Lập trình WordPress nâng cao: Bảo mật & Hiệu năng

🔗 Bài học khác trong chuyên mục:

Bảo mật & Hiệu năng trong WordPress – hai yếu tố sống còn khi bạn làm website cho chính mình hoặc khách hàng.

WordPress mạnh, nhưng cũng là mục tiêu phổ biến của hacker & spam.
Đồng thời, nếu tối ưu tốc độ không tốt, web sẽ chậm, tụt SEO, giảm trải nghiệm người dùng.

Mục tiêu:

Bạn sẽ học:

Các nguy cơ bảo mật phổ biến và cách phòng tránh
Tối ưu hiệu năng & tốc độ cho WordPress
Công cụ + kỹ thuật thực tế bạn có thể áp dụng ngay

PHẦN 1: BẢO MẬT (Security)

1. Cơ bản cần làm ngay

Việc cần làm	Vì sao quan trọng
Đổi URL đăng nhập admin	Tránh brute-force login
Ẩn phiên bản WordPress	Hacker không đoán version → không dò lỗ hổng cụ thể
Giới hạn số lần đăng nhập sai	Ngăn tấn công dò mật khẩu
Cập nhật plugin & theme	Đa phần lỗi bảo mật nằm trong plugin lỗi thời

2. Cài plugin bảo mật nhẹ mà hiệu quả

Cài chỉ 1 plugin bảo mật chính, không nên trùng chức năng nhau.

Gợi ý plugin:

WP Hide Login – Đổi URL /wp-admin thành cái khác
Limit Login Attempts Reloaded – Giới hạn lần đăng nhập sai
Wordfence – Tường lửa & bảo vệ toàn diện
iThemes Security – All-in-one cho người mới
Disable XML-RPC – Tắt chức năng XML-RPC (ít dùng, nhiều lỗ hổng)

3. Code thủ công: Ẩn phiên bản WP

Thêm vào functions.php:

remove_action('wp_head', 'wp_generator');

4. Tạo user an toàn

Không dùng admin làm tên tài khoản
Dùng mật khẩu mạnh (plugin như LastPass có thể giúp)
Giới hạn quyền user (chỉ dùng Administrator khi thực sự cần)

PHẦN 2: TỐI ƯU HIỆU NĂNG (Performance)

1. Dùng plugin cache (bắt buộc)

Gợi ý:

Plugin	Ưu điểm
WP Super Cache	Nhẹ, dễ dùng
W3 Total Cache	Mạnh, có nhiều cấu hình tùy chỉnh
LiteSpeed Cache	Cực nhanh nếu dùng hosting hỗ trợ
FlyingPress	Trả phí, rất mạnh và đơn giản

2. Tối ưu ảnh

Dùng định dạng .webp
Resize trước khi upload
Cài plugin tự động nén ảnh:
- ShortPixel
- Smush
- EWWW Image Optimizer

3. Dùng Lazy Load

WordPress đã hỗ trợ lazy load từ 5.5+
Nếu chưa đủ → dùng plugin:
- Lazy Load by WP Rocket
- a3 Lazy Load

4. Tắt script và style không cần thiết

Dùng code này để xóa CSS/JS của plugin không cần thiết ở homepage chẳng hạn:

function gfon_dequeue_styles() {
    if (is_front_page()) {
        wp_dequeue_style('contact-form-7');
        wp_dequeue_script('contact-form-7');
    }
}
add_action('wp_enqueue_scripts', 'gfon_dequeue_styles', 100);

5. Kiểm tra tốc độ web

Dùng các công cụ sau để đo:

Tổng kết gọn

Danh mục	Việc nên làm
Security	Ẩn login, giới hạn login, xóa version, update thường xuyên
Performance	Cache, lazy load, tối ưu ảnh, xoá script không cần thiết

Bài học trước ← Lập trình WordPress nâng cao: Tạo Plugin WordPress Bài học tiếp theo Lập trình WordPress nâng cao: REST API trong WordPress →