wordpress-security-websites

Những điều bạn cần tránh để bảo vệ website WordPress của mình

Kiến thức hosting

Điều đầu tiên bạn sẽ làm khi bạn muốn bảo mật trang web WordPress của mình là gì? Tìm ra 5 plugin bảo mật hàng đầu, xem xét mức giá hợp lý của chúng và sau đó tiếp tục cài đặt. Điều đó được thực hiện, bây giờ bạn có thể ngồi lại và thư giãn, phải không? Sai rồi!

Sử dụng một plugin bảo mật không thể đảm bảo an toàn cho website. Điều tốt nhất chúng ta có thể làm là giảm nguy cơ bị hack. Chủ sở hữu trang web cần phải tham gia vào việc giữ trang web an toàn. Biết những gì bạn nên làm và không nên là đáng kể.

Mặc dù có một số hướng dẫn về những việc bạn nên thường xuyên làm để giữ cho trang web WordPress của mình an toàn, tuy nhiên thì bên cạnh đó vẫn điều bạn cần nên tránh khi sử dụng.

Hãy xem xét những điều sau đây và tránh vi phạm để website WordPress bạn luôn được an toàn.

1. Không sử dụng quá nhiều plugin bảo mật

Với hàng loạt các plugin có sẵn trên mạng, với các bộ tính năng khác nhau, thật hấp dẫn khi sử dụng nhiều hơn một plugin bảo mật WordPress. Thành thật mà nói, đây là một việc quá thừa thãi. Lo lắng về bảo mật trang web của bạn là bình thường nhưng bạn phải tự hỏi mình liệu bạn có thực sự cần nhiều hơn một plugin bảo mật không? Các tính năng cần thiết cho yêu cầu của trang web của bạn là gì? Các tính năng có đang xung đột nhau?

Ví dụ, một cuộc xung đột có thể phát sinh khi các plugin bắt đầu sửa đổi các tập tin như wp-config.php hoặc htaccess. Plugins có thể dễ dàng chỉnh sửa với những tập tin này, nhưng nó lại không sửa đổi chúng theo một tiêu chuẩn giống nhau. Điều này có thể tạo ra xung đột và làm cho trang web của bạn chậm.

Với các trang web WordPress, mọi thứ có thể đi sai ngay bây giờ. Mọi người đều ghét việc website WordPress bị trắng màn hình . Việc có nhiều plugin ảnh hưởng sâu sắc đến trang web của bạn có thể gây khó khăn cho việc gỡ lỗi. Bây giờ, đã có chỉ là một plugin, việc tìm kiếm và sửa chữa nguyên nhân của lỗi sẽ dễ dàng hơn và ít phức tạp hơn.

2. Không thay đổi tiền tố Database

Có một số cách mà một trang web WordPress có thể bị xâm phạm. Hacker có thể truy cập vào cơ sở dữ liệu của trang web thông qua tấn công SQL injection. Một lỗ hổng trong một plugin hoặc chủ đề có thể được sử dụng để đột nhập vào cơ sở dữ liệu của trang web. Một phương pháp ngăn chặn tin tặc phổ biến xâm nhập sâu vào trang web của bạn là thay đổi tiền tố bảng mặc định. Như bạn có thể thấy trong hình bên dưới, trong WordPress, tiền tố bảng mặc định là ‘wp_.’ WordPress cho phép bạn thay đổi tiền tố bảng (để nói, ‘xzy_’) để ẩn một số bảng nhất định.

wordpress-database-prefix

Theo một cách nào đó, điều này trông giống như một ý tưởng hay. Nếu các tin tặc không biết tên bảng, thì họ không thể lấy dữ liệu từ nó. Tuy nhiên, đây là một lý do sai lầm. Khi ai đó xâm nhập vào cơ sở dữ liệu của bạn, vẫn còn cách để tìm ra các bảng. Do đó việc thay đổi tên của tiền tố là không sử dụng. Hơn nữa việc sửa đổi tiền tố mặc định có thể khiến nhiều plugin bị lỗi.

