Những lỗi bảo mật WordPress phổ biến Nhiều trang web mắc phải

Những lỗi bảo mật WordPress thường gặp

Nếu trang web của bạn đã từng bị tấn công bởi bot, tin tặc hoặc các thành phần bất hảo khác, bạn sẽ biết rằng thiết lập lại nó có thể trở thành một cơn ác mộng. Với việc WordPress trở nên phổ biến, nó đã trở thành mục tiêu của các tin tặc hơn khi số tiền chi trả có thể lớn hơn. Mặc dù có rất nhiều thứ như bảo mật hoàn hảo, nhưng có rất nhiều điều lớn nhỏ chúng ta có thể làm để tránh một số lỗi bảo mật WordPress phổ biến và khiến các bot khó vào trang web của chúng ta hơn và tạo ra sự tàn phá.


Trong bài đăng này, hãy để trực tiếp kiểm tra các lỗi bảo mật phổ biến trên các trang web WordPress. Chúng tôi cũng sẽ tìm ra những gì chúng tôi có thể làm để giảm thiểu lỗ hổng của chúng tôi đối với các mối đe dọa bảo mật.

Sai lầm # 1: Không cập nhật WordPress

WordPress có một cộng đồng tuyệt vời mà cảnh báo về các vấn đề bảo mật và nhóm tại WordPress phát hành cập nhật thường xuyên để khắc phục các mối đe dọa bảo mật. Nhưng chúng tôi tùy thuộc vào chúng tôi để thực hiện các cập nhật này trên bản cài đặt WordPress của chúng tôi và vá bất kỳ lỗ hổng bảo mật nào. Các cập nhật chính cho lõi WordPress diễn ra tự động, nhưng đối với các cập nhật nhỏ và cập nhật cho các chủ đề và plugin, bạn cần chú ý đến các thông báo hiển thị trên bảng điều khiển của bạn.

Cập nhật WordPress thường là một quá trình trơn tru, chỉ cần một cú nhấp chuột, nhưng đôi khi có thể có các vấn đề không tương thích làm hỏng trang web của bạn. Có nhiều thông tin khác về việc cập nhật WordPress trong Hướng dẫn nhanh này để cập nhật WordPress.

Sai lầm # 2: Không mua Chủ đề & Plugin chất lượng

Các chủ đề và plugin được mã hóa kém là một mối nguy hiểm bảo mật trên trang web của bạn. Họ không chỉ có thể làm chậm trang web của bạn, mà còn có thể không tương thích với phiên bản WordPress mà bạn đang sử dụng hoặc với nhau. Thêm vào đó, họ có thể đóng vai trò là điểm khởi đầu cho phần mềm độc hại.

Biện pháp phòng ngừa rõ ràng để áp dụng ở đây là chỉ mua các chủ đề và plugin từ các nguồn chất lượng. Có rất nhiều chủ đề và plugin tốt có sẵn miễn phí trong WordPress. Nếu lựa chọn của bạn là một chủ đề hoặc plugin cao cấp, hãy tìm Themeforest hoặc CodeCanyon và các nhà chủ đề có uy tín khác như WPExplorer.

Chọn những người được đánh giá tốt hơn và tận hưởng số lượng tải xuống lớn hơn. Đọc các đánh giá về các chủ đề và plugin và kiểm tra xem những người dùng chính hãng, lâu dài khác đang nói gì về chúng. Đi qua các thay đổi để xem nếu có cập nhật thường xuyên. Viết cho các tác giả để hiểu nếu chủ đề hoặc plugin đó phù hợp với bạn trước khi mua hàng. Và để giải quyết bất kỳ mối quan tâm thực tế nào, bạn có thể chạy nó trên một trang web thử nghiệm, nếu điều đó có thể.

Sai lầm # 3: Không cập nhật Chủ đề & Plugin

Giống như WordPress, các chủ đề và plugin của bạn nên có các bản cập nhật thường xuyên để sửa lỗi và vá bảo mật. Công việc của bạn là kiểm tra các bản cập nhật này sau đó cài đặt chúng để giữ cho trang web WordPress của bạn an toàn.

Ghi chú: Một trong những lý do phổ biến nhất khiến mọi người để chủ đề của họ bị lỗi thời là do mã tùy chỉnh. Đây là lý do tại sao sử dụng các chủ đề con là quan trọng. Nếu bạn có kế hoạch thực hiện bất kỳ thay đổi nào đối với các tệp chủ đề của mình, hãy nhớ sử dụng một chủ đề con để bạn có thể cập nhật chủ đề cốt lõi của mình một cách an toàn trong tương lai.

