14 mẹo quan trọng để bảo vệ vùng quản trị WordPress của bạn

14 mẹo quan trọng để bảo vệ vùng quản trị WordPress của bạn

Bạn có thấy rất nhiều cuộc tấn công vào khu vực quản trị WordPress của bạn? Bảo vệ khu vực quản trị khỏi bị truy cập trái phép cho phép bạn chặn nhiều mối đe dọa bảo mật thông thường. Trong bài này, chúng tôi sẽ giới thiệu cho bạn một số mẹo và hacks quan trọng để bảo vệ khu vực quản trị WordPress của bạn.

1. Sử dụng tường lửa ứng dụng trang web

Một tường lửa ứng dụng trang web hoặc WAF theo dõi lưu lượng trang web và chặn các yêu cầu đáng ngờ từ việc truy cập vào trang web của bạn.
 
Mặc dù có một số plugin tường lửa WordPress trên đó, chúng tôi khuyên bạn nên sử dụng Sucuri . Đây là một trang web bảo mật và giám sát dịch vụ cung cấp một đám mây WAF dựa để bảo vệ trang web của bạn.

 
Tất cả lưu lượng truy cập trang web của bạn đi qua proxy trên đám mây của họ trước tiên, ở đó họ phân tích từng yêu cầu và chặn những người đáng ngờ khỏi việc truy cập vào trang web của bạn. Nó ngăn chặn trang web của bạn khỏi những nỗ lực hacking, phishing, malware và các hoạt động độc hại khác.

2. Bảo vệ mật khẩu WordPress Admin Directory

Khu vực quản trị WordPress của bạn đã được bảo vệ bởi mật khẩu WordPress của bạn. Tuy nhiên, việc thêm mật khẩu bảo vệ vào thư mục quản trị WordPress của bạn thêm một lớp bảo mật nữa vào trang web của bạn.
 
Đăng nhập vào WordPress hosting cPanel bảng điều khiển và sau đó nhấp vào 'Password Protect Directories' hoặc 'Directory Privacy'.

 
Tiếp theo, bạn sẽ cần phải chọn thư mục wp-admin của bạn, thường nằm bên trong thư mục / public_html /.
 
Trên màn hình kế tiếp, bạn cần đánh dấu hộp kiểm bên cạnh tùy chọn 'Bảo vệ mật khẩu thư mục này' và cung cấp tên cho thư mục được bảo vệ.
 
Sau đó, nhấp vào nút lưu để thiết lập quyền.

 
Tiếp theo, bạn cần phải nhấn nút quay lại và sau đó tạo một người dùng. Bạn sẽ được yêu cầu cung cấp tên người dùng / mật khẩu và sau đó nhấp vào nút lưu.
 
Bây giờ khi ai đó cố gắng truy cập vào thư mục quản trị viên WordPress hoặc wp-admin trên trang web của bạn, họ sẽ được yêu cầu nhập tên người dùng và mật khẩu.

3. Luôn luôn sử dụng mật khẩu mạnh


 
Luôn sử dụng mật khẩu mạnh mẽ cho tất cả các tài khoản trực tuyến của bạn bao gồm trang web WordPress của bạn. Chúng tôi khuyên bạn nên sử dụng kết hợp các chữ cái, số và các ký tự đặc biệt trong mật khẩu của bạn. Điều này làm cho tin tặc khó đoán mật khẩu của bạn hơn.
 
Chúng tôi thường hỏi những người mới bắt đầu làm thế nào để nhớ tất cả những mật khẩu đó. Câu trả lời đơn giản nhất là bạn không cần. Có một số ứng dụng quản lý mật khẩu thực sự tuyệt vời mà bạn có thể cài đặt trên máy tính và điện thoại của mình.

4. Sử dụng xác minh hai bước để Login WordPress 

 
Xác minh hai bước thêm lớp bảo mật khác vào mật khẩu của bạn. Thay vì chỉ sử dụng mật khẩu, nó sẽ yêu cầu bạn nhập mã xác minh được tạo bởi ứng dụng Google Authenticator trên điện thoại của bạn.
 
Ngay cả khi ai đó có thể đoán mật khẩu WordPress của bạn, họ vẫn cần mã Google Authenticator để đăng nhập.