Hơn nữa, việc thay đổi tiền tố cơ sở dữ liệu tiền tố rất khó thực hiện và có thể khiến trang web của bạn bị lỗi. Điều này là do có nhiều thay đổi cần được thực hiện ở mọi cấp độ. Bất kỳ lỗi nào trong quá trình này sẽ chứng minh là thảm họa cho trang web của bạn.

3. Tránh Ẩn Trang Đăng nhập của bạn

Luôn có người cố gắng đột nhập vào trang web của bạn bằng cách bẻ khóa mật khẩu của bạn. Trong các cuộc tấn công bạo lực, tin tặc cố đăng nhập vào trang web của bạn bằng cách sử dụng kết hợp tên người dùng và mật khẩu phổ biến. Vậy nếu chúng ta ẩn trang đăng nhập thì sao? Điều đó sẽ giết hai con chim với một viên đá, phải không? Hacker sẽ không thể tìm thấy trang đăng nhập và tải trên máy chủ của bạn sẽ bị giảm.

WordPress có một trang đăng nhập mặc định. URL vào trang thường trông giống như example.com/wp-login.php này. Một cách nổi tiếng để lưu trang web của bạn khỏi tấn công bạo lực là bằng cách ẩn hoặc thay đổi trang đăng nhập mặc định thành một trang khác như example.com/mylogin.php. Mặc dù điều này nghe có vẻ giống như một kế hoạch chống trộm, chúng ta hãy tìm hiểu xem phương pháp này có hiệu quả như thế nào trong việc giữ an toàn cho trang WordPress của bạn.

Giảm tải máy chủ

Sau khi bạn ẩn hoặc thay đổi vị trí của trang đăng nhập, mỗi lần ai đó cố mở nó, họ sẽ gặp lỗi 404. Tuy nhiên, nỗ lực đăng nhập là một quá trình nặng nề. Bất cứ khi nào trang lỗi 404 tải, nó sẽ chiếm rất nhiều tài nguyên máy chủ của bạn. Và cuối cùng làm chậm trang web của bạn. Do đó, niềm tin chung rằng việc ẩn trang đăng nhập của bạn sẽ làm giảm tải trên máy chủ không chính xác.

URL thay thế không khó đoán

Một phần thành công của WordPress như một CMS là do các plugin giúp sửa đổi trang web dễ dàng hơn. Không có gì đáng ngạc nhiên khi một cách phổ biến để ẩn trang đăng nhập của trang web là bằng cách sử dụng plugin. Các plugin này đi kèm với một bộ URL đăng nhập thay thế mặc định như xzy.com/wplogin.php, v.v. Chúng tôi đã được đào tạo để chỉ đi với các cài đặt mặc định. Khi chúng tôi cài đặt plugin và thay đổi URL của mình, chúng tôi sẽ không suy nghĩ nhiều về nó. Nhưng có rất nhiều URL mà một plugin có thể cung cấp. Không quá khó để tìm ra các URL đăng nhập đặt trước này. Do đó, việc sử dụng URL thay thế có thể không hiệu quả trong hầu hết các trường hợp.

Các vấn đề về khả năng sử dụng

Vẻ đẹp của WordPress là dễ sử dụng. Đó là một nền tảng quen thuộc. Đối với một trang web có vô số người dùng, việc thay đổi hoặc ẩn trang đăng nhập có thể gây ra một số vấn đề nhất định. Một vài lần chúng tôi đã xem qua các bài đăng trên diễn đàn WordPress nơi người dùng bị khóa khỏi trang web do có thay đổi trong URL đăng nhập. Trong hầu hết các trường hợp, các thay đổi đã được thực hiện bằng cách sử dụng một plugin và người dùng không nhận thức được tình hình gây ra hỗn loạn.

4. Không chặn địa chỉ IP theo cách thủ công

Nếu bạn đã cài đặt plugin bảo mật trên trang web của mình, bạn sẽ được thông báo bất cứ khi nào ai đó cố đăng nhập vào trang web của bạn. Bạn có thể dễ dàng nắm giữ IP gửi những yêu cầu độc hại đó và chặn chúng bằng cách sử dụng tệp .htaccess . Đó là một công việc chuyên sâu bằng tay và không phải là một thực hành rất thuận tiện.

