Bạn đã bao giờ trò chuyện với ai đó và họ khuyên bạn ẩn trang web đang sử dụng WordPress chưa? Lần đầu tiên tôi nhận được lời khuyên này, tôi cảm thấy khá sốc, vì sao phải làm vậy? Liệu tôi có phải mất hàng giờ đồng hồ chỉ để mọi người không biết tôi đang dùng WordPress?
Liệu tôi có phải xấu hổ vì sử dụng WordPress không?
Những câu hỏi này bắt đầu xuất hiện, và chủ đề này khá gây tranh cãi, vì vậy tôi muốn tạo ra một hướng dẫn về những lập luận ủng hộ và phản đối việc ẩn WordPress, cùng với các công cụ tốt nhất để làm điều này nếu bạn quyết định che giấu tên WP.
Contents
Mục đích của việc ẩn trang web của bạn đang sử dụng WordPress là gì?
Việc ẩn trang web của bạn đang chạy trên nền tảng WordPress là một chủ đề gây chia rẽ, vì nhiều người phản đối mạnh mẽ, trong khi những người khác cho rằng nó có một số lợi ích thực sự.
Dưới đây, chúng tôi sẽ thảo luận về những lập luận ủng hộ và phản đối việc ẩn WordPress, nhưng ngay bây giờ, tôi muốn giải thích tại sao những người “ủng hộ ẩn” lại nói về điều này ngay từ đầu.
Tất cả đều bắt nguồn từ hai lý do chính: Một là, mọi người muốn bảo mật website WordPress của họ tốt hơn một chút, và một số người cho rằng WordPress được coi là một nền tảng không chuyên nghiệp hoặc “rẻ tiền.”
Tôi sẽ đưa ra quan điểm của mình về hai lý do này để ẩn việc sử dụng WordPress.
Bảo mật là vấn đề chính ở đây, và mặc dù bạn luôn phải thực hiện các biện pháp bảo mật khác, ý tưởng là bạn có thể ngăn chặn bot và những cuộc tấn công trực tiếp (từ những người có thể không biết nhiều về hacking) chỉ đơn giản bằng cách ẩn việc bạn sử dụng WordPress.
Một số lập luận hợp lý đang lan truyền trên internet, nhưng hiện tại, chỉ cần biết rằng mục tiêu chính khi ẩn WordPress là bảo vệ website của bạn.
Về điểm thứ hai (WordPress là một nền tảng rẻ tiền), đây là một lý do tồi tệ để cân nhắc việc ẩn việc sử dụng WordPress, vì mặc dù WordPress là một nền tảng mã nguồn mở, nhưng nó vẫn là hệ thống quản lý nội dung (CMS) được sử dụng nhiều nhất và tôn trọng nhất hiện nay.
Những lập luận ủng hộ và phản đối việc ẩn WordPress
Konstantin Kovshenin đã tổng hợp những lập luận hợp lý nhất từ khắp nơi trên mạng về lý do tại sao không nên ẩn việc website của bạn đang sử dụng WordPress. Một lần nữa, những người trong ngành luôn tranh cãi xem đâu là cách tốt nhất, nhưng dưới đây là một tổng hợp các điểm chính mà Konstantin đưa ra:
- Những kẻ tấn công thực sự không quan tâm bạn đang sử dụng phiên bản WordPress nào.
- Những hacker thậm chí không quan tâm việc bạn đang sử dụng WordPress hay không, bởi vì họ chỉ gửi các yêu cầu POST mù quáng đến tệp
wp-login.php. - Bạn nên sử dụng mật khẩu mạnh và luôn cập nhật các plugin và theme của mình.
- Ông cũng đề cập đến việc một số người cho rằng WordPress là một nền tảng rẻ tiền, vì vậy họ ẩn nó đi. Lập luận của ông là WordPress là nền tảng tốt nhất trong ngành, vì vậy nếu bạn sở hữu một chiếc Ferrari, sao không khoe ra? Tôi hoàn toàn đồng ý với ông ấy.
Ở phía đối diện, có những người cho rằng việc ẩn phiên bản WordPress không gây hại gì. Tôi hoàn toàn đồng ý với lập luận của Konstantin rằng không có lý do gì để ẩn WordPress chỉ vì bạn nghĩ rằng đó là một nền tảng kém.
Một số nhà thiết kế web có thể loại bỏ một số thông báo “Built on WordPress” rõ ràng, nhưng điều này chỉ là để thương hiệu không nhãn hiệu (white label).
Hãy cùng xem một số lập luận hợp lý hơn về việc ẩn WordPress.
- Việc ẩn phiên bản WordPress giúp ngăn chặn các cuộc tấn công nhắm vào các lỗ hổng bảo mật cụ thể.
- Vì những kẻ tấn công có thể vượt qua việc bạn ẩn phiên bản WordPress, bạn có thể tập trung hầu hết sự chú ý vào bot. Tin tốt là bot chiếm phần lớn các cuộc tấn công, có nghĩa là một thay đổi đơn giản với các permalink có thể chống lại các yêu cầu tệp PHP và các cuộc tấn công brute-force.
- WordPress là mục tiêu cực kỳ phổ biến, vì nó là CMS được sử dụng nhiều nhất trên thế giới.
- Hacker nhận ra rằng nhiều người sử dụng WordPress không nghĩ ngợi gì về việc bảo mật website của họ.
