Bạn có thể tăng cường bảo mật trang wordpress của mình bằng cách thêm

Khi nói đến bảo mật WordPress, có rất nhiều điều bạn có thể làm để khóa trang web của mình nhằm ngăn chặn tin tặc và các lỗ hổng ảnh hưởng đến trang web thương mại điện tử hoặc blog của bạn. Điều cuối cùng bạn muốn xảy ra là thức dậy vào một buổi sáng và phát hiện ra trang web của bạn đang trong tình trạng hỗn độn. Vì vậy, hôm nay chúng tôi sẽ chia sẻ rất nhiều mẹo, chiến lược và kỹ thuật mà bạn có thể sử dụng để cải thiện bảo mật WordPress của mình và luôn được bảo vệ

Nếu là khách hàng của Kinsta, bạn không cần phải lo lắng nhiều về những vấn đề này vì chúng tôi cung cấp các bản sửa lỗi hack miễn phí. Nhưng ngay cả với sự đảm bảo này, bạn phải luôn tuân theo các biện pháp bảo mật tốt nhất

Trang web WordPress của bạn có an toàn không? . 🔒Nhấp để Tweet

WordPress có an toàn không?

Câu hỏi đầu tiên có lẽ bạn đang thắc mắc, WordPress có an toàn không? . Tuy nhiên, WordPress thường bị mang tiếng xấu vì dễ bị lỗ hổng bảo mật và vốn dĩ không phải là một nền tảng an toàn để sử dụng cho doanh nghiệp. Điều này thường xuyên hơn không phải là do người dùng tiếp tục tuân theo các phương pháp bảo mật tồi tệ nhất đã được chứng minh trong ngành

Việc sử dụng phần mềm WordPress lỗi thời, plugin không có giá trị, quản trị hệ thống kém, quản lý thông tin xác thực và thiếu kiến ​​thức cần thiết về Web và bảo mật đối với những người dùng WordPress không chuyên về công nghệ khiến tin tặc luôn dẫn đầu trò chơi tội phạm mạng của họ. Ngay cả những người dẫn đầu ngành không phải lúc nào cũng sử dụng các phương pháp hay nhất. Reuters bị tấn công vì họ đang sử dụng phiên bản lỗi thời của WordPress

Về cơ bản, bảo mật không phải là về các hệ thống an toàn tuyệt đối. Một điều như vậy có thể không thực tế, hoặc không thể tìm thấy và/hoặc duy trì. Mặc dù vậy, bảo mật là giảm thiểu rủi ro chứ không phải loại bỏ rủi ro. Đó là về việc sử dụng tất cả các biện pháp kiểm soát phù hợp có sẵn cho bạn, theo lý do, cho phép bạn cải thiện tư thế tổng thể của mình, giảm khả năng biến bạn thành mục tiêu, sau đó bị tấn công. – Mã bảo mật WordPress

Bây giờ, điều này không có nghĩa là các lỗ hổng không tồn tại. Theo một nghiên cứu vào quý 3 năm 2017 của Sucuri, một công ty bảo mật đa nền tảng, WordPress tiếp tục dẫn đầu về các trang web bị nhiễm mã độc mà họ đã xử lý [ở mức 83%]. Con số này tăng từ 74% trong năm 2016

Lỗ hổng bảo mật WordPress

Quyền hạn của WordPress trên 43. 3% của tất cả các trang web trên internet và với hàng trăm nghìn tổ hợp chủ đề và plugin ngoài kia, không có gì ngạc nhiên khi các lỗ hổng tồn tại và liên tục được phát hiện. Tuy nhiên, cũng có một cộng đồng tuyệt vời xung quanh nền tảng WordPress, để đảm bảo những thứ này được vá càng sớm càng tốt. Kể từ năm 2022, nhóm bảo mật WordPress bao gồm khoảng 50 chuyên gia [tăng từ 25 vào năm 2017] bao gồm các nhà phát triển chính và nhà nghiên cứu bảo mật — khoảng một nửa là nhân viên của Automattic và một số làm việc trong lĩnh vực bảo mật web

Kinsta chiều chuộng tôi đến mức bây giờ tôi yêu cầu mức độ dịch vụ đó từ mọi nhà cung cấp. Chúng tôi cũng cố gắng đạt được mức đó với sự hỗ trợ của công cụ SaaS

Suganthan Mohanadasan từ @Suganthanmn

Xem kế hoạch

Lỗ hổng WordPress

Kiểm tra một số loại lỗ hổng bảo mật WordPress khác nhau bên dưới

• cửa hậu
• hack dược phẩm
• Nỗ lực đăng nhập vũ phu
• Chuyển hướng độc hại
• Cross-site Scripting [XSS]
• Từ chối dịch vụ

cửa hậu

Lỗ hổng cửa hậu được đặt tên phù hợp cung cấp cho tin tặc các lối đi ẩn vượt qua mã hóa bảo mật để có quyền truy cập vào các trang web WordPress thông qua các phương pháp bất thường – wp-Admin, SFTP, FTP, v.v. Sau khi bị khai thác, các cửa hậu cho phép tin tặc tàn phá các máy chủ lưu trữ bằng các cuộc tấn công lây nhiễm chéo trang – xâm phạm nhiều trang được lưu trữ trên cùng một máy chủ. Vào quý 3 năm 2017, Sucuri đã báo cáo rằng các cửa hậu tiếp tục là một trong nhiều hành động mà những kẻ tấn công thực hiện sau khi hack, với 71% trang web bị nhiễm có một số hình thức tiêm cửa hậu

Phân phối gia đình phần mềm độc hại

Các cửa hậu thường được mã hóa để xuất hiện giống như các tệp hệ thống WordPress hợp pháp và tìm đường đến cơ sở dữ liệu WordPress bằng cách khai thác các điểm yếu và lỗi trong các phiên bản lỗi thời của nền tảng. Sự cố TimThumb là một ví dụ điển hình về lỗ hổng cửa hậu khai thác các tập lệnh mờ ám và phần mềm lỗi thời làm ảnh hưởng đến hàng triệu trang web

May mắn thay, việc phòng ngừa và chữa trị lỗ hổng này khá đơn giản. Bạn có thể quét trang web WordPress của mình bằng các công cụ như SiteCheck có thể dễ dàng phát hiện các cửa hậu phổ biến. Xác thực hai yếu tố, chặn IP, hạn chế quyền truy cập của quản trị viên và ngăn chặn thực thi trái phép các tệp PHP dễ dàng xử lý các mối đe dọa cửa sau phổ biến, chúng tôi sẽ đi sâu hơn bên dưới. Canton Becker cũng có một bài đăng tuyệt vời về cách dọn dẹp mớ hỗn độn cửa hậu trên các bản cài đặt WordPress của bạn

hack dược phẩm

Khai thác Pharma Hack được sử dụng để chèn mã giả mạo vào các phiên bản lỗi thời của các trang web và plugin WordPress, khiến các công cụ tìm kiếm trả lại quảng cáo cho các sản phẩm dược phẩm khi một trang web bị xâm nhập tìm kiếm. Lỗ hổng này là một mối đe dọa thư rác nhiều hơn so với phần mềm độc hại truyền thống, nhưng cung cấp cho các công cụ tìm kiếm đủ lý do để chặn trang web với cáo buộc phát tán thư rác

Các phần chuyển động của Pharma Hack bao gồm các cửa hậu trong plugin và cơ sở dữ liệu, có thể được dọn sạch theo hướng dẫn từ blog Sucuri này. Tuy nhiên, các khai thác thường là các biến thể nguy hiểm của việc tiêm mã độc được mã hóa ẩn trong cơ sở dữ liệu và yêu cầu một quy trình dọn dẹp kỹ lưỡng để khắc phục lỗ hổng. Tuy nhiên, bạn có thể dễ dàng ngăn chặn Pharma Hacks bằng cách sử dụng các nhà cung cấp dịch vụ lưu trữ WordPress được đề xuất có máy chủ cập nhật và thường xuyên cập nhật cài đặt, chủ đề và plugin WordPress của bạn. Các máy chủ như Kinsta cũng cung cấp các bản sửa lỗi hack miễn phí

Nỗ lực đăng nhập vũ phu

Các lần đăng nhập bằng vũ lực sử dụng tập lệnh tự động để khai thác mật khẩu yếu và giành quyền truy cập vào trang web của bạn. Xác thực hai bước, hạn chế số lần đăng nhập, theo dõi đăng nhập trái phép, chặn IP và sử dụng mật khẩu mạnh là một số cách dễ nhất và hiệu quả nhất để ngăn chặn các cuộc tấn công vũ phu. Nhưng thật không may, một số chủ sở hữu trang web WordPress không thực hiện các biện pháp bảo mật này trong khi tin tặc có thể dễ dàng xâm phạm tới 30.000 trang web trong một ngày bằng cách sử dụng các cuộc tấn công vũ phu

Chuyển hướng độc hại

Chuyển hướng độc hại tạo cửa hậu trong quá trình cài đặt WordPress bằng FTP, SFTP, wp-admin và các giao thức khác, đồng thời chèn mã chuyển hướng vào trang web. Các chuyển hướng thường được đặt trong của bạn. htaccess và các tệp lõi WordPress khác ở dạng được mã hóa, hướng lưu lượng truy cập web đến các trang web độc hại. Chúng tôi sẽ thực hiện một số cách bạn có thể ngăn chặn những điều này trong các bước bảo mật WordPress của chúng tôi bên dưới

Tập lệnh chéo trang [XSS]

