14 Mẹo quan trọng để bảo vệ khu vực quản trị WordPress của bạn (Cập nhật)
Bạn có đang thấy nhiều cuộc tấn công vào khu vực quản trị WordPress của mình không? Bảo vệ khu vực quản trị khỏi truy cập trái phép cho phép bạn chặn nhiều mối đe dọa bảo mật phổ biến. Trong bài viết này, chúng tôi sẽ chỉ cho bạn một số mẹo và thủ thuật quan trọng để bảo vệ khu vực quản trị WordPress của bạn.
1. Sử dụng Tường lửa Ứng dụng Trang web
Tường lửa ứng dụng trang web hoặc WAF giám sát lưu lượng truy cập trang web và chặn các yêu cầu đáng ngờ đến trang web của bạn.
Mặc dù có một số plugin tường lửa cho WordPress , nhưng chúng tôi khuyên bạn nên sử dụng Sucuri . Đây là một dịch vụ giám sát và bảo mật trang web cung cấp WAF dựa trên đám mây để bảo vệ trang web của bạn.
Trước tiên, tất cả lưu lượng truy cập vào trang web của bạn đều đi qua proxy đám mây của họ, nơi họ phân tích từng yêu cầu và chặn những yêu cầu đáng ngờ không bao giờ đến được trang web của bạn. Nó ngăn trang web của bạn khỏi các nỗ lực tấn công có thể xảy ra, lừa đảo, phần mềm độc hại và các hoạt động độc hại khác.
Để biết thêm chi tiết, hãy xem cách Sucuri đã giúp chúng tôi chặn 450.000 cuộc tấn công trong một tháng.
2. Mật khẩu bảo vệ thư mục quản trị WordPress
Khu vực quản trị WordPress của bạn đã được bảo vệ bằng mật khẩu WordPress của bạn. Tuy nhiên, việc thêm mật khẩu bảo vệ vào thư mục quản trị WordPress của bạn sẽ thêm một lớp bảo mật khác cho trang web của bạn.
Đầu tiên đăng nhập vào bảng điều khiển cPanel lưu trữ WordPress của bạn và sau đó nhấp vào biểu tượng ‘Thư mục Bảo vệ Mật khẩu’ hoặc ‘Quyền riêng tư của Thư mục’.
Tiếp theo, bạn sẽ cần chọn thư mục wp-admin của mình, thư mục này thường nằm bên trong thư mục / public_html /.
Trên màn hình tiếp theo, bạn cần chọn hộp bên cạnh tùy chọn ‘Mật khẩu bảo vệ thư mục này’ và cung cấp tên cho thư mục được bảo vệ.
Sau đó, nhấp vào nút lưu để thiết lập quyền.
Tiếp theo, bạn cần nhấn nút quay lại và sau đó tạo người dùng. Bạn sẽ được yêu cầu cung cấp tên người dùng / mật khẩu và sau đó nhấp vào nút lưu.
Bây giờ khi ai đó cố gắng truy cập thư mục quản trị viên WordPress hoặc wp-admin trên trang web của bạn, họ sẽ được yêu cầu nhập tên người dùng và mật khẩu.
Để có hướng dẫn chi tiết hơn, hãy xem hướng dẫn của chúng tôi về cách bảo vệ bằng mật khẩu thư mục quản trị viên WordPress (wp-admin) .
3. Luôn sử dụng mật khẩu mạnh
Luôn sử dụng mật khẩu mạnh cho tất cả các tài khoản trực tuyến của bạn bao gồm cả trang web WordPress của bạn. Chúng tôi khuyên bạn nên sử dụng kết hợp các chữ cái, số và ký tự đặc biệt trong mật khẩu của mình. Điều này khiến tin tặc khó đoán mật khẩu của bạn hơn.
Chúng tôi thường được hỏi bởi những người mới bắt đầu làm thế nào để nhớ tất cả các mật khẩu đó. Câu trả lời đơn giản nhất là bạn không cần. Có một số ứng dụng quản lý mật khẩu thực sự tuyệt vời mà bạn có thể cài đặt trên máy tính và điện thoại của mình.
Để biết thêm thông tin về chủ đề này, hãy xem hướng dẫn của chúng tôi về cách tốt nhất để quản lý mật khẩu cho người mới bắt đầu sử dụng WordPress.
4. Sử dụng Xác minh hai bước cho Màn hình đăng nhập WordPress
Xác minh hai bước thêm một lớp bảo mật khác vào mật khẩu của bạn. Thay vì chỉ sử dụng mật khẩu, nó yêu cầu bạn nhập mã xác minh được tạo bởi ứng dụng Google Authenticator trên điện thoại của bạn.
Ngay cả khi ai đó có thể đoán mật khẩu WordPress của bạn, họ vẫn cần mã Google Authenticator để truy cập.
