14 mẹo cần thiết để bảo vệ khu vực quản trị WordPress

Bạn thường xuyên kiểm tra và phát hiện có rất nhiều cuộc tấn công từ tin tặc đến khu vực quản trị website của bạn? Bảo vệ khu vực quản trị khỏi những truy cập trái phép và khả nghi giúp cho bạn chặn các mối đe dọa liên quan đến vấn đề bảo mật. Trong bài viết này, chúng tôi sẽ chỉ cho bạn một số mẹo cần thiết để bảo vệ khu vực quản trị của WordPress.

1. Sử dụng Website Application Firewall ( WAF)


Tường lửa ứng dụng web (Web Application Firewall – WAF) là lớp bảo vệ nằm giữa người dùng và website của bạn, nơi các yêu cầu truy cập của người dùng đi qua, tại đây, WAF sẽ loại bỏ những yêu cầu độc hại trước khi chúng đến được website của bạn.

Mặc dù có nhiều plugin firewall WordPress trên kho ứng dụng hoặc được chia sẻ trên Internet, chúng tôi vẫn khuyên bạn nên sử dụng Sucuri. Đây là một plugin cung cấp dịch vụ giám sát và bảo mật trang web sử dụng nền tảng điện toán đám mây được tích hợp WAF để bảo vệ trang web của bạn oan toàn hơn.

Tất cả các yêu cầu truy cập trang web trước tiên đều đi qua proxy đám mây của họ, tại đây, họ sẽ phân tích từng yêu cầu và chặn những người dùng hay truy cập đáng ngờ, và ngăn chúng không bao giờ truy cập đến website được nữa. Nó sẽ giúp website của bạn tránh khỏi các nỗ lực hack của tin tặc, tấn công giả mạo (phishing), phần mềm độc hại (malware ) và các hoạt động tấn công khác.

Để biết thêm chi tiết về Sucuri, hãy xem bài viết chi tiết về việc Sucuri đã giúp chúng tôi chặn 450.000 cuộc tấn công trong một tháng như thế nào.

2. Mật khẩu bảo vệ thư mục quản trị WordPress

Muốn truy cập vào trang quản trị website WordPress, đầu tiên là phải có mật khẩu. Mật khẩu này giúp trang quản trị website của bạn được bảo vệ bước đầu tiên. Tuy nhiên, việc thêm mật khẩu bảo vệ vào thư mục quản trị WordPress của bạn sẽ giúp bạn có thêm thêm một lớp bảo mật khác cho trang web.

Đầu tiên bạn cần phải đăng nhập vào cPanel của hosting WordPress, sau đó nhấp vào biểu tượng ‘Password Protect Directories’ hoặc biểu tượng ‘Directory Privacy’.

Tiếp theo, bạn sẽ cần chọn thư mục wp-admin, chúng thường nằm trong thư mục / public_html /.

Trên màn hình tiếp theo, bạn cần đánh dấu vào mục ‘Password protect this directory’ và đặt tên cho thư mục được bảo vệ tại ô  “Enter a name for the protected dicrectory”

Sau đó, nhấp vào nút Save để lưu lại những cài đặt này.

Tiếp theo, bạn cần nhấn nút Back (quay lại) và sau đó tạo người dùng gồm các thông tin  sau : UserName (tên tài khoản), New PasswordConfirm Password. Sau khi đã điền đầy đủ và đúng các thông tin thì bạn đừng quên nhấn vào nút Save để lưu lại tài khoản này.

Bây giờ, khi một ai đó cố gắng truy cập vào trang quản trị viên WordPress hoặc vào thư mục wp-admin trên trang web của bạn, họ sẽ được yêu cầu nhập tên người dùng và mật khẩu để có thể truy cập.

Để có được một hướng dẫn chi tiết hơn, hãy xem vài biết hướng dẫn của chúng tôi về cách mật khẩu bảo vệ thư mục quản trị viên WordPress (wp-admin).

