WordPress vận hành một phần khổng lồ của web, khiến nó trở thành mục tiêu thường trực. Tin tốt là phần lớn các vụ xâm phạm WordPress khai thác một tập hợp nhỏ, có thể dự đoán các điểm yếu, và gần như tất cả đều có thể ngăn chặn. Danh sách kiểm tra tăng cường bảo mật WordPress này đi qua các bước thực sự tạo khác biệt trong năm 2026, đại khái theo thứ tự ưu tiên.
Tóm tắt
- Plugin và theme dễ bị tổn thương và lỗi thời là vector tấn công lớn nhất đối với WordPress; cập nhật kỷ luật và loại bỏ mã không dùng đến quan trọng hơn bất cứ điều gì
- Xác thực mạnh (tên quản trị viên duy nhất, mật khẩu mạnh, xác thực hai yếu tố, giới hạn tốc độ đăng nhập) đóng cánh cửa phổ biến thứ hai
- Tăng cường
wp-config.php, quyền tệp và bề mặt REST API / XML-RPC, và đặt một WAF trước trang web - Sao lưu thường xuyên và kiểm tra khôi phục; một bản sao lưu tốt biến một vụ xâm phạm thành phiền toái thay vì thảm họa
1. Giữ nhân, plugin và theme luôn cập nhật
Plugin và theme lỗi thời là cách hàng đầu khiến các trang WordPress bị hack. Mỗi plugin là mã của bên thứ ba chạy với quyền truy cập vào trang của bạn.
- Bật cập nhật tự động cho nhân WordPress (tối thiểu là các bản phát hành nhỏ).
- Cập nhật plugin và theme kịp thời, lý tưởng là theo lịch trình với một bài kiểm tra trên môi trường staging.
- Loại bỏ các plugin và theme bạn không dùng. Vô hiệu hóa là chưa đủ; xóa mới an toàn.
- Chỉ cài đặt plugin từ các nguồn uy tín có lịch sử bảo trì tích cực.
- Chú ý đến các plugin bị bỏ rơi; mã không được bảo trì là một rủi ro ngay cả khi nó vẫn hoạt động.
2. Khóa chặt xác thực
Các cuộc tấn công brute-force và thông tin đăng nhập nhắm vào wp-login.php diễn ra không ngừng.
- Không bao giờ dùng
adminlàm tên người dùng. Hãy dùng một tên quản trị viên duy nhất. - Bắt buộc mật khẩu mạnh, duy nhất cho mọi tài khoản.
- Bật xác thực hai yếu tố (2FA) cho tất cả tài khoản quản trị viên và biên tập viên.
- Giới hạn số lần đăng nhập và thêm giới hạn tốc độ để chặn các nỗ lực brute-force.
- Cân nhắc thay đổi hoặc bảo vệ URL đăng nhập và thêm một thử thách CAPTCHA.
3. Áp dụng vai trò người dùng theo đặc quyền tối thiểu
- Cấp cho mỗi người dùng vai trò thấp nhất cho phép họ hoàn thành công việc. Không phải ai cũng cần làm quản trị viên.
- Kiểm tra tài khoản người dùng thường xuyên và loại bỏ nhân viên cũ và các đăng nhập không dùng đến.
- Xem lại các vai trò sau khi cài đặt plugin thêm khả năng tùy chỉnh.
4. Tăng cường wp-config.php
wp-config.php chứa thông tin đăng nhập cơ sở dữ liệu và khóa bí mật của bạn, nên nó xứng đáng được chú ý đặc biệt.
- Đặt các khóa xác thực và salt duy nhất.
- Vô hiệu hóa trình chỉnh sửa tệp tích hợp:
define('DISALLOW_FILE_EDIT', true);để kẻ tấn công có được quyền quản trị không thể chỉnh sửa mã theme và plugin từ bảng điều khiển. - Di chuyển
wp-config.phplên một cấp trên thư mục gốc web nơi cấu hình lưu trữ cho phép, và hạn chế quyền tệp của nó. - Giữ
WP_DEBUGtắt trong môi trường sản xuất để lỗi không rò rỉ thông tin.
5. Đặt quyền tệp và thư mục đúng
- Thư mục
755, tệp644làm chuẩn cơ sở; không bao giờ dùng777. - Đảm bảo người dùng máy chủ web sở hữu các tệp nhưng không thể ghi vào nơi không cần thiết.
- Bảo vệ các tệp nhạy cảm và vô hiệu hóa duyệt thư mục.
6. Giảm bề mặt tấn công: XML-RPC và REST API
- Vô hiệu hóa XML-RPC nếu bạn không dùng nó; đây là vector phổ biến cho brute-force và khuếch đại DDoS.
- Hạn chế hoặc yêu cầu xác thực REST API ở nơi nó phơi bày dữ liệu bạn không muốn công khai.
- Loại bỏ số phiên bản WordPress và các thông tin không cần thiết khác khỏi đầu ra trang.
7. Đặt WAF và HTTPS ở phía trước
- Phục vụ toàn bộ trang qua HTTPS và chuyển hướng tất cả lưu lượng HTTP.
