Cách bảo mật website WordPress với plugin iThemes Security (cập nhật 2023)

Bảo mật website luôn là vấn đề quan trọng đối với chủ website, đối với các blog bằng WordPress cũng vậy, đừng để khi “mất bò mới lo làm chuồng” mà hãy học cách cấu hình bảo mật cho wordpress bằng plugin iThemes Security qua bài viết hướng dẫn này.

Việc bảo mật nghe có vẻ khó khăn vì mang tính kỹ thuật, tuy nhiên đối với những ai đang làm website bằng WordPress như bạn thì rất may mắn vì đã có nhiều plugin hỗ trợ bảo mật rất tốt, điển hình như iThemes Security – plugin bảo mật tốt và thịnh hành nhất hiện nay.

Để giúp bạn yên tâm hơn trong quá trình phát triển nội dung cho website của mình, bài viết dưới đây của Blog Dautummo.com của mình hứa sẽ giúp bạn hiểu rõ và biết cách cấu hình bảo mật với plugin iThemes Security một cách chi tiết nhất.

Cùng bắt đầu nhé!

iThemes Security là gì?

iThemes Security là plugin giúp bảo mật website sử dụng mã nguồn mở WordPress với mục đích hạn chế các lỗ hổng bảo mật, hạn chế bị hacker tấn công làm hại đến website.

iThemes Security có cả bản miễn phí và trả phí (iThemes Security Pro), đối với bản miễn phí đã hạn chế được rất nhiều lỗ hổng quan trọng, bản Pro (56$/năm) sẽ có thêm một số tùy chọn bảo mật nâng cao & hỗ trợ tốt hơn.

Đối với các blog nhỏ chưa ai nhòm ngó đến thì dùng bản free là đủ, tuy nhiên với các blog lớn có nhiều traffic, đã ra kiếm ra nhiều tiền từ blog hoặc website doanh nghiệp thì nên sử dụng bản iThemes Security Pro cho tối ưu nhất.

Mua plugin iThemes Security Pro giảm giá 30% tại đây

---

Chức năng bảo mật WordPress của iThemes Security

iThemes Security bản miễn phí thôi đã có rất nhiều chức năng bảo mật giúp website của bạn giảm thiểu rủi ro hơn, trong khi bản iThemes Security Pro sẽ có thêm vài chức năng nâng cao giúp bảo mật tối đa.

Dưới đây là danh sách các chức năng bảo mật chính của iThemes Security:

(1) Tự động cấm người dùng nghi ngờ: những người dùng cố tình đăng nhập nhiều lần, sử dụng tên “Admin” để đăng nhập, dò tìm mật khẩu hàng loạt..

(2) Mật khẩu mạnh: Yêu cầu tất cả người dùng trên Blog phải dùng mật khẩu mạnh.

(3) Tự động backup dữ liệu theo định kỳ và gửi về email.

(4) Tham gia mạng lưới bảo vệ website khỏi các Ip xấu, tự động chặn các ip xấu mà các website khác đã từng gặp.

(5) Khóa không cho chỉnh sửa tập tin ở WordPress, muốn chỉnh sửa phải dùng phương pháp khác.

(6) Khóa bảng điều khiển WordPress theo lịch trình (ví dụ trong khoảng từ 1h tới 6h sáng).

(7) Kích hoạt danh sách đen những user bị khóa nhiều lần.

(8) Theo dõi lịch sử thay đổi tập tin: giúp phát hiện vấn đề để sửa chữa khi website bị hack.

(9) Thông mail email khi phát hiện các vấn đề bảo mật

(10) Phân quyền user: giúp tùy chỉnh hoặc giới hạn quyền user vào các chức năng WordPress.

(11) Phát hiện các trang 404 hoặc các truy cập liên tục vào trang 404.

(12) Tự động redirect các truy cập từ http về https

(13) Ngăn chặn người dùng truy cập các tệp tin quan trọng eadme.html, readme.txt, wp-config.php, install.php, wp-includes và .htaccess, ngăn chặn truy cập thư mục Directory Browsing.

(14) Ngăn chặn các truy cập với truy vấn URL dài, URL chứa nhiều thành phần lạ.

