Bảo mật WordPress thường là mối quan tâm bị bỏ qua cho người dùng WordPress mới. " hack Đối với họ là một cái gì đó mà họ đọc, nhưng họ không nghĩ có thể xảy ra với họ. Do đó, SQL injection, XSS, leo thang các đặc quyền và các lỗ hổng bảo mật quan trọng chỉ là những từ thông dụng trong các công nghệ mới.
Nhưng mọi thứ phải khác. Bảo mật WordPress là nền tảng: Mọi trang web WordPress phải được bảo vệ đầy đủ và đúng cách.
Do đó, điều cần thiết là chủ sở hữu trang web WordPress phải biết phải làm gì để bảo vệ blog của bạn khỏi các cuộc tấn công.
Tôi mới bắt đầu, tôi nghĩ blog của tôi sẽ được tha
Nếu bạn nghĩ như vậy, bạn sẽ gặp khó khăn nghiêm trọng ngay cả trước khi bạn giành được bất cứ điều gì với blog của mình. Tin tặc không tìm kiếm blog của bạn theo cách thủ công, cũng như không cần trực tiếp làm hại bạn.
Thông thường, "tin tặc" sử dụng các đoạn mã tự động tìm kiếm blog. Nếu một liên kết đến trang web của bạn xuất hiện trong một diễn đàn, một blog khác hoặc thậm chí trong một mạng xã hội, liên kết này có thể được khai thác để truy cập blog của bạn.
Mục tiêu thường được tin tặc nhắm đến là có thể sử dụng chỗ ở để làm cái gì đó khác Vì vậy, bạn không nên bỏ qua khía cạnh này.
"Danh sách CẦN LÀM" của mọi blogger về bảo mật
Bạn đã biết rằng blog của bạn sẽ không bị bỏ sót. Sau đó bạn có thể làm gì?
Chúng tôi đã chuẩn bị một danh sách các khuyến nghị (nó cũng là một lời nhắc nhở cho tất cả những người theo dõi chúng tôi ở đây trên BlogPasCher), mà bạn nên làm để bảo vệ tốt hơn blog WordPress.
1 - Bạn phải luôn có phiên bản cập nhật của WordPress
Hết lần này đến lần khác, bạn sẽ đọc những bình luận về các blogger từ chối cập nhật phiên bản WordPress của họ, vì họ sợ rằng bản cập nhật này đặt ra vấn đề tương thích.
Trong 2016, thật không may khi thấy rằng vẫn còn loại tâm lý này.
Nếu bạn phải chọn giữa một trang web bị tấn công và một plugin không hoạt động trong giây lát, bạn sẽ chọn cái gì?
Các plugin không tương thích với các phiên bản mới nhất của WordPress có thể vẫn tồn tại như vậy trong một thời gian ngắn, nhưng mặt khác, một trang web bị tấn công lại là một vấn đề lớn hơn nhiều.
Mỗi bản cập nhật của WordPress đều sửa các vấn đề bảo mật được phát hiện gần đây. Nếu phiên bản WordPress của bạn không được cập nhật, trang web của bạn sẽ dễ bị lỗi.
Tìm hiểu cách quản lý cập nhật WordPress
2 - Không sửa đổi mã nguồn của WordPress
Từ thời điểm bạn hoặc nhà phát triển WordPress sửa đổi các tệp hệ thống của WordPress, bạn sẽ không thể dễ dàng và tự động cập nhật WordPress lên phiên bản mới nhất, vì bạn sẽ mất các thay đổi được thực hiện cho trang web của mình.
Điều này sẽ khiến trang web của bạn dễ bị tổn thương trước các vấn đề bảo mật được phát hiện trên phiên bản WordPress bạn đang sử dụng. Vì vậy, bạn sẽ cần chính mình patcher 'Các lỗ hổng khác nhau, và tôi nghi ngờ rằng tối nay là một nhiệm vụ dễ dàng. Một câu nói của các nhà phát triển WordPress nói rằng: Không bao giờ sửa đổi mã nguồn của WordPress vì bất kỳ lý do gì. Khi bạn làm vậy, một con mèo con trên trái đất sẽ chết.
Nó thực sự không có ý nghĩa gì, nhưng phải hiểu rằng WordPress linh hoạt đến mức nó cho phép plugin sửa đổi hành vi của nó mà không cần chạm vào mã nguồn.
3 - Đảm bảo bạn luôn cập nhật các plugin
Cũng như phiên bản WordPress của bạn, các lỗ hổng bảo mật thường được tìm thấy trong plugin WordPress. Đã có nhiều trường hợp hack của blog WordPress liên quan đến lỗ hổng của các plugin.
Hầu hết các phần mềm có xu hướng những vấn đề này tại một số điểm trong sự tồn tại của nó. Cách thức xử lý các lỗ hổng bảo mật cho thấy mức độ nghiêm trọng mà một số công ty điều hành doanh nghiệp của họ.
Về nguyên tắc, ngay khi phát hiện ra vấn đề, các nhà phát triển của plugin sẽ nhanh chóng sửa lỗi đó và đưa ra bản cập nhật.
Khám phá cách tự động cập nhật plugin
4 - Xóa các plugin bạn không sử dụng
Bạn càng cài đặt nhiều plugin, blog của bạn càng lộ nhiều lỗ hổng.
Đôi khi chúng tôi cài đặt các plugin để kiểm tra chức năng của chúng và quên xóa chúng. Nếu một lỗ hổng được phát hiện trên các plugin này, trang web của bạn sẽ tự động bị tổn thương, ngay cả khi plugin không thực sự được sử dụng.
Nếu bạn không sử dụng plugin, hãy xóa nó. Ngoài ra hãy chắc chắn luôn luôn ghi nhớ rằng thử nghiệm plugin có thể được thực hiện cục bộ.
Cách gỡ cài đặt plugin WordPress
5 - Đảm bảo chủ đề của bạn được cập nhật thường xuyên
Logic tương tự áp dụng cho các bản cập nhật của WordPress và các plugin của nó, áp dụng cho các chủ đề của nó. Bảo mật WordPress có nghĩa là tất cả các chủ đề cần được cập nhật lên các phiên bản mới nhất của chúng. Nếu không, bất kỳ lỗ hổng bảo mật đã được sửa chữa sẽ vẫn là một vấn đề cho bạn.
Bây giờ bạn có thể nghĩ rằng tất cả các thay đổi bạn đã thực hiện đối với chủ đề sẽ không còn khả dụng sau khi cập nhật. Về nguyên tắc, các sửa đổi trên một chủ đề nhất thiết phải được thực hiện bởi một chủ đề con, thay vì trực tiếp trên chủ đề mẹ. Điều này sẽ cho phép bạn nhận các bản vá và cập nhật bảo mật mới nhất mà không cần xóa các thay đổi của bạn.
6 - Cài đặt plugin và chủ đề từ một nguồn đáng tin cậy
Đôi khi thời điểm khó khăn, chúng ta có thể bị cám dỗ để "bỏ qua" việc trả tiền cho một chủ đề hoặc plugin tốt và nhận nó miễn phí từ một nguồn xấu.
Trên thực tế, không có gì sai khi lập chỉ mục một nguồn ở đây. Vi phạm bản quyền, torrent và các nguồn khác cung cấp phần mềm trả phí miễn phí là những thứ bạn tuyệt đối nên tránh như bệnh dịch.
Tuy nhiên, điều chúng ta thường không nhận ra là nhiều chủ đề bị hack được tải xuống miễn phí đã bị hỏng một cách độc hại. Chủ yếu là một " cửa sau Đã được cài đặt trong kịch bản. Điều này cho phép trang web nơi chủ đề hoặc plugin được sử dụng được kiểm soát từ xa.
Vì vậy, bạn cần đảm bảo rằng bạn tải xuống càng nhiều chủ đề miễn phí càng tốt WordPress.orghoặc các chủ đề cao cấp trên các nguồn như " ThemeForest '.
7 - Sử dụng mật khẩu mạnh
Nhiều chủ sở hữu blog đã cẩu thả ở cấp độ này. Nếu mật khẩu của bạn dễ đoán, thì bạn đang gặp rắc rối nghiêm trọng. Các mật khẩu thường được sử dụng nhất là:
- 123456
- quản trị viên
- 0000
- Mật khẩu
- Bí mật
Thật kinh khủng khi nhận thấy điều đó. Bạn không thể xem xét làm việc nghiêm túc trên blog của mình, nếu mật khẩu của bạn không.
Việc bảo vệ một blog cũng có một mật khẩu đáng tin cậy.
8 - Hạn chế các nỗ lực kết nối
Chúng tôi đã thảo luận về các trường hợp tấn công mật khẩu brute force và thực tế là sử dụng bot rẻ và rất dễ tiếp cận đối với tin tặc của bạn. Vì lý do này, bạn phải đưa ra các cơ chế để chặn mọi nỗ lực tấn công vũ phu.
Plugin « Giới hạn Đăng nhập Làm chính xác điều đó. Nếu phát hiện một số lần đăng nhập không chính xác, nó sẽ ngăn người dùng đó đăng nhập lại. Điều này, tất nhiên, làm cho các nỗ lực vũ phu tấn công khó khăn để kết hợp và bảo vệ blog của bạn tốt hơn.
9 - Tạo bản sao lưu
Tôi đã liệt kê một danh sách những điều bạn nên làm để bảo mật WordPress và hiểu rằng nó có thể hơi khó thực hiện. Tôi cũng biết rằng, bạn có thể quên kết hợp với nhau.
Nhưng có một nhiệm vụ mà bạn không nên bỏ qua: sao lưu blog của bạn.
Một điều bạn không bao giờ nên quên làm là có một kế hoạch sao lưu WordPress. Không chỉ trong trường hợp bị tấn công, mà ngay cả trong trường hợp tai nạn, lỗi kỹ thuật và các rủi ro khác, việc có một bản dự phòng đảm bảo rằng bạn có thể dễ dàng trở lại bình thường.
Snapshot Pro giống như một cỗ máy thời gian cho trang web của bạn, cho phép bạn sao lưu và khôi phục toàn bộ trang web của mình và thậm chí lên lịch sao lưu tự động thường xuyên.
10 - Kích hoạt Google Search Console
Mặc dù đây không phải là một đề xuất nghiêm ngặt đối với WordPress, nhưng nó vẫn là thứ bạn nên xem xét như một bổ sung cho các đề xuất khác nhau trong danh sách này.
Google và các công cụ tìm kiếm khác luôn muốn đảm bảo rằng trang web của bạn không có bất kỳ mối đe dọa nào đối với người dùng công cụ tìm kiếm. Chính vì lý do này mà Google sẽ thông báo cho bạn nếu nhận thấy bất kỳ điều gì bất thường trên trang web của bạn.
Thực hành này sẽ cho phép bạn khôi phục đúng cách một trang web đã được "Bị tấn công", đặc biệt là vì Google ẩn khỏi kết quả của mình bất kỳ trang web nào đại diện cho mối đe dọa đối với những người dùng này.
Đó là tất cả ?
Không, danh sách này không đầy đủ. Có rất nhiều điều bạn có thể làm để bảo vệ blog của mình tốt hơn. Nhưng đây là bước đầu tiên.