- Thêm các header bảo mật (HSTS,
X-Content-Type-Options,X-Frame-Optionshoặc một Content-Security-Policy frame-ancestors, và một CSP nơi khả thi). - Sử dụng một Web Application Firewall. Một WAF ở cấp CDN như Cloudflare lọc lưu lượng độc hại trước khi nó đến WordPress và hấp thụ áp lực từ bot và DDoS.
8. Tăng cường cơ sở dữ liệu và lưu trữ
- Sử dụng tiền tố bảng cơ sở dữ liệu không mặc định trên các cài đặt mới.
- Sử dụng một người dùng cơ sở dữ liệu chuyên dụng chỉ với các đặc quyền mà WordPress cần.
- Giữ PHP ở phiên bản được hỗ trợ, hiện hành; PHP hết vòng đời là một rủi ro thầm lặng.
- Chọn dịch vụ lưu trữ cô lập các trang và vá lỗi ngăn xếp máy chủ.
9. Giám sát, sao lưu và khôi phục
- Chạy quét mã độc và kiểm tra tính toàn vẹn của tệp để các thay đổi bất ngờ được phát hiện nhanh chóng.
- Bật ghi nhật ký bảo mật để bạn có thể thấy các lần đăng nhập và thay đổi.
- Thực hiện sao lưu thường xuyên, tự động, lưu trữ ngoài máy chủ, và kiểm tra việc khôi phục chúng. Một bản sao lưu chưa được kiểm tra là một hy vọng, không phải một kế hoạch.
Những điểm chính
- Những thắng lợi lớn nhất lại kém hào nhoáng: cập nhật mọi thứ, loại bỏ plugin và theme không dùng, và bắt buộc xác thực mạnh với 2FA.
- Tăng cường
wp-config.php, quyền tệp và bề mặt XML-RPC / REST API để thu hẹp bề mặt tấn công. - Đặt HTTPS, các header bảo mật và một WAF ở phía trước trang web.
- Sao lưu thường xuyên và kiểm tra khôi phục để một vụ xâm phạm có thể phục hồi được.
Tăng cường bảo mật WordPress chuyên nghiệp
Một danh sách kiểm tra đưa bạn đi được phần lớn chặng đường, nhưng việc tăng cường bảo mật WordPress vẫn hưởng lợi từ con mắt chuyên gia. Một cuộc kiểm toán bảo mật WordPress
rà soát từng plugin và theme, kiểm tra xác thực và quyền truy cập, và kiểm tra wp-config.php, cơ sở dữ liệu, cũng như bề mặt REST API và XML-RPC, đưa ra một kế hoạch tăng cường theo thứ tự ưu tiên. Để có bức tranh rộng hơn trên toàn bộ trang và ngăn xếp của bạn, hãy xem hướng dẫn kiểm toán bảo mật website cho doanh nghiệp Anh
. Nếu trang của bạn cần phát triển và bảo trì liên tục song song với việc tăng cường, một lập trình viên WordPress cho thuê
có thể giữ nó an toàn theo thời gian.
Câu hỏi thường gặp (FAQ)
Cách phổ biến nhất khiến các trang WordPress bị hack là gì? Plugin và theme dễ bị tổn thương và lỗi thời. Mã plugin của bên thứ ba là vector tấn công lớn nhất, đó là lý do cập nhật kịp thời và loại bỏ plugin không dùng quan trọng hơn gần như bất cứ điều gì.
Tôi có thực sự cần một plugin bảo mật không? Một plugin bảo mật uy tín giúp quét mã độc, giới hạn đăng nhập và giám sát, nhưng nó không thay thế các nền tảng cơ bản: cập nhật, xác thực mạnh, vai trò đặc quyền tối thiểu và một WAF. Hãy dùng nó bổ sung cho vệ sinh tốt, không phải thay thế.
Tôi có nên vô hiệu hóa XML-RPC không? Nếu bạn không dùng nó (ví dụ cho ứng dụng di động hoặc một số tích hợp nhất định), thì có. XML-RPC thường bị lạm dụng cho brute-force và khuếch đại DDoS, nên vô hiệu hóa nó sẽ loại bỏ một bề mặt tấn công phổ biến.
Tôi nên sao lưu trang WordPress của mình bao lâu một lần? Đủ thường xuyên để bạn không thể mất dữ liệu quan trọng, thường là hằng ngày cho các trang hoạt động, lưu trữ ngoài máy chủ. Điều then chốt: hãy kiểm tra việc khôi phục; một bản sao lưu bạn chưa bao giờ khôi phục là chưa được chứng minh.
Cloudflare có đủ để bảo mật WordPress không? Một WAF ở cấp CDN như Cloudflare lọc rất nhiều lưu lượng độc hại và hấp thụ áp lực từ bot và DDoS, nhưng nó không khắc phục plugin dễ bị tổn thương, mật khẩu yếu hay cấu hình sai. Hãy dùng nó như một lớp bên cạnh việc tăng cường tại chỗ.
Bình luận