Dưới đây là 11 cách bảo vệ WordPress Admin giúp website an toàn hơn và tránh được các cuộc tấn công của tin tặc.
Contents
- 1. Sử dụng một mật khẩu đủ mạnh
- 2. Không sử dụng tên đăng nhập là Admin
- 3. Thay đổi link đăng nhập
- 4. Đặt mật khẩu hai lớp cho wp-admin
- 5. Sử dụng xác thực hai yếu tố cho WordPress
- 6. Sử dụng SSL cho website
- 7. Sử dụng tường lửa (Firewall)
- 8. Giới hạn số lần đăng nhập sai
- 9. Ẩn thông báo lỗi khi đăng nhập sai
- 10. Giới hạn địa chỉ IP được phép truy cập trang quản trị
- 11. Luôn cập nhập WordPress, Plugins, theme
1. Sử dụng một mật khẩu đủ mạnh
Một lỗi phổ biến mà hầu hết mọi người đều phạm phải là sử dụng một mật khẩu đơn giản như 123456, acb@123, ngày tháng năm sinh, số điện thoại ..v.v.. điều này giúp tin tặc dễ dàng tấn công wesbite của bạn.
Hãy nhớ luôn sử dụng một mật khẩu đủ mạnh bao gồm chữ in hoa, chứ thường, ký tự đặc biệt và số. Một lỗi khác mà mọi người thường mắc phải là sử dụng chung một mật khẩu cho tất cả các dịch vụ của họ. Việc này hết sức nguy hiểm vì chỉ cần biết được mật khẩu của một dịch vụ tin tặc sẽ chiểm được quyền điều khiển các dịch vụ khác. Vấn đề ghi nhớ mật khẩu có thể được giải quyết bằng cách sử ứng dụng quản lý mật khẩu trên như RoboForm, LastPass.
2. Không sử dụng tên đăng nhập là Admin
Một thói quen nguy hiểm khác đó là sử dụng admin làm tên đăng nhập. Hầu hết người dùng sau khi cài đặt WordPress đều sử dụng admin làm tên đăng nhập vào trang quản trị. Việc này giúp tin tặc dễ dàng hơn trong việc tấn công trang quản trị của bạn.
Hãy thay đổi tên đăng nhập bằng một tên đăng nhập mà chỉ bạn biết. Để làm điều này hãy xem hướng dẫn thay đổi tên đăng nhập trong WordPress.
3. Thay đổi link đăng nhập
Theo mặc định link đăng nhập trang quản trị của WordPress sẽ có dạng example.com/wp-admin. Để tăng cường bảo mật bạn nên thay đổi link đăng nhập này thành một link khác mà chỉ có bạn biết. Việc thay đổi link đăng nhập trang quản trị của WordPress rất đơn giản. Hiện nhiều plugins bảo mật như iThemes Security đều có chức năng này hoặc bạn có thể sử dụng plugins WPS Hide Login.
4. Đặt mật khẩu hai lớp cho wp-admin
Bạn có thể sử dụng chức năng Protect Directory của các phần mềm quản lý hosting như cPanel, DirectAdmin để đặt thêm một lớp mật khẩu truy cập wp-admin nữa cho website của mình. Việc này hết sức đơn giản và không cần sử dụng bất cứ plugins nào. Để làm điều này hãy xem hướng dẫn đặt mật khẩu hai lớp cho wp-admin.
5. Sử dụng xác thực hai yếu tố cho WordPress
Nếu bạn đã sử dụng các dịch vụ như Gmail, Facebook chắc hẳn các bạn cũng không xa lại gì với việc xác thực 2 yếu tố khi đăng nhập. Và bạn cũng hoàn toàn có thể áp dụng điều này vào website WordPress của mình.
Để bật xác thực hai yếu tố cho WordPress hãy xem hướng dẫn bật xác thực hai yếu tố cho WordPress với Google Authenticator.
6. Sử dụng SSL cho website
Việc đăng ký và sử dụng chứng chỉ SSL cho trang web của bạn là một lựa chọn khác để tăng tính bảo mật cho website của bạn.
Bạn có thể tham khảo:
Top 3 plugin cài đặt SSL miễn phí cho WordPress
Tạo chứng chỉ SSL miễn phí với Let’s Encrypt cho website WordPress
7. Sử dụng tường lửa (Firewall)
Tường lửa cho WordPress (còn được gọi là tường lửa ứng dụng web hoặc WAF), hoạt động như một lá chắn giữa trang web của bạn và lưu lượng truy cập đến. Tường lửa sẽ giám sát lưu lượng truy cập trang web của bạn và ngăn chặn các mối đe dọa bảo mật phổ biến trước khi chúng truy cập trang web WordPress của bạn.
Bên cạnh việc cải thiện đáng kể bảo mật cho website WordPress của bạn, thường thì các tường lửa này cũng giúp tăng tốc trang web của bạn và tăng hiệu suất của website.
8. Giới hạn số lần đăng nhập sai
Một cuộc tấn công Bruteforce attack wordpress là một nỗ lực để dò mật khẩu hoặc tên đăng nhập. Bruteforce hoạt động bằng cách dò tên người dùng và mật khẩu, lặp đi lặp lại, cho đến khi tìm được thông tin chính xác. Đây là một phương thức tấn công cũ, nhưng nó vẫn hiệu quả và phổ biến với tin tặc.
Để chống lại Bruteforce attack các bạn nên hạn chế số lần đăng nhập sai và khi vượt quá số lần đó thì sẽ khoá đăng nhập từ IP nghi ngờ. Có một cách rất đơn giản để làm điều này đó là hạn chế Bruteforce attack wordpress với plugins Limit Login Attempts.
9. Ẩn thông báo lỗi khi đăng nhập sai
Bất kỳ người dùng nào khi nhập sai tên người dùng hoặc mật khẩu đều được WordPress thông báo về lỗi và chỉ định trường nào trong hai trường trên không chính xác. Điều này có thể giúp tin tặc biết được các thông tin để lợi dụng tấn công website của bạn. Ví dụ khi đăng nhập chỉ nhận được thông báo sai mật khẩu thì có nghĩa rằng tên người dùng đã đúng, lúc này kẻ tấn công sẽ chỉ cần tập trung vào việc dò mật khẩu thay vì phải dò cả tên người dùng. Để ẩn thông báo lỗi khi đăng nhập sai hãy thêm đoạn code sau vào file functions.php của theme các bạn đang sử dụng.
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
10. Giới hạn địa chỉ IP được phép truy cập trang quản trị
Quyền truy cập vào khu vực wp-admin có thể được kiểm soát bằng cách giới hạn quyền đối với một số địa chỉ IP cụ thể. Để làm điều này hãy tạo một file .htaccess bên trong thư mục wp-admin với nội dung như sau
order deny,allow deny from all # whitelist P address allow from xx.xx.xx.xxx
Trong đó xx.xx.xx.xxx là địa chỉ IP được phép truy cập trang quản trị của bạn.
11. Luôn cập nhập WordPress, Plugins, theme
Bạn cần đảm bảo rằng WordPress cũng như các plugins, theme các bạn đang sử dụng luôn được cập nhật phiên bản mới nhất. Điều này sẽ giúp các bạn tránh được các lỗ hổng bảo mật khi chúng được phát hiệm.
Mọi người cũng tìm kiếm: dẫn lửa wordpress, wordpress admin, đăng nhập wordpress, wp admin, wordpress đăng nhập, thêm xác thực hai yếu tố trong wordpress, thay đổi đường dẫn wp admin, cách đăng nhập website, wordpress wp admin, wordpress admin link
