8 bí mật bảo mật WordPress thiết yếu

Sep 11, 2025
Cách

Trong 15 năm qua, WordPress đã trở thành hệ thống quản lý nội dung phổ biến nhất thế giới. Dễ dàng bắt đầu với và cực kỳ linh hoạt, đó là một trong những Nền tảng viết blog tốt nhất xung quanh - ngôi nhà lý tưởng cho bạn Danh mục thiết kế , hoặc một cái gì đó đầy tham vọng hơn.

Có một loại lớn Chủ đề WordPress. để lựa chọn, trong khi nếu bạn không sợ một chút mã, bạn sẽ tìm thấy tải Hướng dẫn WordPress. Điều đó sẽ giúp bạn nắm bắt với các tính năng phức tạp hơn. Đối với các tùy chọn khác, hãy thử hướng dẫn của chúng tôi để tốt nhất người tạo ra trang web web hosting dịch vụ.

  • Phần mềm diệt virus tốt nhất

Tuy nhiên, một nhược điểm lớn về sự phổ biến của WordPress là đó là mục tiêu chính cho tin tặc. Nếu bạn muốn tránh mất quyền kiểm soát trang web mới sáng bóng của mình, hãy làm theo các mẹo này để giữ an toàn cho nó.

01. Thêm bảo mật bổ sung cho tài khoản người dùng

Lock down user permissions to prevent unauthorised access to admin areas

Khóa các quyền người dùng để ngăn chặn truy cập trái phép vào các khu vực quản trị

Rất nhiều lỗ hổng đến từ các tài khoản người dùng cố tình cấp quyền truy cập vào trang web của bạn, đặc biệt là quản trị viên và vai trò biên tập viên. Nếu một hacker đạt được quyền truy cập vào một trong những tài khoản này, của bất kỳ người dùng nào trên trang web không chỉ là phiên bản của quản trị viên chính, sau đó họ có thể thực hiện các thay đổi theo ý muốn trên trang web.

Luôn luôn đảm bảo các tài khoản chỉ có quyền truy cập họ cần. Ví dụ: nếu người dùng sẽ chỉ viết bài, hãy xem xét việc cung cấp cho họ quyền cộng tác viên hoặc trình chỉnh sửa, không bao giờ quản trị. Hãy ghi nhớ mức độ khả năng của người dùng của bạn, đảm bảo rằng bất kỳ ai có quyền truy cập quản trị hoặc quản trị viên được đào tạo đầy đủ để sử dụng tất cả các tính năng của tài khoản để tránh tai nạn.

Bạn có thể thêm các tính năng để cho phép truy cập tạm thời ở một phạm vi vai trò nhất định, tức là nếu bạn có nhà thầu hoạt động trên trang web và họ cần truy cập quản trị viên tạm thời, bạn có thể đưa nó cho họ với thời gian đặt để hết hạn để bạn không cần để nhớ thu hồi quyền truy cập của họ sau xuống dòng.

Nếu một mức độ vai trò nhất định không cần tất cả các quyền mặc định, bạn có thể cài đặt một plugin vai trò và quyền để tắt các quyền nhất định sẽ không bao giờ được sử dụng. Bạn cũng có thể tạo các vai trò khác chỉ với quyền truy cập cụ thể. Hạn chế người dùng chỉ có quyền họ cần để tránh lạm dụng tình cờ hoặc cố ý của một tính năng.

Để giúp ngăn chặn các cuộc tấn công đến từ thông tin đăng nhập của người dùng, hãy đặt giới hạn về số lần tài khoản có thể thực hiện một lần đăng nhập thất bại trước khi tên người dùng đó bị khóa trong một khoảng thời gian. Điều này chủ yếu bắt được các bots đang đoán mật khẩu, nhưng hãy nhớ cảnh báo người dùng của bạn rằng họ không nên cố gắng đăng nhập nhiều hơn số lần bạn đặt trong một hàng. Nếu họ không thể nhớ mật khẩu của họ và nếu họ quên mật khẩu, họ sẽ thiết lập lại thay vì cố gắng đoán!