(15) Ngăn chặn comment spam

(16) Ngăn chặn tấn công qua XML-RPC (nên bật)

(17) Chặn thông báo lỗi khi đăng nhập thất bại (tránh hacker biết nguyên nhân login không thành công).

(18) Quét các phần mềm độc hại tự động (bản PRO)

(19) Cho phép quản trị viên cấp quyền cho người dùng truy cập trang web trong một thời gian nhất định (PRO).

(20) reCaptcha: xác minh người dùng thật bằng mã capcha khi đăng nhập hoặc gửi comment (PRO).

(21) Cài đặt nhập và xuất dữ liệu đã cài đặt ở Security lên các website khác (PRO).

(22) Bảo mật 2 lớp khi đăng nhập (PRO)

(23) Kiểm tra người dùng trên trang web để phát hiện các lỗi lỗ hổng bảo mật (PRO).

(24) Theo dõi lịch sử đăng nhập của các người dùng.

(25) Quản lý phiên bản các phần mềm, tiện ích trên website giúp phát hiện các phần lỗi thời để nâng cấp ngay (PRO).

(26) Cho phép đăng nhập không cần mật khẩu (PRO).

Còn nữa..

---

Hướng dẫn cài đặt plugin iThemes Security

Phía trên là đôi chút giới thiệu về các chức năng chính của plugin iThemes Security, dưới đây là hướng dẫn chi tiết các bước cài đặt & cầu hình bảo mật.

Lưu ý *: Mặc dù ít gặp nhưng trước khi cài đặt hay sao lưu toàn bộ dữ liệu của website bạn, tránh trường hợp cài đặt xong bị xung đột hoặc lỗi thì có thể backup lại được nhé!

Nên bật từng tính năng của iThemes Security rồi xem website hoạt động còn bình thường hay không rồi mới mở tiếp các chức năng khác.

Bước 1:Truy cập vào mục Plugin chọn Add New/ tìm kiếm iThemes Security để cài đặt và kích hoạt.

Sau khi bấm cài đặt và kích hoạt xong sẽ sang bước thứ 2.

Bước 2: Cấu hình plugin iThemes Security

(1) Security Check

Tại giao diện quản trị bấm vào menu Security, tích chọn như sau để đồng ý bật các chức năng cần thiết (lưu ý chỉ là bật tạm thôi, bạn có thể tùy chỉnh lại ngay sau đó).

• Banned Users: cấm người dùng nghi ngờ
• Database Backups: backup dữ liệu
• Local Brute Force Protection: cấm các user cố tình đăng nhập nhiều lần
• Network Brute Force Protection: tham gia mạng lưới báo cáo các ip xấu
• Strong Passwords: bắt buộc mật khẩu mạnh
• WordPress Tweaks: tùy chỉnh nâng cao với WordPress

Sau khi bấm vào Security site, plugin có thể sẽ phát hiện ra một số vấn đề, nếu có bạn bấm đồng ý xử lý để tiếp tục nhé. Ví dụ mình được yêu cầu bật tính năng chuyển toàn bộ các truy cập từ http sang https (nếu web của bạn đang sử dụng https thì chắc sẽ có yêu cầu tương tự).

Sau khi cấu hình xong bước cơ bản, sẽ hiện ra màn hình Dashboard với từng chức năng để bạn tùy chỉnh tắt/bật theo ý muốn.

(2) Global Settings

Đây là cài đặt cơ bản nhưng được sử dụng ở hầu hết các tính năng trên iThemes Security