3. Luôn sử dụng một mật khẩu mạnh

Bạn nên sử dụng một mật khẩu mạnh mẽ để sử dụng các dịch vụ trực tuyến, kể cả mật khẩu để truy cập website WordPress của bạn. Chúng tôi khuyên bạn nên sử dụng mật khẩu có sự kết hợp giữa các chữ cái, số và ký tự đặc biệt. Điều này làm cho tin tặc khó đoán mật khẩu của bạn hơn.

Chúng tôi thường được hỏi cách để ghi nhớ tất cả các mật khẩu khó ghi nhớ đó, và lời khuyên cho bạn là bạn không cần phải nhớ mà bạn nên dùng các ứng dụng quản lý mật khẩu để quản lý các mật khẩu đó dễ dàng hơn

Để biết thêm thông tin về chủ đề này, hãy xem hướng dẫn của chúng tôi về cách tốt nhất để quản lý mật khẩu cho người mới bắt đầu dùng WordPress.

4. Thêm xác minh 2 bước vào màn hình đăng nhập WordPress

Xác minh hai bước có thể xem như là thêm một lớp bảo mật cho mật khẩu truy cập WordPress. Thay vì chỉ sử dụng mật khẩu, bạn phải nhập mã xác minh được tạo bởi ứng dụng Google Authenticator trên điện thoại của bạn. Có nghĩa là khi có ai đó muốn đăng nhập vào trang quản trị website, ngay cả khi họ có thể đoán mật khẩu WordPress của bạn, họ vẫn sẽ cần mã Google Authenticator để đăng nhập.

Để biết hướng dẫn chi tiết từng bước để thêm phần xác minh hai bước này, hãy xem hướng dẫn của chúng tôi về cách thiết lập xác minh 2 bước trong WordPress bằng Google Authenticator.

5. Hạn chế số lần có thể đăng nhập

Theo mặc định, WordPress cho phép người dùng nhập sai mật khẩu liên tục nhiều lần. Điều này không tốt vì ai đó có thể kết hợp các dữ kiện khác nhau để đoán mật khẩu WordPress của bạn. Nó cũng cho phép tin tặc sử dụng các tập lệnh tự động để bẻ khóa mật khẩu.

Để khắc phục điều này, bạn cần cài đặt và kích hoạt plugin Login LockDown. Sau khi kích hoạt, hãy truy cập vào phần Settings » Login LockDown để định cấu hình cài đặt plugin.

Để biết hướng dẫn chi tiết, hãy xem hướng dẫn của chúng tôi về lý do bạn nên hạn chế các lần thử đăng nhập trong WordPress.

6. Hạn chế quyền truy cập trang đăng nhập bằng địa chỉ IP

Một cách tuyệt vời khác để tăng khả năng bảo mật đăng nhập WordPress là cách giới hạn quyền truy cập trang quản trị WordPress bằng các địa chỉ IP cụ thể. Mẹo này đặc biệt hữu ích nếu bạn hoặc chỉ một vài người dùng đáng tin cậy có thể truy cập vào khu vực quản trị.

Chỉ cần thêm đoạn code này vào file .htaccess của bạn.

1
2
3
4
5
6
7
8
9
10
11
12
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>

Đừng quên thay thế giá trị xx bằng địa chỉ IP của riêng bạn hoặc địa chỉ IP của người dùng đáng tin cậy mà bạn cấp quyền có thể truy cập vào trang quản trị. Nếu bạn sử dụng nhiều hơn một địa chỉ IP để truy cập internet, hãy đảm bảo rằng bạn cũng thêm chúng vào đoạn code trên.

Để biết hướng dẫn chi tiết, hãy xem hướng dẫn của chúng tôi về cách giới hạn quyền truy cập vào quản trị viên WordPress bằng cách sử dụng .htaccess.