Cross-Site Scripting [XSS] là khi một tập lệnh độc hại được đưa vào một trang web hoặc ứng dụng đáng tin cậy. Kẻ tấn công sử dụng điều này để gửi mã độc hại, thường là các tập lệnh phía trình duyệt, tới người dùng cuối mà họ không hề hay biết. Mục đích thường là để lấy cookie hoặc dữ liệu phiên hoặc thậm chí có thể viết lại HTML trên một trang

Theo WordFence, lỗ hổng Cross-Site Scripting là lỗ hổng phổ biến nhất được tìm thấy trong plugin WordPress với tỷ lệ đáng kể

Từ chối dịch vụ

Có lẽ nguy hiểm nhất trong số đó, lỗ hổng Từ chối dịch vụ [DoS] khai thác các lỗi và lỗi trong mã để lấn át bộ nhớ của hệ điều hành trang web. Tin tặc đã xâm phạm hàng triệu trang web và thu về hàng triệu đô la bằng cách khai thác các phiên bản lỗi thời và lỗi của phần mềm WordPress bằng các cuộc tấn công DoS. Mặc dù tội phạm mạng có động cơ tài chính ít có khả năng nhắm mục tiêu vào các công ty nhỏ, nhưng chúng có xu hướng xâm phạm các trang web lỗi thời dễ bị tổn thương để tạo chuỗi botnet tấn công các doanh nghiệp lớn

Ngay cả các phiên bản mới nhất của phần mềm WordPress cũng không thể bảo vệ toàn diện trước các cuộc tấn công DoS cao cấp, nhưng ít nhất sẽ giúp bạn tránh bị cuốn vào cuộc chiến giữa các tổ chức tài chính và tội phạm mạng tinh vi. Và đừng quên ngày 21 tháng 10 năm 2016. Đây là ngày Internet ngừng hoạt động do một cuộc tấn công DDoS DNS. Đọc thêm về lý do tại sao điều quan trọng là sử dụng nhà cung cấp DNS cao cấp để tăng cường bảo mật cho WordPress của bạn

Hướng dẫn bảo mật WordPress 2022

Theo thống kê trực tiếp trên internet, hơn 100.000 trang web bị tấn công mỗi ngày. 😮 Đó là lý do tại sao việc dành chút thời gian và xem qua các đề xuất sau đây về cách tăng cường bảo mật WordPress của bạn là rất quan trọng

Các trang web WordPress bị tấn công mỗi ngày

Chúng tôi sẽ đảm bảo cập nhật bài đăng này với thông tin liên quan khi mọi thứ thay đổi với nền tảng WordPress và xuất hiện các lỗ hổng bảo mật mới

1. Lưu trữ WordPress an toàn
2. Sử dụng phiên bản PHP mới nhất
3. Tên người dùng và mật khẩu thông minh
4. Phiên bản mới nhất
5. Khóa quản trị viên WordPress
6. Xác thực hai yếu tố
7. HTTPS – Chứng chỉ SSL
8. Làm cứng wp-config. php
9. Tắt XML-RPC
10. Ẩn phiên bản WordPress
11. Tiêu đề bảo mật HTTP
12. Plugin bảo mật WordPress
13. Bảo mật cơ sở dữ liệu
14. Kết nối an toàn
15. Quyền đối với tệp và máy chủ
16. Vô hiệu hóa Chỉnh sửa trong Bảng điều khiển
17. Ngăn chặn liên kết nóng
18. Luôn sao lưu WordPress
19. Bảo vệ DDoS

1. Đầu tư vào Dịch vụ lưu trữ WordPress an toàn

Khi nói đến bảo mật WordPress, có nhiều thứ hơn là chỉ khóa trang web của bạn, mặc dù chúng tôi sẽ cung cấp cho bạn các đề xuất tốt nhất về cách thực hiện điều đó bên dưới. Ngoài ra còn có bảo mật cấp máy chủ web mà máy chủ lưu trữ WordPress của bạn chịu trách nhiệm. Tại Kinsta, chúng tôi rất coi trọng vấn đề bảo mật và xử lý rất nhiều vấn đề này cho khách hàng của mình

Điều rất quan trọng là bạn chọn một máy chủ mà bạn có thể tin tưởng với doanh nghiệp của mình. Hoặc nếu bạn đang lưu trữ WordPress trên VPS của riêng mình, thì bạn cần có kiến ​​thức kỹ thuật để tự làm những việc này. Và thành thật mà nói, cố gắng trở thành một sysadmin để tiết kiệm $20/tháng là một ý tưởng tồi

Lưu trữ WordPress an toàn

Làm cứng máy chủ là chìa khóa để duy trì môi trường WordPress an toàn tuyệt đối. Cần có nhiều lớp biện pháp bảo mật cấp độ phần cứng và phần mềm để đảm bảo cơ sở hạ tầng CNTT lưu trữ các trang web WordPress có khả năng bảo vệ chống lại các mối đe dọa tinh vi, cả vật lý và ảo

Vì lý do này, các máy chủ lưu trữ WordPress phải được cập nhật hệ điều hành và phần mềm [bảo mật] mới nhất cũng như được kiểm tra và quét kỹ lưỡng để tìm các lỗ hổng và phần mềm độc hại. Một ví dụ điển hình về điều này là khi Kinsta phải vá NGINX cho các lỗ hổng bảo mật OpenSSL đã được phát hiện

Tường lửa cấp máy chủ và hệ thống phát hiện xâm nhập phải được đặt trước khi cài đặt WordPress trên máy chủ để giữ cho nó được bảo vệ tốt ngay cả trong giai đoạn cài đặt WordPress và xây dựng trang web. Tuy nhiên, mọi phần mềm được cài đặt trên máy nhằm bảo vệ nội dung WordPress phải tương thích với các hệ thống quản lý cơ sở dữ liệu mới nhất để duy trì hiệu suất tối ưu. Máy chủ cũng phải được định cấu hình để sử dụng các giao thức mã hóa truyền tệp và mạng an toàn [chẳng hạn như SFTP thay vì FTP] để ẩn nội dung nhạy cảm khỏi những kẻ xâm nhập độc hại

Tại Kinsta, chúng tôi sử dụng các máy chủ nhanh nhất và mạng cao cấp của Google Cloud Platform cho tất cả các khách hàng WordPress của mình để đảm bảo trải nghiệm lưu trữ WordPress nhanh chóng và an toàn. Một lợi thế lớn của điều này là nó được xây dựng trên một mô hình bảo mật đã được xây dựng trong suốt 15 năm và hiện đang bảo mật các sản phẩm và dịch vụ như Gmail, Tìm kiếm, v.v. Google hiện có hơn 500 chuyên gia bảo mật toàn thời gian. Tất cả các trang web trên Kinsta cũng được bảo vệ bằng tích hợp Cloudflare miễn phí của chúng tôi, bao gồm tường lửa cấp doanh nghiệp an toàn cũng như bảo vệ DDoS miễn phí

Kinsta cũng sử dụng các bộ chứa Linux [LXC] và LXD để sắp xếp chúng, trên Google Cloud Platform cho phép chúng tôi cách ly hoàn toàn không chỉ từng tài khoản mà cả từng trang web WordPress riêng biệt. Bảo mật được tích hợp vào kiến ​​trúc của chúng tôi ngay từ đầu và đây là phương pháp an toàn hơn nhiều so với các đối thủ cạnh tranh khác cung cấp

Kiến trúc lưu trữ Kinsta

2. Sử dụng phiên bản PHP mới nhất

PHP là xương sống của trang web WordPress của bạn và vì vậy việc sử dụng phiên bản mới nhất trên máy chủ của bạn là rất quan trọng. Mỗi bản phát hành chính của PHP thường được hỗ trợ đầy đủ trong hai năm sau khi phát hành. Trong thời gian đó, các lỗi và sự cố bảo mật được khắc phục và vá thường xuyên. Ngay bây giờ, bất kỳ ai đang chạy trên phiên bản PHP 7. 1 trở xuống không còn được hỗ trợ bảo mật và có các lỗ hổng bảo mật chưa được vá

Phiên bản PHP được hỗ trợ

Và đoán xem? . 6 hoặc thấp hơn. Nếu bạn kết hợp điều này với PHP 7. 0, một con số khổng lồ 77. 5% người dùng hiện đang sử dụng các phiên bản PHP không còn được hỗ trợ. Đó là đáng sợ

77. 5% người dùng WordPress hiện đang sử dụng các phiên bản PHP không còn được hỗ trợ. 😮Nhấp để Tweet

Đôi khi các doanh nghiệp và nhà phát triển phải mất thời gian để kiểm tra và đảm bảo khả năng tương thích với mã của họ, nhưng họ không có lý do gì để chạy trên thứ gì đó mà không có hỗ trợ bảo mật. Chưa kể tác động lớn đến hiệu suất khi chạy trên các phiên bản cũ hơn đã

Thống kê phiên bản WordPress PHP

Không biết bạn đang sử dụng phiên bản PHP nào? . Một cách nhanh chóng để kiểm tra là chạy trang web của bạn thông qua Pingdom. Nhấp vào yêu cầu đầu tiên và tìm tham số

home/user/.htpasswds/public_html/wp-admin/htpasswd/

1. Thông thường, điều này sẽ hiển thị phiên bản PHP mà máy chủ web của bạn hiện đang sử dụng. Tuy nhiên, một số máy chủ sẽ xóa tiêu đề này vì lý do bảo mật. Kinsta xóa tiêu đề này theo mặc định để giữ an toàn cho trang web của bạn

Kiểm tra phiên bản PHP trong Pingdom

Tại Kinsta, chúng tôi chỉ khuyên bạn nên sử dụng các phiên bản PHP ổn định và được hỗ trợ, bao gồm 8. 0 và 8. 1. PHP5. 6, 7. 0 và 7. 1 đã bị loại bỏ. Bạn thậm chí có thể chuyển đổi giữa các phiên bản PHP chỉ bằng một lần bấm nút từ trong bảng điều khiển MyKinsta

Chuyển đổi giữa các phiên bản PHP

Nếu bạn đang sử dụng máy chủ lưu trữ WordPress sử dụng cPanel, bạn thường có thể chuyển đổi giữa các phiên bản PHP bằng cách nhấp vào “PHP Select” trong danh mục phần mềm

phiên bản cPanel PHP

3. Sử dụng tên người dùng và mật khẩu thông minh

Đáng ngạc nhiên là một trong những cách tốt nhất để tăng cường bảo mật WordPress của bạn chỉ đơn giản là sử dụng tên người dùng và mật khẩu thông minh. Nghe có vẻ khá dễ dàng phải không?