• Write to Files: nên để mặc định là có tích chọn để cho phép iTheme Security ghi vào wp-config.php và .htaccess.
• Host Lockout Message, User Lockout Message, Community Lockout Message: nội dung thông báo cho máy chủ hoặc người dùng bị khóa, bạn có thể để nguyên hoặc tùy chỉnh lại.
• Blacklist Repeat Offender, Blacklist Threshold, Blacklist Lookback Period, Lockout Period: để kích hoạt danh sách đen, tùy chỉnh số lần bị khóa máy là bao nhiêu sẽ bị vào danh sách đen, thời gian khóa mỗi lần là bao nhiêu, bạn có thể tùy chỉnh lại hoặc để nguyên như mình.
• Lockout White List: thêm địa chỉ IP của mình vào để tránh bị khóa nhầm, bạn có thể tìm địa chỉ IP của mình theo hướng dẫn của họ tại đây: https://www.iptrackeronline.com/ithemes.php, hoặc nhanh nhất là bấm vào “Add my current IP to the White List” để thêm ngay lập tức IP họ đã tìm thấy giúp mình rồi.
• Manage iThemes Security: chọn nhóm người dùng nào được phép cài đặt/ cấu hình iThemes Security, để mặc định thì tất cả Admin (quản trị viên) sẽ được thao tác.
• Log Type: chọn loại tập tin/ dữ liệu muốn được iThemes Security backup, bạn có thể chọn mình dữ liệu Database hoặc chỉ Tập tin hoặc cả 2.
• Days to Keep File Logs: số thời gian lưu lịch sử thay đổi tập tin (trong trường hợp bạn kích hoạt chức năng theo dõi lịch sử thay đổi của tập tin)

(3) Notification Center

Phần cài đặt thông báo về email của Quản trị viên khi iThemes Security phát hiện ra các vấn đề đáng nghi, phần này có thể để nguyên, không cần cài đặt thêm gì.

(4) User Groups

Phần này để cài đặt, tùy chọn lại quyền hạn cho các loại user trên website của bạn, có thể giữ nguyên hoặc muốn thêm bớt quyền nếu muốn.

(5) 404 Detection

Giúp phát hiện các lỗi 404 và ngăn chặn các người dùng truy cập trang 404 nhiều lần trong 1 khoảng thời gian để khóa lại, tránh các trường hợp dò lỗ hổng. Bạn có thể bấm vào kích hoạt hoặc không.

Nếu chọn Enable lên bạn có thể bấm vào để cấu hình số lượng lỗi 404 trong khoảng thời gian bao nhiêu, đồng thời điền các file/ page không cần quét..

(6) Away Mode

Khóa bảng điều khiển của WordPress theo lịch trình,khi kích hoạt bạn có thể khóa màn hình Dashoard của WordPress trong khoảng thời gian mà bạn không làm việc để giảm thiểu rủi ro. Ví dụ trong khoảng từ 1h đến 5h sáng bạn không làm gì thì khóa lại.

(7) Banned Users

Nơi giúp bạn khóa các máy chủ hoặc ip người dùng không muốn cho họ truy cập vào trang web của bạn.

• Default Blacklist: tích chọn vào Enable HackRepair.com’s blacklist feature để Kích hoạt tính năng danh sách đen của HackRepair.com – người được cho là chuyên gia sửa chữa hack hàng đầu thế giới 😀
• Ban Hosts: list các ip máy chủ cần chặn
• Ban User Agents: ip người dùng cần chặn

(8) Database Backups

Cấu hình backup dữ liệu bằng iThemes Security, nếu bạn chưa có sử dụng phương pháp backup nào thì nên bật lên để backup dữ liệu định kỳ nhé, hoặc bật lên làm phương án dự phòng.

• Backup Full Database: để sao lưu toàn bộ dữ liệu
• Backup Method: phương pháp sao lưu, chỉ gửi email hoặc vừa lưu máy chủ vừa gửi email, hoặc chỉ lưu máy chủ
• Backups to Retain: số bản backup được lưu lại trên máy chủ, cũ hơn sẽ bị xóa, nếu để là 0 thì sẽ lưu toàn bộ.
• Compress Backup Files: có nén zip hay không.
• Exclude Tables: chọn bảng cần sao lưu và bảng nào không cần sao lưu
• Schedule Database Backups: kích hoạt lịch trình sao lưu theo ngày

(9) File Change Detection

Dùng để phát hiện sự thay đổi của các tập tin, ngay cả khi bảo mật tốt nhất thì tình huống xấu vẫn có thể xảy ra, biện pháp lúc này là cần biết được tập tin nào đã bị thay đổi để khoanh vùng xử lý, đây là chức năng đáp ứng điều đó cho bạn.

