WordPress
Đăng nhập

Hướng Dẫn Chi Tiết Bảo Mật Website WordPress

Flipboard Twitter Copy Link Email Comments

Bài hướng dẫn chi tiết cách bảo mật WordPress dưới đây dành cho người mới lẫn người đã có kinh nghiệm bao gồm các bước cụ thể từ cơ bản đến nâng cao để bảo vệ website WordPress khỏi bị hack, spam, và các mối đe dọa phổ biến.

Vì Sao Cần Bảo Mật WordPress?

WordPress là nền tảng website phổ biến nhất thế giới, chiếm hơn 40% tổng số website hiện nay. Cũng chính vì thế, nó thường xuyên là mục tiêu của hacker và bot tự động. Nếu không bảo mật tốt, website có thể bị:

  • Chiếm quyền quản trị
  • Cài mã độc (malware)
  • Gửi spam, chèn backlink độc hại
  • Bị Google đưa vào danh sách đen

Những Việc Cần Làm Ngay Sau Khi Cài WordPress

1. Đổi URL đăng nhập

  • Mặc định: /wp-login.php quá dễ đoán
  • Sử dụng plugin như WPS Hide Login hoặc tạo plugin riêng để đổi sang: /quan-tri, /dang-nhap, v.v.

2. Không dùng tài khoản “admin”

  • Tạo user mới với quyền Administrator (quản trị viên)
  • Xóa user tên “admin” nếu tồn tại

3. Sử dụng mật khẩu mạnh

  • Mật khẩu dài > 12 ký tự, có chữ hoa, chữ thường, số và ký tự đặc biệt
  • Dùng trình quản lý mật khẩu như Bitwarden, 1Password

4. Cập nhật thường xuyên

  • WordPress core, plugin, theme luôn cần cập nhật
  • Bật tính năng tự động cập nhật cho plugin nếu cần

Thiết Lập 2FA và OTP Qua Email

1. Cài Plugin WP 2FA (hoặc MiniOrange / Wordfence)

  • WP 2FA: dễ dùng, hỗ trợ xác minh qua email hoặc app
  • MiniOrange: nhiều lựa chọn như OTP email, Google Authenticator

2. Cấu hình xác thực hai lớp

  • Bật bắt buộc 2FA cho admin
  • Khuyến nghị 2FA cho user thường

⚠️ Nếu chỉ dùng email OTP: đảm bảo bạn có hệ thống email ổn định (SMTP hoặc plugin WP Mail SMTP)

Tường Lửa và Ngăn Tấn Công Brute Force

1. Cài plugin Wordfence

  • Tự động chặn IP khi đăng nhập sai nhiều lần
  • Quét mã độc (malware)
  • Gửi cảnh báo bảo mật qua email

2. Giới hạn đăng nhập

  • Dùng plugin như Limit Login Attempts Reloaded
  • Thiết lập số lần thử sai tối đa (ví dụ: 3 lần), khóa IP trong 30 phút

Dọn Dẹp & Kiểm Tra Website Định Kỳ

1. Gỡ plugin/theme không dùng

  • Plugin không kích hoạt vẫn có thể bị khai thác

2. Kiểm tra user

  • Xóa tài khoản không rõ nguồn gốc
  • Kiểm tra các tài khoản có quyền quản trị

3. Quét mã độc định kỳ

  • Dùng Wordfence hoặc Sucuri để quét
  • Xem có file nào lạ trong thư mục /wp-content, /uploads

Cài SSL (HTTPS)

  • Sử dụng Let’s Encrypt (miễn phí)
  • Hoặc mua SSL từ hosting / nhà cung cấp uy tín
  • Dùng plugin Really Simple SSL để cấu hình dễ dàng

Sao Lưu Website

  • Dùng plugin như UpdraftPlus, All-in-One WP Migration, hoặc tự động backup từ hosting
  • Lưu bản backup định kỳ (tuần/lần)

Một Số Bảo Mật Nâng Cao

Tính năng nâng caoMô tả
Tắt XML-RPCTránh bị tấn công XML-RPC pingback
Tắt trình chỉnh sửa trong adminTránh chèn mã độc vào theme/plugin từ dashboard
Phân quyền file/folder đúngwp-config.php nên là 400 hoặc 440
Tự động logout user sau X phútTránh user quên logout trên máy công cộng

Gợi Ý Plugin Bảo Mật Toàn Diện

PluginTính năng chính
Wordfence SecurityFirewall + Quét mã độc + 2FA
WP 2FAXác thực 2 bước chuyên biệt
iThemes SecurityTổng hợp nhiều tính năng (hide login, brute force, v.v.)
Shield SecurityEmail OTP, ngăn bot, firewall
SucuriFirewall + giám sát file + CDN

Kết Luận

Bảo mật website WordPress không cần phải phức tạp. Chỉ cần bạn:

  • Thực hiện các bước cơ bản đúng cách
  • Cập nhật thường xuyên
  • Kết hợp plugin bảo mật uy tín

Là đã tránh được >95% nguy cơ tấn công.

Bài học trước ← FlyingPress – “Tất cả trong một” cho tối ưu tốc độ WordPress Bài học tiếp theo Hướng Dẫn Tạo Bảng Trong Plugin WordPress – Đúng Chuẩn, Chạy Một Lần Duy Nhất →
Flipboard Twitter Copy Link Email Comments

Thảo luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Đăng ký nhận tin mới

Nhận bài học, tài nguyên và cơ hội việc làm qua email hàng tuần.

Chúng tôi cam kết không spam. Bạn có thể hủy bất cứ lúc nào.