7. Vô hiệu hóa phần gợi ý đăng nhập

Khi bạn đăng nhập thất bại, WordPress sẽ hiển thị gợi ý cho bạn là bạn đã nhập sai Mật khẩu hay tài khoản. Những gợi ý đăng nhập này rất nguy hiểm nếu có ai đó dùng nó để cố gắng phá rối.

Bạn có thể dễ dàng ẩn các gợi ý đăng nhập này bằng cách thêm đoạn code này vào file functions.php nằm trong theme của bạn, hoặc sử dụng site-specific plugin ( plugin dành riêng cho website).

1
2
3
4
function no_wordpress_errors(){
  return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

8. Yêu cầu người dùng sử dụng một mật khẩu mạnh

Nếu bạn đang có 1 website có nhiều người dùng trang quản trị web cùng lúc, có thể một trong những người dùng đó đang sử dụng một tài khoản với mật khẩu yếu. Các mật khẩu này có thể bị bẻ khóa và  tin tặc sẽ có quyền truy cập vào khu vực quản trị WordPress.

Để khắc phục điều này, bạn có thể cài đặt và kích hoạt plugin Force Strong Passwords. Plugin này hoạt động theo một nguyên tắc  duy nhất và bạn không cần phải cấu hình cho nó. Khi dùng plugin này, nó yêu cầu người dùng phải sử dụng 1 mật khẩu mạnh hơn.

Tuy nhiên, Force Strong Passwordssẽ không kiểm tra độ mạnh yếu của mật khẩu với một tài khoản người dùng hiện có. Nếu người dùng đang sử dụng một mật khẩu yếu, thì họ vẫn sẽ tiếp tục sử dụng mật khẩu đó mà không nhận được bất kỳ cảnh báo nào.

9. Yêu cầu tất cả người dùng đặt lại mật khẩu

Bạn có thể dễ dàng yêu cầu tất cả người dùng của bạn đặt lại mật khẩu truy cập (nếu bạn lo ngại về vấn đề bảo mật mật khẩu của các người dùng)

Trước tiên, bạn cần cài đặt và kích hoạt plugin Emergency Password Reset. Sau khi kích hoạt, hãy truy cập vào trang Users » Emergency Password Reset và nhấp vào ‘Reset All Passwords’.

Để xem được hướng dẫn chi tiết hơn, hãy xem bài viết của chúng tôi về cách đặt lại mật khẩu cho tất cả người dùng trong WordPress.

10. Luôn cập nhật WordPress

WordPress thường xuyên phát hành các phiên bản mới cho phần mềm của mình. Mỗi bản mới của WordPress đều chứa các cập nhật sửa lỗi quan trọng, các tính năng mới và sửa các lỗi bảo mật cho phiên bản trước đó.

Sử dụng phiên bản cũ của WordPress trên trang web của bạn làm website có các lỗ hổng tiềm ẩn và tin tặc có thể khai thác điều này. Để khắc phục nó, bạn cần phải luôn đảm bảo rằng bạn đang sử dụng phiên bản WordPress mới nhất. Để biết thêm về chủ đề này, hãy xem hướng dẫn của chúng tôi về lý do tại sao bạn nên sử dụng phiên bản mới nhất của WordPress.

Tương tự, các plugin WordPress cũng thường được cập nhật để giới thiệu các tính năng mới hoặc sửa lỗi bảo mật và các vấn đề khác. Hãy chắc chắn rằng các plugin WordPress của bạn cũng được cập nhật phiên bản mới theo nhà phát hành.

11. Tạo trang đăng nhập và đăng ký tùy chỉnh

Nhiều trang web WordPress yêu cầu người dùng đăng ký. Ví dụ: trang web thành viên, trang web quản lý học tập hoặc các trang web cửa hàng trực tuyến cần người dùng tạo tài khoản.