• 123456
• mật khẩu mở khóa
• 123456789
• 12345678
• 12345
• 111111
• 1234567
• ánh sáng mặt trời
• qwerty
• Tôi mến bạn

Đúng vậy. Mật khẩu phổ biến nhất là “123456”, theo sau là một “mật khẩu” đáng kinh ngạc. Đó là một lý do tại sao tại Kinsta trên các bản cài đặt WordPress mới, chúng tôi thực sự buộc phải sử dụng một mật khẩu phức tạp để đăng nhập wp-admin của bạn [như được thấy bên dưới trong quy trình cài đặt bằng một cú nhấp chuột của chúng tôi]. Đây không phải là tùy chọn

Buộc mật khẩu WordPress an toàn

Hàm WordPress

home/user/.htpasswds/public_html/wp-admin/htpasswd/

2 cốt lõi sử dụng khung băm mật khẩu phpass và tám lượt băm dựa trên MD5

Một số bảo mật tốt nhất bắt đầu từ những điều cơ bản. Google có một số đề xuất hữu ích về cách chọn mật khẩu mạnh. Hoặc bạn có thể sử dụng một công cụ trực tuyến như Strong Password Generator. Bạn có thể tìm hiểu thêm về cách thay đổi mật khẩu WordPress tại đây

Điều quan trọng nữa là sử dụng các mật khẩu khác nhau cho mỗi trang web. Cách tốt nhất để lưu trữ chúng cục bộ trong cơ sở dữ liệu được mã hóa trên máy tính của bạn. Một công cụ miễn phí tốt cho việc này là KeePass. Nếu bạn không muốn đi theo con đường này, cũng có những trình quản lý mật khẩu trực tuyến như 1Password hoặc LastPass. Mặc dù dữ liệu của bạn được lưu trữ an toàn trên đám mây, nhưng những dữ liệu này thường an toàn hơn vì bạn không sử dụng cùng một mật khẩu trên nhiều trang web. Nó cũng ngăn bạn sử dụng ghi chú dán. 😉

Và theo như cài đặt WordPress của bạn, bạn không bao giờ nên sử dụng tên người dùng “quản trị viên” mặc định. Tạo tên người dùng WordPress duy nhất cho tài khoản quản trị viên và xóa người dùng “quản trị viên” nếu nó tồn tại. Bạn có thể thực hiện việc này bằng cách thêm một người dùng mới trong phần “Người dùng” trong bảng điều khiển và chỉ định hồ sơ “Quản trị viên” cho người đó [như bên dưới]

Vai trò quản trị viên WordPress

Khi bạn chỉ định vai trò quản trị viên cho tài khoản mới, bạn có thể quay lại và xóa người dùng "Quản trị viên" ban đầu. Đảm bảo rằng khi bạn nhấp vào xóa, bạn chọn tùy chọn “Ghi công tất cả nội dung cho” và chọn hồ sơ quản trị viên mới của bạn. Điều này sẽ chỉ định người đó là tác giả của những bài đăng đó

Thuộc tính tất cả nội dung cho quản trị viên

Bạn cũng có thể đổi tên tên người dùng quản trị viên hiện tại của mình theo cách thủ công trong phpMyAdmin bằng lệnh sau. Đảm bảo sao lưu cơ sở dữ liệu của bạn trước khi chỉnh sửa bảng

UPDATE wp_users SET user_login = 'newcomplexadminuser' WHERE user_login = 'admin';

4. Luôn sử dụng Phiên bản mới nhất của WordPress, Plugin và Chủ đề

Một cách rất quan trọng khác để tăng cường bảo mật WordPress của bạn là luôn cập nhật nó. Điều này bao gồm lõi, plugin và chủ đề của WordPress [cả những thứ từ kho lưu trữ WordPress và cao cấp]. Chúng được cập nhật vì một lý do và rất nhiều lần chúng bao gồm các cải tiến bảo mật và sửa lỗi. Chúng tôi khuyên bạn nên đọc hướng dẫn chuyên sâu của chúng tôi về cách hoạt động của cập nhật tự động WordPress

Luôn cập nhật WordPress

Thật không may, hàng triệu doanh nghiệp ngoài kia đang chạy các phiên bản lỗi thời của phần mềm và plugin WordPress nhưng vẫn tin rằng họ đang đi đúng hướng để thành công trong kinh doanh. Họ viện dẫn những lý do không cập nhật, chẳng hạn như “trang web của họ sẽ bị hỏng” hoặc “các sửa đổi cốt lõi sẽ không còn nữa” hoặc “plugin X không hoạt động” hoặc “đơn giản là họ không cần chức năng mới”

Trên thực tế, các trang web bị hỏng chủ yếu là do lỗi trong các phiên bản WordPress cũ hơn. Các sửa đổi cốt lõi không bao giờ được đề xuất bởi nhóm WordPress và các nhà phát triển chuyên gia, những người hiểu các rủi ro liên quan. Và các bản cập nhật WordPress chủ yếu bao gồm các bản vá bảo mật bắt buộc cùng với chức năng bổ sung cần thiết để chạy các plugin mới nhất

Bạn có biết rằng đã có báo cáo rằng các lỗ hổng plugin chiếm 55. 9% số điểm vào đã biết cho tin tặc? . Bằng cách cập nhật plugin của mình, bạn có thể đảm bảo tốt hơn rằng mình không phải là một trong những nạn nhân này

Các trang web WordPress bị tấn công

Bạn cũng nên cài đặt các plugin đáng tin cậy. Các danh mục “nổi bật” và “phổ biến” trong kho lưu trữ WordPress có thể là một nơi tốt để bắt đầu. Hoặc tải xuống trực tiếp từ trang web của nhà phát triển. Chúng tôi đặc biệt không khuyến khích mọi việc sử dụng plugin và chủ đề WordPress không có giá trị

Trước hết, bạn không bao giờ biết mã sửa đổi có thể chứa gì. Điều này có thể dễ dàng dẫn đến việc trang web của bạn bị tấn công. Không trả tiền cho các plugin WordPress cao cấp cũng không giúp cộng đồng phát triển nói chung. Chúng tôi cần hỗ trợ các nhà phát triển

Đây là cách xóa chủ đề WordPress đúng cách

Bạn có thể sử dụng một công cụ trực tuyến như VirusTotal để quét các tệp của plugin hoặc chủ đề để xem liệu công cụ này có phát hiện bất kỳ loại phần mềm độc hại nào không

VirusTotal

Cách cập nhật lõi WordPress

Có một số cách dễ dàng để cập nhật cài đặt WordPress của bạn. Nếu bạn là khách hàng của Kinsta, chúng tôi đã cung cấp các bản sao lưu tự động với tùy chọn khôi phục bằng một cú nhấp chuột. Bằng cách này, bạn có thể kiểm tra các phiên bản mới của WordPress và các plugin mà không phải lo lắng về việc nó sẽ vi phạm bất cứ điều gì. Hoặc trước tiên bạn cũng có thể thử nghiệm trong môi trường dàn dựng của chúng tôi

Để cập nhật lõi WordPress, bạn có thể nhấp vào “Cập nhật” trong bảng điều khiển WordPress của mình và nhấp vào nút “Cập nhật ngay”

Cập nhật lõi WordPress

Bạn cũng có thể cập nhật WordPress theo cách thủ công bằng cách tải phiên bản mới nhất xuống và tải lên qua SFTP

Quan trọng. Ghi đè sai thư mục có thể làm hỏng trang web của bạn nếu không được thực hiện đúng cách. Nếu bạn không thoải mái khi làm điều này, vui lòng kiểm tra với nhà phát triển trước

Thực hiện theo các bước bên dưới để cập nhật cài đặt hiện tại của bạn

1. Xóa các thư mục

   home/user/.htpasswds/public_html/wp-admin/htpasswd/

   3 và

   home/user/.htpasswds/public_html/wp-admin/htpasswd/

   4 cũ
2. Tải lên các thư mục

   home/user/.htpasswds/public_html/wp-admin/htpasswd/

   3 và

   home/user/.htpasswds/public_html/wp-admin/htpasswd/

   4 mới
3. Tải các tệp riêng lẻ từ thư mục

   home/user/.htpasswds/public_html/wp-admin/htpasswd/

   7 mới lên thư mục

   home/user/.htpasswds/public_html/wp-admin/htpasswd/

   7 hiện có của bạn, ghi đè lên các tệp hiện có. KHÔNG xóa thư mục

   home/user/.htpasswds/public_html/wp-admin/htpasswd/

   7 hiện tại của bạn. KHÔNG xóa bất kỳ tệp hoặc thư mục nào trong thư mục

   home/user/.htpasswds/public_html/wp-admin/htpasswd/

   7 hiện có của bạn [ngoại trừ tệp hoặc thư mục bị ghi đè bởi các tệp mới]
4. Tải tất cả các tệp rời mới từ thư mục gốc của phiên bản mới lên thư mục gốc WordPress hiện tại của bạn

Cách cập nhật plugin WordPress

Cập nhật plugin WordPress của bạn là một quá trình rất giống với cập nhật lõi WordPress. Nhấp vào “Cập nhật” trong bảng điều khiển WordPress của bạn, chọn plugin bạn muốn cập nhật và nhấp vào “Cập nhật plugin. ”

Cập nhật plugin WordPress

Tương tự như vậy, bạn cũng có thể cập nhật plugin theo cách thủ công. Chỉ cần lấy phiên bản mới nhất từ ​​nhà phát triển plugin hoặc kho lưu trữ WordPress và tải nó lên qua FTP, ghi đè lên plugin hiện có trong thư mục 

home/user/.htpasswds/public_html/wp-admin/htpasswd/

11

Cũng cần lưu ý rằng các nhà phát triển không phải lúc nào cũng cập nhật plugin của họ. Nhóm tại WP Loop đã thực hiện một phân tích nhỏ tuyệt vời về việc có bao nhiêu plugin WordPress trong kho lưu trữ không được cập nhật với lõi WordPress hiện tại. Theo nghiên cứu của họ, gần 50% plugin trong kho lưu trữ đã không được cập nhật trong hơn 2 năm

Điều này không có nghĩa là plugin sẽ không hoạt động với phiên bản WordPress hiện tại, nhưng bạn nên chọn các plugin được cập nhật tích cực. Các plugin lỗi thời có nhiều khả năng chứa các lỗ hổng bảo mật

img src. Vòng lặp WP

Sử dụng phán đoán tốt nhất của bạn khi nói đến plugin. Xem ngày “Cập nhật lần cuối” và số lượng xếp hạng mà một plugin có. Như đã thấy trong ví dụ bên dưới, cái này đã lỗi thời và có nhiều đánh giá không tốt, vì vậy chúng tôi rất có thể khuyên bạn nên tránh xa nó. WordPress cũng có một cảnh báo ở đầu hầu hết các plugin đã lâu không được cập nhật

Plugin WordPress cũ có xếp hạng kém

Ngoài ra còn có rất nhiều tài nguyên để giúp bạn cập nhật các bản cập nhật và lỗ hổng bảo mật mới nhất của WordPress. Xem một số trong số họ dưới đây

• Người viết blog bảo mật WP. Một tài nguyên tổng hợp tuyệt vời của hơn 20 nguồn cấp dữ liệu bảo mật
• WPScan. Danh mục hơn 10.000 lỗ hổng WordPress Core, Plugin và Theme
• Kho lưu trữ bảo mật chính thức của WordPress

Kho lưu trữ bảo mật WordPress

5. Khóa quản trị viên WordPress của bạn

Đôi khi, chiến lược phổ biến về bảo mật WordPress bằng cách che khuất có hiệu quả phù hợp đối với một doanh nghiệp trực tuyến trung bình và trang web WordPress. Nếu bạn khiến tin tặc khó tìm thấy một số cửa hậu nhất định thì bạn sẽ ít bị tấn công hơn. Khóa khu vực quản trị WordPress của bạn và đăng nhập là một cách tốt để tăng cường bảo mật của bạn. Hai cách tuyệt vời để thực hiện việc này trước tiên là thay đổi URL đăng nhập wp-admin mặc định của bạn và cũng hạn chế số lần đăng nhập

Bảo mật bằng cách che khuất có thể là một cách dễ dàng và hiệu quả để tăng cường bảo mật cho WordPress của bạn. 🔒Nhấp để Tweet

Cách thay đổi URL đăng nhập WordPress của bạn

Theo mặc định, URL đăng nhập trang web WordPress của bạn là tên miền. com/wp-admin. Một trong những vấn đề với điều này là tất cả các bot, tin tặc và tập lệnh ngoài kia cũng biết điều này. Bằng cách thay đổi URL, bạn có thể khiến mình ít trở thành mục tiêu hơn và tự bảo vệ mình tốt hơn trước các cuộc tấn công vũ phu. Đây không phải là giải pháp khắc phục tất cả, nó chỉ đơn giản là một thủ thuật nhỏ chắc chắn có thể giúp bảo vệ bạn

Để thay đổi URL đăng nhập WordPress của bạn, chúng tôi khuyên bạn nên sử dụng plugin đăng nhập WPS Hide miễn phí hoặc plugin Perfmatters cao cấp. Cả hai plugin đều có trường nhập liệu đơn giản. Chỉ cần nhớ chọn thứ gì đó độc đáo chưa có trong danh sách mà bot hoặc tập lệnh có thể cố gắng quét

Ẩn URL đăng nhập WordPress với Perfmatters

Cách hạn chế số lần đăng nhập

Mặc dù giải pháp thay đổi URL đăng nhập quản trị viên ở trên có thể giúp giảm phần lớn các lần đăng nhập không hợp lệ, nhưng việc đặt giới hạn tại chỗ cũng có thể rất hiệu quả. Plugin miễn phí Giới hạn số lần đăng nhập được tải lại là một cách tuyệt vời để dễ dàng thiết lập thời lượng khóa, số lần đăng nhập cũng như danh sách trắng và danh sách đen IP

Giới hạn số lần đăng nhập được tải lại

Nếu bạn đang tìm kiếm một giải pháp bảo mật WordPress đơn giản hơn, thì một giải pháp thay thế tuyệt vời khác là plugin Khóa đăng nhập miễn phí. Login LockDown ghi lại địa chỉ IP và dấu thời gian của mỗi lần đăng nhập không thành công. Nếu phát hiện nhiều hơn một số lần thử nhất định trong một khoảng thời gian ngắn từ cùng một dải IP, thì chức năng đăng nhập sẽ bị tắt đối với tất cả các yêu cầu từ dải đó. Và nó hoàn toàn tương thích với plugin đăng nhập WPS Hide mà chúng tôi đã đề cập ở trên

khóa WordPress

Cách thêm xác thực HTTP cơ bản [bảo vệ htpasswd]

Một cách khác để khóa quản trị viên của bạn là thêm xác thực HTTP. Điều này yêu cầu tên người dùng và mật khẩu trước khi có thể truy cập trang đăng nhập WordPress. Ghi chú. Điều này thường không nên được sử dụng trên các trang web thương mại điện tử hoặc trang web thành viên. Nhưng nó có thể là một cách rất hiệu quả để ngăn bot tấn công trang web của bạn

dấu nhắc xác thực htpasswd

apache

Nếu bạn đang sử dụng máy chủ cPanel, bạn có thể bật các thư mục được bảo vệ bằng mật khẩu từ bảng điều khiển của họ. Để thiết lập theo cách thủ công, trước tiên bạn cần tạo một tệp 

home/user/.htpasswds/public_html/wp-admin/htpasswd/

12. Bạn có thể sử dụng công cụ tạo tiện dụng này. Sau đó tải tệp lên một thư mục trong thư mục wp-admin của bạn, chẳng hạn như

home/user/.htpasswds/public_html/wp-admin/htpasswd/

Sau đó, tạo một tệp

home/user/.htpasswds/public_html/wp-admin/htpasswd/

13 với mã sau đây và tải nó lên thư mục

home/user/.htpasswds/public_html/wp-admin/htpasswd/

14 của bạn. Đảm bảo bạn cập nhật đường dẫn thư mục và tên người dùng

home/user/.htpasswds/public_html/wp-admin/htpasswd/

1

Một lưu ý khi làm theo cách này là nó sẽ phá vỡ AJAX [admin-ajax] ở mặt trước của trang web của bạn. Điều này được yêu cầu bởi một số plugin của bên thứ ba. Do đó, bạn cũng sẽ cần thêm đoạn mã sau vào phần trên. tập tin htaccess

home/user/.htpasswds/public_html/wp-admin/htpasswd/

7

Nginx

Nếu bạn đang chạy Nginx, bạn cũng có thể hạn chế quyền truy cập bằng xác thực cơ bản HTTP. Kiểm tra hướng dẫn này

Nếu bạn lưu trữ trang web WordPress của mình tại Kinsta, thì bạn có thể sử dụng công cụ bảo vệ bằng mật khẩu [htpasswd] dễ dàng của chúng tôi trong bảng điều khiển MyKinsta. Bạn có thể tìm thấy nó trong phần “Công cụ” trên trang web của mình. Chỉ cần nhấp vào “Bật”, chọn tên người dùng và mật khẩu, và bạn đã sẵn sàng

Cho phép. bảo vệ htpasswd

Sau khi nó được kích hoạt, trang web WordPress của bạn sẽ yêu cầu xác thực để truy cập nó. Bạn có thể thay đổi thông tin đăng nhập bất cứ lúc nào hoặc tắt nó khi bạn không cần nữa

Khóa đường dẫn URL

Nếu bạn đang sử dụng tường lửa ứng dụng web [WAF] chẳng hạn như Cloudflare hoặc Sucuri, họ cũng có cách khóa đường dẫn URL. Về cơ bản, bạn có thể thiết lập quy tắc để chỉ địa chỉ IP của bạn mới có thể truy cập URL đăng nhập quản trị viên WordPress của bạn. Một lần nữa, điều này thường không nên được sử dụng trên các trang web Thương mại điện tử hoặc trang web thành viên vì chúng cũng dựa vào việc truy cập vào phần phụ trợ của trang web của bạn

• Cloudflare có tính năng khóa URL trong tài khoản Pro trở lên của họ. Bạn có thể thiết lập quy tắc cho bất kỳ URL hoặc đường dẫn nào
• Sucuri có tính năng đường dẫn URL trong danh sách đen. Sau đó, bạn có thể đưa IP của riêng mình vào danh sách trắng

6. Tận dụng xác thực hai yếu tố

Và tất nhiên, chúng ta không thể quên xác thực hai yếu tố. Cho dù mật khẩu của bạn an toàn đến đâu thì luôn có nguy cơ ai đó phát hiện ra mật khẩu đó. Xác thực hai yếu tố bao gồm quy trình hai bước, trong đó bạn không chỉ cần mật khẩu để đăng nhập mà còn cần phương thức thứ hai. Đó thường là tin nhắn văn bản [SMS], cuộc gọi điện thoại hoặc mật khẩu dùng một lần dựa trên thời gian [TOTP]. Trong hầu hết các trường hợp, điều này có hiệu quả 100% trong việc ngăn chặn các cuộc tấn công vũ phu vào trang web WordPress của bạn. Tại sao?