Sai lầm # 4: Thiếu bảo mật trên trang đăng nhập

Trang đăng nhập là nơi mà người dùng được ủy quyền vào trang web. Nhưng nhiều người dùng lừa đảo không mong muốn cũng có thể khéo léo tìm đường vào trang web của chúng tôi từ trang đăng nhập và thậm chí có thể có được các đặc quyền cấp quản trị viên. Để ngăn chặn điều này, chúng tôi cần tăng cường bảo mật trên trang đăng nhập. Thực sự, nó không khó để làm điều này và có rất nhiều điều chỉnh dễ dàng mà bạn có thể thực hiện để ngăn chặn sự nghịch ngợm ngay trước cửa nhà bạn.

Bạn có thể thay đổi tên người dùng từ ‘Quản trị viên và sử dụng mật khẩu mạnh. Hoặc, giới hạn số lần thử đăng nhập – điều này sẽ đặc biệt hiệu quả trong việc ngăn chặn các cuộc tấn công vũ phu. Một phương pháp bảo vệ khác mà dễ dàng áp dụng là xác thực hai yếu tố. Và với Google thúc đẩy việc sử dụng SSL, bạn có thể muốn đi trước một bước và áp dụng nó vào trang web của bạn sớm hơn sau này. Vì vậy, bạn thấy, trang đăng nhập là một nơi tốt để bắt đầu cải thiện bảo mật trên trang web của bạn.

Sai lầm 5: Sử dụng vai trò người dùng không đúng cách

WordPress có nhiều vai trò người dùng – Quản trị viên, Biên tập viên, Tác giả, Cộng tác viên và Người đăng ký. Không phải tất cả trong số họ cần phải có cùng đặc quyền trên trang web của bạn. Khi bạn thêm người dùng vào trang web của mình, hãy cẩn thận với các đặc quyền bạn cấp cho họ tại phụ trợ. Chỉ cho phép nhiều đặc quyền cần thiết để họ hoàn thành vai trò của mình trên trang web.

Cấp quyền truy cập không hạn chế cho tất cả người dùng có thể giúp tin tặc đột nhập dễ dàng hơn.

Có thực sự không cần phải cung cấp cho người đăng ký bất kỳ quyền truy cập vào phụ trợ khi tất cả những gì họ cần làm là đọc nội dung. Quyền truy cập cấp biên tập viên chỉ nên được cấp cho người dùng đáng tin cậy và quyền truy cập cấp Quản trị viên có thể được cấp, nếu có, rất ít. Cho phép các đặc quyền hạn chế cho người dùng và buộc họ sử dụng mật khẩu mạnh có thể kiểm soát quyền truy cập vào phần phụ trợ ở mức độ lớn.

Sai lầm # 6: Không xóa các chủ đề và plugin không sử dụng

Theo thời gian, chúng tôi tiếp tục thêm các plugin và chủ đề vào WordPress của mình khi có nhu cầu. Nhưng một khi chúng tôi không còn sử dụng chúng nữa, chúng tôi quên xóa chúng khỏi trang web của chúng tôi. Nó không đủ để chỉ kích hoạt các chủ đề và plugin, bạn phải xóa những cái mà bạn không có ý định sử dụng. Bước đơn giản này có thể làm giảm sự tiếp xúc của bạn với phần mềm độc hại. Các plugin không hoạt động không tiêu tốn RAM, băng thông hoặc PHP, nhưng chiếm không gian máy chủ. Điều này không chỉ có thể làm chậm trang web của bạn, chúng còn có thể được sử dụng để chạy mã độc trên trang web của bạn.

Trước khi bạn thêm một plugin vào trang web của mình, hãy kiểm tra xem WordPress có thể xử lý chức năng cụ thể không. Hoặc chủ đề mà bạn sử dụng hoặc máy chủ của bạn có thể bao gồm các chức năng mà bạn cần. Vì vậy, nếu bạn có bất kỳ plugin nào trên trang web của mình cho các chức năng rất giống nhau này, bạn có thể muốn xóa chúng.

Bây giờ bạn đã dọn sạch các plugin không sử dụng, bạn cũng có thể đi toàn bộ khoảng cách và dọn sạch thư viện phương tiện, thư mục tải lên và thư mục bao gồm. Đây là các điểm nhập thay thế cho phần mềm độc hại chỉ xâm nhập vào trang web của bạn để thực thi chính nó sau này. Bằng cách giảm bớt các thư mục này, bạn đã cắt giảm các điểm truy cập cho phần mềm độc hại và tin tặc.

Sai lầm # 7: Không chọn máy chủ an toàn

Thông thường, tin tặc không nhắm mục tiêu trang web của bạn, chúng có thể nhắm mục tiêu một số trang web khác chia sẻ không gian máy chủ với bạn. Bạn chỉ là một nạn nhân ngẫu nhiên. Trong một kịch bản lưu trữ được chia sẻ, một trang web bị xâm nhập có thể làm sập tất cả các trang web trên máy chủ. Do đó, điều quan trọng là chọn máy chủ web của bạn rất cẩn thận. Như chúng tôi đã liên tục nói trong các trang blog của chúng tôi, khi nói đến lưu trữ, bạn chỉ nhận được những gì bạn phải trả cho. Các tùy chọn lưu trữ giá rẻ hầu như luôn thỏa hiệp về bảo mật và máy chủ của họ dễ bị tấn công bảo mật hơn. Không chỉ vậy, bạn sẽ thường xuyên tìm thấy sự hỗ trợ chưa thỏa đáng khi trang web của bạn đang bị tấn công.