Đó cũng là thực hành tốt để nhắc nhở người dùng sử dụng mật khẩu an toàn (trên tám chữ số, với chữ hoa, chữ thường, số, v.v.) và để thay đổi chúng thường xuyên. Nhắc nhở họ không bao giờ viết mật khẩu của họ xuống và đăng xuất khi chúng kết thúc với phiên của họ để tránh quyền truy cập trái phép vào tài khoản của họ.

Xác thực hai yếu tố là một mức độ bảo mật bổ sung có thể được thêm vào thông tin đăng nhập. Họ yêu cầu người dùng sử dụng trình xác thực của họ khi đăng nhập để tăng số lượng thông tin đăng nhập cần thiết từ chỉ tiêu chuẩn. Người dùng sẽ cần thêm mã hoặc mã PIN để đăng nhập, thường được tạo ngẫu nhiên bởi một ứng dụng hoặc được gửi đến điện thoại bằng văn bản. Nó có thể cảm thấy như một rào cản thêm để đăng nhập cho người dùng, nhưng đó cũng là một rào cản bổ sung cho tin tặc.

02. Thay đổi mặc định cũ

Changing the name of your admin account will make a hacker's job a lot harder

Thay đổi tên của tài khoản quản trị viên của bạn sẽ làm cho một công việc của hacker khó hơn rất nhiều

Cài đặt WordPress mới giúp bạn chọn tên người dùng tùy chỉnh cho tài khoản quản trị viên của mình, nhưng nếu bạn đã cài đặt trang web của mình một lúc trước, tài khoản quản trị viên của bạn có thể có tên mặc định của 'admin' - điều này giúp tin tặc đăng nhập dễ dàng hơn một nửa Công việc đã được thực hiện cho họ. Thay đổi tên người dùng quản trị mặc định thành một cái gì đó khác để cải thiện bảo mật. Bạn có thể thực hiện việc này thủ công thông qua cơ sở dữ liệu trong bảng WP_USERS hoặc bạn có thể tạo cấu hình quản trị mới và xóa cái cũ thông qua bảng quản trị (hãy chắc chắn thuộc tính tất cả các bài đăng tài khoản cũ với cái mới).

Bạn cũng có thể thay đổi tiền tố cơ sở dữ liệu mặc định thành một cái gì đó khác với WP_ để thêm một lớp che khuất hơn nữa vào các thiết lập mặc định của bạn. Cách dễ nhất để thực hiện việc này trên một cài đặt hiện có là thông qua một plugin, nhưng trước tiên hãy sao lưu cơ sở dữ liệu của bạn.

03. Cập nhật WordPress

Make sure you're running the latest stable build of WordPress

Hãy chắc chắn rằng bạn đang chạy bản dựng ổn định mới nhất của WordPress

WordPress luôn cập nhật và cải thiện bảo mật tích hợp của mình, vì vậy hãy đảm bảo rằng phiên bản của bạn được cập nhật nhiều nhất để đi trước các lỗ hổng và khai thác cũ. Hầu hết các cài đặt WordPress cập nhật tự động, nhưng nếu của bạn không, hãy để mắt đến bảng quản trị hoặc hộp thư đến của bạn để được thông báo khi các bản cập nhật mới đã sẵn sàng để cài đặt. Tin tặc đang tìm kiếm các trang web chưa được cập nhật và chỉ có 22% trang web WordPress đang chạy phiên bản mới nhất. Kể từ khi WordPress chạy Gần 30% tất cả các trang web trên web , Đó là rất nhiều trang web lỗi thời!

