Khi mới bắt đầu xây dựng blog, thông thường chúng ta chỉ quan tâm đến một vấn đề là làm sao để thu hút được đọc giả, làm sao để SEO lên top mà ít khi quan tâm đến vấn đề bảo mật. Nhưng đây lại là một khâu hết sức quan trọng mà chúng ta buộc phải quan tâm đến nếu muốn phát triển blog lâu dài. Nếu bạn không muốn công sức của mình bỏ ra có thể đổ sông đổ biển vào một ngày nào đó thì bạn nên chú ý vấn đề bảo mật ngay từ bây giờ. Ở bài viết này, mình sẽ giới thiệu cho các bạn một số phương pháp cơ bản nhất để nâng cao khả năng bảo mật cho blog WordPress.
1. Đổi username admin và đặt password phức tạp
Đây là điều trước tiên mà chúng ta phải làm. Khi cài đặt WordPress, bạn nên thay đổi tên đăng nhập mặc định là admin bằng một tên khác và sử dụng một mật khẩu dài, phức tạp bao gồm các chữ hoa, chữ thường, chữ số và các ký tự đặt biêt. Trong trường hợp bạn đã sử dụng tên đăng nhập là admin, bạn có thể đổi lại với sự hổ trợ của plugin Better WP Security mình sẽ giới thiệu bên dưới.
Ngoài ra, bạn nên thay đổi tên hiển thị khác với tên đăng nhập bằng cách vào Users chọn Your Profile sau đó đổi lại Nickname.
Xem thêm: Thay đổi URL đăng nhập trong WordPress
2. Tối ưu CHMOD cho WordPress
CHMOD nghĩa là thiết lập quyền đọc, chỉnh sửa và thực thi cho file hoặc thư mục. Để đảm bảo an toàn cho các file và thư mục trên blog, bạn phải CHMOD cho đúng cách và tối ưu. Bạn có thể làm việc này bằng cách vào mục File Manager của cPanel quản lý host hoặc có thể dùng các trình upload FTP. Sau khi đăng nhập vào File Manager, click chuột phải vào file hoặc folder muốn CHMOD và chọn Change Permissions.
Ở bảng xuất hiện ta tiến hành CHMOD bằng cách tích vào các ô:
Ở đây chúng ta có:
- Read (Đọc): được quy định tính bằng 4
- Write” (Chỉnh sửa): được quy định tính bằng 2
- Execute (Thực thi): được quy định tính bằng 1
Chẳng hạn như để CHMOD một file về 755 chúng ta sẽ tick vào các ô như hình trên. Nếu mốn CHMOD về 644 thì ta sẽ đánh dấu tích như hình sau:
Bây giờ chúng ta sẽ tiền hành CHMOD cho một số file và thư mục sao cho tối ưu.
- wp-config.php: đây là file rất quan trọng chứa thông tin về database, để an toàn chúng ta sẽ CHMOD nó là 400.
- Các file còn lại có thể CHMOD là 644 hoặc 404.
- Hai thư mục wp-admin, wp-includes ta sẽ CHMOD là 701 hoặc để bảo mật hơn nữa thì có thể CHMOD thành 101.
- Riêng đối với thưu mục wp-content bạn phải CHMOD là 755 để có thể upload hay chỉnh sửa theme…
3. Kiểm tra mã độc
Một mối nguy hiểm từ việc sử dụng các themes, plugins null hoặc crack được chia sẽ trên mạng. Nó có thể chứa các đoạn mã độc gay hai cho blog của bạn. Vì vậy tốt nhất các bạn nên sử dụng các themes và plugins có bản quyền. Nhưng nếu không có điều kiện để sử dụng mà phải dùng tới các themes, plugins được chia sẻ, tốt nhất các bạn nên kiểm tra kĩ càng. Sau khi tải về có thể quét nó bằng các phần mềm diệt virus như Kaspersky, Norton, Avira…Bạn có thể sử dụng công cụ quét virus trực tuyến tại virustotal.com.
Ngoài ra ta có thể sử dụng một số plugins để dò tìm mã độc trong code WordPress như 6Scan Security, Wordfence Security, Theme Authenticity Checker…Các plugins này có thể quét và dò tìm các mã độc hay các lỗi liên quan đến code trên blog và hướng dẫn cho bạn cách fix các lỗi này.
