Digital Marketing
Check list 26+ tiêu chí bảo mật website WordPress
Là một mã nguồn mở, WordPress luôn bị săn lùng bởi BOT và các Hacker. Dưới đây tôi xin phép chia sẻ check list bảo mật cơ bản của website:
STT | Hạng mục bảo mật | Chi tiết | Ghi chú |
1 | Bảo mật tên miền |
|
ujkhYF%^#$%$T123&YG |
2 | Nên bật xác thực 2 lớp cho tài khoản đăng nhập tên miền | Đây là tài sản quan trọng nhất của website, mất code có thể làm lại nhưng mất tên miền là mất thương hiệu | |
3 | VPS/ Hosting | Mật khẩu đăng nhập VPS/Hosting phức tạp, bao gồm cả chữ cái thường, in hoa, số, kí tự khó nhớ. Nên đổi mật khẩu ngay khi được NCC ( Nhà cung cấp) cấp lần đầu. | ujkhYF%^#$%$T&35Y8G |
4 | Nếu dùng VPS có thể đổi cổng Port để nâng cao bảo mật. | VD đổi từ cổng 22 sang cổng 8282 | |
5 | Sử dụng phiên bản PHP mới nhất. | ||
6 | Khi một website trong VPS/Hosting bị hack/ index tiếng Nhật,… lập tức đổi mật khẩu đăng nhập, chuyển các website ra một server khác để check lại toàn bộ code. Sau đó làm sạch code, reset server về trắng và cài lại sau. | Lưu ý theo dõi suốt quá trình để có biện pháp xử lý kịp thời | |
7 | Cài đặt “brute force protection”. | ||
8 | Bật HTTPS | ||
9 | Bảo mật database |
|
u231jkhYF%^#$%$T&35Y8G |
10 | Tắt Xmlrpc | Mặc định hãy tắt Xmlrpc ngay khi bạn thiết lập website mới. | |
11 | |||
12 | Bảo mật quản trị website | Cài đặt đăng nhập xác thực 2 yếu tố | |
13 | Thay đổi đường dẫn đăng nhập quản trị, không để mặc định là domain.com/wp-admin | domain.com/wpaccess__login | |
14 | Tài khoản đăng nhập, dài, cá nhân hóa, không để mặc định như admin, không trùng tên hiển thị tác giả bên ngoài; nên thêm số vào tránh BOT quét. | nguyenanh012 | |
15 | Mật khẩu đăng nhập quản trị wordpress phức tạp, bao gồm cả chữ cái thường, in hoa, số, kí tự khó nhớ. Nên đổi mật khẩu ngay khi được NCC ( Nhà cung cấp) cấp lần đầu. | u231jkhYF%^#$%$T&35Y8G | |
16 | Thay đổi mật khẩu đăng nhập định kỳ. | ||
17 | Tắt chỉnh sửa tập tin giao diện, plugin trên giao diện quản trị website. Không cho phép thêm mới Plugin hoặc giao diện. | Tắt bằng plugin hoặc File functions.php | |
18 | Không cài theme, Plugin null ( không rõ nguồn gốc). Nếu up từ nguồn ngoài vào phải check kỹ trước khi up. | Chỉ dùng trên kho trực tuyến WordPress hoặc các file bản quyền. | |
19 | Sử dụng Plugin bảo mật | Wordfence security ( dùng quét file); Solid security ( trước là ithemes security) để cài một số chức năng bảo mật. | |
20 | Luôn cập nhật theme, plugin từ nhà cung cấp | Để đảm bảo được vá lỗ hổng thường xuyên | |
21 | Kiểm tra khả năng tương thích của các Plugin, Theme trước khi cập nhật phiên bản mới. | Để đảm bảo website được hoạt động ổn định nhất. | |
22 | Xóa toàn bộ Plugin, theme khi không sử dụng | ||
23 | Tắt RestAPI nếu không sử dụng. | ||
24 | Bật kiểm duyệt bình luận | Tránh spam bình luận, link và nội dung có mã độc | |
25 | Chống Spam Email | Sử dụng Google Captcha v3 cho tất cả các biểu mẫu, Akismet | |
26 | Backup | Backup định kỳ hàng tuần/ tháng | Tùy thuộc vào dữ liệu của bạn có được cập nhật thường xuyên hay không. Nếu thường xuyên lên dữ liệu nên lưu 7 ngày/ lần. Nếu ít thì 1 tháng 1 lần. Và tốt nhất tải cả Code và Database về lưu ở máy tính của bạn. |