Nếu bạn đang chạy một trang web dàn dựng, bạn có thể kiểm tra tất cả các bản cập nhật để tương thích với chủ đề và plugin hiện tại của mình trước khi đẩy trực tiếp. Đây là thực hành tốt để tránh bất kỳ cập nhật tự động vô tình mâu thuẫn với các cài đặt hiện có. Nó cho bạn cơ hội để bắt bất kỳ vấn đề nào trước khi đi vào sản xuất. Đừng quên cập nhật các plugin và chủ đề của bạn. Đó không chỉ là những lỗ hổng WordPress Core cũ có thể cung cấp cho tin tặc một cách trong; Bất cứ điều gì bạn cài đặt trên trang web WordPress của bạn cũng cần phải an toàn. Mẹo tiếp theo sẽ cho bạn biết nhiều hơn về việc chọn các plugin đáng tin cậy.

04. Cài đặt plugin đáng tin cậy và nhà sạch thường xuyên

Not using an old plugin any more? Get rid of it!

Không sử dụng một plugin cũ nào nữa? Gạt nó ra!

Có một sự cám dỗ để cài đặt bao nhiêu plugin như bạn gặp sự cố để giải quyết, nhưng quá nhiều plugin có thể gây ra phổi và một plugin không đáng tin cậy có thể gây ra rủi ro bảo mật. Luôn luôn kiểm tra xem các plugin đó có đáng tin cậy trước khi cài đặt không. Tải xuống thông qua giao diện hoặc trang web WordPress chính thức, và luôn kiểm tra xếp hạng sao và đánh giá cho phản hồi tiêu cực có thể chỉ ra một lỗ hổng bảo mật.

Các plugin được tạo bởi các nhà phát triển với tất cả các mức khả năng khác nhau. Mặc dù các plugin được yêu cầu trước khi được thêm vào trang web WordPress, bạn nên luôn luôn nghiên cứu của mình để đảm bảo mã bạn đang cài đặt là vững chắc.

Trang web WordPress sẽ cho bạn biết một plugin bao nhiêu tuổi, khi được cập nhật lần cuối và quan trọng nhất, nếu nó tương thích với phiên bản WordPress của bạn. Một plugin chưa được cập nhật trong một thời gian không nhất thiết phải là một trong những thứ xấu, nó có thể có nghĩa là nó không cần phải cập nhật trong thời gian đó. Kiểm tra các đánh giá gần đây để xác nhận plugin vẫn khả thi và nó vẫn tương thích với phiên bản của bạn. Một plugin cũ với các đánh giá sao thấp gần đây và khả năng tương thích không xác định là đáng để tránh.

Thường xuyên xóa các chủ đề và plugin không sử dụng, vì ngay cả một plugin bị vô hiệu hóa cũng có thể là rủi ro bảo mật nếu tìm thấy lỗ hổng và khai thác. Giữ thư mục plugin của bạn sạch sẽ. Bạn chỉ nên cài đặt plugin mà bạn hiện đang sử dụng. Kiểm tra các plugin cũ hơn khi bạn cập nhật để xem chúng vẫn tương thích.

Xem lại các plugin của bạn định kỳ để đảm bảo bạn vẫn có một trong những tốt nhất cho công việc. Có thể có một plugin mới kết hợp các tính năng của một số ít mà bạn đã có và có thể được hỗ trợ tốt hơn, an toàn hơn và dễ bảo trì hơn.

05. Xem xét quản lý lưu trữ

Managed hosting will cost you more but will prevent cross-server contamination

Quản lý lưu trữ sẽ khiến bạn tốn nhiều tiền hơn nhưng sẽ ngăn ngừa ô nhiễm chéo máy chủ

Nó không chỉ là bảo mật của trang web của riêng bạn, bạn cần suy nghĩ về. Nếu bạn lưu trữ các trang web của mình trên các máy chủ được chia sẻ, bạn có nguy cơ ô nhiễm máy chủ chéo, nơi tin tặc có quyền truy cập thông qua một trang web khác và có thể làm hỏng các trang web khác chia sẻ cùng một không gian. Xem xét lưu trữ được quản lý hoặc máy chủ riêng ảo (VPS) để loại bỏ mối đe dọa này, nơi trang web của bạn được lưu trữ riêng.