Tuy nhiên, những người dùng này có thể sử dụng tài khoản của họ để đăng nhập vào khu vực quản trị WordPress. Đây không phải là một vấn đề lớn, vì họ chỉ có thể làm những việc được cho phép từ vai trò của tài khoản mà họ dùng. Tuy nhiên, điều này ngăn bạn khả năng hạn chế quyền truy cập vào các trang đăng nhập và đăng ký WordPress mặc định, vì bạn cần cài đặt những trang đó theo dạng ai cũng có thể truy cập nhằm phục vụ cho người dùng đăng ký, đăng nhập và quản lý hồ sơ của họ.

Cách dễ dàng để khắc phục điều này là tạo ra các trang đăng nhập và đăng ký tùy chỉnh. Mục đích là để người dùng có thể đăng ký trực tiếp từ trang web của bạn mà không cần truy cập vào các trang đăng nhập mặc định.

Để biết hướng dẫn chi tiết từng bước, hãy xem hướng dẫn của chúng tôi về cách tạo trang đăng nhập và đăng ký tùy chỉnh trong WordPress.

12. Tìm hiểu về Vai trò và Quyền của Người dùng WordPress

WordPress đi kèm với một hệ thống quản lý tài khoản người dùng mạnh mẽ với các vai trò và quyền người dùng phong phú. Khi bạn thêm một người dùng mới vào website, bạn hoàn toàn có thể chọn vai trò người dùng cho họ. Vai trò người dùng này xác định những gì họ có thể làm trên website của bạn.

Gán vai trò người dùng không chính xác có thể tạo cho người dùng nhiều quyền hơn cái họ cần. Để tránh điều này, bạn cần hiểu những vai trò và quyền người dùng khác nhau trong WordPress. Để biết thêm về chủ đề này, hãy xem hướng dẫn dành cho người mới bắt đầu của chúng tôi về vai trò và quyền của người dùng WordPress.

13. Giới hạn quyền truy cập vào trang điều khiển

Một số trang web WordPress có một số người dùng nhất định cần truy cập vào trang quản trị website và một số người dùng thì không cần. Tuy nhiên, theo mặc định, tất cả họ đều có quyền truy cập vào khu vực quản trị website.

Để khắc phục điều này, bạn cần cài đặt và kích hoạt plugin Remove Dashboard Access . Sau khi kích hoạt, hãy truy cập  trang Settings » Dashboard Access và chọn vai trò người dùng nào sẽ có quyền truy cập vào khu vực quản trị viên trên trang web của bạn.

Để có được hướng dẫn chi tiết hơn, hãy xem hướng dẫn của chúng tôi về cách giới hạn quyền truy cập Trang quản trị website trong WordPress.

14. Đăng xuất người dùng đang ở trạng thái Idle ( nhàn rỗi)

WordPress không tự động đăng xuất người dùng cho đến khi họ tự đăng xuất hoặc đóng cửa sổ trình duyệt. Điều này là một vấn đề cần được quan tâm, đặc biệt là đối với các trang web và ứng dụng của  các tổ chức tài chính. Họ luôn tự động đăng xuất người dùng nếu họ trong trạng thái Idle một khoản thời gian.

Để khắc phục điều này, bạn có thể cài đặt và kích hoạt plugin Idle User Logout . Sau khi kích hoạt, hãy truy cập trang Settings » Idle User Logout và nhập khoảng thời gian mà bạn muốn người dùng tự động đăng xuất.

Để biết thêm chi tiết, hãy xem bài viết của chúng tôi về cách tự động đăng xuất người dùng idle (nhàn rỗi) trong WordPress.

Chúng tôi hy vọng bài viết này đã giúp bạn tìm hiểu một số mẹo và kỹ năng mới để bảo vệ khu vực quản trị website WordPress của bạn. Bạn cũng có thể muốn xem hướng dẫn từng bước về nền tảng bảo mật WordPress  dành cho người mới bắt đầu.

Nếu thích bài viết này, bạn vui lòng đăng ký Kênh YouTube của chúng tôi để xem video hướng dẫn. Bạn cũng có thể tìm thấy chúng tôi trên Twitter Facebook.

Leave a Reply

Your email address will not be published. Required fields are marked *

+