Bảo mật WordPress là một phần không thể thiếu trong bảo trì trang web. Là một phần của việc duy trì trang web của bạn, bạn cần đảm bảo trang web của mình an toàn và được bảo vệ tốt khỏi tin tặc.

Nếu trang web của bạn bị hack, bạn có nguy cơ ngừng hoạt động, vị trí công cụ tìm kiếm bị hỏng và bạn có thể phải trả tiền cho một chuyên gia để sửa nó. Sẽ tốt hơn nhiều nếu giữ an toàn cho trang web của bạn ngay từ đầu để điều này không xảy ra.

Hãy nhớ rằng WordPress rất an toàn
Hãy bắt đầu với một tích cực!

WordPress nhận được rất nhiều báo chí xấu về bảo mật. Do sự phổ biến của nó, một trang web WordPress có xu hướng được nhắm mục tiêu nhiều hơn các nền tảng khác. Điều này có nghĩa là bạn cần hết sức cẩn thận để giữ an toàn cho trang web của mình.

Điều mà hầu hết mọi người không nhận ra là chính WordPress là một nền tảng an toàn RẤT. Nó an toàn đằng sau hậu trường và thực hiện những việc như buộc bạn phải có mật khẩu mạnh.

Các trang web WordPress chỉ trở nên dễ bị tổn thương nếu bạn giới thiệu sơ hở ở nơi khác, ví dụ như bằng cách thêm các chủ đề hoặc plugin bị mã hóa kém hoặc sử dụng một công ty lưu trữ dưới tiêu chuẩn.

Thực hiện đúng, một trang web WordPress có thể rất an toàn. Vì vậy, đó là tin tốt!

Bảo mật không phải làm việc nhiều
Một tin tốt khác là việc giữ an toàn cho trang web của bạn không phải làm việc nhiều.

Bảo mật là cực kỳ quan trọng, nhưng nếu bạn thiết lập và duy trì trang web của mình đúng cách bằng cách sử dụng các kỹ thuật trong khóa học này thì trang web của bạn sẽ được giữ an toàn như một tác dụng phụ tự nhiên của các kỹ thuật này. Đây không phải là một lĩnh vực dành riêng mà bạn cần tìm hiểu riêng biệt với các yếu tố khác của bảo trì trang web.

Tôi có cần một plugin bảo mật không?
Khi mọi người nghĩ về bảo mật WordPress, câu hỏi đầu tiên của họ thường là nên sử dụng plugin bảo mật nào?

Tôi tin rằng bằng cách tạo và duy trì trang web của bạn một cách có trách nhiệm, bạn có thể làm cho nó rất an toàn mà không cần một plugin bảo mật thực sự.

Trước khi chúng tôi trả lời câu hỏi Bạn có cần một plugin bảo mật không? ', Tôi sẽ dạy cho bạn các bước quan trọng nhất để giữ an toàn cho trang web của bạn. Sau đó, bạn có thể quyết định có thêm plugin bảo mật hay không.

Làm thế nào để giữ cho trang web của bạn an toàn
Đừng có người dùng gọi là 'quản trị viên'
Hầu hết các nỗ lực hack mạnh mẽ nhắm vào người dùng được gọi là 'quản trị viên'. Điều này là do 'admin' từng là tài khoản người dùng mặc định trên tất cả các trang web WordPress và một số lượng lớn các trang web WordPress vẫn có một người dùng được gọi là 'admin'. Tin tặc biết điều này và khai thác nó.

Điều này có nghĩa là bạn có thể ngăn chặn một tỷ lệ lớn các nỗ lực hack chỉ bằng cách đảm bảo không có người dùng nào trên trang web của bạn được gọi là 'admin.

Đây là cách đảm bảo không có người dùng 'quản trị viên' trên trang web của bạn:

Đăng nhập vào quản trị viên WordPress.
Nhấp vào trang 'Người dùng' và kiểm tra xem có tên người dùng được gọi là 'quản trị viên' hay không. Có thể có nhiều người dùng, vì vậy hãy nhấp vào bộ lọc 'Quản trị viên' để thu hẹp nó. Người dùng quản trị thường sẽ là một quản trị viên.
Nếu có tên người dùng 'admin', hãy xóa tài khoản người dùng này. Nếu bạn hiện đang đăng nhập với tư cách là 'quản trị viên', bạn sẽ cần tạo tài khoản cấp quản trị viên mới thông qua Người dùng> Thêm mới và đăng nhập bằng tài khoản mới trước khi bạn có thể xóa tài khoản 'quản trị viên'.
Khi bạn xóa nó, bạn sẽ được hỏi liệu bạn có muốn chỉ định tất cả các bài đăng của người dùng quản trị viên cho người dùng khác hay không. Việc làm này thường hợp lý để đảm bảo không có nội dung nào của bạn bị mất.
Có càng ít quản trị viên càng tốt
Khi bạn thêm người có thể chỉnh sửa trang web của mình, hãy suy nghĩ cẩn thận về việc họ có thực sự cần phải là quản trị viên hay không. Rất nhiều người dùng WordPress thêm tất cả các đồng nghiệp của họ làm quản trị viên, mà không xem xét liệu họ có thực sự cần truy cập đầy đủ vào trang web hay không.