Chi phí là một hàm ý rõ ràng, nhưng đối với các trang web có tải trọng cao và lưu lượng truy cập, các máy chủ chuyên dụng có thể cải thiện hiệu suất cũng như bảo mật. Các máy chủ khác nhau có các giải pháp khác nhau; So sánh một số ít để đánh giá phù hợp nhất với nhu cầu của bạn.

06. Mặt nạ, khóa và ẩn

Hide your WordPress version number and change the name of your login page

Ẩn số phiên bản WordPress của bạn và thay đổi tên của trang đăng nhập của bạn

Tin tặc có ít đòn bẩy nếu họ không biết bắt đầu từ đâu. Ẩn số phiên bản WordPress của bạn từ mã của bạn để chỉ quản trị viên biết phiên bản WordPress nào bạn đang chạy. Bằng cách đó, tin tặc không biết những lỗ hổng nào có mặt để khai thác.

Di chuyển trang đăng nhập của bạn từ / WP-Đăng nhập vào thứ gì đó không mặc định. Điều này tạo ra một khối vấp lớn cho các bot tấn công dos và vũ phu tấn công mà các trang web trúng đánh cắp tìm kiếm các hình thức đăng nhập để nhắm mục tiêu. Nó cũng thêm một giá trị thẩm mỹ hơn, trong đó bạn có thể thay đổi url thành một cái gì đó đáng nhớ hơn cho người dùng của mình.

Từ chối quyền truy cập bên ngoài vào wp-config.php và .htaccess bằng cách sử dụng mã sau trong tệp .htaccess của bạn: 

 & lt; tập tin wp-config.php & gt;
Đặt hàng cho phép, từ chối
tư chôi tât cả
& lt; / files & gt;
& lt; tập tin .htaccess & gt;
Đặt hàng cho phép, từ chối
tư chôi tât cả
& lt; / files & gt;

Bạn cũng có thể tắt chỉnh sửa tệp từ bảng quản trị nếu bạn biết rằng các chủ đề của bạn sẽ chỉ được chỉnh sửa thông qua tải lên tệp trên FTP. Điều này ngăn bất cứ ai có quyền truy cập vào bảng quản trị từ các tệp chỉnh sửa trực tiếp một cách vô tình hoặc là một tin tặc với ý định độc hại. Chèn thông tin sau vào tệp WP-CONFIG.PHP của bạn:

xác định ('disallow_file_edit', true);

07. Chạy sao lưu thường xuyên

Never forget: if it's not backed up then it's not important

Không bao giờ quên: Nếu nó không được sao lưu thì nó không quan trọng

Đảm bảo rằng trang web của bạn được sao lưu trong trường hợp trang web của bạn bị hack và bạn cần quay lại phiên bản sạch sẽ trước đó. Tần suất bạn nên chạy sao lưu phụ thuộc vào tần suất trang web của bạn được cập nhật.

Không thể thiếu để sao lưu ở một nơi mà trang web của bạn không được lưu trữ để tránh mọi hoạt động độc hại nào trên Hosting WordPress của bạn từ việc lây nhiễm các bản sao lưu của bạn. Sao lưu có thể được lưu trữ trên máy tính của riêng bạn hoặc một dịch vụ dựa trên đám mây như Google Drive, Dropbox hoặc Amazon S3 (xem khác lưu trữ đám mây tùy chọn ở đây).

Sao lưu tại một địa điểm không phải là máy chủ hiện tại của bạn cũng giúp nếu bạn có một plugin hoặc xung đột chủ đề không thể hủy bỏ và không thể truy cập trang web của bạn hoặc nếu có trục trặc của máy chủ thảm khốc và bạn mất tất cả công việc của mình.

