Bạn có muốn thực hiện kiểm tra bảo mật WordPress để đảm bảo trang web của mình vẫn an toàn không?
WordPress rất an toàn. Tuy nhiên, nếu bạn nghi ngờ có điều gì đó không đúng trên website của mình, hãy thực hiện kiểm tra bảo mật hoàn chỉnh.
Trong bài viết này, CunghocWP sẽ hướng dẫn bạn cách thực hiện kiểm tra bảo mật WordPress mà không cần gỡ bỏ trang web.
Kiểm tra bảo mật WordPress là gì?
Kiểm tra bảo mật WordPress là quá trình kiểm tra xem trang web có dấu hiệu vi phạm bảo mật hay không. Bạn có thể thực hiện kiểm tra WordPress để tìm hoạt động đáng ngờ, mã độc hại hoặc hiệu suất sụt giảm bất thường.
Bảo mật WordPress gồm các bước đơn giản, bạn có thể tự thực hiện theo cách thủ công.
Để kiểm tra kỹ lưỡng hơn, bạn nên sử dụng công cụ kiểm tra bảo mật WordPress để tự động thực hiện kiểm tra.
Ngoài ra, còn có các dịch vụ kiểm tra bảo mật WordPress online để đánh giá tính bảo mật của website.
Nếu phát hiện điều gì đó đáng ngờ, bạn có thể cô lập, loại bỏ và sửa chữa.
Khi nào cần thực hiện kiểm tra bảo mật WordPress?
Bạn nên thực hiện kiểm tra bảo mật WordPress ít nhất mỗi quý một lần. Nhờ vậy, bạn sẽ kịp thời cập nhật mọi thứ và đóng các lỗ hổng bảo mật ngay trước khi có bất kỳ rắc rối nào.
Tuy nhiên, nếu bạn thấy điều gì đó đáng ngờ thì nên thực hiện kiểm tra bảo mật ngay lập tức.
Sau đây là một số dấu hiệu cho thấy bạn có thể cần kiểm tra bảo mật.
- Trang web của bạn đột nhiên quá chậm và chậm chạp
- Traffic trang web sụt giảm
- Có tài khoản mới đáng ngờ, yêu cầu quên mật khẩu hoặc cố gắng đăng nhập website
- Các liên kết đáng ngờ xuất hiện trên website
Bây giờ hãy tìm hiểu cách thực hiện kiểm tra bảo mật WordPress trên website của bạn.
Danh sách kiểm tra kiểm tra bảo mật WordPress
Sau đây là một số bước bạn cần làm để thực hiện kiểm tra bảo mật WordPress cơ bản cho website của mình.
1. Cập nhật phần mềm
Các bản cập nhật WordPress thực sự quan trọng đối với sự bảo mật và ổn định của trang web. Họ vá các lỗ hổng bảo mật, mang lại các tính năng mới và cải thiện hiệu suất.
Để đảm bảo phần mềm cốt lõi WordPress hoạt động tốt, tất cả các plugin và theme đều cần phải được cập nhật. Bạn có thể làm điều này bằng cách truy cập vào Dashboard » Updates bên trong khu vực quản trị WordPress.
WordPress sẽ tìm kiếm nếu có bất kỳ bản cập nhật nào và liệt kê để bạn cài đặt. Nếu bạn cần thêm trợ giúp, hãy tham khảo hướng dẫn của CunghocWP để biết cách cập nhật WordPress và plugin WordPress đúng cách.
2. Kiểm tra tài khoản người dùng và mật khẩu
Tiếp theo, bạn cần kiểm tra lại các tài khoản người dùng WordPress bằng cách truy cập vào Users » All Users và tìm kiếm các tài khoản người dùng đáng ngờ.
Nếu bạn điều hành một cửa hàng online, một trang web thành viên hoặc bán các khóa học online thì sẽ có tài khoản người dùng khách hàng để đăng nhập.
Tuy nhiên, nếu bạn điều hành một blog hoặc một trang web kinh doanh thì sẽ chỉ có các tài khoản người dùng cho bản thân hoặc bất kỳ người dùng nào khác mà bạn đã thêm thủ công.
Nếu bạn thấy các tài khoản người dùng đáng ngờ, hãy xóa các tài khoản đó.
Nếu trang web của bạn không yêu cầu người dùng tạo tài khoản, bạn cần truy cập vào Settings » General và bỏ chọn hộp bên cạnh tùy chọn ‘Anyone can register’.
Để phòng ngừa thêm, bạn cần thay đổi mật khẩu quản trị WordPress của mình. CunghocWP khuyên bạn nên thêm ủy quyền hai yếu tố để tăng cường bảo mật mật khẩu trên trang web.
3. Chạy quét bảo mật WordPress
Bước tiếp theo là kiểm tra trang web để tìm các lỗ hổng bảo mật. Bạn có thể sử dụng một số trình quét bảo mật online để kiểm tra phần mềm độc hại.
CunghocWP khuyên bạn nên sử dụng công cụ IsItWP Security Scanner để kiểm tra trang web và tìm phần mềm độc hại cũng như các lỗ hổng bảo mật khác.
Những công cụ này rất hiệu quả nhưng chỉ có thể quét các trang hiển thị công khai trên website. CunghocWP sẽ hướng dẫn bạn cách thực hiện kiểm tra sâu hơn ở phần sau của bài viết này.
4. Kiểm tra website analytics
Website analytics theo dõi traffic của trang web. Đây cũng là một chỉ báo khá tốt về tình trạng sức khỏe của website.
Nếu trang web của bạn bị các công cụ tìm kiếm đưa vào danh sách đen thì traffic trang web sẽ bị giảm đột ngột. Nếu trang web chậm hoặc không phản hồi, lượt xem trang tổng thể cũng sẽ giảm xuống.
CunghocWP khuyên bạn nên sử dụng MonsterInsights để theo dõi traffic website. Công cụ này không chỉ hiển thị số lần xem trang tổng thể mà còn theo dõi người dùng đã đăng ký, khách hàng WooCommerce, chuyển đổi form, vv…
5. Kiểm tra hoặc thiết lập sao lưu WordPress
Nếu bạn chưa làm việc này bao giờ, bạn cần thiết lập một plugin sao lưu WordPress ngay lập tức để đảm bảo rằng bạn luôn có một bản sao lưu dự phòng trong trường hợp xảy ra sự cố.
Mặt khác, nhiều người dùng mới thường quên plugin sao lưu WordPress của họ sau khi thiết lập plugin đó. Đôi khi các plugin dự phòng có thể ngừng hoạt động mà không có bất kỳ thông báo nào. Bạn nên đảm bảo rằng plugin sao lưu của mình vẫn đang hoạt động và lưu các bản sao lưu.
Tự động thực hiện kiểm tra bảo mật WordPress
Danh sách kiểm tra ở trên cho phép bạn tìm hiểu qua các khía cạnh quan trọng nhất của kiểm tra bảo mật. Tuy nhiên, đây không phải là một quá trình có sự chuẩn bị. Do vậy, website của bạn vẫn rất dễ bị tấn công.
Ví dụ, rất khó để ghi lại tất cả hoạt động của người dùng, các file khác biệt, code đáng ngờ, vv… theo cách thủ công. Đây là lúc bạn cần một plugin để tự động kiểm tra bảo mật và lưu trữ mọi thứ.
Bạn có thể tự động hóa quá trình này với sự trợ giúp của một số plugin giám sát và bảo mật WordPress.
1. WordPress Security Audit Log
WordPress Security Audit Log là plugin theo dõi hoạt động WordPress tốt nhất trên thị trường.
Bạn có thể sử dụng plugin này để theo dõi tất cả hoạt động của người dùng trên trang web, xem tất cả thông tin đăng nhập của người dùng, địa chỉ IP và những gì họ đã làm trên website của mình.
Bạn có thể theo dõi người dùng WooCommerce, biên tập viên, tác giả và các thành viên khác có tài khoản trên trang web của mình.
Bạn cũng có thể bật các sự kiện muốn theo dõi và tắt các sự kiện không muốn theo dõi.
Plugin cũng hiển thị chế độ xem trực tiếp của tất cả những người dùng đã đăng nhập vào trang web. Nếu bạn thấy một tài khoản đáng ngờ, có thể kết thúc phiên của họ ngay lập tức và khóa tài khoản đó.
Để biết thêm chi tiết, hãy xem hướng dẫn của CunghocWP về cách theo dõi hoạt động của người dùng trong WordPress bằng WP Security Audit log.
2. Sucuri
Sucuri là plugin tường lửa WordPress tốt nhất trên thị trường và đây cũng là giải pháp bảo mật WordPress tổng hợp tốt nhất mà bạn có thể sử dụng trên trang web của mình.
Sucuri cung cấp khả năng bảo vệ theo thời gian thực chống lại các cuộc tấn công DDoS bằng cách chặn hoạt động đáng ngờ ngay cả trước khi nó truy cập trang web. Thao tác này xóa tải khỏi máy chủ và cải thiện tốc độ/hiệu suất trang web.
Công cụ này còn đi kèm với một plugin bảo mật tích hợp kiểm tra các file WordPress để tìm ra code đáng ngờ. Bạn cũng có được cái nhìn chi tiết về hoạt động của người dùng trên trang web của mình.
Quan trọng nhất, Sucuri loại bỏ phần mềm độc hại miễn phí với tất cả các gói trả phí của họ. Điều này có nghĩa là ngay cả khi trang web của bạn đã bị ảnh hưởng, các chuyên gia bảo mật của họ sẽ làm sạch sạch trang web cho bạn.
CunghocWP hi vọng bài viết này sẽ giúp bạn tìm hiểu cách thực hiện kiểm tra bảo mật WordPress trên trang web của mình. Bạn cũng có thể muốn xem hướng dẫn bảo mật WordPress đầy đủ của chúng tôi để biết cách bảo vệ website.
Nếu thích bài viết này, hãy theo dõi YouTube Channel để xem thêm các video hướng dẫn về WordPress. Bạn cũng có thể tìm kiếm chúng tôi trên Twitter hoặc Facebook.