Mỗi quản trị viên mà bạn thêm làm cho trang web kém an toàn hơn vì nếu tài khoản của họ bị xâm phạm vì bất kỳ lý do gì, tin tặc sẽ có quyền truy cập đầy đủ. Là một quản trị viên, họ có thể làm bất cứ điều gì họ thích cho trang web. Nếu bạn thêm người ở cấp độ người dùng thấp hơn thì sẽ ít thiệt hại hơn nếu tài khoản của họ bị hack.

Để giúp bạn chọn cấp độ phù hợp cho từng người dùng, đây là tóm tắt nhanh về cấp độ người dùng trong WordPress :

Quản trị viên - truy cập đầy đủ vào trang web bao gồm khả năng chỉnh sửa tất cả nội dung và cài đặt, thêm và chỉnh sửa chủ đề và plugin, sửa đổi mã, v.v ... Đây là những đặc quyền mạnh mẽ - sử dụng một cách thận trọng!
Trình chỉnh sửa - có thể xuất bản và quản lý các bài đăng, bao gồm các bài đăng được tạo bởi người dùng khác.
Tác giả - chỉ có thể xuất bản và quản lý bài viết của riêng họ.
Cộng tác viên - có thể viết và quản lý các bài đăng của riêng họ, nhưng thực tế không thể xuất bản chúng.
Người đăng ký - có thể quản lý hồ sơ của họ nhưng không thể thực hiện bất kỳ thay đổi nào đối với nội dung thực tế trên trang web.
Bạn có thể kiểm tra số lượng quản trị viên bạn có trên trang web của mình bằng cách nhấp vào danh sách Người dùng trong quản trị viên. Nhìn vào số bên cạnh liên kết 'Quản trị viên'. Nhấp vào liên kết và suy nghĩ xem mức nào là phù hợp nhất cho mỗi người dùng. Hạ cấp bất kỳ người dùng nào không cần phải là quản trị viên bằng cách nhấp vào tên của họ và thay đổi cấp độ của họ từ danh sách thả xuống.

Sử dụng một công ty lưu trữ WordPress tốt
Sự lựa chọn của bạn về công ty lưu trữ là một trong những yếu tố quan trọng nhất trong việc giữ an toàn cho trang web của bạn. Một công ty lưu trữ tốt nên liên tục cập nhật phần mềm trên máy chủ của họ và thực hiện các biện pháp bảo mật khác như tường lửa và quét vi-rút thông thường.

Một số máy chủ WordPress được quản lý cũng cung cấp các bản sửa lỗi miễn phí nếu trang web của bạn bị hack.

Nếu bạn làm theo khuyến nghị của tôi để sử dụng máy chủ WordPress được quản lý chất lượng tốt thì điều này sẽ tạo ra sự khác biệt lớn đối với bảo mật trang web của bạn. Nếu bạn không có kỹ thuật, thì việc biết rằng máy chủ của bạn chịu trách nhiệm cho tất cả các bảo mật phía máy chủ là thực sự quan trọng.

Luôn cập nhật phần mềm của bạn
Một tỷ lệ lớn các vụ hack đối với các trang web WordPress là do phần mềm lỗi thời. Hầu hết các phần mềm được cập nhật thường xuyên để thêm các tính năng mới và khắc phục các lỗ hổng bảo mật ngay khi chúng được phát hiện - đó là một rủi ro để vượt lên trước các tin tặc. Nếu bạn để phần mềm trên trang web của mình hết hạn thì bạn sẽ có nguy cơ bị hack cao hơn nhiều.

Nhân tiện, nếu bạn chỉ sử dụng phần mềm từ các công ty có uy tín thì bạn không thể sử dụng điều này như một cái cớ để cho mọi thứ lỗi thời! Trong vài năm qua, các lỗ hổng đã được phát hiện trong một số plugin WordPress lớn nhất trên thế giới bao gồm Jetpack , Yoast SEO và Revolution Slider . Đừng lo lắng nếu bạn có các plugin này, đó không phải là lý do để ngừng sử dụng chúng. Nhưng đó là một lý do để giữ cho họ cập nhật .

Giữ cho trang web WordPress của bạn đơn giản
Càng nhiều chủ đề và plugin bạn đã cài đặt trên trang web của mình, bạn càng có nhiều lỗ hổng bảo mật tiềm ẩn. Giữ trang web của bạn đơn giản nhất có thể bằng cách xóa bất cứ thứ gì bạn không cần.

Và nếu bạn không cần một plugin cụ thể, đừng để nó không hoạt động. Trên thực tế xóa nó khỏi trang web của bạn.