Các plugin dự phòng chuyên dụng tồn tại để giúp bạn tiếp tục theo dõi, hầu hết các tùy chọn cho các bản sao lưu theo lịch trình hoặc thủ công. Các phiên bản miễn phí và cao cấp cung cấp cho bạn các tùy chọn khác nhau, BackupBuddy là dịch vụ được trả tiền phổ biến nhất vì họ có bộ lưu trữ của bên thứ ba của riêng họ cho các tệp của bạn, cộng với khả năng khôi phục trực tiếp từ bản sao lưu. So sánh các plugin khác như UPDRAFTPLUS và BACKWPUP cho các phiên bản miễn phí và cao cấp của họ để xem tính năng nào bạn có giá trị nhất.

08. Cài đặt plugin bảo mật và chống spam

A good set of security plugins will keep your site safer

Một tập hợp các plugin bảo mật tốt sẽ giữ cho trang web của bạn an toàn hơn

Nhiều tính năng bảo mật có thể được thêm vào với một plugin bảo mật toàn diện, chẳng hạn như bảo mật iTheme hoặc SUCURI, cả hai đều có các phiên bản miễn phí và cao cấp. Các plugin bảo mật đi kèm với một bộ công cụ để khóa các lỗ hổng trên trang web của bạn như những công cụ đã được đề cập trong bài viết này; Từ mặt nạ số phiên bản của bạn, để cài đặt xác thực hai yếu tố cho thông tin đăng nhập, danh sách tính năng thường rộng rãi.

Các loại plugin này có thể là vô giá trong việc tạo trang web WordPress của bạn an toàn hơn và hầu hết các plugin bảo mật đều dễ sử dụng với cài đặt một lần bấm đơn cho các tính năng quan trọng nhất và cài đặt tùy chọn cho các tính năng nâng cao hoặc phức tạp hơn. Điều này làm cho chúng hoàn hảo cho người mới bắt đầu WordPress, vì không cần mã hóa để có được một trang web được bảo vệ tốt trong vài phút. Người dùng nâng cao hơn sẽ có quyền truy cập vào các tính năng có thể bảo mật hơn nữa trang web của bạn, chẳng hạn như đóng lại quyền truy cập không cần thiết vào các giao thức như XML-RPC và cập nhật Salts WordPress được sử dụng trong mã hóa.

Các plugin như vậy sẽ giúp bảo vệ trang web của bạn chống lại lực lượng vũ phu và các cuộc tấn công DOS, có thể lấy các trang web của bạn ngoại tuyến nếu có quá nhiều tải trên máy chủ. Họ cũng có thể tăng cường quá trình đăng nhập với các mức bảo mật bổ sung để ngăn tài khoản người dùng của bạn được sử dụng như một phương thức tấn công. Nhật ký hoạt động và quét phần mềm độc hại Giữ hồ sơ về bất kỳ hành vi đáng ngờ hoặc tập tin bị hỏng để xem xét, cảnh báo bạn về bất kỳ cuộc tấn công nào đang diễn ra và đưa cho bạn một ý tưởng về nơi các lỗ hổng của trang web của bạn nói dối để bạn có thể giải quyết chúng.

Một số plugin bảo mật cũng đi kèm với các tùy chọn sao lưu, cho dịch vụ trọn gói đó. Có tất cả các nhu cầu bảo mật của bạn được tổ chức bởi một plugin có nghĩa là các tính năng dễ tổ chức, với ít rủi ro xung đột giữa các plugin tương tự. Hãy chắc chắn rằng bạn thực hiện nghiên cứu của mình, tuy nhiên, vì plugin này sẽ là thứ đang cản trở trang web của bạn và bất cứ ai muốn gây hại cho nó. Bạn sẽ cần phải chọn một cái sẽ làm công việc đáng ngưỡng mộ.