Để biết hướng dẫn chi tiết từng bước, hãy xem hướng dẫn của chúng tôi về cách thiết lập xác minh 2 bước trong WordPress bằng Google Authenticator .
5. Giới hạn nỗ lực đăng nhập
Theo mặc định, WordPress cho phép người dùng nhập mật khẩu bao nhiêu lần tùy thích. Điều này có nghĩa là ai đó có thể tiếp tục cố gắng đoán mật khẩu WordPress của bạn bằng cách nhập các kết hợp khác nhau. Nó cũng cho phép tin tặc sử dụng các tập lệnh tự động để bẻ khóa mật khẩu.
Để khắc phục điều này, bạn cần cài đặt và kích hoạt plugin Login LockDown . Sau khi kích hoạt, hãy truy cập trang Cài đặt »Đăng nhập LockDown để định cấu hình cài đặt plugin.
Để biết hướng dẫn chi tiết, hãy xem hướng dẫn của chúng tôi về lý do tại sao bạn nên hạn chế các lần đăng nhập trong WordPress .
6. Giới hạn quyền truy cập đăng nhập vào địa chỉ IP
Một cách tuyệt vời khác để bảo mật đăng nhập WordPress là giới hạn quyền truy cập vào các địa chỉ IP cụ thể. Mẹo này đặc biệt hữu ích nếu bạn hoặc chỉ một số người dùng đáng tin cậy cần quyền truy cập vào khu vực quản trị.
Chỉ cần thêm mã này vào tệp .htaccess của bạn.
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic order deny,allow deny from all # whitelist Syed's IP address allow from xx.xx.xx.xxx # whitelist David's IP address allow from xx.xx.xx.xxx
Đừng quên thay thế các giá trị xx bằng địa chỉ IP của riêng bạn. Nếu bạn sử dụng nhiều địa chỉ IP để truy cập internet, hãy đảm bảo rằng bạn cũng thêm chúng.
Để biết hướng dẫn chi tiết, hãy xem hướng dẫn của chúng tôi về cách giới hạn quyền truy cập vào quản trị viên WordPress bằng cách sử dụng .htaccess .
7. Tắt gợi ý đăng nhập
Trong một lần đăng nhập không thành công, WordPress hiển thị lỗi cho người dùng biết tên người dùng của họ không chính xác hay mật khẩu. Những gợi ý đăng nhập này có thể được ai đó sử dụng cho những nỗ lực xấu.
Bạn có thể dễ dàng ẩn các gợi ý đăng nhập này bằng cách thêm mã này vào tệp functions.php của chủ đề hoặc một plugin dành riêng cho trang web .
function no_wordpress_errors(){ return 'Something is wrong!'; } add_filter( 'login_errors', 'no_wordpress_errors' );
8. Yêu cầu người dùng sử dụng mật khẩu mạnh
Nếu bạn chạy một trang web WordPress có nhiều tác giả, thì những người dùng đó có thể chỉnh sửa hồ sơ của họ và sử dụng mật khẩu yếu. Những mật khẩu này có thể bị bẻ khóa và cấp cho ai đó quyền truy cập vào khu vực quản trị WordPress.
Để khắc phục điều này, bạn có thể cài đặt và kích hoạt plugin Force Strong Passwords . Nó hoạt động ngoài hộp và không có cài đặt nào để bạn định cấu hình. Sau khi được kích hoạt, nó sẽ ngăn người dùng lưu mật khẩu yếu hơn.
Nó sẽ không kiểm tra độ mạnh của mật khẩu cho các tài khoản người dùng hiện có. Nếu người dùng đã sử dụng mật khẩu yếu thì họ sẽ có thể tiếp tục sử dụng mật khẩu của mình.
9. Đặt lại mật khẩu cho tất cả người dùng
Bạn lo lắng về bảo mật mật khẩu trên trang WordPress nhiều người dùng của mình? Bạn có thể dễ dàng yêu cầu tất cả người dùng của mình đặt lại mật khẩu của họ.
Trước tiên, bạn cần cài đặt và kích hoạt plugin Đặt lại mật khẩu khẩn cấp . Sau khi kích hoạt, hãy truy cập trang Người dùng »Đặt lại Mật khẩu Khẩn cấp và nhấp vào nút ‘Đặt lại Tất cả Mật khẩu’.
Để biết hướng dẫn chi tiết, hãy xem hướng dẫn của chúng tôi về cách đặt lại mật khẩu cho tất cả người dùng trong WordPress
10. Cập nhật WordPress
WordPress thường phát hành các phiên bản mới của phần mềm. Mỗi bản phát hành mới của WordPress đều chứa các bản sửa lỗi quan trọng, các tính năng mới và bản sửa lỗi bảo mật.
