13 Mẹo Quan Trọng Bảo Vệ Khu Vực Admin WordPress [NEW]

Khi chúng tôi tiếp tục nhấn mạnh sự an toàn của việc bảo vệ khu vực quản trị WordPress do các cuộc tấn công gần đây trên trang web của chúng tôi, chúng tôi đã biên soạn một bài viết đầy đủ chi tiết nêu bật một số biện pháp bảo mật. Bảo vệ khu vực quản trị WordPress của bạn.

Chúng tôi không nói rằng bạn phải làm theo tất cả các mẹo này, nhưng bạn vẫn cần thực hiện một số mẹo này trên trang web của mình để đảm bảo. Bạn càng thực hiện nhiều bước, hacker càng trở nên khó khăn hơn.

1. Tạo liên kết đăng nhập tùy chỉnh để bảo vệ khu vực quản trị

Để truy cập bảng quản trị WordPress, bạn cần đăng nhập vào địa chỉ của trang web bằng /wp-login.php. Nếu bạn sử dụng cùng một mật khẩu ở nhiều trang web, sẽ rất dễ bị hacker xâm nhập vào trang web của bạn. Một plugin có tên Stealth Login cho phép bạn tạo các URL tùy chỉnh để đăng nhập, đăng xuất, quản lý và đăng ký cho blog WordPress của mình. Bạn cũng có thể sử dụng “Chế độ ẩn” để ngăn người dùng truy cập ‘wp-login.php’. Sau đó, bạn có thể thiết lập một url đăng nhập bí mật hơn. Điều này sẽ không bảo mật hoàn toàn trang web của bạn nhưng nếu ai đó muốn bẻ khóa mật khẩu của bạn thì sẽ rất khó khăn cho họ. Điều này cũng ngăn chặn bất kỳ chương trình độc hại nào truy cập vào tệp wp-login.php của bạn và cố gắng làm gián đoạn.

13 Mẹo Quan Trọng Bảo Vệ Khu Vực Admin WordPress [NEW]

2. Chọn một mật khẩu mạnh

Khi đưa ra các tùy chọn để bảo vệ khu vực quản trị, chúng ta thường bỏ qua tầm quan trọng của độ mạnh của mật khẩu. Bạn không nên sử dụng cùng một mật khẩu trên các trang web khác nhau, hãy cố gắng tạo ra các mật khẩu khác nhau và khó đoán. Sử dụng Trình dò ​​tìm độ mạnh mật khẩu của WordPress để làm lợi thế của bạn và làm cho mật khẩu của bạn khó đoán hơn. Một điều bạn cần làm là thay đổi mật khẩu của mình theo định kỳ, vì vậy ngay cả khi ai đó đoán được mật khẩu của bạn thì cũng vô ích vì bạn đã thay đổi rồi. Bạn có thể tham khảo bài viết cách đặt mật khẩu để bảo vệ quyền quản trị.

mật khẩu mạnh

3. Giới hạn số lần đăng nhập

Đôi khi tin tặc nghĩ rằng họ biết mật khẩu của bạn hoặc họ có thể tạo ra một hệ thống để đoán mật khẩu của bạn. Trong trường hợp đó, điều bạn cần làm là hạn chế Cố gắng đăng nhập. Bạn có thể dễ dàng làm điều đó bằng cách sử dụng plugin có tên Limit Login Attempts, plugin này sẽ khóa tài khoản người dùng nếu họ nhập sai mật khẩu nhiều hơn số lần được chỉ định. Tài khoản đó sẽ bị khóa trong một thời gian xác định. Bạn có thể kiểm soát cài đặt thông qua bảng điều khiển wp-admin của mình.

khóa đăng nhập

4. Sử dụng các trang đăng nhập SSL an toàn

Bạn có thể đăng nhập vào Bảng điều khiển quản trị WordPress thông qua các kênh được mã hóa bằng SSL, có nghĩa là URL của bạn sẽ có phần https: //. Bạn phải xác nhận với máy chủ web của mình rằng bạn có SSL được chia sẻ hoặc bạn sở hữu chứng chỉ SSL. Sau khi được xác nhận, hãy dán mã sau vào tệp wp-config.php của bạn:

define(’FORCE_SSL_ADMIN’, true);

Ngoài ra còn có một plugin được gọi là Admin SSL, có thể buộc SSL trên tất cả các trang web. Bạn có thể đăng nhập vào trang 1 dễ dàng hơn với plugin này nhưng nó chỉ tương thích với phiên bản 2.7 trở lên. Có thể bạn quan tâm bài viết cách thêm SSL miễn phí trên wordpress với Let’s mã hóa.

5. Hướng dẫn bảo vệ mật khẩu WP-Admin

Không có gì sai khi sử dụng hai mật khẩu. Điều này giúp bạn thêm một cấp độ bảo mật bổ sung để bảo vệ khu vực quản trị WordPress. Điều này có thể được thực hiện bằng cách sử dụng một plugin có tên AskApache Password Protect. Nó mã hóa mật khẩu của bạn và tạo các tệp htpasswd, cũng như thiết lập các quyền đối với tệp để tăng cường bảo mật. Bạn cũng có thể sử dụng Bảo vệ bằng mật khẩu cPanel trên Thư mục nếu bạn đang sử dụng Máy chủ web cPanel an toàn cho thư mục wp-admin.

