Để bảo vệ website WordPress khỏi các đợt tấn công ngày càng tinh vi, bạn cần thiết lập nhiều lớp phòng thủ từ cấp độ máy chủ đến giao diện người dùng. Thay vì chỉ dựa vào plugin, hãy thực hiện các chiến lược bảo mật chuyên sâu sau đây.
Cách chặn: Thêm dòng này vào wp-config.php:
PHP
define( 'DISALLOW_FILE_EDIT', true );
1. Bảo mật từ File Hệ thống (wp-config.php)
File wp-config.php chứa thông tin nhạy cảm nhất là cơ sở dữ liệu. Bạn có thể gia cố nó bằng hai cách:- Chặn truy cập trái phép: Thêm đoạn mã này vào file .htaccess để không ai có thể đọc được file cấu hình từ trình duyệt:
Apache
<files wp-config.php>
order allow,deny
deny from all
</files> - Thay đổi Security Keys: Truy cập api.wordpress.org/secret-key/1.1/salt/ để lấy dãy khóa mới và thay thế vào file cấu hình. Điều này sẽ buộc tất cả người dùng hiện tại phải đăng nhập lại, giúp loại bỏ các phiên làm việc (sessions) nghi ngờ.
2. Thay đổi đường dẫn đăng nhập (Hide Login)
Hầu hết các cuộc tấn công Brute Force đều nhắm vào /wp-admin hoặc /wp-login.php. Việc đổi tên đường dẫn này giống như việc bạn giấu đi cánh cửa nhà mình.- Công cụ: Sử dụng plugin nhẹ như WPS Hide Login.
- Lợi ích: Giảm tải cho CPU máy chủ vì không phải xử lý hàng ngàn yêu cầu đăng nhập ảo mỗi phút.
3. Phân quyền File và Thư mục (File Permissions)
Việc thiết lập quyền sai là lỗ hổng để hacker chèn mã độc (shell) vào host của bạn. Hãy đảm bảo các thông số sau trong File Manager hoặc FTP:| Đối tượng | Quyền (Chmod) | Ý nghĩa |
| Thư mục chính | 755 | Chỉ chủ sở hữu có quyền ghi. |
| Tất cả các File | 644 | Chỉ chủ sở hữu có quyền sửa. |
| File wp-config.php | 400 hoặc 440 | Ngăn chặn các script khác trên server đọc file. |
4. Vô hiệu hóa File Editor trong Dashboard
Mặc định, WordPress cho phép sửa code trực tiếp tại mục Appearance > Theme File Editor. Nếu hacker chiếm được quyền admin, chúng sẽ chèn mã độc vào đây ngay lập tức.Cách chặn: Thêm dòng này vào wp-config.php:
PHP
define( 'DISALLOW_FILE_EDIT', true );
5. Sử dụng Xác thực 2 lớp (2FA)
Đây là "bức tường lửa" mạnh mẽ nhất cho tài khoản. Ngay cả khi lộ mật khẩu, kẻ tấn công vẫn không thể vào nếu không có mã từ điện thoại của bạn.- Gợi ý: Cài đặt các plugin như Wordfence hoặc Two Factor Authentication.
Checklist bảo mật nhanh:
- Không dùng username "admin": Hãy xóa tài khoản có tên "admin" và tạo một tên đăng nhập khó đoán hơn.
- Cập nhật liên tục: PHP, WordPress Core, Plugin và Theme phải luôn ở phiên bản mới nhất.
- Xóa các Plugin/Theme không dùng: Những thành phần bỏ hoang là nơi chứa lỗ hổng bảo mật tiềm tàng.
- Cài đặt SSL: Đảm bảo web chạy trên https:// để mã hóa dữ liệu truyền tải.