Thực sự có hai phần khi nói đến xác thực hai yếu tố. Đầu tiên là tài khoản của bạn và hoặc bảng điều khiển mà bạn có với nhà cung cấp dịch vụ lưu trữ web của mình. Nếu ai đó có quyền truy cập vào điều này, họ có thể thay đổi mật khẩu của bạn, xóa trang web của bạn, thay đổi bản ghi DNS và đủ thứ kinh khủng khác. Tại Kinsta, chúng tôi đã hợp tác với Authy và cung cấp tính năng xác thực hai yếu tố cho trang tổng quan MyKinsta của bạn

Phần thứ hai của xác thực hai yếu tố liên quan đến cài đặt WordPress thực tế của bạn. Đối với điều này, có một vài plugin chúng tôi khuyên dùng

• Xác thực hai yếu tố kép
• Trình xác thực Google
• Xác thực hai yếu tố

Nhiều trong số này có Ứng dụng xác thực riêng mà bạn có thể cài đặt trên điện thoại của mình

• Ứng dụng di động Android Duo
• Ứng dụng di động iPhone Duo
• Ứng dụng xác thực Google trên Android
• iPhone Ứng dụng Google Authenticator

Sau khi cài đặt và định cấu hình một trong các plugin trên, thông thường bạn sẽ có một trường bổ sung trên trang đăng nhập WordPress để nhập mã bảo mật của mình. Hoặc, với plugin Duo, trước tiên bạn đăng nhập bằng thông tin đăng nhập của mình, sau đó được yêu cầu chọn một phương thức xác thực, chẳng hạn như Duo Push, cuộc gọi hoặc mật mã

Đăng kí để nhận thư mới

Bạn muốn biết làm thế nào chúng tôi tăng lưu lượng truy cập của mình hơn 1000%?

Tham gia cùng hơn 20.000 người khác nhận bản tin hàng tuần của chúng tôi với các mẹo nội bộ về WordPress

Theo dõi ngay

Phương pháp này có thể dễ dàng kết hợp với việc thay đổi URL đăng nhập mặc định của bạn mà chúng tôi đã đề cập trước đó. Vì vậy, URL đăng nhập WordPress của bạn không chỉ là thứ chỉ bạn biết mà giờ đây nó còn yêu cầu xác thực bổ sung để truy cập. 💪

Trang xác thực hai yếu tố WordPress

Vì vậy, hãy đảm bảo tận dụng xác thực hai yếu tố, đây có thể là một cách dễ dàng để tăng cường bảo mật cho WordPress của bạn

7. Sử dụng HTTPS cho các kết nối được mã hóa – Chứng chỉ SSL

Một trong những cách dễ bị bỏ qua nhất để tăng cường bảo mật WordPress của bạn là cài đặt chứng chỉ SSL và chạy trang web của bạn qua HTTPS. HTTPS [Hyper Text Transfer Protocol Secure] là một cơ chế cho phép trình duyệt hoặc ứng dụng web của bạn kết nối an toàn với một trang web. Một quan niệm sai lầm lớn là nếu bạn không chấp nhận thẻ tín dụng thì bạn không cần SSL

Chà, hãy để chúng tôi giải thích một vài lý do tại sao HTTPS lại quan trọng ngoài Thương mại điện tử. Nhiều máy chủ, bao gồm cả Kinsta, cung cấp chứng chỉ SSL miễn phí với Let's Encrypt

Kết nối được mã hóa HTTPS

1. Bảo vệ

Tất nhiên, lý do lớn nhất cho HTTPS là tính bảo mật được bổ sung và vâng, điều này liên quan chặt chẽ đến các trang web Thương mại điện tử. Tuy nhiên, thông tin đăng nhập của bạn quan trọng như thế nào? . HTTPS cực kỳ quan trọng trong việc duy trì kết nối an toàn giữa trang web và trình duyệt. Bằng cách này, bạn có thể ngăn chặn tin tặc và hoặc người trung gian truy cập vào trang web của mình tốt hơn

Vì vậy, cho dù bạn có blog, trang tin tức, đại lý, v.v. , tất cả họ đều có thể hưởng lợi từ HTTPS vì điều này đảm bảo không có gì chuyển qua dạng văn bản thuần túy

2. SEO

Google đã chính thức nói rằng HTTPS là một yếu tố xếp hạng. Mặc dù đây chỉ là một yếu tố xếp hạng nhỏ, nhưng hầu hết các bạn có thể sẽ tận dụng bất kỳ lợi thế nào bạn có thể có được trong SERPs để đánh bại đối thủ cạnh tranh của mình

3. Niềm tin và sự tín nhiệm

Theo khảo sát từ GlobalSign, 28. 9% khách truy cập tìm kiếm thanh địa chỉ màu xanh lục trong trình duyệt của họ. Và 77% trong số họ lo lắng về việc dữ liệu của họ bị chặn hoặc lạm dụng trực tuyến. Khi nhìn thấy ổ khóa màu xanh lá cây đó, khách hàng sẽ ngay lập tức yên tâm hơn khi biết rằng dữ liệu của họ được bảo mật hơn

4. Dữ liệu giới thiệu

Rất nhiều người không nhận ra rằng dữ liệu giới thiệu từ HTTPS đến HTTP đã bị chặn trong Google Analytics. Vì vậy, những gì xảy ra với dữ liệu? . Nếu ai đó đang chuyển từ HTTP sang HTTPS thì liên kết giới thiệu vẫn được chuyển

5. Cảnh báo Chrome

Kể từ ngày 24 tháng 7 năm 2018, các phiên bản Chrome 68 trở lên bắt đầu đánh dấu tất cả các trang web không phải HTTPS là “Không an toàn. ”  Bất kể họ có thu thập dữ liệu hay không. Đây là lý do tại sao HTTPS quan trọng hơn bao giờ hết

Điều này đặc biệt quan trọng nếu trang web của bạn nhận được phần lớn lưu lượng truy cập từ Chrome. Bạn có thể xem Google Analytics trong phần Đối tượng trong Trình duyệt & Hệ điều hành để xem phần trăm lưu lượng truy cập mà trang web WordPress của bạn nhận được từ Google Chrome. Google đang nói rõ hơn với khách truy cập rằng trang web WordPress của bạn có thể không chạy trên kết nối an toàn

Chrome không phải là một trang web an toàn

6. Màn biểu diễn

Do giao thức có tên là HTTP/2, rất nhiều lần, những người chạy các trang web được tối ưu hóa đúng cách qua HTTPS thậm chí có thể thấy sự cải thiện về tốc độ. HTTP/2 yêu cầu HTTPS vì hỗ trợ trình duyệt. Sự cải thiện về hiệu suất là do nhiều lý do, chẳng hạn như HTTP/2 có thể hỗ trợ ghép kênh tốt hơn, xử lý song song, nén HPACK bằng mã hóa Huffman, tiện ích mở rộng ALPN và đẩy máy chủ

Và với TLS 1. 3, Kết nối HTTPS thậm chí còn nhanh hơn. Kinsta hỗ trợ TLS 1. 3 trên tất cả các máy chủ của chúng tôi và CDN Kinsta của chúng tôi

Suy nghĩ lại về HTTPS bây giờ?

Để thực thi kết nối được mã hóa, an toàn giữa bạn và máy chủ khi đăng nhập và quản trị trang web của bạn, hãy thêm dòng sau vào tệp

home/user/.htpasswds/public_html/wp-admin/htpasswd/

15 của bạn

home/user/.htpasswds/public_html/wp-admin/htpasswd/

9

[Cách đọc được đề nghị. nếu bạn đang sử dụng các phiên bản TLS cũ, bạn có thể muốn sửa Thông báo ERR_SSL_OBSOLETE_VERSION trong Chrome]

8. Làm cứng wp-config của bạn. tập tin php

wp-config của bạn. php giống như trái tim và linh hồn của cài đặt WordPress của bạn. Cho đến nay, đây là tệp quan trọng nhất trên trang web của bạn khi nói đến bảo mật WordPress. Nó chứa thông tin đăng nhập cơ sở dữ liệu của bạn và các khóa bảo mật xử lý việc mã hóa thông tin trong cookie. Dưới đây là một số điều bạn có thể làm để bảo vệ tệp quan trọng này tốt hơn

1. Di chuyển wp-config. php

Theo mặc định, wp-config của bạn. php nằm trong thư mục gốc của bản cài đặt WordPress [thư mục 

home/user/.htpasswds/public_html/wp-admin/htpasswd/

16 HTML của bạn]. Nhưng bạn có thể chuyển thư mục này sang thư mục không thể truy cập www. Aaron Adams đã viết một lời giải thích tuyệt vời về lý do tại sao điều này lại có lợi

Để di chuyển tệp

home/user/.htpasswds/public_html/wp-admin/htpasswd/

15 của bạn, chỉ cần sao chép mọi thứ ra khỏi tệp đó vào một tệp khác. Sau đó, trong tệp

home/user/.htpasswds/public_html/wp-admin/htpasswd/

15 của bạn, bạn có thể đặt đoạn mã sau để chỉ bao gồm tệp khác của bạn. Ghi chú. đường dẫn thư mục có thể khác nhau dựa trên máy chủ web và thiết lập của bạn. Thông thường mặc dù nó chỉ đơn giản là một thư mục ở trên

UPDATE wp_users SET user_login = 'newcomplexadminuser' WHERE user_login = 'admin';

3

Ghi chú. điều này sẽ không hoạt động đối với ứng dụng khách Kinsta và sẽ phá vỡ chức năng trên nền tảng của chúng tôi. Điều này là do các hạn chế open_basedir của chúng tôi không cho phép thực thi PHP phía trên thư mục

home/user/.htpasswds/public_html/wp-admin/htpasswd/

19 vì lý do bảo mật. Tin tốt là chúng tôi xử lý việc này cho bạn. Chúng tôi thực hiện điều tương tự một cách hiệu quả bằng cách chặn quyền truy cập vào

home/user/.htpasswds/public_html/wp-admin/htpasswd/

70 trong thư mục

home/user/.htpasswds/public_html/wp-admin/htpasswd/

19. Cấu hình Nginx mặc định của chúng tôi bao gồm một quy tắc sẽ trả về 403 cho mọi nỗ lực truy cập vào

home/user/.htpasswds/public_html/wp-admin/htpasswd/

15

2. Cập nhật Khóa bảo mật WordPress

Khóa bảo mật WordPress là một tập hợp các biến ngẫu nhiên giúp cải thiện khả năng mã hóa thông tin được lưu trữ trong cookie của người dùng. Kể từ WordPress 2. 7 đã có 4 khóa khác nhau.

home/user/.htpasswds/public_html/wp-admin/htpasswd/

73,

home/user/.htpasswds/public_html/wp-admin/htpasswd/

74, 

home/user/.htpasswds/public_html/wp-admin/htpasswd/

75, và 

home/user/.htpasswds/public_html/wp-admin/htpasswd/

76

Khi bạn cài đặt WordPress, chúng được tạo ngẫu nhiên cho bạn. Tuy nhiên, nếu bạn đã trải qua nhiều lần di chuyển [hãy kiểm tra danh sách các plugin di chuyển WordPress tốt nhất được tuyển chọn của chúng tôi] hoặc mua một trang web từ người khác, thì bạn nên tạo các khóa WordPress mới

WordPress thực sự có một công cụ miễn phí mà bạn có thể sử dụng để tạo các khóa ngẫu nhiên. Bạn có thể cập nhật các khóa hiện tại được lưu trữ trong wp-config của mình. php file

WordPress security keys

Read more about WordPress security keys

3. Change Permissions

Typically files in the root directory of a WordPress site will be set to 644, which means that files are readable and writeable by the owner of the file and readable by users in the group owner of that file and readable by everyone else.  According to the WordPress documentation, the permissions on the

home/user/.htpasswds/public_html/wp-admin/htpasswd/

15 file should be set to 440 or 400 to prevent other users on the server from reading it. You can easily change this with your FTP client

wp-config. php permissions

On some hosting platforms, the permissions might need to be different because the user running the web server doesn’t have permission to write files. If you aren’t sure about this, check with your hosting provider

9.  Disable XML-RPC

In the past years XML-RPC has become an increasingly large target for brute force attacks. As Sucuri mentioned, one of the hidden features of XML-RPC is that you can use the system. multicall phương thức để thực thi nhiều phương thức trong một yêu cầu. That’s very useful as it allow application to pass multiple commands within one HTTP request. But what also happens is that it is used for malicious intent

There are a few WordPress plugins like Jetpack that rely on XML-RPC, but a majority of people out there won’t need this and it can be beneficial to simply disable access to it.  Not sure if XML-RPC is currently running on your website? Danilo Ercoli, from the Automattic team, wrote a little tool called the XML-RPC Validator. You can run your WordPress site through that to see if it has XML-RPC enabled. If it isn’t, you will see a failure message such as shown in the image below on the Kinsta blog

WordPress XML-RPC validator

To disable this completely you can install the free Disable XML-RPC plugin. Or you can disable it with the premium perfmatters plugin, which also contains web performance improvements

Struggling with downtime and WordPress problems? Kinsta is the hosting solution designed to save you time. Check out our features

If you are a customer here at Kinsta this is not needed because when an attack through XML-RPC is detected a little snippet of code is added into the NGINX config file to stop them in their tracks – producing a 403 error

home/user/.htpasswds/public_html/wp-admin/htpasswd/

3

10.  Hide Your WordPress Version

Hiding your WordPress version touches again on the subject of WordPress security by obscurity. The less other people know about your WordPress site configuration the better. If they see you are running an out of date WordPress installation, this could be a welcome sign to intruders. By default, the WordPress version shows up in the header of your site’s source code. Again, we recommend simply making sure your WordPress installation is always up to date so you don’t have to worry about this

WordPress version in source code

You can use the following code to remove this. Simply add it to your WordPress theme’s

home/user/.htpasswds/public_html/wp-admin/htpasswd/

78 file

Important. Editing the source code of a WordPress theme could break your site if not done correctly. If you are not comfortable doing this, please check with a developer first

home/user/.htpasswds/public_html/wp-admin/htpasswd/

5

You could also use a premium plugin like perfmatters [developed by a team member at Kinsta], which allows you to hide the WordPress version with one-click, along with other optimizations for your WordPress site

Hide WordPress version with Perfmatters

Another place where the WordPress version shows up is in the default

home/user/.htpasswds/public_html/wp-admin/htpasswd/

79 file [as shown below] that is included in every WordPress version. It is located in the root of your installation,

home/user/.htpasswds/public_html/wp-admin/htpasswd/

90. You can safely delete this file via FTP

WordPress version in readme file

If you’re running WordPress 5. 0 or higher this is no longer applicable as the version number is no longer included in the file

11. Add Latest HTTP Security Headers

Another step you can take to harden your WordPress security is to take advantage of HTTP security headers. These are usually configured at the web server level and tell the browser how to behave when handling your site’s content. There are a lot of different HTTP security headers, but below are typically the most important ones

• Content-Security Policy
• X-XSS-Protection
• Strict-Transport-Security
• X-Frame-Options
• Public-Key-Pins
• X-Content-Type

KeyCDN has a great in-depth post if you want to read more about HTTP security headers

You can check which headers are currently running on your WordPress site by launching Chrome devtools and looking at the header on your site’s initial response. Below is an example on kinsta. com. You can see we are utilizing the

home/user/.htpasswds/public_html/wp-admin/htpasswd/

91,

home/user/.htpasswds/public_html/wp-admin/htpasswd/

92, and

home/user/.htpasswds/public_html/wp-admin/htpasswd/

93 headers

HTTP security headers

You can also scan your WordPress website with the free securityheaders. io tool by Scott Helme. This will show you which HTTP security headers you currently have on your site. If you aren’t sure how to implement them you can always ask your host if they can help

HTTP security headers scan

Important

It is also important to remember that when you implement HTTP security headers how it might affect your WordPress subdomains. For example, if you add the Content Security Policy header and restrict access by domains, you need to add your own subdomains as well

12. Use WordPress Security Plugins

And of course, we have to give some WordPress security plugins some mentions. There are a lot of great developers and companies out there which provide great solutions to help better protect your WordPress site. Here are a couple of them

• Sucuri Security
• iThemes Security
• WordFence Security
• WP fail2ban
• SecuPress

Kinsta has hardware firewalls, active and passive security, by-the-minute uptime checks and scores of other advanced features to prevent attackers from gaining access to your data. If, despite our best efforts, your site is compromised we’ll fix it for free

Here are some typical features and uses of the plugins above

• Generate and force strong passwords when creating user profiles
• Force passwords to expire and be reset on a regular basis
• User action logging
• Cập nhật dễ dàng các khóa bảo mật WordPress
• Malware Scanning
• Two-factor authentication
• reCAPTCHAs
• WordPress security firewalls
• IP whitelisting
• IP blacklisting
• File changelogs
• Theo dõi các thay đổi DNS
• Block malicious networks
• Xem thông tin WHOIS về khách truy cập

Một tính năng rất quan trọng mà nhiều plugin bảo mật bao gồm là tiện ích tổng kiểm tra. Điều này có nghĩa là họ kiểm tra cài đặt WordPress của bạn và tìm kiếm các sửa đổi trên các tệp cốt lõi do WordPress cung cấp. org [thông qua API]. Bất kỳ thay đổi hoặc sửa đổi nào đối với các tệp này đều có thể chỉ ra một vụ hack. Bạn cũng có thể sử dụng WP-CLI để chạy tổng kiểm tra của riêng mình