Không thân thiện với người dùng

Một người không nắm rõ về kĩ thuật đang cố gắng sửa đổi các tập tin .htaccess là một điều vô cùng thảm họa. Một hệ thống quản lý nội dung như WordPress có định dạng rất nghiêm ngặt. Ngay cả khi sử dụng các công cụ phổ biến nhất như FTP / SFTP thì rất nguy hiểm. Lỗi nhỏ hoặc vị trí lệnh không chính xác có thể khiến trang web gặp sự cố.

Quá nhiều IP để chặn

Để tránh bị liệt vào danh sách đen, tin tặc sử dụng địa chỉ IP từ khắp nơi trên thế giới. Trước đây, chúng tôi đã thảo luận về việc chặn các địa chỉ IP theo cách thủ công, những người liên tục cố gắng đột nhập vào trang web của bạn. Công việc (như chúng tôi đã đề cập trước đây) đòi hỏi rất nhiều thời gian và công sức nhưng không chính xác là việc sử dụng thời gian rất hiệu quả. Nhưng nếu bạn sử dụng bất kỳ plugin bảo mật WordPress hàng đầu nào, ví dụ, Malcare , bạn có thể tự động hóa quá trình chặn. Các plugin bảo mật như vậy sẽ xử lý tất cả các lỗ hổng bảo mật của WP.

5. Ẩn WordPress

Có một giả định chung rằng việc che giấu CMS của bạn khiến cho những người có ý định lén lút xâm nhập vào trang web của bạn khó khăn hơn. Điều gì xảy ra nếu chúng tôi có thể che giấu sự thật rằng trang web của bạn đang chạy trên WordPress. Điều đó sẽ bảo vệ trang web của bạn khỏi tin tặc muốn khai thác các lỗ hổng phổ biến. Một cách dễ dàng để làm điều này là bởi (bạn đoán nó) bằng cách sử dụng một plugin. Nhưng phương pháp này không thành công khi các tin tặc không quan tâm nền tảng trang web của bạn đang chạy. Bên cạnh đó, có rất nhiều cách để tìm hiểu xem một trang web có đang chạy trên WordPress hay không .

Bên cạnh việc sử dụng một plugin, người ta có thể chọn để làm công việc bằng tay. Nhưng đó là một quá trình tốn thời gian. Một bản cập nhật WordPress duy nhất có thể hoàn tác tất cả những gì bạn làm việc trong vòng vài giây. Có nghĩa là, bạn sẽ phải lặp lại quá trình lặp đi lặp lại hoặc né tránh các bản cập nhật WP. Bỏ qua các cập nhật WordPress cũng giống như mở cửa trước cho một hacker để đi thẳng vào nhà bạn.

6. Bảo vệ mật khẩu wp-admin không hoạt động

Trang đăng nhập WordPress mặc định (trông giống như thế này – example.com/wp-admin) là một cổng vào trang web của bạn. Một trang đăng nhập điển hình trông giống như hình dưới đây.

wordpress-login-screen

Ở đây bạn sẽ cần sử dụng thông tin đăng nhập của mình để truy cập trang tổng quan WordPress. Mật khẩu bảo vệ trang đăng nhập giúp ẩn hoặc bảo vệ cổng này vào trang tổng quan. Đó là một ý tưởng hay nhưng không phải không có sơ hở của nó.

Trước hết, rất khó để duy trì hoặc thậm chí thay đổi mật khẩu, nếu bạn tình cờ mất nó. Bên cạnh việc không hiệu quả trong việc cung cấp bảo mật bổ sung, những sửa đổi đó cho trang web của bạn có thể chứng minh là rất nguy hiểm. Ví dụ, khi bạn mật khẩu bảo vệ trang quản trị, yêu cầu như /wp-admin/admin-ajax.php không thể bỏ qua việc bảo vệ. Có các plugin có thể phụ thuộc vào chức năng Ajax của trang web của bạn. Và khi họ không thể truy cập chức năng này, họ bắt đầu hoạt động sai. Do đó, điều này có thể khiến trang web bị phá vỡ.

Trả lời

Thư điện tử của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *