1
TỔNG HỢP CÁC CÁCH BẢO MẬT CHO
WORDPRESS
Sau khi hoàn hiện một blog WordPress, ngoài việc tiến hành tối ưu hóa máy tìm kiếm và
lên kế hoạch phát triển nội dung, thì chúng ta còn một khâu nữa rất quan trọng trong
quá trình tồn tại của một website, đó là bảo mật website. Hãy thử hình dung rằng vào
một ngày đẹp trời nào đó blog bạn đã xây dựng từ bao nhiêu mồ hôi công sức bỗng
dưng biến mất?
Bản thân trước đây mình cũng từng bị trở thành mục tiêu của nhiều cuộc tấn công,
không chỉ trên blog WordPress mà còn ở bất cứ nền tảng web nào. Qua bao nhiêu năm
“bị ăn đòn” thì ít nhất bây giờ mình cũng đã có một chút ít kinh nghiệm nhỏ nhoi để “né
đòn”, và những kinh nghiệm ấy hôm nay sẽ được mình diễn đạt một cách tỉ mỉ nhất vào
trong bài viết này.
Áp dụng thêm:
 9 cách chống local hack trong WordPress
 Scan và fix mã độc trong WordPress
Mục lục nội dung
Sử dụng hosting chất lượng
Ngăn truy cập trái phép vào trang quản trị wp-admin
Đổi địa chỉ của trang quản trị
Hạn chế số lần đăng nhập
Sử dụng mật khẩu phức tạp và không nên dùng tên đăng nhập là admin
Tạo lớp bảo vệ bằng mật khẩu cho trang quản trị
Tạo lớp bảo vệ nâng cao bằng IP
Phân quyền cho file/thư mục trên host bằng lệnh CHMOD
Hướng dẫn CHMOD
Tối ưu CHMOD cho WordPress
Sao lưu (backup) cơ sở dữ liệu thường xuyên
Cập nhật phiên bản mới nhất của WordPress

2
Xóa hết các plugin không cần thiết
Một số plugin bảo mật cho WordPress
Dịch vụ bảo mật nên dùng
Lời kết
Sử dụng hosting chất lượng
Hosting kém chất lượng hoặc bảo mật không tốt là một trong các nguyên nhân chính
dẫn đến việc bị hack, hình thức phổ biến nhất là local hack bằng phương pháp lợi dụng
kẻ hở của các website khác cùng server và tấn công liên đới đến website của bạn.
Do đó, mình khuyến cáo các bạn nên dùng hosting tại A2Hosting hoặc Interserver để
nâng cao khả năng bảo mật.
Còn nếu website bạn có nhiều traffic rồi thì hãy tiến hành sử dụng VPS để bảo mật tối
ưu hơn cũng như có thêm nhiều tài nguyên để sử dụng, vì đôi lúc Shared Hosting
không phải là an toàn nhất.
Xem thêm: 7 dịch vụ Shared Hosting tốt nhất cho WordPress.
Ngăn truy cập trái phép vào trang quản trị wp-admin
Đổi địa chỉ của trang quản trị
Mặc định đường dẫn tới trang quản trị của WordPress là wp-admin, điều này sẽ giúp
các hacker dễ dàng xác định địa chỉ đăng nhập sau khi họ đã có đầy đủ thông tin về tài
khoản quản trị của bạn, thậm chí là có rất nhiều script hỗ trợ tự động đăng nhập theo
một dữ liệu được định sẵn thông qua địa chỉ phổ biến này.
Vì vậy trước tiên, bạn cần đổi địa chỉ đăng nhập vào trang quản trị bằng cách sử dụng
plugin iThemes Security để tăng cường bảo mật cho WordPress, trong đó có chức năng
đổi đường dẫn mặc định của trang quản trị thành đường dẫn bất kỳ mà bạn muốn.
Sau khi cài đặt, vào phần Security -> Settings -> Hide Login Area và điền tên của
đường dẫn mới của trang quản trị, trang đăng nhập và trang đăng ký.