Việc sử dụng phiên bản cũ hơn của WordPress trên trang web của bạn khiến bạn có cơ hội tiếp cận với các cách khai thác đã biết và các lỗ hổng tiềm ẩn. Để khắc phục điều này, bạn cần đảm bảo rằng bạn đang sử dụng phiên bản mới nhất của WordPress. Để biết thêm về chủ đề này, hãy xem hướng dẫn của chúng tôi về lý do tại sao bạn nên luôn sử dụng phiên bản mới nhất của WordPress .
Tương tự như vậy, các plugin WordPress cũng thường được cập nhật để giới thiệu các tính năng mới hoặc sửa lỗi bảo mật và các vấn đề khác. Đảm bảo rằng các plugin WordPress của bạn cũng được cập nhật.
11. Tạo các trang đăng ký và đăng nhập tùy chỉnh
Nhiều trang WordPress yêu cầu người dùng đăng ký. Ví dụ: trang thành viên , trang quản lý học tập hoặc cửa hàng trực tuyến cần người dùng tạo tài khoản.
Tuy nhiên, những người dùng này có thể sử dụng tài khoản của họ để đăng nhập vào khu vực quản trị WordPress. Đây không phải là một vấn đề lớn, vì họ sẽ chỉ có thể làm những việc được cho phép bởi vai trò và khả năng của người dùng. Tuy nhiên, nó ngăn bạn giới hạn quyền truy cập đúng cách vào các trang đăng nhập và đăng ký vì bạn cần những trang đó để người dùng đăng ký, quản lý hồ sơ và đăng nhập của họ.
Cách dễ dàng để khắc phục điều này là tạo các trang đăng nhập và đăng ký tùy chỉnh để người dùng có thể đăng ký và đăng nhập trực tiếp từ trang web của bạn.
Để biết hướng dẫn chi tiết từng bước, hãy xem hướng dẫn của chúng tôi về cách tạo trang đăng nhập và đăng ký tùy chỉnh trong WordPress .
12. Tìm hiểu về Quyền và Vai trò Người dùng WordPress
WordPress đi kèm với một hệ thống quản lý người dùng mạnh mẽ với các vai trò và khả năng người dùng khác nhau. Khi thêm người dùng mới vào trang web WordPress của mình, bạn có thể chọn vai trò người dùng cho họ. Vai trò người dùng này xác định những gì họ có thể làm trên trang WordPress của bạn.
Chỉ định vai trò người dùng không chính xác có thể cung cấp cho mọi người nhiều khả năng hơn mức họ cần. Để tránh điều này, bạn cần hiểu những khả năng nào đi kèm với các vai trò người dùng khác nhau trong WordPress. Để biết thêm về chủ đề này, hãy xem hướng dẫn dành cho người mới bắt đầu của chúng tôi về vai trò và quyền của người dùng WordPress .
13. Giới hạn quyền truy cập trang tổng quan
Một số trang web WordPress có một số người dùng nhất định cần quyền truy cập vào bảng điều khiển và một số người dùng thì không. Tuy nhiên, theo mặc định, tất cả họ đều có thể truy cập vào khu vực quản trị.
Để khắc phục điều này, bạn cần cài đặt và kích hoạt plugin Xóa quyền truy cập trang tổng quan . Sau khi kích hoạt, đi tới Cài đặt »Trang Truy cập Bảng điều khiển và chọn vai trò người dùng nào sẽ có quyền truy cập vào khu vực quản trị trên trang web của bạn.
Để có hướng dẫn chi tiết hơn, hãy xem hướng dẫn của chúng tôi về cách giới hạn quyền truy cập bảng điều khiển trong WordPress .
14. Đăng xuất Người dùng nhàn rỗi
WordPress không tự động đăng xuất người dùng cho đến khi họ đăng xuất hoặc đóng cửa sổ trình duyệt một cách rõ ràng. Đây có thể là một mối lo ngại đối với các trang web WordPress có thông tin nhạy cảm. Đó là lý do tại sao các trang web và ứng dụng của tổ chức tài chính tự động đăng xuất người dùng nếu họ chưa hoạt động.
Để khắc phục điều này, bạn có thể cài đặt và kích hoạt plugin Đăng xuất người dùng không hoạt động . Sau khi kích hoạt, hãy chuyển đến trang Cài đặt »Đăng xuất người dùng không hoạt động và nhập thời gian mà sau đó bạn muốn người dùng tự động đăng xuất.
Để biết thêm chi tiết, hãy xem bài viết của chúng tôi về cách tự động đăng xuất người dùng nhàn rỗi trong WordPress .
Chúng tôi hy vọng bài viết này đã giúp bạn tìm hiểu một số mẹo và thủ thuật mới để bảo vệ khu vực quản trị WordPress của bạn. Bạn cũng có thể muốn xem hướng dẫn bảo mật WordPress từng bước cuối cùng của chúng tôi dành cho người mới bắt đầu.
.