Chắc hẳn bạn đã biết đến WordPress là gì. Đây chính xác là một nền tảng CMS được cộng đồng SEO lựa chọn nhiều nhất trong thời gian qua nhờ vào nhiều tính năng chuẩn SEO trong hệ thống. Cũng chính vì vậy mà các trang web/ blog từ WordPress không ngừng bị tấn công. Hãy cùng xem một số nguyên tắc cơ bản về WordPress và cách để đảm bảo an toàn cho trang web này của bạn.
Mục lục
1. WordPress có an toàn hay không?
Câu trả lời là có và phiên bản mới nhất của WordPress rất an toàn. Bỏ qua phần cập nhật phần mềm tuy nhiên vẫn có một số vấn đề khác làm cho WordPress không an toàn. Đây là lý do tại sao nhiều chuyên gia bảo mật và developer không “hâm mộ” WordPress. Thực ra phần mềm này cũng giống như mã spaghetti PHP vốn không an toàn, trong đó chính WordPress cảnh báo rằng những sai sót đó “bắt nguồn từ phần mở rộng của nền tảng, đặc biệt là các plugin và chủ đề”.
2. Cập nhật WordPress
Bạn nên bật chế độ cập nhật bảo mật tự động bởi vì WordPress cần các bản cập nhật bảo mật để hoạt động an toàn, mỗi phiên bản mới sẽ có chương trình tốt hơn. Tuy nhiên về việc cập nhật lõi WordPress không yêu cầu bạn đảm bảo mọi thứ đều phải tương thích. Hãy cập nhật lại plugin và chủ đề ngay sau khi có phiên bản tương thích nhé.
3. Mã nguồn mở
WordPress là gì? Là một mã nguồn mở, đòi hỏi nhiều rủi ro nhưng cũng mang lại nhiều lợi ích. Nếu dự án của bạn được hưởng lợi từ một cộng đồng developer đóng góp mã cho lõi, nhóm cốt lõi vá các lỗ hổng bảo mật sẽ được tìm thấy nhờ vào cộng đồng lúc sử dụng. Nhưng bên cạnh đó thì những đối tượng xấu muốn tấn công trang web của bạn cũng sẽ phát hiện ra.
>>> Xem thêm về mã nguồn mở Git: Git là gì? Các thuật ngữ và câu lệnh Git quan trọng với lập trình viên.
4. Bảo vệ bản thân trước
Một số thao tác nhỏ để bạn có thể bảo vệ tài khoản của mình hay cả khi bạn không có vai trò là quản trị viên. Hãy chắc chắn rằng mạng internet mà bạn đang dùng là một mạng an toàn với máy trạm được quét thường xuyên. Chặn quảng cáo để ngăn lại các cuộc tấn công tinh vi bằng hình ảnh từ bên ngoài. Đặc biệt hãy sử dụng VPN để mã hóa từ đầu đến cuối bất cứ khi nào bạn làm việc tại các điểm truy cập WiFi công cộng.
5. Mật khẩu an toàn
Trong hệ thống WordPress việc quản lý mật khẩu an toàn là rất quan trọng cho dù bạn có vai trò gì đi chăng nữa. Hãy chắc chắn rằng mật khẩu của bạn là duy nhất và có một độ dài. Tốt nhất nếu muốn an toàn tuyệt đối bạn nên sử dụng trình quản lý mật khẩu để tạo mật khẩu cho riêng mình. Bởi vì nếu tự tạo mật khẩu sự kết hợp của các con số và chữ cái không đủ an toàn, ngay cả khi đã có dấu chấm câu.
6. Độ dài mật khẩu
Bạn có biết tại sao độ dài của mật khẩu rất quan trọng hay không? Bởi vì mật khẩu bao gồm 8 ký tự sẽ bị bẻ khóa trong vòng chưa đầy 2,5 giờ bằng cách sử dụng tiện ích nguồn mở miễn phí có tên HashCat. Nhưng bắt đầu từ 13 ký tự trở lên thì việc này đã trở nên khó khăn hơn và ít nhất là đến bây giờ chưa thực hiện được.
7. Quản trị viên
Nếu bạn đang có vai trò là quản trị viên trên trang WordPress thì hãy tạo một new user cho chính bạn và chỉ giới hạn ở vai trò biên tập viên. Bắt đầu sử dụng hồ sơ mới thay vì quản trị viên. Bằng cách đó, các cuộc tấn công mạng diện rộng sẽ tập trung vào tấn công thông tin xác thực vai trò biên tập viên; nếu bị tấn công thì bạn vẫn có khả năng quản trị viên để thay đổi mật khẩu và kiểm soát trang web của mình.
8. Chính sách bảo mật
Chính sách bảo mật của WordPress là gì? Nếu bạn có kinh nghiệm về bảo mật, hãy thực hiện kiểm tra mã các plugin và chủ đề. Từ đó sẽ thiết lập nguyên tắc đặc quyền tối thiểu cho tất cả user của mình. Tiếp theo buộc các hacker thực hiện thủ thuật popping shell và leo thang đặc quyền trong đó bao gồm tấn công các mục tiêu khác ngoài thông tin WordPress.
9. Cài đặt plugins bảo mật
Một số plugin bảo mật sẽ quét cài đặt hệ thống của bạn và tìm ra những dấu hiệu của sự thoả hiệp. Bên cạnh những plugins hỗ trợ nhiều tính năng về giao diện, trải nghiệm thì các plugins bảo mật cho trang web/ blog WordPress cũng được nhiều developer trên thế giới quan tâm; cho ra nhiều plugin hỗ trợ website khỏi các cuộc tấn công của hacker. Và Wordfense là một plugin bảo mật phổ biến và được cập nhật thường xuyên dành cho bạn trải nghiệm.
10. Khóa tập tin đăng nhập WordPress
Bạn hãy khóa tệp wp-login.php bằng cách sử dụng quy tắc .htaccess. Bạn có biết .htaccess file được dùng để khiến các liên kết WordPress hoạt động. Không có các lệnh đúng trong .htaccess file ban sẽ gặp rất nhiều lỗi 404 trên trang web của mình.
Nhưng có rất nhiều bạn đang sử dụng WordPress nhưng lại không biết đến .htaccess có thể tăng tính bảo mật trang web của mình. Ví dụ, với .htaccess, bạn có thể chặn truy cập hoặc vô hiệu việc thực thi PHP trên một thư mục được chỉ định. Giới hạn quyền truy cập chỉ vào các địa chỉ IP từ một IP được gán tĩnh và các IP của user.
Trên đây là 10 lưu ý cơ bản mà mỗi người dùng WordPress nên biết tiếp theo, sau khi đã trả lời được câu hỏi WordPress là gì đấy nhé. Mặc dù là một CMS dễ bị các hacker tấn công nhất thế giới, nhưng không khó để tăng tính năng bảo mật của hệ thống chuẩn SEO này nếu bạn nắm rõ các điều trên.