3

Lưu ý: Nếu đổi xong mà bạn vẫn không vào được trang admin bằng đường dẫn mới thì

hãy CHMOD file .htaccess thành 777 và vào lại ấn nút Save Change một lần nữa. Sau
đó CHMOD lại thành 644.
Hạn chế số lần đăng nhập

Hiện nay có một phương pháp vô cùng phổ biến đó là bằng cách nào đó các hacker
có thể thu thập địa chỉ hàng trăm nghìn website WordPress mới mỗi ngày, sau đó tiến
hành scan mật khẩu bằng cách liên tục đăng nhập vào địa chỉ wp-admin với một số cấu
trúc username và mật khẩu khác nhau, ví dụ họ thường hay scan với cấu trúc là
admin/123456. Phương thức tấn công này gọi là Brute Force Attack.

4
Vì thế để ngăn tình trạng này, chúng ta sẽ thêm chức năng tự động khóa đăng nhập khi
đăng nhập thất bại số lần nhất định. Bạn có thể sử dụng plugin Login Security
Solutions (khuyên dùng), Limit Login Attempts, Login Lockdown hoặc ngay chính trong
plugin iThemes Security cũng có chức năng này.
Nên đọc: Brute Force Attack là gì và cách phòng chống.
Sử dụng mật khẩu phức tạp và không nên dùng tên đăng nhập là admin
Như ở phía trên mình đã nói, các hacker thường hay liên tục scan tự động mật khẩu
của admin theo cấu trúc username là admin hoặc administrator. Vì vậy mình cực kỳ
không khuyến khích dùng tên đăng nhập kiểu này hoặc tương tự thế.
Nếu bạn đã lỡ cài đặt một bản WordPress và sử dụng tên đăng nhập là admin thì cũng
đừng nên lo lắng, pluginiThemes Security hỗ trợ tính năng đổi tên đăng nhập của bạn,
plugin này có vẻ đa năng đấy, và đó là lý do mình chọn nó để sử dụng.
Tạo lớp bảo vệ bằng mật khẩu cho trang quản trị
Nếu bạn vẫn còn băn khoăn về sự an toàn của trang quản trị thì có thể dùng thêm cách
tạo thêm một lớp đăng nhập nữa bằng cách sử dụng chức năng Password Protect
Directories có trong cPanelX của các hosting thông dụng hiện nay.

Sau khi nhấp vào, các bạn chọn thư mục wp-admin và tạo tên đăng nhập và mật khẩu
cho lớp đăng nhập.


5

Ấn nút Add/modify authorized user. Tiếp tục, nhìn lên trên và gõ tên folder cần bảo vệ
vào, ở đây folder cần bảo vệ là wp-admin, sau đó tích dấu vào ô Password Protect
this directory và ấn nút Save để hoàn tất. Và bắt đầu từ đây, mỗi khi chúng ta đăng
nhập vào wp-admin đều sẽ trải qua một lớp bảo vệ, và chúng ta phải điền tên đăng
nhập và mật khẩu vào vệ vào. Sau đó mới tiến hành đăng nhập vào WordPress theo
cách thông thường.

6

Nếu host bạn không hỗ trợ cPanelX, bạn có thể tạo một cách đơn giản bằng một
plugin htaccess password protect dành cho WordPress.
Tạo lớp bảo vệ nâng cao bằng IP
Cách này có thể nói khá tốt để bảo vệ trang quản trị của bạn. Với lớp bảo vệ này, bạn
chỉ có thể đăng nhập vào trang quản trị khi IP của bạn có trong danh sách IP cho phép
đăng nhập, còn lại sẽ bị chặn hết.
Đầu tiên các bạn tải gói SecureIP về, mở file capnhatip.php ra và thay mật
khẩu 123456 thành mật khẩu mà bạn thích, sau đó upload 3 file capnhatip.php,
listip.txt và security.php vào thư mục wp-admin và CHMOD file listip.txtthành 777 hoặc
775. Mở file index.php trong thư mục wp-admin ra và thêm đoạn này ngay đằng
sau <?php
include("security.php");
Sau đó tiến hành truy cập lại với đường dẫn lúc này
bạn sẽ thấy thông báo không cho phép truy cập, bởi vì IP của bạn vẫn chưa được
thêm vào danh sách cho phép.