5. Hạn chế Đăng nhập Đăng nhập

 
Theo mặc định, WordPress cho phép người dùng nhập mật khẩu nhiều lần như họ muốn. Điều này có nghĩa là ai đó có thể tiếp tục thử đoán mật khẩu WordPress bằng cách nhập các kết hợp khác nhau. Nó cũng cho phép hacker sử dụng các kịch bản tự động để crack mật khẩu.
 
Để khắc phục điều này, bạn cần phải cài đặt và kích hoạt plugin Login LockDown. Khi kích hoạt, hãy truy cập Settings » Login LockDown để định cấu hình cài đặt plugin.

6. Hạn chế đăng nhập vào các địa chỉ IP

Một cách tuyệt vời khác để bảo vệ đăng nhập WordPress là hạn chế quyền truy cập vào các địa chỉ IP cụ thể. Mẹo này đặc biệt hữu ích nếu bạn hoặc chỉ một vài người dùng tin cậy cần truy cập vào khu vực quản trị.
 
Chỉ cần thêm mã này vào tệp tin .htaccess của bạn.
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>
Đừng quên thay các giá trị xx bằng địa chỉ IP của bạn. Nếu bạn sử dụng nhiều địa chỉ IP để truy cập vào internet, hãy chắc chắn rằng bạn thêm chúng vào.

7. Vô hiệu hoá gợi ý đăng nhập

 
Trong nỗ lực đăng nhập thất bại, WordPress hiển thị lỗi cho người dùng biết tên người dùng của họ không chính xác hoặc mật khẩu. Những gợi ý đăng nhập này có thể được sử dụng bởi ai đó vì những nỗ lực nguy hiểm.
 
Bạn có thể dễ dàng ẩn các gợi ý đăng nhập này bằng cách thêm mã này vào tệp functions.php của chủ đề hoặc plugin dành riêng cho trang web .
function no_wordpress_errors(){
  return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

8. Yêu cầu người dùng sử dụng mật khẩu mạnh

Nếu bạn chạy một trang web WordPress nhiều tác giả, sau đó những người dùng có thể chỉnh sửa hồ sơ của họ và sử dụng một mật khẩu yếu. Những mật khẩu này có thể được nứt và cung cấp cho một người nào đó truy cập vào khu vực quản trị WordPress.
 
Để khắc phục điều này, bạn có thể cài đặt và kích hoạt plugin Force Strongwords. Nó hoạt động ra khỏi hộp, và không có cài đặt cho bạn để cấu hình. Sau khi kích hoạt, nó sẽ dừng người dùng tiết kiệm mật khẩu yếu.
 
Nó sẽ không kiểm tra mật khẩu cho các tài khoản người dùng hiện có. Nếu người dùng đã sử dụng một mật khẩu yếu, sau đó họ sẽ có thể tiếp tục sử dụng mật khẩu của họ.

9. Đặt lại mật khẩu cho tất cả người dùng

Quan tâm đến bảo mật mật khẩu trên trang web WordPress đa người dùng của bạn? Bạn có thể yêu cầu tất cả người dùng đặt lại mật khẩu.
 
Trước tiên, bạn cần phải cài đặt và kích hoạt plugin Emergency Password Reset. Khi kích hoạt, hãy truy cập vào Users » Emergency Password Reset và nhấp vào nút Reset All Passwords.

10. Tiếp tục cập nhật WordPress

WordPress thường phát hành phiên bản mới của phần mềm. Mỗi bản phát hành mới của WordPress chứa các bản sửa lỗi, các tính năng mới và các bản sửa lỗi bảo mật quan trọng.
 
Sử dụng một phiên bản cũ hơn của WordPress trên trang web của bạn để lại cho bạn khai thác và khai thác lỗ hổng tiềm ẩn. Để khắc phục điều này, bạn cần đảm bảo rằng bạn đang sử dụng phiên bản mới nhất của WordPress. Để biết thêm về chủ đề này, hãy xem hướng dẫn của chúng tôi về lý do tại sao bạn nên luôn luôn sử dụng phiên bản mới nhất của WordPress .
 
Tương tự như vậy, các plugin WordPress cũng thường được cập nhật để giới thiệu các tính năng mới hoặc sửa chữa bảo mật và các vấn đề khác. Hãy chắc chắn rằng plugin WordPress của bạn cũng được cập nhật.

11. Tạo trang đăng nhập và đăng ký tùy chỉnh

Nhiều trang WordPress yêu cầu người dùng đăng ký. Ví dụ, trang web thành viên , học trang web quản lý , hoặc các cửa hàng trực tuyến cần người dùng phải tạo một tài khoản.
 