Trước khi kết thúc, chúng ta hãy nói về một số huyền thoại bảo mật WordPress phổ biến
Chuyện hoang đường số 1 - Bạn cần một plugin bảo mật WordPress
Như bạn đã tập hợp, nếu trang web WordPress của bạn được thiết lập chính xác và cập nhật thì bạn không nhất thiết cần một plugin bảo mật riêng. Thêm một plugin bảo mật có thể thêm một số tính năng bổ sung mà một số người muốn có, nhưng nếu bạn làm theo các bước khác trong bài viết này thì không cần thiết.

Nếu bạn quyết định thêm một plugin bảo mật thì iTheme Security khá tốt và dễ cài đặt.

Chuyện hoang đường số 2 - Hạn chế các nỗ lực đăng nhập sẽ bảo vệ chống lại các cuộc tấn công vũ phu
Một cuộc tấn công vũ phu là khi một bot cố gắng đoán mật khẩu của bạn bằng cách bắn phá trang web của bạn bằng các kết hợp mật khẩu khác nhau - thường nhằm mục đích bẻ khóa mật khẩu cho người dùng được gọi là 'admin', như chúng ta đã thảo luận cách đây một phút.

Rất nhiều chủ sở hữu trang web cố gắng bảo vệ chống lại các cuộc tấn công vũ phu bằng cách khóa một địa chỉ IP nhất định sau một số lần thử đăng nhập thất bại. Điều này đôi khi có thể giúp đỡ, nhưng nó trở nên ít phổ biến hơn vì các bot mới nhất thông minh hơn thế này. Họ bắn phá trang web của bạn từ nhiều địa chỉ IP khác nhau để có được các plugin khóa đăng nhập. Và các plugin này có thể gây ra sự cố cho người dùng của bạn bằng cách đăng xuất khỏi những người được ủy quyền truy cập trang web của bạn!

Chuyện hoang đường số 3 - Các plugin chống vi-rút loại bỏ vi-rút khỏi trang web của bạn
Cụm từ 'Trình cắm chống vi-rút' là một chút sai lệch vì hầu hết trong số họ không loại bỏ vi-rút - họ chỉ đơn giản là quét chúng. Nếu bạn sử dụng một máy chủ web được quản lý tốt thì họ vẫn nên quét trang web của bạn để tìm virus. Chạy một plugin chống vi-rút thông qua WordPress có thể làm chậm trang web của bạn trong khi quét đang chạy, vì nó sử dụng một lượng lớn tài nguyên máy chủ.

Làm thế nào để biết trang web của bạn đã bị hack
Thay vì cài đặt một plugin chống vi-rút nặng tài nguyên, có một plugin đơn giản có tên WordPress File Monitor có thể cảnh báo bạn bất cứ khi nào các tệp trên trang web của bạn thay đổi. Ý tưởng là nếu bạn nhận được cảnh báo khi bạn không thay đổi bất cứ điều gì, đây có thể là một dấu hiệu cho thấy trang web của bạn đã bị hack. Nó cho bạn biết chính xác các tập tin đã thay đổi, vì vậy bạn có thể kiểm tra và khắc phục sự cố ngay lập tức.

WordPress File Monitor không phải là một giải pháp hoàn hảo vì nó không ngăn chặn trang web của bạn bị tấn công ngay từ đầu. Ngoài ra, nó không cảnh báo bạn về các loại hack khác - ví dụ như thay đổi cơ sở dữ liệu hoặc hack cấp độ máy chủ. Tuy nhiên, nhiều hack hoạt động bằng cách thay đổi các tệp trang web của bạn, vì vậy đó là một cách tuyệt vời để cho bạn biết khi điều này xảy ra.

Có thể khó để thiết lập Trình giám sát tệp WordPress đúng cách theo cách tránh các lỗi tích cực. Có rất nhiều lần bạn không muốn được thông báo rằng các tệp của bạn đã thay đổi. Ví dụ: khi bạn tải tệp lên thư viện phương tiện hoặc cài đặt hoặc cập nhật plugin.
Làm sao các doanh nghiệp nhỏ có nhiều dữ liệu quan trọng
Quá nhiều thông tin sai lệch như thế này tạo ra một cậu bé người Viking đã khóc kịch bản sói. Ý tôi là nếu WordPress File Monitor gửi cho bạn email hàng ngày về những thứ không bị hack, thì bạn sẽ tự nhiên bắt đầu bỏ qua các email. Điều này có nghĩa là bạn sẽ không nhận thấy nếu trang web của bạn bị hack!

Nếu bạn quyết định cài đặt WordPress File Monitor thì tôi khuyên bạn nên đọc bài viết của mình về cách thiết lập chính xác và giảm thiểu số lượng dương tính giả.

Giữ an toàn cho trang web WordPress của bạn
Bảo mật và bảo trì WordPressBảo mật là một phần quan trọng trong việc duy trì bất kỳ trang web WordPress nào. Bằng cách làm theo lời khuyên trong bài giảng này, bạn có thể thực hiện một số bước lớn để giữ an toàn cho trang web của mình mà không phải cân nhắc với các plugin không cần thiết.