Đảm bảo đọc hướng dẫn kỹ lưỡng của chúng tôi về Giám sát tính toàn vẹn của tệp

Một plugin tuyệt vời khác xứng đáng được đề cập danh dự là plugin WP Security Audit Log. Điều này thật tuyệt vời đối với những bạn làm việc trên nhiều trang WordPress hoặc đơn giản là các trang nhiều tác giả. Nó giúp đảm bảo năng suất của người dùng và cho phép quản trị viên xem mọi thứ đang được thay đổi;

Đó là một giải pháp nhật ký hoạt động WordPress hoàn chỉnh. Khi viết bài này, plugin Nhật ký kiểm tra bảo mật WP có hơn 80.000 lượt cài đặt đang hoạt động với 4. 7 trên 5 sao. Đó là một lựa chọn tuyệt vời nếu bạn đang tìm kiếm một giải pháp bảo mật tương thích nhiều trang WordPress

Trình xem nhật ký kiểm toán bảo mật

Nó cũng có các tiện ích bổ sung cao cấp như thông báo email, quản lý phiên người dùng, tìm kiếm và báo cáo. Kiểm tra các plugin bảo mật WordPress bổ sung này có thể giúp khóa những kẻ xấu

13. Tăng cường bảo mật cơ sở dữ liệu

Có một số cách để bảo mật tốt hơn trên cơ sở dữ liệu WordPress của bạn. Đầu tiên là sử dụng tên cơ sở dữ liệu thông minh. Nếu trang web của bạn được đặt tên là thủ thuật bóng chuyền, theo mặc định, cơ sở dữ liệu WordPress của bạn rất có thể được đặt tên là

home/user/.htpasswds/public_html/wp-admin/htpasswd/

94. Bằng cách thay đổi tên cơ sở dữ liệu của bạn thành một số khó hiểu hơn, nó giúp bảo vệ trang web của bạn bằng cách khiến tin tặc khó xác định và truy cập chi tiết cơ sở dữ liệu của bạn hơn

Khuyến nghị thứ hai là sử dụng tiền tố bảng cơ sở dữ liệu khác. Theo mặc định, WordPress sử dụng

home/user/.htpasswds/public_html/wp-admin/htpasswd/

95. Thay đổi điều này thành một cái gì đó như

home/user/.htpasswds/public_html/wp-admin/htpasswd/

96 có thể an toàn hơn nhiều. Khi bạn cài đặt WordPress, nó sẽ yêu cầu tiền tố bảng [như bên dưới]. Ngoài ra còn có các cách để thay đổi tiền tố bảng WordPress trên các bản cài đặt hiện có. Nếu bạn là khách hàng của Kinsta, điều này không cần thiết. Chúng tôi đã khóa trang web và cơ sở dữ liệu

Tiền tố bảng WordPress – img src. jatinarora

14. Luôn sử dụng các kết nối an toàn

Chúng tôi không thể nhấn mạnh đủ tầm quan trọng của việc sử dụng các kết nối an toàn. Đảm bảo rằng máy chủ lưu trữ WordPress của bạn thực hiện các biện pháp phòng ngừa như cung cấp SFTP hoặc SSH. SFTP hoặc Giao thức truyền tệp an toàn [còn được gọi là giao thức truyền tệp SSH], là một giao thức mạng được sử dụng để truyền tệp. Đây là một phương pháp an toàn hơn so với FTP tiêu chuẩn

Chúng tôi chỉ hỗ trợ các kết nối SFTP tại Kinsta để đảm bảo dữ liệu của bạn được an toàn và được mã hóa. Hầu hết các máy chủ WordPress cũng thường sử dụng cổng 22 cho SFTP. Chúng tôi tiến thêm một bước tại đây tại Kinsta và mọi trang web đều có một cổng ngẫu nhiên có thể tìm thấy trong bảng điều khiển MyKinsta của bạn

Chi tiết SFTP trong MyKinsta

Điều quan trọng nữa là đảm bảo rằng bộ định tuyến gia đình của bạn được thiết lập chính xác. Nếu ai đó hack mạng gia đình của bạn, họ có thể có quyền truy cập vào tất cả các loại thông tin, bao gồm cả nơi lưu trữ thông tin quan trọng về [các] trang web WordPress của bạn. Dưới đây là một số mẹo đơn giản

• Không bật quản lý từ xa [VPN]. Người dùng thông thường không bao giờ sử dụng tính năng này và bằng cách tắt tính năng này, bạn có thể tránh để lộ mạng của mình ra thế giới bên ngoài
• Bộ định tuyến theo mặc định sử dụng IP trong phạm vi như 192. 168. 1. 1. Sử dụng một phạm vi khác, chẳng hạn như 10. 9. 8. 7
• Kích hoạt mức mã hóa cao nhất trên Wifi của bạn
• Danh sách trắng IP Wifi của bạn để chỉ những người có mật khẩu và IP nhất định mới có thể truy cập được
• Luôn cập nhật chương trình cơ sở trên bộ định tuyến của bạn

Và hãy luôn cẩn thận khi đăng nhập vào trang WordPress của bạn ở những địa điểm công cộng. Hãy nhớ rằng, Starbucks không phải là một mạng an toàn. Thực hiện các biện pháp phòng ngừa như xác minh SSID mạng trước khi bạn nhấp vào kết nối. Bạn cũng có thể sử dụng dịch vụ VPN của bên thứ 3 như ExpressVPN để mã hóa lưu lượng truy cập internet và ẩn địa chỉ IP của bạn khỏi tin tặc

15. Kiểm tra quyền của tệp và máy chủ

Quyền truy cập tệp trên cả cài đặt và máy chủ web của bạn là rất quan trọng để tăng cường bảo mật WordPress của bạn. Nếu quyền quá lỏng lẻo, ai đó có thể dễ dàng truy cập vào trang web của bạn và phá hoại. Mặt khác, nếu quyền của bạn quá nghiêm ngặt, điều này có thể làm hỏng chức năng trên trang web của bạn. Vì vậy, điều quan trọng là phải có các quyền chính xác được đặt trên bảng

Quyền đối với tệp

• Quyền đọc được chỉ định nếu người dùng có quyền đọc tệp
• Quyền ghi được chỉ định nếu người dùng có quyền ghi hoặc sửa đổi tệp
• Quyền thực thi được chỉ định nếu người dùng có quyền chạy tệp và/hoặc thực thi tệp dưới dạng tập lệnh

Quyền thư mục

• Quyền đọc được chỉ định nếu người dùng có quyền truy cập nội dung của thư mục/thư mục đã xác định
• Quyền ghi được chỉ định nếu người dùng có quyền thêm hoặc xóa các tệp có trong thư mục/thư mục
• Quyền thực thi được chỉ định nếu người dùng có quyền truy cập vào thư mục thực tế và thực hiện các chức năng và lệnh, bao gồm khả năng xóa dữ liệu trong thư mục/thư mục

Bạn có thể sử dụng một plugin miễn phí như iThemes Security để quét các quyền trên trang web WordPress của mình

Quét quyền truy cập tệp WordPress

Dưới đây là một số đề xuất điển hình về quyền khi nói đến quyền đối với tệp và thư mục trong WordPress. Xem bài viết WordPress Codex về thay đổi quyền truy cập tệp để được giải thích sâu hơn

• Tất cả các tệp phải là 644 hoặc 640. Ngoại lệ. wp-config. php phải là 440 hoặc 400 để ngăn người dùng khác trên máy chủ đọc nó
• Tất cả các thư mục phải là 755 hoặc 750
• Không có thư mục nào được cấp 777, kể cả thư mục tải lên

16. Vô hiệu hóa chỉnh sửa tệp trong Bảng điều khiển WordPress

Rất nhiều trang web WordPress có nhiều người dùng và quản trị viên, điều này có thể khiến việc bảo mật WordPress trở nên phức tạp hơn. Một thực tế rất tệ là cấp cho tác giả hoặc cộng tác viên quyền truy cập quản trị viên, nhưng thật không may, điều đó xảy ra mọi lúc. Điều quan trọng là cung cấp cho người dùng vai trò và quyền chính xác để họ không vi phạm bất cứ điều gì. Do đó, có thể hữu ích nếu chỉ cần vô hiệu hóa “Trình chỉnh sửa giao diện” trong WordPress

Hầu hết các bạn có lẽ đã ở đó lúc này hay lúc khác. Bạn chỉnh sửa nhanh một cái gì đó trong Trình chỉnh sửa giao diện và đột nhiên bạn bị bỏ lại với một màn hình trắng chết chóc. Sẽ tốt hơn nhiều nếu chỉnh sửa tệp cục bộ và tải tệp lên qua FTP. Và tất nhiên, theo cách tốt nhất, trước tiên bạn nên thử nghiệm những thứ như thế này trên một trang web đang phát triển

Trình chỉnh sửa giao diện WordPress

Ngoài ra, nếu trang web WordPress của bạn bị tấn công, điều đầu tiên họ có thể làm là cố gắng chỉnh sửa tệp PHP hoặc chủ đề thông qua Trình chỉnh sửa giao diện. Đây là cách nhanh chóng để chúng thực thi mã độc trên trang web của bạn. Nếu họ không có quyền truy cập vào điều này từ bảng điều khiển, thì ngay từ đầu, nó có thể giúp ngăn chặn các cuộc tấn công. Đặt mã sau vào tệp

home/user/.htpasswds/public_html/wp-admin/htpasswd/

15 của bạn để xóa khả năng 'edit_themes', 'edit_plugins' và 'edit_files' của tất cả người dùng

home/user/.htpasswds/public_html/wp-admin/htpasswd/

5

17. Ngăn chặn liên kết nóng

Khái niệm liên kết nóng rất đơn giản. Bạn tìm thấy một hình ảnh ở đâu đó trên Internet và sử dụng URL của hình ảnh trực tiếp trên trang web của mình. Hình ảnh này sẽ được hiển thị trên trang web của bạn nhưng nó sẽ được phục vụ từ vị trí ban đầu. Đây thực sự là hành vi trộm cắp vì nó đang sử dụng băng thông của trang web được liên kết nóng. Điều này có vẻ không phải là một vấn đề lớn, nhưng nó có thể tạo ra nhiều chi phí bổ sung

