Xử lý mã độc và bảo mật website trong WordPress

Đúng là WordPress thì rất dễ dàng để cài đặt và rất tiện dụng. Nhưng chính vì việc dễ dàng mà lại khiến website của anh em dễ bị dính mã độc.

Nhiều khi một ngày đẹp trời, anh em thấy website tự động viết những bài tiếng tàu, tiếng nga, hoặc tiếng nhật. 😇

Đó chính xác là website bị dính mã độc. Anh em không xử lý thì sẽ ảnh hưởng cực kỳ tối tệ đến chất lượng SEO và trải nghiệm của người dùng.

Tại sao một web wordpress bình thường cũng bị tấn công và gắn mã độc?

Một số hacker tung ra các đoạn mã độc để chiếm quyền kiểm soát website, đánh cắp thông tin, tự thêm backlink ẩn vào website của bạn, hoặc có thể dùng sức mạnh máy chủ của web để đào coin, nặng hơn là chiếm Website để lan truyền những mã độc khác.

Nội dung liên quan:

Xử lý mã độc WordPress khi bị dính

1. Cài đặt plugin Sucuri và quét mã

Trong tất cả các plugin bảo mật từ trước đến nay thì thằng này là thằng mà mình thấy hiệu quả nhất và có thể quét, diệt mã ngay tức thì.

Bản miễn phí của nó cũng rất ngon, có thể diệt được mã khi đã bị dính.

Nó còn xem được lịch sử các thao tác trên trang để biết web của anh em đang có hoạt động nào bất thường hay không.

Anh em có thể tải ở trang chủ Sucuri.net hoặc tìm trên kho plugin của WordPress

2. Đổi lại tất cả mật khẩu của các tài khoản

Hoặc có thể xóa luôn tài khoản quản trị và tạo lại.

Khi mà anh em đã bị hacker tấn công thì không biết thông tin tài khoản quản trị đã bị lộ chưa, nên anh em hãy xóa các tài khoản quản trị, đổi lại mất khẩu để phòng trường hợp bị lộ thông tin.

3. Gỡ các plugin không rõ nguồn gốc

WordPress có rất nhiều plugin trả phí nhưng lại có những bản trôi nổi miễn phí trên internet. Tuyệt đối không sử dụng nếu bạn muốn có một website hoạt động lâu dài, toàn mồi nhử để cài mã độc đó.

Gỡ tất cả các plugin trôi nổi, không rõ nguồn gốc, là bản trả phí nhưng bạn không mua nó.

4. Ẩn trang Admin, trang đăng nhập trong wordpress

Đây cũng là điều bắt buộc khi bạn mới cài wordpress. Vì tất cả các website wordpress đều có cấu trúc giống nhau, nên bạn phải tự bảo vệ mình bằng cách thay đổi một vài cấu trúc của trang.

Ẩn trang wp-admin và trang wp-login là điều cực kỳ quan trọng giúp bạn bảo mật website wordpress.

Bạn có thể sử dụng plugin hide login page để ẩn 2 trang này.

Và khi cài đặt, có thể để như mình, thay đổi thành trang đăng nhập của bạn.

Một số bảo mật bắt buộc khi mới khởi tạo website wordpess

Thay đổi dữ liệu bảng database lúc khởi tạo

Lúc khởi tạo website wordpress, database sẽ có tiền tố là WP-, hãy đổi tiền tố này thành ký tự khác.

Không đặt tên đăng nhập là Admin

Hầu như rất nhiều người mới tạo web để tên đăng nhập là Admin, nhưng đừng làm vậy. Làm vậy là quá dễ đoán cho hacker.

Cũng đừng đặt tên đăng nhập trùng với tên miền của host. Hãy đặt thông tin đăng nhập nào khó đoán.

Đặt mật khẩu đủ chữ thường, chữ hoa, ký tự đặc biệt và số

Không chỉ là website, mà đây là tiêu chuẩn cho một mật khẩu bảo mật cao ở bất kỳ trang web nào mà bạn có tài khoản. Nên hãy tập thói quen xử dụng mật khẩu có cả chữ thường, chữ hoa và ký tự số.

Ẩn trang đăng nhập

Tất nhiên rồi, hãy cài luôn plugin Hide Login Page khi bạn vừa tạo website. Và đừng quên phải nhờ trang đăng nhập bạn đặt là gì, nếu không chính bạn không truy cập được vào web của mình đâu.

Kết luận

Rất nhiều người bảo WordPress dễ bị hack và bảo mật kém. Nhưng thực tế chính người dùng không có thói quen bảo mật, dùng plugin cẩu thả. Ham rẻ và tải plugin trôi nổi mới khiến web Wordrpess bị hack. Nên hãy là một người sử dụng thông minh, còn dù muốn hack thì bất kể website nào hacker cũng mò lỗ hổng để hack thôi.

Căn bản mấy ông dùng wordpress toàn mấy ông không phải chuyên gia mà mày mò tự tạo web nên tỷ lệ bị hack nhiều hơn. Chúc anh em sau bài viết này có thể bảo mật website của anh em tốt hơn. 😘