Digital Marketing

Check list 26+ tiêu chí bảo mật website WordPress

Là một mã nguồn mở, WordPress luôn bị săn lùng bởi BOT và các Hacker. Dưới đây tôi xin phép chia sẻ check list bảo mật cơ bản của website:

STT Hạng mục bảo mật Chi tiết Ghi chú
 1 Bảo mật tên miền
  • Mật khẩu đăng nhập tên miền phức tạp, bao gồm cả chữ cái thường, in hoa, số, kí tự khó nhớ.
  • Nên đổi mật khẩu ngay khi được NCC ( Nhà cung cấp) cấp lần đầu.
  • Không nên đăng nhập quản trị tên miền vào thiết bị không phải của mình.
ujkhYF%^#$%$T123&YG
2 Nên bật xác thực 2 lớp cho tài khoản đăng nhập tên miền Đây là tài sản quan trọng nhất của website, mất code có thể làm lại nhưng mất tên miền là mất thương hiệu
3 VPS/ Hosting Mật khẩu đăng nhập VPS/Hosting phức tạp, bao gồm cả chữ cái thường, in hoa, số, kí tự khó nhớ. Nên đổi mật khẩu ngay khi được NCC ( Nhà cung cấp) cấp lần đầu. ujkhYF%^#$%$T&35Y8G
4 Nếu dùng VPS có thể đổi cổng Port để nâng cao bảo mật. VD đổi từ cổng 22 sang cổng 8282
5 Sử dụng phiên bản PHP mới nhất.
6 Khi một website trong VPS/Hosting bị hack/ index tiếng Nhật,… lập tức đổi mật khẩu đăng nhập, chuyển các website ra một server khác để check lại toàn bộ code. Sau đó làm sạch code, reset server về trắng và cài lại sau. Lưu ý theo dõi suốt quá trình để có biện pháp xử lý kịp thời
7 Cài đặt “brute force protection”.
8 Bật HTTPS
9 Bảo mật database
  • Nên sử dụng mỗi user cho 1 database để hạn chế rủi ro nhất
  • Mật khẩu database phức tạp, bao gồm cả chữ cái thường, in hoa, số, kí tự khó nhớ. Hãy để dài càng tốt, vì bạn chỉ cần dùng để kết nối database trong wp-config.
u231jkhYF%^#$%$T&35Y8G
10 Tắt Xmlrpc Mặc định hãy tắt Xmlrpc ngay khi bạn thiết lập website mới.
11
12 Bảo mật quản trị website Cài đặt đăng nhập xác thực 2 yếu tố
13 Thay đổi đường dẫn đăng nhập quản trị, không để mặc định là domain.com/wp-admin domain.com/wpaccess__login
14 Tài khoản đăng nhập, dài, cá nhân hóa, không để mặc định như admin, không trùng tên hiển thị tác giả bên ngoài; nên thêm số vào tránh BOT quét. nguyenanh012
15 Mật khẩu đăng nhập quản trị wordpress phức tạp, bao gồm cả chữ cái thường, in hoa, số, kí tự khó nhớ. Nên đổi mật khẩu ngay khi được NCC ( Nhà cung cấp) cấp lần đầu. u231jkhYF%^#$%$T&35Y8G
16 Thay đổi mật khẩu đăng nhập định kỳ.
17 Tắt chỉnh sửa tập tin giao diện, plugin trên giao diện quản trị website. Không cho phép thêm mới Plugin hoặc giao diện. Tắt bằng plugin hoặc File functions.php
18 Không cài theme, Plugin null ( không rõ nguồn gốc). Nếu up từ nguồn ngoài vào phải check kỹ trước khi up. Chỉ dùng trên kho trực tuyến WordPress hoặc các file bản quyền.
19 Sử dụng Plugin bảo mật Wordfence security ( dùng quét file); Solid security ( trước là ithemes security) để cài một số chức năng bảo mật.
20 Luôn cập nhật theme, plugin từ nhà cung cấp Để đảm bảo được vá lỗ hổng thường xuyên
21 Kiểm tra khả năng tương thích của các Plugin, Theme trước khi cập nhật phiên bản mới. Để đảm bảo website được hoạt động ổn định nhất.
22 Xóa toàn bộ Plugin, theme khi không sử dụng
23 Tắt RestAPI nếu không sử dụng.
24 Bật kiểm duyệt bình luận Tránh spam bình luận, link và nội dung có mã độc
25 Chống Spam Email Sử dụng Google Captcha v3 cho tất cả các biểu mẫu, Akismet
26 Backup Backup định kỳ hàng tuần/ tháng Tùy thuộc vào dữ liệu của bạn có được cập nhật thường xuyên hay không. Nếu thường xuyên lên dữ liệu nên lưu 7 ngày/ lần. Nếu ít thì 1 tháng 1 lần. Và tốt nhất tải cả Code và Database về lưu ở máy tính của bạn.

 

Back to top button