7
Tiến hành thêm IP vào bằng cách gõ đường dẫn />admin/capnhatip.php, sau đó nhập mật khẩu mà bạn đã chỉnh sửa từ file này ở bước

đầu vào. Xong, lúc này bạn đã có thể đăng nhập thoải mái vào trang quản trị rồi.
Muốn xóa hết IP trong danh sách cho phép thì cứ mở file listip.txt trong thư mục wp-
admin lên và xóa hết nội dung trong đó hoặc xóa IP cần xóa là xong.
Bạn có thể đổi tên file capnhatip.php thành tên mình thích và nhớ là nhập chính xác khi
cần dùng nhé.
Tips:
 Xem địa chỉ IP của bạn.
 Bạn có thể dùng tính năng khoá file capnhatip.php bằng Incapsula.
Phân quyền cho file/thư mục trên host bằng lệnh CHMOD
Hướng dẫn CHMOD
Để CHMOD bạn có 2 cách, mở trình upload FTP lên, ấn chuột phải vào thư mục/tập tin
cần CHMOD và chọn CHMOD.

8

Hoặc là bạn vào phần File Manager trong trang quản trị hosting (cPanel X) và
chọn Change Permission


9
Tối ưu CHMOD cho WordPress
File đầu tiên chúng ta cần bảo vệ đó là wp-config.php vì file này lưu giữ những thông tin
đăng nhập vào cơ sở dữ liệu của mình. Nếu như các bạn ít khi chỉnh sửa file này thì
hãy CHMOD là 444 cho wp-config, điều này có nghĩa tất cả các nhóm người dùng chỉ
có thể đọc chứ không chỉnh sửa hay thực thi được, kể cả chủ sỡ hữu. Và sau khi đưa
về 444, chúng ta không thể chỉnh sửa nội dung file này, nếu muốn chỉnh sửa thì hãy
đưa nó về 644.
Còn lại thì bạn có thể CHMOD cho file là 644 và và 755 cho folder.
Nếu như bạn thấy khó khăn trong việc CHMOD thì plugin File Permissions & Size
Check sẽ giúp bạn CHMOD và theo dõi các tập tin, thư mục dễ dàng trong trang quản

trị WordPress.
Còn đây là gợi ý CHMOD tối ưu hóa cho WordPress của BulletProof Security

Áp dụng thêm: Tạo 2 lớp xác nhận tài khoản cho WordPress

10
Sao lưu (backup) cơ sở dữ liệu thường xuyên

Công việc này không giảm thiểu khả năng bị tấn công trên WordPress mà nó giúp
chúng ta giảm mức độ thiệt hại sau những đợt tấn công. Nếu như bạn sao lưu dữ
liệu một cách thường xuyên thì sau khi bị tấn công và mất hết cơ sở dữ liệu, chúng ta
vẫn có thể hồi sinh web bằng cách phục hồi các dữ liệu đã được sao lưu. Ngoài ra
phương pháp này cũng giúp bạn phục hồi lại blog sau khi tiến hành can thiệp chỉnh sửa
liên quan đến cơ sở dữ liệu.
Trong WordPress có khá nhiều công cụ backup cơ sở dữ liệu, nhưng bây giờ mình chỉ
có thể gợi ý cho các bạn một plugin ổn định và backup tốt nhất đó là WP Backup. Plugin
này giúp bạn cài đặt chế độ backup tự động cho tất cả các dữ liệu trên blog, đồng thời
có chức năng đồng bộ hóa tài khoản Google Drive vào và tự động gửi những dữ liệu đã
được backup lên đó.
Nếu bạn cần nhiều tính năng hơn, mình khuyến khích bạn xem công cụ này:

11
 Hướng dẫn backup dữ liệu bằng BackWPUp
Cập nhật phiên bản mới nhất của WordPress
Nếu như bạn đang sử dụng các phiên bản cũ của WordPress, hãy tiến hành nâng cấp
lên phiên bản mới nhất để tăng sự an toàn cho blog. Những phiên bản mới được đưa ra
nhằm sửa một số bug vì thế nếu bạn không nâng cấp lên, các hacker có thể lợi dụng
những bug đó để xâm nhập trái phép vào blog. Bên cạnh đó, nếu các plugin đang sử
dụng có phiên bản mới thì bạn cũng nên tiến hành nâng cấp lên.
Xóa hết các plugin không cần thiết

