10 Sai lầm & Cách Tăng Cường Bảo Mật Website WordPress 2021



🤔 Bảo mật WordPress là một chủ đề có tầm quan trọng lớn đối với mọi chủ sở hữu trang web. Google đưa vào danh sách đen hơn 10.000 trang web mỗi ngày vì phần mềm độc hại và khoảng 50.000 trang web lừa đảo mỗi tuần.

Trong bài hướng dẫn này, mình sẽ chỉ cho bạn 10 sai lầm phổ biến nhất mà mình thấy đang xảy ra khi bảo mật một trang web WordPress. Những sai lầm mà mình thấy đang xảy ra lặp đi lặp lại ở các trang web và mình muốn đảm bảo là các bạn không làm bất kỳ điều nào trong số này trên trang web của bạn, đơn nhiên mình sẽ hướng dẫn cho bạn cách khắc phục hầu hết những lỗi đó, check qua 10 điều này để xem bạn có mắc phải sai lầm nào không nhé.

Ok! chúng ta bắt đầu nào 😎

1. Hosting không đáng tin cậy:

Theo thống kê và nghiên cứu đã thực hiện thì 41% các vụ hack xảy ra là do Hosting không đủ bảo mật. Mình có hướng dẫn cách khắc phục chi tiết và cũng khá dễ dàng để sửa chữa, chỉ cần bạn chuyển sang Hosting an toàn hơn, tra google “Hosting bảo mật” là có hàng trăm nhà cung cấp uy tín cho các bạn chọn lựa.

WP engine là một trong những Hosting ngon nhất nhưng lại khá đắt. Bản thân mình thì đã và đang sử dụng Bluehost trong 5 năm qua, cực kì an toàn, mình chưa bao giờ có bất kỳ vấn đề gì về bảo mật của trang web khi dùng hosting của Bluehost, đội support thì cũng rất nhiệt tình.

Nhưng xài Bluehost không có nghĩa là bạn bỏ qua tất cả các biện pháp bảo mật khác, bạn sẽ có sự chăm sóc đặc biệt từ nhà cung cấp Hosting, Server có tốc độ cao và Server được bảo mật.
vì vậy chỉ cần chọn đúng Hosting là bạn đã yên tâm về phần này rồi.

2. Không cập nhật Plugins và Themes:

Tiếp theo là không cập nhật Plugins và các Themes, dưới đây là trang web demo của mình, hiện đang có 5 Plugin để cập nhật trong tổng 6 bản cập nhật và 1 bản câph nhật cho Theme.

Nhấp vào một trong hai phần cập nhật đó bạn sẽ thấy tất cả cập nhật có sẵn trên trang web của mình. Có 4 Plugins cần được cập nhật và Theme cũng đang có một bản cập nhật mới.

Việc bạn không cập nhật phiên bản mới nhất cho Plugins và Themes mà dùng phiên bản cũ rất dễ dẫn đến lỗ hổng bảo mật là một sai lầm khá phổ biến, vì đa số các bản cập nhật là các bản vá lỗi để đảm bảo trang web luôn dùng các bản cập nhật mới nhất.

và bạn cũng nên chắc chắn rằng bạn Back-up (sao lưu) trang web của mình để đảm bảo rằng nếu có gì đó sai bạn vẫn có thể về nguyên trạng website trước khi gặp lỗi. Nhưng bạn yên tâm, cũng hiếm khi điều đó xảy ra lắm!

3. Mật Khẩu dễ đoán:

Tiếp theo là thông tin đăng nhập của bạn không đủ an toàn. Ví dụ như: ID và Password dễ đoán,….Dựa vào hơn 5 triệu mật khẩu được đăng để bán trên internet thì dưới đây là thứ hạng của các mật khẩu phổ biến nhất. Bạn thử đoán xem tin tặc họ chỉ cần có 1 con BOTS nhỏ và vài dòng code là có thể thử những mật khẩu đó trên tất cả các trang web WordPress, là đã có thể tìm thấy một cơ số các website có khả năng bị Hack được rồi.

Nhìn vào bảng thông tin ở đây chỉ diễn tả đến năm 2012, nhưng nhìn vào năm 2009, 81.000 trang web bị tấn công, 2010 tăng 2011 tăng và 2012 là hơn 170.000 trang web WordPress bị Hack và mình đảm bảo là tới 2020 bây giờ nó còn nhiều hơn thế nữa.

