10 cách bảo vệ khu vực quản trị (admin) của WordPress

10 cách bảo vệ khu vực quản trị (admin) của WordPress

Khu vực quản trị (back-end) là nơi có nhiều cuộc tấn công nhắm đến, đó là con đường dẫn đến cơ sở dữ liệu cũng là nơi dễ dàng bị khai thác lỗ hổng nhất. Bảo vệ khu vực này và ngăn chặn những truy cập trái phép là việc mà các quản trị viên cũng như các lập trình viên cần thực hiện để bảo vệ website tránh những cuộc tấn không gây hại. Bài viết này sẽ chia sẻ với bạn những cách để bảo vệ khu vực quản trị của WordPress tốt nhất.

1. Sử dụng tường lửa.

Phòng bệnh hơn chữa bệnh, và đối với việc bảo vệ khu vực quản trị cũng vậy, chúng ta cần các phương pháp bảo vệ để phòng tránh các rủi ro từ việc bị tấn công bên ngoài. Một trong những cách bảo vệ tốt nhất là dùng tường lửa. Với WordPress bạn có thể sử dụng Plugin Wordfence Security – Firewall & Malware Scan.

Cài đặt Plugin Wordfence Security – Firewall & Malware Scan

Cài đặt Plugin Wordfence Security – Firewall & Malware Scan

2. Đặt mật khẩu cho thư mục quản trị

Các tệp tin trong thư mục quản trị rất quan trọng, vì thế việc đặt mật khẩu cho thư mục quản trị là rất quan trọng.

 

 

Để truy cập được vào khu vực admin sau khi đã sử dụng mật khẩu bảo vệ thư mục, bạn phải thử hiện xác nhận 2 lần đăng nhập. Mặc dù điều này gây ra sự phiền phức nhưng yếu tố an toàn vẫn là trên hết.

3. Sử dụng mật khẩu khó đoán

Nếu tài khoản của bạn dễ dàng được nhìn thấy thì mật khẩu phải là thứ khó đoán nhất, có nhiều kiểu để đặt mật khẩu khó đoán nhưng co bản là loại mật khẩu trên 6 ký tự bao gồm các ký tự đặc biệt, ký tự số và ký tự chữ.

Mặc dù không dễ dàng để đoán ra được mật khẩu nhưng đây cũng là bước không thừa để vô tình ai đó có nhìn thấy bạn nhập cũng không thể nhớ chính xác được.

4. Sử dụng xác minh 2 bước

Nếu chưa thật sự bảo mật tốt nhất thì bạn nên tìm đến nơi khác có khả năng giúp bạn bảo mật hơn. Google chính là nơi như vậy, để tạo xác minh 2 bước với Google bạn chỉ cần cài Plugin Google Authenticator và tiến hành thực hiện theo các cài đặt để bảo vệ khu vực quản trị của mình.

5. Hạn chế số lần đăng nhập

Nếu bạn muốn ngăn ai đó cố tình đăng nhập vào khu vực quản trị quá nhiều lần bạn có thể sử dụng plugin Login LockDown. Plugin này sẽ hạn chế số lần đăng nhập của một IP khi vượt quá số lần đăng nhập sai vào khu vực quản trị của bạn.

6. Chỉ cho phép một số IP cụ thể truy cập

Nếu công ty bạn sở hữu IP tĩnh và chỉ những người sử dụng IP này mới có thể đăng nhập vào khu vực quản trị thì bạn nên sử dụng cách này.

Bạn chỉ cần tạo một tệp file tên .htaccess ở trong thư mục wp-admin và dán đoạn dưới vào.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>

Với xx.xx.xx.xxx là IP được phép truy cập.

Bạn có thể thêm nhiều IP khác nhau bằng cách thêm đoạn allow from xx.xx.xx.xxx

7. Vô hiệu gợi ý đăng nhập

Nếu một gợi ý đăng nhập được đưa ra khi người đăng nhập không đăng nhập được sẽ là một dấu hiệu để giúp họ tiên đoán được mật khẩu hay tài khoản của bạn, ẩn đi các thông báo này cũng là cách bạn nên làm. Chỉ cần mở file functions.php trong theme và thêm đoạn sau vào.

function no_wordpress_errors(){
  return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

8. Luôn cập nhật WordPress bản mới nhất

Không một website hay CMS nào hoàn hảo và không có lỗ hổng cả, chính vì thế mà WordPress luôn được cập nhật và được vá lỗ hổng kịp thời bảo vệ người dùng trên nền tảng này.

Chính vì thế đừng lơ là việc cập nhật lên phiên bản mới nhất, các bảng cập nhật sẽ giúp website trở nên an toàn và tránh được các sự cố bất ngờ.

9. Tạo trang đăng nhập và đăng ký riêng

Là một khu vực nhạy cảm nên chỉ những người quản trị mới nên vào, tuy nhiên WordPress mặc định chỉ có một nơi để đăng nhập, chính vì thế mà bạn cần tạo ra một trang đăng nhập riêng dành cho những thành viên không phải là quản trị. Để làm được điều này bạn chỉ cần sử dụng plugin WordPress membership.

10. Kiểm soát quyền hạn của các thành viên

Điều cuối cùng bạn cần quan tâm đó là quyền hạn của các thành viên. Cho dù là người tin tưởng nhất bạn cũng không nên để quyền hạn của họ ở cao nhất, điều này vô tình gây ra sự khó kiểm soát và đôi khi sự vô ý của người kia cũng có thể làm bạn mất toàn bộ dữ liệu của website.

Hãy chắc chắn cho tài khoản quản trị và chỉ nên phân quyền cho những thành viên ở mức thấp hơn quyền “Quản lý”.