Tuy nhiên, những người dùng này có thể sử dụng tài khoản của họ để đăng nhập vào khu vực quản trị WordPress. Đây không phải là một vấn đề lớn, vì họ sẽ chỉ có thể làm những điều được cho phép bởi vai trò người dùng và các khả năng của họ. Tuy nhiên, nó ngăn cản bạn hạn chế quyền truy cập vào các trang đăng nhập và đăng ký vì bạn cần những trang này để người dùng đăng ký, quản lý hồ sơ của họ và đăng nhập.
 
Cách dễ dàng để khắc phục sự cố này là tạo các trang đăng nhập và đăng ký tùy chỉnh để người dùng có thể đăng ký và đăng nhập trực tiếp từ trang web của bạn.

12. Tìm hiểu về Vai trò Người dùng và Quyền của WordPress

WordPress đi kèm với một hệ thống quản lý người dùng mạnh mẽ với vai trò người dùng khác nhau và khả năng. Khi thêm một người dùng mới vào trang WordPress của bạn, bạn có thể chọn một vai trò người dùng cho họ. Vai trò người dùng này xác định những gì họ có thể làm trên trang web WordPress của bạn.
Việc gán vai trò người dùng không chính xác có thể cung cấp cho mọi người nhiều khả năng hơn mức họ cần. Để tránh điều này bạn cần phải hiểu những khả năng nào đi kèm với vai trò người dùng khác nhau trong WordPress.

13. Giới hạn Truy cập Trang tổng quan

Một số trang web WordPress có một số người dùng cần truy cập vào bảng điều khiển và một số người dùng không. Tuy nhiên, theo mặc định tất cả họ đều có thể truy cập khu vực quản trị.
 
Để khắc phục sự cố này, bạn cần phải cài đặt và kích hoạt plugin Remove Dashboard Access. Khi kích hoạt, hãy truy cập trang Settings » Dashboard Access và chọn vai trò người dùng nào sẽ có quyền truy cập vào khu vực quản trị trên trang web của bạn.

14. Đăng xuất người dùng không hoạt động

 
WordPress không tự động đăng xuất người dùng cho đến khi họ rõ ràng đăng xuất hoặc đóng cửa sổ trình duyệt của họ. Đây có thể là mối quan tâm đối với các trang web WordPress với thông tin nhạy cảm. Đó là lý do tại sao trang web và tổ chức tài chính tự động đăng xuất người dùng nếu họ không hoạt động.
 
Để khắc phục điều này, bạn có thể cài đặt và kích hoạt plugin Idle User Logout. Khi kích hoạt, hãy chuyển tới trang Settings » Idle User Logout và nhập thời gian mà sau đó bạn muốn người dùng tự động đăng xuất.

>>> Xem thêm: Làm thế nào để thêm Gif động trong Wordpress

Chúng tôi hy vọng bài viết này đã giúp bạn tìm hiểu một số mẹo mới và hacks để bảo vệ khu vực quản trị WordPress của bạn. 

Chúc các bạn thành công!

-------------------------||-------------------------

Tổ chức giáo dục EduVIE dạy học thiết kế website bằng Wordpress chuyên nghiệp


Tin tức liên quan

Làm thế nào để thêm GIF động trong WordPress

Bạn có muốn thêm GIF động vào bài viết trên blog WordPress của mình không? Đôi khi khi bạn thêm...

Cách giúp bạn nhúng một mẫu Google trong WordPress

Bạn có muốn nhúng một mẫu của Google vào WordPress? Các biểu mẫu của Google dễ dàng nhúng vào...

Các plugin không hoạt động sẽ làm chậm WordPress? Bạn có nên xóa không.

Gần đây, có rất nhiều người đã hỏi về các plugin đã hủy kích hoạt làm chậm WordPress và...

Cách sử dụng phương tiện truyền thông xã hội để tăng đăng ký Email trong WordPress

Bạn có muốn sử dụng phương tiện truyền thông xã hội để tăng số người đăng ký email...

Làm thế nào để thay đổi tiền tố cơ sở phân loại trong WordPress

Bạn có muốn thay đổi tiền tố cơ sở danh mục trong WordPress? Theo mặc định, WordPress sẽ...

Bình luận của bạn