4. Tên đăng nhập dễ đoán:

Một phần là do mật khẩu, nhưng một tên đăng nhập an toàn cũng quan trọng không kém. Vì nếu tên đăng nhập của bạn là tên miền của bạn thì khá dễ dàng để Hacker có thể đoán. Và mình thấy đa số các bạn sử dụng Admin làm tên đăng nhập rất nhiều, và nó lại càng dễ đoán hơn nữa. Mình khuyên các bạn đừng bao giờ sử dụng tên miền của bạn hoặc tên đăng nhập mặc định.

Cách tăng cường bảo mật cho Tên người dùng và mật khẩu: Mình sử dụng một Extensions tên LastPass. Mình sẽ tạo mật khẩu đây sẽ là tên người dùng của mình, mình sẽ nhấp vào nó một lần nữa, đây sẽ là mật khẩu của mình và cả hai đều cực kì khó để đoán, mà nếu có muốn chắc cũng mất tầm 20 năm, nên Hacker sẽ chuyển sang trang web tiếp theo vì họ sẽ không muốn phí thời gian.

5. Trang đăng nhập của website:

Thêm một thứ rất quan trọng là trang đăng nhập, nơi mà Hacker sẽ thử những tên đăng nhập hoặc mật khẩu phổ biến để đột nhập vào trang quản trị của bạn. Và họ không thể làm điều đó nếu như họ không thể tìm thấy trang đăng nhập vì nó không ở vị trí mặc định (tenmien.com/admin).

Cách giải quyết rất đơn giản, các bạn cài Plugin để đổi liên kết trang đăng nhập mặc định, mình đang sử dụng plugins WPS Hide Login. Cực kì dễ xài và gọn nhẹ. Bạn có thể xem và làm theo hướng dẫn chi tiết của mình về cách cài đặt và thay đổi đường dẫn đăng nhập bằng WPS Hide Login.

6. Sử dụng Plugins và Themes Nulled:

Có rất nhiều người trong chúng ta muốn tiết kiệm tiền và cố gắng tìm kiếm những Plugins hay Themes miễn phí, nhưng phải là phiên bản miễn phí hoặc rẻ hơn phiên bản trả phí :)) (Đó được gọi là Nulled).

Đặc điểm của các Plugins hoặc Themes Nulled là hạn chế hơn bản trả tiền, không được cập nhật phiên bản mới nhất. Rất nhiều tính năng và công cụ không sử dụng được hoặc lúc được lúc không,…

Và mặt hại nhất khi dùng các loại Plugins và Themes này đó là mã độc được cài sâu bên trong các tập tin của chúng. Người cài mã độc có chủ đích có thể xâm nhập vào các trang web của bạn một các dễ dàng, cho dù bạn có sử dụng bao nhiêu lớp bảo mật đi chăng nữa, mặc dù bên ngoài mọi thứ đều hoạt động nhưng một ngày đẹp trời trang web của bạn có thể không cánh mà bay.

Cho nên mình khuyên chân thành! Bạn đừng nên bao giờ sử dụng Plugins hoặc Themes Nulled cho dù người cung cấp có hứa hẹn Nulled sạch hay Clean 100% bởi vì nó rất nguy hiểm.

7. Giữ lại các Plugins và Themes không sử dụng:

Có thể vì một lý do nào đó mà qua vài tháng hoặc vài năm, bạn sử dụng qua nhiều Plugins hoặc Themes nhưng bạn không xóa đi mà chỉ Deactive (Vô hiệu hóa) chúng thì cũng là một lý do khiến cho Website của bạn kém bảo mật.

Bới vì khi giữ lại nhưng không sử dụng sẽ khiến cho các Plugins và Themes đó không được cập nhật phiên bản mới nhất, bao gồm các tính năng mới cũng như các bản vá lỗi cho phiên bản cũ, thì vấn đề sẽ quay lại như Điều số 2 mình đã nói ở trên.

Cho nên các bạn nên xóa toàn bộ các Plugins và Themes không sử dụng, bạn hoàn toàn có thể cài lại chúng bất cứ lúc nào, vừa giảm dung lượng bộ nhớ cho server, tăng tốc độ của website và hơn hết là đảm bảo bảo mật cho trang web của các bạn.