Bột yến mạch là một ví dụ tuyệt vời. Huffington Post đã liên kết nóng một phim hoạt hình của anh ấy bao gồm nhiều hình ảnh và nó đã kiếm được một hóa đơn trị giá hơn 1.000 đô la

hóa đơn liên kết nóng

Ngăn chặn liên kết nóng trong Apache

Để ngăn liên kết nóng trong Apache, chỉ cần thêm đoạn mã sau vào tệp

home/user/.htpasswds/public_html/wp-admin/htpasswd/

13 của bạn

home/user/.htpasswds/public_html/wp-admin/htpasswd/

7

Hàng thứ hai xác định liên kết giới thiệu được phép – trang web được phép liên kết trực tiếp đến hình ảnh, đây phải là trang web thực của bạn. Nếu bạn muốn cho phép nhiều trang web, bạn có thể sao chép hàng này và thay thế liên kết giới thiệu. Nếu bạn muốn tạo một số quy tắc phức tạp hơn, hãy xem trình tạo bảo vệ liên kết nóng htaccess này

Ngăn chặn liên kết nóng trong NGINX

Để ngăn liên kết nóng trong NGINX, chỉ cần thêm đoạn mã sau vào tệp cấu hình của bạn

home/user/.htpasswds/public_html/wp-admin/htpasswd/

0

Ngăn chặn Hotlinking trên CDN

Nếu bạn đang phân phối hình ảnh của mình từ CDN thì thiết lập có thể hơi khác một chút. Dưới đây là một số tài nguyên với các nhà cung cấp CDN phổ biến

• Bảo vệ liên kết nóng bằng KeyCDN
• Bảo vệ liên kết nóng với Cloudflare
• Bảo vệ liên kết nóng với MaxCDN

18. Luôn sao lưu

Sao lưu là thứ mà mọi người đều biết họ cần nhưng không phải lúc nào cũng thực hiện. Hầu hết các đề xuất ở trên là các biện pháp bảo mật mà bạn có thể thực hiện để bảo vệ bản thân tốt hơn. Nhưng cho dù trang web của bạn có bảo mật đến đâu, nó sẽ không bao giờ an toàn 100%. Vì vậy, bạn muốn sao lưu trong trường hợp xấu nhất xảy ra

Hầu hết các nhà cung cấp dịch vụ lưu trữ WordPress được quản lý hiện cung cấp bản sao lưu. Kinsta có năm loại sao lưu khác nhau, bao gồm sao lưu tự động để bạn có thể yên tâm vào ban đêm. Bạn thậm chí có thể khôi phục trang web của mình bằng một cú nhấp chuột

Sao lưu trong MyKinsta

Nếu máy chủ của bạn không có bản sao lưu, có một số dịch vụ và plugin phổ biến của WordPress mà bạn có thể sử dụng để tự động hóa quy trình

Dịch vụ sao lưu WordPress

Các dịch vụ sao lưu trang web WordPress thường có phí hàng tháng thấp và lưu trữ các bản sao lưu của bạn trên đám mây

• VaultPress [từ nhóm Automattic, hiện là một phần của Jetpack]
• CodeGuard
• BlogVault

Plugin sao lưu WordPress

Các plugin sao lưu WordPress cho phép bạn lấy các bản sao lưu của mình qua FTP hoặc tích hợp với nguồn lưu trữ bên ngoài như Amazon S3, Google Cloud Storage, Google Drive hoặc Dropbox. Chúng tôi thực sự khuyên bạn nên sử dụng giải pháp gia tăng để giải pháp này sử dụng ít tài nguyên hơn

• sao chép
• Viên nang thời gian WP
• Sao lưuBuddy
• UpdraftPlus
• Sao LưuWordPress
• BackWPup
• WP BackItUp

Ghi chú. Chúng tôi không cho phép các plugin sao lưu không gia tăng trên máy chủ Kinsta do các vấn đề về hiệu suất. Nhưng điều này là do chúng tôi xử lý tất cả những điều này cho bạn ở cấp độ máy chủ để nó không làm chậm trang web WordPress của bạn

19. Bảo vệ DDoS

DDoS là một kiểu tấn công DOS trong đó nhiều hệ thống được sử dụng để nhắm mục tiêu vào một hệ thống duy nhất gây ra cuộc tấn công Từ chối Dịch vụ [DoS]. Các cuộc tấn công DDoS không có gì mới – theo Britannica, trường hợp đầu tiên được ghi nhận có từ đầu năm 2000. Không giống như ai đó tấn công trang web của bạn, những kiểu tấn công này thường không gây hại cho trang web của bạn mà chỉ đơn giản là sẽ khiến trang web của bạn ngừng hoạt động trong vài giờ hoặc vài ngày

Bạn có thể làm gì để bảo vệ bản thân? . Nếu bạn đang điều hành một doanh nghiệp, bạn nên đầu tư vào các gói cao cấp của họ. Nếu bạn được lưu trữ trên Kinsta, bạn không cần phải lo lắng về việc tự thiết lập bảo vệ DDoS. Tất cả các gói của chúng tôi đều bao gồm tích hợp Cloudflare miễn phí với tính năng bảo vệ DDoS tích hợp

Bảo vệ DDoS khỏi Cloudflare và Sucuri

Tính năng bảo vệ DDoS nâng cao của chúng có thể được sử dụng để giảm thiểu các cuộc tấn công DDoS ở mọi hình thức và quy mô, bao gồm cả những cuộc tấn công nhắm mục tiêu vào giao thức UDP và ICMP, cũng như các cuộc tấn công SYN/ACK, khuếch đại DNS và Lớp 7. Các lợi ích khác bao gồm đặt cho bạn một proxy giúp ẩn địa chỉ IP gốc của bạn, mặc dù nó không chống đạn

Đảm bảo kiểm tra nghiên cứu điển hình của chúng tôi về cách ngăn chặn một cuộc tấn công DDoS. Chúng tôi có một khách hàng với một trang web thương mại điện tử nhỏ đang chạy Easy Digital Downloads, trang này đã nhận được hơn 5 triệu yêu cầu cho một trang trong vòng 7 ngày. Trang web thường chỉ tạo ra băng thông từ 30-40 MB mỗi ngày và vài trăm khách truy cập mỗi ngày. Nhưng thật bất ngờ, trang web ngay lập tức đạt được từ 15-19 GB truyền dữ liệu mỗi ngày. Đó là mức tăng 4650%. Và Google Analytics không cho thấy lưu lượng truy cập bổ sung nào. Như vậy là không tốt

Băng thông cao từ cuộc tấn công DDoS

Khách hàng đã triển khai tường lửa ứng dụng web của Sucuri trên trang web của họ và tất cả băng thông cũng như yêu cầu ngay lập tức bị loại bỏ trên trang web [như hình bên dưới] và không có vấn đề nào xảy ra kể từ đó. Vì vậy, chắc chắn là một khoản đầu tư tốt và tiết kiệm thời gian nếu bạn đang gặp phải những vấn đề như thế này

Đã thêm tường lửa ứng dụng web Sucuri

Bản tóm tắt

Như bạn có thể thấy, có rất nhiều cách bạn có thể tăng cường bảo mật cho WordPress của mình. Sử dụng mật khẩu thông minh, luôn cập nhật lõi và plugin cũng như chọn máy chủ WordPress được quản lý an toàn chỉ là một số ít giúp trang web WordPress của bạn hoạt động an toàn. Đối với nhiều người trong số các bạn, trang web WordPress vừa là công việc kinh doanh vừa là thu nhập của bạn, vì vậy điều quan trọng là phải dành chút thời gian và triển khai một số phương pháp hay nhất về bảo mật được đề cập ở trên càng sớm càng tốt

Có bất kỳ mẹo bảo mật WordPress quan trọng nào mà chúng tôi đã bỏ lỡ không?

Nhận tất cả các ứng dụng, cơ sở dữ liệu và trang web WordPress của bạn trực tuyến và dưới một mái nhà. Nền tảng đám mây hiệu suất cao, đầy đủ tính năng của chúng tôi bao gồm

• Dễ dàng thiết lập và quản lý trong bảng điều khiển MyKinsta
• Hỗ trợ chuyên gia 24/7
• Mạng và phần cứng Google Cloud Platform tốt nhất, được cung cấp bởi Kubernetes để có khả năng mở rộng tối đa
• Tích hợp Cloudflare cấp doanh nghiệp cho tốc độ và bảo mật
• Tiếp cận đối tượng toàn cầu với tối đa 35 trung tâm dữ liệu và hơn 275 PoP trên toàn thế giới

Hãy tự kiểm tra với $20 trong tháng đầu tiên của Lưu trữ ứng dụng hoặc Lưu trữ cơ sở dữ liệu. Khám phá kế hoạch của chúng tôi hoặc nói chuyện với bộ phận bán hàng để tìm thấy sự phù hợp nhất của bạn

Đâu là cách bạn có thể tăng cường bảo mật và cải thiện trang web của mình?

Làm cách nào tôi có thể cải thiện bảo mật trang web WordPress của mình?

Làm cứng WP là gì?

Bảo mật tốt nhất cho WordPress là gì?