Bạn kỳ công làm 1 website để phục vụ kinh doanh nhưng bỗng dưng 1 ngày nào đó website của bạn bị hacker tấn công khiến cho tốc độ truy cập bị chậm, mất quyền đăng nhập quản trị, website bị điều hướng sang các web đen. Trong bài học này Ân sẽ hướng dẫn bạn cách bảo mật website wordpress nhưng chỉ ở mức độ cơ bản thôi nhé. Còn những cách bảo mật bằng plugin nâng cao khác nữa, nhưng nếu host của bạn yếu thì nó sẽ ảnh hưởng đến tốc độ tải trang của bạn. Đối với người mới thì chỉ cần làm những cách bảo mật cơ bản dưới đây là được.
Cách kiểm tra website có đang nhiễm virus
Để kiểm tra xem website của bạn có đang nhiễm virus hay không thì bạn truy cập vào trang này https://sitecheck.sucuri.net/results
Bạn nhập website của bạn vào ô và bấm nút “Scan Website”.
Nếu kết quả trả về là dấu tích xanh như hình thì website của bạn không nhiễm virus.
Cách bảo mật website wordpress cơ bản theo 3 bước
Bước 1 thay đổi username admin
Khi bạn tạo website wordpress thì theo mặc định username của người quản trị sẽ được đặt là “admin”. Các hacker thường hay dò mật khẩu dựa vào username mặc định này.
Nếu như tài khoản quản trị của bạn đang để mặc định thì Ân sẽ hướng dẫn bạn cách thay đổi username như sau.
Sẽ có 2 cách để thay đổi.
- 1 là bạn dùng plugin để thay đổi trực tiếp trên username đang có.
- 2 là bạn sẽ tạo ra 1 tài khoản quản trị mới và xóa tài khoản cũ đi.
ở đây Ân sẽ hướng dẫn bạn làm cách 2 vì Ân không thích cài quá nhiều plugin rườm rà và đôi khi plugin đó chèn thêm code làm nặng website.
Ok, bây giờ bạn đăng nhập vào trang quản trị website và tìm đến chỗ “thành viên” -> chọn vào phần “thêm mới”.
Tại đây bạn nhập thông tin vào và bấm nút “hiện mật khẩu” để đặt mật khẩu. Tại phần “vai trò” thì bạn nhớ chọn là “người quản lý”.
Bậy giờ bạn đăng nhập vào tài khoản vừa mới tạo, trong phần “thành viên” bạn chọn “tất cả người dùng”.
ở bảng danh sách thành viên bạn bấm “xóa” tài khoản quản trị cũ đi.
Bạn chọn chuyển toàn bộ nội dung dữ liệu của tài khoản quản trị cũ sang tài khoản mới của bạn rồi bấm nút “xác nhận xóa”.
Như vậy là đã xong, từ giờ bạn sẽ chỉ có thể đăng nhập được bằng tài khoản quản trị mới mà thôi.
Bước 2 cài plugin bảo mật wordpress đăng nhập 2 lớp
Lưu ý: Bạn nên cấu hình gửi mail trong wordpress trước khi cài bảo mật theo cách này.
Bạn vào trang quản trị tìm đến phần “cái mới” plugin.
Bạn nhập “Two Factor” vào ô tìm kiếm và bấm nút “cài đặt” plugin này.
Cài xong thì bạn bấm vào nút “kích hoạt”.
Tiếp theo thì bạn tìm đến mục “hồ sơ của bạn” tại mục “thành viên”.
Bạn chọn vào gửi mã xác thực qua email.
ở dưới cùng bạn chọn vào nút “cập nhật hồ sơ”.
Bây giờ mỗi lần đăng nhập trang quản trị sẽ hỏi mã xác nhận của bạn.
Bạn đăng nhập vào tài khoản gmail để lấy mã đăng nhập quản trị wordpress
Bước 3 bật bảo mật 2 lớp cho hosting hawkhost
Nếu bạn sử dụng hosting hawkhost thì bạn sẽ bật được chức năng đăng nhập 2 lớp.
Bạn truy cập vào trang quản trị Cpanel và bấm vào phần “Two-Factor Authencation”.
Chõ này bạn bấm vào nút “Set up Two-Factor Authencation” nhé.
Bây giờ bạn mở điện thoại lên và cài đặt phần mềm “Google authenticator”.
Bạn mở ứng dụng lên và quét mã QR hiển thị trong Cpanel.
Sau đó thì bạn sẽ nhập mã trong ứng dụng vào ô Step 2 trong Cpanel rồi bấm nút “Configure Two-Factor Authentication”.
Màn hình thông báo như thế này thì bạn đã cấu hình thành công. Những lần đăng nhập sau vào hosting sẽ hỏi mã thì bạn nhập mã trong ứng dụng trên điện thoại nhé.
Lưu ý: Ân nhận thấy app Google authenticator này có nhược điểm là không có backup code nếu như bạn làm mất điện thoại hoặc điện thoại bạn hư thì không thể nào có code để mà đăng nhập vào hosting. Vì vậy bạn hãy học thuộc 1 vài đoạn mã hoặc lưu trữ bí mật ở đâu đó để dự phòng nhé.
Một số lưu ý khác
Ngoài những cách ở trên ra thì bạn cần cập nhật PHP, Plugin, và theme phiên bản cũ.
Nhưng bạn cần lưu ý đối với những plugin miễn phí thì bạn cập nhật thoải mái, những theme miễn phí thì bạn cần phải tạo child theme rồi hãy cập nhật, nếu không thì các thay đổi tùy biến code trên theme của bạn sẽ biến mất.
Những bạn sử dụng plugin và theme trả phí nhưng không có “licence key” thì không nên cập nhật trực tiếp trong wordpress vì sẽ gây mất tính tương thích đối với các addon khác thậm chí sẽ bắt nhập “licence key” nếu không thì sẽ không sử dụng được.
Bạn chỉ nên cập nhật (update) theo file zip phiên bản mới của bên cung cấp file giao diện (theme) và plugin theo cách giải nén zip trực tiếp trên hosting, hoặc thông qua tools filezilla, hoặc sử dụng plugin “Update Theme and Plugins from Zip File” để cập nhật (update).
Kết
Như vậy Ân đã hướng dẫn cho bạn cách bảo mật website wordpress cơ bản rồi nhé. Ở bài học sau Ân sẽ hướng dẫn bạn sao lưu website để phòng trường hợp gặp sự cố hoặc nhiễm virus thì bạn có bản sao lưu dự phòng để khôi phục lại.
Chúc bạn học tập tốt và nhớ đọc các bài tiếp theo nhé!
Bài trước đó
Bài 26: cách đăng bài trên wordpress
Bài tiếp theo
Bài 28: Hướng dẫn backup webstite wordpress thủ công