rủi ro bảo mật tiềm ẩn.
- Xác thực 2 yếu tố (2FA): Tích hợp tính năng này qua plugin WP Cerber.
- Nâng cấp PHP: Sử dụng PHP >= 7.0 để cải thiện bảo mật và hiệu suất.
- Tắt tính năng reset mật khẩu qua email: Thêm mã sau vào file
functions.php:
add_filter('allow_password_reset', '__return_false');
- Bằng cách áp dụng các biện pháp trên, bạn có thể bảo mật website WordPress hiệu quả và yên tâm vận hành mà không lo bị xâm nhập trái phép.