4. Bảo mật bằng plugin Better WP Security
Ngoài các phương pháp cơ bản trên, chúng ta còn có một số biện pháp khác mà để thực hiện được ta cần đến sự hổ trợ của các plugins. Có khá nhiều plugins bảo mật được giới thiệu nhưng theo mình nhận thấy thì hầu hết chúng đều thực hiện các chức năng giống nhau. Ở đây mình giới thiệu một plugin mà mình nghĩ các bạn nên sử dụng, đó là plugin Better WP Security. Better WP Security có hầu hết các chức năng cần thiết để bảo mật cho blog WordPress. Mình cũng chưa khai thác hết chức năng của plugin này nhưng có một số chức năng cơ bản mà bạn nên sử dụng tương ứng với các mục:
Admin User: Đây là nơi bạn có thể thay đổi tên đăng nhập và ID của admin như đã nói ở phần trên.
Ban Users: Ngặn chặn truy cập vào blog của bạn từ một địa chỉ IP hay một users nào đó.
Content Directory: Thay đổi tên thư mục wp-content thành một tên khác. Bạn nên cẩn thận khi sử dụng chức năng này. Nó sẽ làm hỏng các đường dẫn có liên quan đến thư mục này như đường dẫn của các hình ảnh trong bài viết…Bạn nên backup dữ liệu trước khi dùng đến chức năng này.
Database Prefix: Đổi tiền tố của database. Mặc định tiền tố trong database khi cài đặt WordPress là “wp_”, để tăng khả năng bảo mật, bạn nên đổi sang một tiền tố khác.
Hide Backend: Bạn có thể thay đổi đường dẫn đến trang đăng nhập, trang đăng ký và trang quản trị. Điều này sẽ khiến các hacker khó khăn hơn trong việc đăng nhập vào trang điều khiển khi đã có được tài khoản admin.
Intrusion Detection: Giới hạn số lần truy cập vào các trang không tồn tại trên blog của người dùng và cảnh báo sự thay đổi nội dung của các file qua email. Điều này sẽ gay khó khăn cho các hacker trong việc cố gắng tìm kiếm một địa chỉ trên blog chẳng hạn như địa chỉ trang quản trị mình đã thay đổi ở mục trên. Đồng thời bạn cũng sẽ nhận được các thông báo thay đổi nội dung của các file, giúp bạn biết được nếu có kẻ phá hoại và xác định được các file bị xâm nhập và thay đổi nội dung.
Login Limits: Giới hạn số lần đăng nhập lỗi. Điều này sẽ ngăn chặn hacker sử dụng các biện pháp dò tìm password tự động.
Ngoài ra còn một số chức năng khác như đặt lịch backup cho database, bảo vệ các file readme.html, readme.txt, wp-config.php, install.php, wp-includes, .htaccess, tắt thông báo update theme và plugin đối với các users, bật tính năng SSL đối với các hosting có hổ trợ (bạn nên cẩn thận khi sử dụng tới chức năng này)…
Nếu bạn không thích sử dụng Better WP Security vì gặp khó khăn trong việc cấu hình các chức năng thì bạn có thể sử dụng một plugin khác có khả năng bảo mật được đánh giá là tương đương với Better WP Security nhưng thân thiện với người dùng hơn, plugin có tên là Wordfence Security.
Đây là một plugin rất hiệu quả trong việc dò tìm các mã độc và các lỗi liên quan đến code. Ngoài ra nó cũng có thể chặn truy cập từ các địa chỉ IP, lãnh thổ và một số chức năng khác. Tuy nhiên plugin này có nhược điểm là ảnh hưởng đến tốc độ tải trang của blog trong quá trình scan và một số chức năng nâng cao bạn phải trả tiền để có thể sử dụng.
Xem thêm: Thay đổi URL đăng nhập trong WordPress
Trên đây là một số phương pháp cơ bản nhất giúp các bạn nâng cao khả năng bảo mật cho blog của mình, hạn chế các nguy cơ gay hại từ bên ngoài. Tuy nhiên, cho dù bạn có sử dụng bất kì phương pháp gì thì cũng không thể chắc chắn rằng blog của bạn không thể bị xâm phạm. Do đó một việc cần thiết mà các bạn phải làm là backup dữ liệu thường xuyên, bao gồm cả database và source code.