8. Không quản lý được việc phân quyền quản trị trang web:

Nếu trang web của các bạn không chỉ có một mình quản lý, còn có nhân viên bán hàng, biên tập viên, lập trình viên,… và bạn tạo các tài khoản cho mỗi người. Sau một thời gian, có nhân viên mới bạn lại tạo thêm tài khoản, cứ như thế mà không kiểm soát và quản lý kỹ các quyền hạn của từng tài khoản ứng với vị trí của từng người thì sẽ rất nguy hiểm, và lại tạo ra một lỗ hổng bảo mật nữa cho trang web của các bạn.

Việc cần làm là sau một khoảng thời gian nhất định các bạn nên vào kiểm tra danh sách người dùng trên trang web của các bạn, check xem cần xóa bớt tài khoản nào hoặc đã cấp quyền đúng quyền hạn cho người đó chưa. Nên nhớ, không bao giờ cấp quyền Quản trị viên cho ai, ngoài bạn ra.

9. Cấp quyền đối với tệp và thư mục (File & Folder):

Sai lầm tiếp theo là các trang web không cài đúng quyền cho tệp và thư mục trên Server của website. Ở hình bên dưới, mình truy cập vào tài khoản Hosting của mình và tìm trình quản lý tệp (File Manager), bạn có thể làm điều này thông qua FTP nếu bạn quen với cách đó hơn.

Nhìn qua cột bên phải bạn sẽ thấy cột Perms (Permissions),  phải đảm bảo là bạn cài đúng, kiểm tra để không có bất kỳ dòng nào trong số này có số 777 (Thông thường sẽ là 664 và 755)

10. Tên miền bổ trợ (Add-on Domain):

Tiếp đến là các Tên miền bổ trợ (Add-on Domain) trong Server Website, thông thường 1 tài khoản Hosting sẽ có thể thêm vào nhiều Tên miền bổ trợ (Add-on Domain), đặc biệt là bạn có thể thêm Tên miền bổ trợ (Add-on Domain) không giới hạn đồng nghĩa là bạn có thể xây dựng nhiều trang web trên cùng một tài khoản Hosting, nghe có vẻ hấp dẫn đúng không?

Nhưng khoan, điều đó cũng có nghĩa là khi 1 trong số các website của các bạn bị Hack thì mã độc đã nằm trên Server Website của các bạn rồi, nên các trang Web khách của các bạn cũng sẽ có khả năng cao là sẽ dễ dàng bị Hack theo ngay sau đó hoặc trong tương lai rất gần.

Vì vậy Tên miền bổ trợ (Add-on Domain) có thể nguy hiểm nếu bạn có quá nhiều bởi vì đặc biệt nếu bạn làm website cho nhiều khách hàng, mà thường khách hàng họ sẽ không có thời gian hoặc không biết cách bảo mật Website đúng cách, thì khả năng bị Hack là khá cao.

Mình đã thấy các tài khoản Hosting có 20 30 miền bổ trợ, tất cả đều có các trang web đang hoạt động, và một ngày đẹp trời một trong số các website bị tấn công. Toàn bộ các website còn lại phải được kiểm tra, dọn sạch lại từ đầu. Nghe là thấy đau rồi đúng ko?

Mình không nói rằng đừng sử dụng Tên miền bổ trợ (Add-on Domain), mà hãy sử dụng chúng một cách vừa phải, kiểm soát được nếu bạn sở hữu những miền đó. Còn không thì hãy đảm bảo rằng khách hàng của bạn, những người đang quản lý những trang web đó biết cách quản lý và bảo mật đúng cách.

Và đó là cuối danh sách những sai lầm phổ biến nhất theo quan điểm của mình, nếu bạn thấy trong số ý kiến của mình có sai hay thiếu sót gì thì cứ Comment bên dưới để tất cả chúng ta có thể học hỏi nhau nhé! 🤝

Cảm ơn các bạn đã đọc chia sẻ về 10 Sai lầm trong bảo mật website WordPress. Bạn có thể sẽ muốn xem hướng dẫn Cách tăng tốc WordPress của mình và Cách Tạo Landing Page bằng WordPress.

Peace!✌️ 💯

Mình là quản trị viên của WPVie. Hy vọng với những kiến thức bổ ích mà WPVie truyền tải sẽ giúp cho các bạn có thể tự tạo nên cho mình một Cửa hàng online, một Blog cá nhân hay thậm chí một Website cho doanh nghiệp của bạn.

Viết một bình luận