6. Hạn chế quyền truy cập qua địa chỉ IP

Bạn có thể giới hạn quyền truy cập vào Bảng điều khiển WP-Admin địa chỉ IP của bạn và cho phép một số địa chỉ IP nhất định có thể truy cập được. Tất cả những gì bạn cần làm là tạo tệp .htaccess trong thư mục / wp-admin / nếu chưa có. Dán mã sau:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
# whitelist Amanda's IP address
allow from xx.xx.xx.xxx
# whitelist Muhammad's IP address
allow from xx.xx.xx.xxx
# whitelist Work IP address
allow from xx.xx.xx.xxx
/LIMIT

Thay đổi địa chỉ IP và mọi thứ sẽ hoạt động. Nhưng nhược điểm của điều này là bạn không thể đăng nhập vào bảng điều khiển từ một nơi khác trừ khi bạn thêm IP vào tệp .htaccess.

7. Không bao giờ sử dụng tên người dùng “Admin”

Đây là người dùng đầu tiên được tạo khi cài đặt WordPress. Bạn không nên sử dụng tên này. Vì trước đây có nhiều kẽ hở giữa Brute Force Attack và tên quản trị viên nên bạn ngừng sử dụng. Bạn nên tạo một người dùng khác bằng bảng quản trị WordPress của mình và chỉ định vai trò quản trị viên. Cố gắng làm cho tên người dùng không rõ ràng, vì vậy tin tặc sẽ khó đoán hơn. Sau đó, xóa hoàn toàn tài khoản người dùng quản trị để được an toàn.

8. Di chuyển thông báo lỗi trên trang đăng nhập

Thông báo lỗi

Khi bạn nhập sai mật khẩu hoặc tên người dùng, bạn sẽ nhận được thông báo lỗi từ trang đăng nhập. Vì vậy, nếu một hacker đoán được ID hoặc mật khẩu, thông báo lỗi sẽ giúp họ xác định. Vì vậy, bạn nên loại bỏ thông báo lỗi. Mở functions.php của bạn đang ở trong thư mục chủ đề và dán mã sau:

add_filter('login_errors',create_function('$a', "return null;"));

Một plugin có tên là Secure WordPress cũng có thể làm được điều này và nó cũng có nhiều tính năng khác. Nếu bạn quan tâm có thể tham khảo plugin đó

9. Sử dụng Mật khẩu được mã hóa để đăng nhập để bảo vệ khu vực quản trị

Khi bạn chưa bật SSL, thì phương pháp này sẽ phù hợp với bạn. Có một plugin cho phép bạn làm điều này, được gọi là Đăng nhập bán bảo mật được tái tạo. Semisecure Login Reimagined tăng tính bảo mật của quá trình đăng nhập bằng cách sử dụng khóa công khai RSA để mã hóa mật khẩu khi người dùng đăng nhập. Sau đó, máy chủ sẽ giải mã mật khẩu được mã hóa bằng khóa riêng. Sử dụng Javascript để hỗ trợ quá trình viết mã.

10. Bảo vệ chống vi-rút WordPress

Sử dụng AntiVirus cho WordPress là một giải pháp thông minh và hiệu quả để bảo vệ blog của bạn khỏi bị lợi dụng và spam. Tính năng đặc biệt của plugin này là nó kiểm tra kết quả trực tiếp của các tệp bị nhiễm và tự động kiểm tra hàng ngày với thông báo qua email.

11. Luôn cập nhật phiên bản WordPress mới nhất

Luôn cập nhật phiên bản mới nhất của WordPress vì sau mỗi phiên bản được phát hành, WordPress cũng phát hành các lỗi và lỗ hổng trong các phiên bản trước, bảo vệ khu vực quản trị của bạn khỏi bị rủi ro nếu bạn không nâng cấp.

Bạn có những thủ thuật nào để bảo vệ khu vực quản trị WordPress của mình?

12. Mật khẩu một lần

Plugin mật khẩu một lần cho phép bạn đăng nhập vào nhật ký web WordPress của mình bằng mật khẩu hợp lệ chỉ cho một lần đăng nhập. Loại mật khẩu đăng nhập một lần này ngăn chặn việc đánh cắp mật khẩu WordPress trong các môi trường không đáng tin cậy, chẳng hạn như quán cà phê internet, chẳng hạn bởi keylogger.

13. Plugin tường lửa WordPress

WordPress Firewall Plugin Detect phát hiện và chặn thông tin đáng ngờ có thể ảnh hưởng đến WordPress. Nó cũng bảo vệ hầu hết các plugin WordPress khỏi các cuộc tấn công tương tự. Bạn có thể tùy chọn định cấu hình plugin làm plugin đầu tiên để tải xuống bảo mật tối đa. Nó sẽ cung cấp cho bạn một tùy chọn để gửi cho bạn một email với thông tin hữu ích khi ngăn chặn một cuộc tấn công và hơn thế nữa.

Bạn có thể tham khảo bài viết 3 trình quản lý mật khẩu tốt nhất cho người mới bắt đầu.