• Files and Folders List: danh sách tập tin và thư mục cần theo dõi, tích vào để bỏ cái nào bạn không cần theo dõi.
• Ignore File Types: các tập tin sẽ bỏ qua không theo dõi, bạn có thể điền thêm vào mỗi cái 1 dòng.

(10) Local Brute Force Protection

Giúp khóa các user cố tình dò đoán mật khẩu để đăng nhập nhiều lần, tại đây bạn có thể khóa user theo cấu hình như số lần đăng nhập cho máy chủ, số lần đăng nhập tối đa cho người dùng, chặn người nào cố tình đăng nhập bằng tên “admin”.

(11) Network Brute Force Protection

Kích hoạt để tham gia mạng lưới các website báo cáo và bảo vệ chống lại các thành phần xấu. Khi kích hoạt iThemes Security sẽ khóa ngay lập tức các user/ip xấu mà mạng lưới các website khác đã gặp phải. Và tương tự nếu bạn gặp ip/user xấu thì sẽ khai báo để các website khác ngăn chặn kịp thời.

(12) Password Requirements

Tích chọn kích hoạt để yêu cầu bắt buộc nhập mật khẩu mạnh đối với tất cả tài khoản trên website bạn.

(13) SSL

Nên kích hoạt neus website bạn đang dùng HTTPS để mặc định redirect toàn bộ truy cập từ http sang https đảm bảo an toàn, bảo mật dữ liệu.

(14) System Tweaks

Tùy chọn nâng cao để tùy chỉnh bảo mật máy chủ hệ thống, mục này ai hiểu thì bật và chỉ nên bật từng cái rồi thử xem web chạy ok thì mới bật tiếp nha 😀

• System Files: Ngăn chặn truy cập vào các tệp tin quan trọng readme.html, readme.txt, wp-config.php, install.php, wp-includes và .htaccess.
• Directory Browsing: Ngăn người dùng nhìn thấy danh sách các tệp trong thư mục khi không có tệp chỉ mục.
• Request Methods: Lọc ra các lượt truy cập với các phương pháp theo dõi hoặc theo dõi yêu cầu.
• Suspicious Query Strings: Chặn truy cập với cái chuỗi đáng ngờ trong URL
• Non-English Characters: Lọc các ký tự không phải tiếng Anh từ chuỗi truy vấn. Điều này không nên được sử dụng trên các trang web không phải tiếng Anh.
• Long URL Strings: Giới hạn số lượng ký tự có thể được gửi trong URL. Tin tặc thường lợi dụng các URL dài để cố gắng đưa thông tin vào cơ sở dữ liệu của bạn.
• File Writing Permissions: Ngăn chặn các tập lệnh và người dùng có thể ghi vào tệp wp-config.php và tệp .htaccess. Lưu ý rằng trong trường hợp này và nhiều plugin có thể khắc phục được tuy nhiên nó vẫn giúp các tệp an toàn hơn. Bật tính năng này sẽ đặt quyền truy cập tệp UNIX thành 0444 trên các tệp này và tắt nó sẽ đặt quyền thành 0664.
• PHP in Uploads: Vô hiệu hóa thực thi PHP trong thư mục tải lên. Điều này chặn các yêu cầu tải lên các tệp PHP độc hại trong thư mục tải lên.
• PHP in Plugins: Vô hiệu hóa thực thi PHP trong thư mục plugin. Điều này chặn các yêu cầu đến các tệp PHP bên trong các thư mục plugin có thể được khai thác trực tiếp.
• PHP in Themes: Vô hiệu hóa thực thi PHP trong thư mục chủ đề. Điều này chặn các yêu cầu đến các tệp PHP bên trong các thư mục chủ đề có thể được khai thác trực tiếp.

(15) WordPress Salts

Tạo các khóa bí mật để giúp tăng cường cho mật khẩu đăng nhập, lưu ý khi kích hoạt chức năng này bạn sẽ bị thoát khỏi trang và phải đăng nhập lại nhé.