Hãy nhớ rằng bạn không thể hoàn toàn ẩn việc website của bạn đang sử dụng WordPress. Vì vậy, theo một nghĩa nào đó, việc thực hiện quá trình này không phải là một giải pháp bảo mật toàn diện. Ví dụ, việc ẩn số phiên bản chỉ thêm một bước nữa cho hacker. Theo tôi, tôi thà thêm bước này, nhưng những hacker tinh vi vẫn có thể tìm cách khác để vượt qua điều đó.
Các chuyên gia cũng cho rằng việc ẩn trang web sử dụng WordPress có thể dẫn đến sự lơ là trong bảo mật. Nói ngắn gọn, nhiều quản trị viên web có thể nghĩ rằng website của họ hoàn toàn an toàn chỉ vì họ đã ẩn việc sử dụng WordPress. Đây là một điều cấm kỵ lớn, và điều này càng làm mạnh thêm lập luận của nhóm “anti-hiding”.
Sau tất cả những điều đó, liệu việc ẩn việc sử dụng WordPress có đáng không?
Câu trả lời cho câu hỏi này vẫn chưa rõ ràng. Bạn có thể tự đưa ra quyết định, nhưng lựa chọn của bạn thực sự phụ thuộc vào cách bạn dự định phản ứng. Nếu bạn ẩn việc sử dụng WordPress, liệu bạn có quên đi tất cả các biện pháp bảo mật cần thiết khác không? Nếu đúng như vậy, chỉ cần để website của bạn như hiện tại và tìm những cách bảo vệ website đáng tin cậy hơn.
Tuy nhiên, nếu bạn luôn cập nhật theme và plugin, sử dụng các plugin bảo mật và công cụ sao lưu, tôi không thấy vấn đề gì khi ẩn việc website của bạn chạy trên WordPress như một biện pháp bảo mật bổ sung. Tuy nhiên, nếu mục đích chính của bạn là vì bạn nghĩ WordPress là rẻ tiền hoặc không được tôn trọng, đó là một lý do kém và hoàn toàn không đúng.
Cách ẩn trang Web của bạn đang chạy trên WordPress
Giải pháp tốt nhất là sử dụng plugin Hide My WP premium để hoàn toàn loại bỏ hầu hết các dấu vết cho thấy WordPress đang được sử dụng cho website của bạn.
Plugin này làm gì cho website của bạn?
- Nó tăng cường bảo mật của bạn bằng cách kiểm soát quyền truy cập vào các tệp PHP. Plugin này tuyên bố bảo vệ website của bạn khỏi 90% các cuộc tấn công SQL-injection và XSS, những cuộc tấn công thường xảy ra do các tệp PHP của bạn.
- Plugin cho phép bạn thay đổi các permalink của WordPress, xóa bỏ mọi dấu vết cho thấy website thực sự đang chạy trên WP. Hãy nhớ rằng plugin này không thay đổi bất kỳ tệp nào của bạn, nhưng nó kiểm soát các tệp để ẩn trạng thái và ngăn chặn các cuộc tấn công.
- Nó can thiệp vào việc thay đổi các mục như wp-admin, wp-login và tất cả các tệp của chúng.
- Feeds bị vô hiệu hóa và permalink của tác giả bị ẩn.
- Các thư mục plugin được thay đổi, và tất cả các tệp WordPress bị ẩn trong quá trình này.
- Một trong những tính năng tốt nhất là plugin gửi cho bạn thông báo nếu ai đó đang cố gắng tấn công website của bạn. Đây là lý do chính khiến tôi thực sự thích plugin này, vì kết luận về việc ẩn các tệp WP có thực sự hiệu quả hay không vẫn chưa rõ, nhưng kết hợp với tính năng này, ít nhất bạn có thể thấy khi nào có nguy cơ xảy ra.
- Bạn cũng nhận được một trang 404 tùy chỉnh và các tính năng khác để ẩn việc sử dụng WordPress của bạn.
Để có một phương pháp kỹ thuật hơn về việc ẩn URL WordPress, sử dụng các liên kết tương đối và dọn dẹp phần đầu trang, hãy tham khảo bài viết của Kevin Leary, nơi bạn sẽ thực sự tìm hiểu sâu vào các tệp của mình và chỉnh sửa mã.
Các cách bổ sung để bảo mật Website WordPress
Vì mục tiêu chính của chúng ta là bảo vệ website khỏi hacker, bạn sẽ có lợi nhất nếu thực hiện một số công cụ và nhiệm vụ sau, bất kể bạn có quyết định ẩn việc website của bạn đang chạy WordPress hay không.
- Thay đổi mật khẩu của bạn theo định kỳ (hàng tuần, hàng tháng, hai tháng một lần).
- Tạo mật khẩu mạnh và sử dụng công cụ lưu trữ mật khẩu để không phải nhớ chúng.
- Cập nhật các theme và plugin của bạn liên tục.
- Các plugin bảo mật toàn diện như iThemes Security là giải pháp tốt nhất để bảo vệ website toàn diện.
- Ngừng sử dụng các theme hoặc plugin không được cập nhật, và xóa tất cả các plugin và theme không hoạt động trên website của bạn.
- Sử dụng CAPTCHA khi đăng nhập là một công cụ hữu ích để chống lại các cuộc tấn công brute-force.
Chỉ có vậy thôi! Tôi biết điều này có thể hơi gây nhầm lẫn, nhưng tôi tin rằng bạn sẽ tự đưa ra quyết định của mình. Hy vọng hướng dẫn này đã giúp làm rõ tình hình một chút và chỉ cho bạn những cách phù hợp để ẩn trang web đang sử dụng WordPress nếu cần.