Ngoài ra, một plugin chống thư rác như Akismet sẽ giữ những kẻ gửi thư rác làm tắc nghẽn trang web của bạn với những bình luận không liên quan. Nếu plugin bảo mật của bạn chưa hoạt động như vậy, nó có thể hỗ trợ plugin bảo mật bằng cách thêm một lớp bảo mật bổ sung vào tương tác cộng đồng của bạn bằng cách sử dụng các công cụ xác thực như CAPTCHA và các thiết bị chống bot khác để đảm bảo chỉ có người thực sự. Một plugin chống spam giúp giữ cho trang web của bạn sạch sẽ, cũng như cơ sở dữ liệu của bạn đằng sau hậu trường. Sàng lọc nhận xét có giá trị có phần thưởng bổ sung của việc cung cấp nội dung của bạn nhiều trọng lượng hơn chỉ bằng cách hiển thị sự tham gia thích hợp từ độc giả.

Mỗi plugin đi kèm với các công cụ khác nhau của riêng nó, do đó so sánh các tùy chọn cho một cái gì đó phù hợp với nhu cầu của bạn. Xem xét các phiên bản plugin cao cấp cho các tính năng bổ sung vì đây là một phần không thể thiếu trong trang web của bạn và nói chung, các plugin trả phí sẽ cung cấp cho bạn dịch vụ toàn diện nhất. Lý tưởng nhất là bạn muốn một bộ bao trùm ít nhất những điều cơ bản về bảo mật, chẳng hạn như các mẹo khác có tên trong bài viết này.

Bài viết này ban đầu được xuất bản trong số phát hành 272 của nhà thiết kế web thiết kế web sáng tạo. MUA VẤN ĐỀ 272 TẠI ĐÂY hoặc là Đăng ký nhà thiết kế web ở đây .

Những bài viết liên quan:

  • 37 chủ đề WordPress miễn phí tốt nhất
  • 9 mẹo bảo mật để bảo vệ trang web của bạn khỏi tin tặc
  • Cung cấp cho một blog bằng API WordPress

Cách - Các bài báo phổ biến nhất

Cách thay đổi phông chữ trong Instagram Bio của bạn

Cách Sep 11, 2025

[số 8] (Tín dụng hình ảnh: Getty Images) Học cách thay đổi phông chữ trong Instagram Bio của bạn ..

Tất cả những gì bạn cần biết về việc chia mã JavaScript

Cách Sep 11, 2025

[số 8] Các trang web hiện đại thường kết hợp tất cả JavaScript của họ thành một lần duy nhất, lớn ..

Hướng dẫn sinh sản: Cách vẽ như các bậc thầy cũ

Cách Sep 11, 2025

[số 8] Luôn luôn có một cái gì đó mới để học hỏi từ các bậc thầy cũ, cho dù đó là thành phần, �..

Dòng Kẻ hủy diệt là gì?

Cách Sep 11, 2025

[số 8] Có nhiều khía cạnh của ánh sáng mà bạn cần xem xét để truyền đạt hình thức. Một cơ bản r�..

Cách thiết kế các hình thức đáp ứng và thông thường thiết bị

Cách Sep 11, 2025

[số 8] Cho dù đó là một luồng đăng ký hoặc bước bước nhiều góc nhìn, các hình thức là một trong nh..

Kết cấu một droid k-2so bị mòn đích thực

Cách Sep 11, 2025

[số 8] Trang 1/2: trang 1 trang 1 Trang..

Xây dựng bố cục phức tạp với postcss-flexbox

Cách Sep 11, 2025

[số 8] Flexbox là một công cụ tuyệt vời để giảm CSS Bloat và có một số đường được tích hợp để..

Tạo một nhân vật với chủ nghĩa hiện thực cách điệu

Cách Sep 11, 2025

[số 8] Flippednormals. là một trang web được điều hành bởi Henning Sanden và Morten Jaeger cùng với..

Thể loại