(16) WordPress Tweaks

Cài đặt nâng cao giúp xóa bỏ một số thành phần mặc định của hệ thống. Bạn nên quan tâm mấy thứ sau thôi:

• Comment Spam: tích chọn để lọc comment spam
• File Editor: ngăn chặn sửa các file trên WordPress, nếu bạn không hay dùng chính trang quản trị để chỉnh sửa code/ html/css thì hãy khóa nó đi, hoặc khóa tạm lại khi nào cần thì mở ra để đảm bảo an toàn.
• XML-RPC: nên chọn là Disable XML-RPC – XML-RPC nếu bạn sử dụng Jetpack, hoặc WordPress mobile app
• Multiple Authentication Attempts per XML-RPC Request: chọn Block để ngăn chặn hacker dò đoán mật khẩu hàng loạt.
• REST API: bạn để mặc định là Restricted Access (recommended). Các WordPress REST API là một phần của WordPress và cung cấp các nhà phát triển với những cách thức mới để quản lý WordPress. Theo mặc định, nó có thể cung cấp quyền truy cập công khai vào thông tin mà bạn cho là riêng tư trên trang web của mình. Để biết thêm chi tiết, hãy xem bài đăng của chúng tôi về API WordPress REST tại đây.
• Login Error Messages: Ngăn chặn thông báo lỗi hiển thị cho người dùng khi thử đăng nhập thất bại. Mục đích để người dùng không biết nguyên nhân đang nhập sai thông tin gì.
• Force Unique Nickname: Điều này buộc người dùng phải chọn một biệt danh duy nhất khi cập nhật hồ sơ của họ hoặc tạo một tài khoản mới để ngăn bot và kẻ tấn công dễ dàng thu thập tên người dùng đăng nhập của người dùng từ mã trên trang tác giả.
• Disable Extra User Archives: Vô hiệu hóa trang tác giả của người dùng nếu số bài đăng của họ bằng 0.

---

Câu hỏi thường gặp về iThemes Security

Dưới đây là những câu hỏi thường gặp khi cài đặt và sử dụng plugin bảo mật WordPress iThemes Security:

---

Tạm kết

Trên đây là bài viết review và hướng dẫn cài đặt, cấu hình plugin bảo mật WordPress iThemes Security bản miễn phí và Pro của blog Dautummo.Com. Hi vọng qua bài viết này bạn sẽ hiểu và biết cách cấu hình bảo mật cho website của mình một cách tốt nhất.

Lời khuyên: iThemes Security chỉ là một plugin bảo mật WordPress rất tốt, tuy nhiên không thể đảm bảo chống lại được 100% các lỗ hổng bảo mật, vì vậy hãy luôn luôn đề cao cách giác, sử dụng các biện pháp phòng chống để hạn chế rủi ro đáng tiếc.

• Nên backup dữ liệu website hàng ngày để khi có rủi ro xảy ra thì vẫn khôi phục lại được.
• Nên sử dụng nhà cung cấp hosting tốt nhất, chọn mua tên miền ở nơi uy tín để đảo bảo an toàn.
• Nên sử dụng theme có nguồn gốc rõ ràng, không tải về từ các nguồn miễn phí (ngoài WordPress), mua theme wordpress ở những nơi uy tín.
• Cập nhật website liên tục, tránh các phần mềm, plugin bị lỗi thời.
• Xóa bỏ các theme, plugin không dùng.
• Không tùy tiện nhúng, gắn các đoạn code lạ vào website.
• Tạo mật khẩu mạnh, sử dụng bảo mật 2 lớp để tăng tính bảo mật.
• Không sử dụng tên tài khoản đăng nhập là “Admin” hoặc là “root”
• Sử dụng HTTPS cho website
• Bảo mật các thông tin quản trị hosting, tên miền.

Nếu chẳng may website của bạn bị tấn công thì hãy thuê dịch vụ khắc phục chuyên nghiệp như https://sucuri.net/ để rà soát và phát hiện mã độc, khi phát hiện đội ngũ chuyên gia của họ sẽ sửa lỗi cho bạn.

Bài viết có thể bạn quan tâm:

• Hướng dẫn làm SEO WordPress toàn tập
• Top 10+ cách kiếm tiền online tốt nhất
• Mua theme miễn phí hay trả phí tốt
• Review, so sánh Rank Math SEO và Yoast SEO