Bảo mật website WordPress - 8 việc cần làm ngay

1 views

Bảo mật website WordPress - 8 việc cần làm ngay

WordPress chiếm 43% website toàn cầu nên là mục tiêu tấn công hàng đầu. Theo thống kê, hơn 90,000 website WordPress bị tấn công mỗi ngày. Bài viết này liệt kê 8 việc cần thực hiện ngay để bảo vệ website của bạn.

1. Cập nhật WordPress, Theme và Plugin thường xuyên

Đây là bước quan trọng nhất. Phần lớn các vụ tấn công khai thác lỗ hổng bảo mật đã được vá trong các bản cập nhật mới.

  • Bật Automatic Updates trong WordPress Settings
  • Đặt lịch kiểm tra và cập nhật thủ công mỗi tuần
  • Xóa theme và plugin không sử dụng (không chỉ deactivate)

2. Đổi URL đăng nhập Admin

Mặc định WordPress dùng /wp-admin hoặc /wp-login.php → hacker biết chính xác nơi cần tấn công.

Plugin: Cài WPS Hide Login → đổi thành URL tùy chỉnh (VD: /quan-tri-cong-ty)

3. Dùng mật khẩu mạnh và 2FA

  • Mật khẩu tối thiểu 16 ký tự: chữ hoa, chữ thường, số, ký tự đặc biệt
  • Dùng password manager: Bitwarden (miễn phí) hoặc 1Password
  • Bật Two-Factor Authentication (2FA): Plugin Two Factor hoặc Google Authenticator

4. Giới hạn số lần đăng nhập

Ngăn chặn tấn công brute-force (thử mật khẩu hàng loạt):

Plugin: Limit Login Attempts Reloaded

  • Giới hạn: 5 lần thử sai → khóa 30 phút
  • Cấu hình gửi email cảnh báo khi có hành vi đáng ngờ

5. Cài plugin bảo mật tổng hợp

Wordfence Security (miễn phí, mạnh nhất):

  • Tường lửa (Firewall) chặn IP độc hại
  • Quét malware tự động hàng ngày
  • Cảnh báo real-time qua email
  • Bảo vệ chống brute-force

6. Phân quyền người dùng đúng cách

Role Quyền hạn Dùng cho
Administrator Toàn quyền Chỉ 1-2 người phụ trách kỹ thuật
Editor Quản lý nội dung Trưởng nhóm nội dung
Author Viết & đăng bài của mình Content writer
Contributor Viết bài, chờ duyệt Cộng tác viên
Subscriber Chỉ đọc Thành viên đăng ký

Nguyên tắc: Cấp quyền thấp nhất cần thiết cho mỗi người dùng.

7. Tắt XML-RPC nếu không dùng

XML-RPC là điểm yếu thường bị khai thác cho tấn công DDoS và brute-force.

Thêm vào .htaccess:

<Files xmlrpc.php>  Order Allow,Deny  Deny from all </Files>

Hoặc dùng plugin Disable XML-RPC.

8. Thay đổi tiền tố database

Mặc định WordPress dùng tiền tố wp_ cho tất cả bảng database → hacker biết cấu trúc database của bạn.

Plugin: Brozzme DB Prefix & Tools Addon → đổi thành tiền tố ngẫu nhiên (VD: sk7x2_)

⚠️ Quan trọng: Backup database trước khi thực hiện bước này.

Dấu hiệu website bị tấn công

  • Website hiển thị nội dung lạ, quảng cáo không rõ nguồn gốc
  • Google báo "This site may be hacked"
  • Hosting gửi email thông báo spam
  • Traffic tăng đột biến bất thường
  • File lạ xuất hiện trong thư mục website

Bị hack - xử lý khẩn cấp

  1. Ngay lập tức: Bật chế độ Maintenance, tạo ticket hỗ trợ
  2. Khôi phục từ bản backup sạch gần nhất
  3. Thay đổi toàn bộ mật khẩu: WordPress, FTP, database, hosting
  4. Quét malware và làm sạch file bị nhiễm
  5. Cập nhật tất cả WordPress, theme, plugin
  6. Điều tra nguyên nhân để phòng tránh tái diễn

Cần hỗ trợ?

Gói Pro Maintain của Sao Kim bao gồm giám sát bảo mật, xử lý sự cố tấn công và cập nhật WordPress định kỳ. Tạo ticket tại client.saokim.com/support.

Go back Similar articles
© 2026 SAOKIM BRANDING – Client management & Billing System.
Payment Information - Bank Name: | BIC / SWIFT Code: | Account Number:
Top