Sử dụng nhiều plugin cũng là một trong những nguyên nhân bị tấn công, bởi nếu bạn
không kiểm tra kỹ thì rất có thể trong plugin bạn đang sử dụng có thể sẽ khai thác thông
tin của bạn. Và sử dụng nhiều plugin cũng có thể dẫn đến việc xung đột giữa các plugin
với nhau, từ đó sẽ gây ra nhiều vấn đề cho blog của bạn. Hãy tiến hành deactive và xóa
hết các plugin không thật sự cần thiết và hãy tham khảo kỹ khi bắt đầu cài một plugin
mới.
Một số plugin bảo mật cho WordPress
iThemes Security


12
Plugin này có khá đầy đủ về các chức năng dùng để bảo mật cho WordPress như đổi
username admin, đổi ID của admin, hạn chế đăng nhập, sao lưu dữ liệu v.v.v.Đây có
thể nói là plugin nên xài để tăng cường bảo mật cho WordPress. Hiện tại Thạch cũng
đang sử dụng cái này và chưa gặp bất cứ vấn đề gì cả :D.
Bulletproof Security

Plugin này nhằm ngăn ngừa và hạn chế tấn công bằng các phương thức XSS, RFI,
CRLF, CSRF, Base64, Code Injection và SQL Injection bằng cách tối ưu hóa bảo mật

13
cho các file và thư mục nhạy cảm. Nếu bạn đang lo lắng về khả năng bảo mật của mình
trước những đợt tấn công, hãy tiến hành cài đặt plugin này.
Mặc định sau khi cài đặt thì nó sẽ tự động tối ưu hóa cho các bạn, nhưng nếu bạn có
các kiến thức về bảo mật thì có thể tùy chỉnh theo cách của mình.
Về đánh giá chung thì plugin này rất tốt nhưng không thích hợp lắm cho những người
mới tìm hiểu WordPress và chưa có kiến thức về bảo mật.
6Scan Security
Bộ công cụ của 6Scan Security sẽ tự động quét toàn bộ mã nguồn của blog nhằm loại
bỏ các đoạn mã độc hại. Hơn thế nữa, plugin này cũng giúp bạn vá lại một số lỗi bảo

mật để phòng chống các hacker có thể lợi dụng những lỗi bảo mật đó. Plugin này có thể
dùng trong các trường hợp tấn công sau:
 SQL Injection
 Cross-Site Scripting (XSS)
 CSRF
 Directory traversal
 Remote file inclusion
 Several DoS conditions

14
Tự
động truy quét các đoạn mã độc hại mạnh mẽ
Các chức năng bảo mật thêm của 6scan Security
Xem thêm: Tìm mã độc với 4 plugin thông dụng.

15
Dịch vụ bảo mật nên dùng

Nếu bạn vẫn không chắc chắn được web mình có bảo mật tốt hay không hoặc đang bị
hacker chèn mã độc thì mình khuyên các bạn nên sử dụng dịch vụ Sucuri Antivirus.
Đây là một dịch vụ hỗ trợ quét mã độc trên website tự động và phát hiện rồi thông báo
cho bạn nếu gặp mã độc, ngoài ra họ cũng hỗ trợ bạn gỡ bỏ mã độc ra khỏi mã nguồn
website hoàn toàn thủ công, chỉ cần gửi yêu cầu gỡ mã độc cho họ là được.
Giá sử dụng cho dịch vụ này là $99/năm.
Lời kết
Trong phần này chúng ta đã tìm hiểu qua một số phương thức tăng cường bảo mật cho
WordPress để giảm thiểu khả năng bị tấn công từ hacker. Hy vọng nó giúp các bạn có
thêm những kiến thức bảo mật tốt hơn cho WordPress. Ở phần kế tiếp, mình sẽ gợi ý
cho các bạn một số việc nên làm khi bị tấn công nhằm giảm thiểu khả năng mất dữ liệu
dẫn đến việc bắt đầu lại với một website mới. Nhưng ngay từ bây giờ, hãy áp dụng

những cách bảo mật ở trên vào blog của bạn, và đừng quên hãy sao lưu cơ sở dữ liệu
thường xuyên.
Chúc các bạn thành công!
Nguồn: thachpham.com