Đặt tiền tốt cho chất lượng lưu trữ là thực sự đáng đầu tư. Nó sẽ giúp bạn tiết kiệm rất nhiều công sức, đặc biệt nếu doanh nghiệp của bạn được liên kết chặt chẽ với trang web của bạn. Cần giúp đỡ với việc chọn một máy chủ? Đi đến danh sách các tùy chọn lưu trữ được đề xuất của chúng tôi.

Sai lầm # 8: Không kiểm tra phần mềm độc hại

Phần mềm độc hại có thể vào trang web của bạn mà bạn không hề hay biết. Nó có thể bị ẩn và làm nhiều việc mà bạn không biết như theo dõi khách truy cập, truy cập thông tin nhạy cảm như chi tiết thẻ tín dụng hoặc thêm liên kết ngược vào các trang web khác. Khi có phần mềm độc hại của ẩn nấp trong trang web của bạn, Google bắt đầu loại bỏ các công cụ tìm kiếm để ngăn chặn các trang web khác bị nhiễm. Điều này có thể làm giảm lưu lượng truy cập vào trang web của bạn.

Có rất nhiều plugin và dịch vụ có sẵn có thể quét trang web của bạn để tìm phần mềm độc hại và loại bỏ nhiều phần mềm. Bạn chỉ cần truy cập trang web của các dịch vụ như Sucuri SiteCheck Scanner và nhập URL của trang web của bạn. Một báo cáo sẽ được tạo để hiển thị phần mềm độc hại được phát hiện cũng như các khuyến nghị về cách bạn nên xử lý nó. Hoặc nếu không, bạn có thể chọn thêm plugin và chạy quét. Nếu bạn muốn bạn có thể xóa plugin sau khi sử dụng và cài đặt lại nó khi bạn muốn chạy lại quét.

Sai lầm # 9: Không cài đặt Plugin bảo mật

Một trong những cách dễ nhất để tăng cường bảo mật trên trang web của bạn là thêm một plugin bảo mật. Các plugin này có thể xử lý nhiều vấn đề bảo mật như thực thi mật khẩu mạnh, thiết lập tường lửa, bảo vệ chống lại các cuộc tấn công vũ phu và hơn thế nữa. Có rất nhiều plugin miễn phí như iTheme Security và cũng như nhiều plugin bảo mật cao cấp có sẵn, và nó tốt nhất là bạn cài đặt và kích hoạt sớm nhất. Ngoài ra còn có nhiều dịch vụ bảo mật trang web như Sucuri cung cấp để quản lý bảo mật trên trang web WordPress của bạn.

Sai lầm # 10: Không giữ bản sao lưu trang web

Bạn đã nghĩ rằng bây giờ bạn đã thực hiện tất cả những điều trên, trang web của bạn an toàn trước những kẻ xấu. Xin lỗi để gây thất vọng, nhưng tin tặc đang tinh chỉnh phương pháp của họ và các mối đe dọa mới mọc lên liên tục. Do đó, là một mạng lưới an toàn, bạn có thể sử dụng một plugin để sao lưu và sao lưu an toàn trang web của bạn theo định kỳ và giữ chúng ở một vị trí an toàn.

Nó không đủ để thực hiện sao lưu chỉ cơ sở dữ liệu, sao lưu toàn bộ trang web là cần thiết. Điều đó bao gồm các chủ đề, plugin, thư mục nội dung wp cũng như các tệp cấu hình WordPress quan trọng như wp-config.php và các tệp .htaccess. Sử dụng các plugin chất lượng như BackupBuddy hoặc VaultPress và cập nhật chúng thường xuyên. Ngoài ra, duy trì nhiều bản sao lưu mà bạn có thể sao lưu ở các địa điểm ngoại tuyến và ngoại tuyến khác nhau.

Nói ngắn gọn

Bảo mật trang web không phải lúc nào cũng là về những bức tường và hàng rào cao, cũng không phải là một lần sửa chữa. Nó nói thêm về việc đi trước các nhà sản xuất nghịch ngợm. Có nhiều bước nhỏ và dễ dàng mà bạn có thể áp dụng để giữ cho trang web an toàn và bảo mật. Điều quan trọng là phải xem xét phòng thủ của bạn để đảm bảo rằng họ phù hợp với nhu cầu của trang web của bạn và phát triển các thực tiễn bảo mật có thể giữ an toàn cho trang web.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map