Tự hỏi liệu bạn có nên lo lắng về bảo mật đăng nhập WordPress không?
WordPress là CMS phổ biến nhất thế giới vì rất dễ dàng để xây dựng một trang web với nó. Mặc dù đó là một CMS miễn phí, nhưng có một cái giá phải trả. WordPress cực kỳ dễ đoán, điều này đôi khi khiến nó trở thành một mục tiêu dễ dàng.
Lấy ví dụ, trang đăng nhập.
Mỗi trang web WordPress đều có cùng một trang đăng nhập (/ wp-admin.com hoặc / wp-login.php). Kết hợp khả năng dự đoán với sở thích của con người trong việc sử dụng thông tin đăng nhập yếu và trang trở thành mục tiêu hấp dẫn cho tin tặc.
Các chuyên gia bảo mật nói rằng trang đăng nhập là trang dễ bị tấn công nhất trên một trang web. Mỗi ngày, tin tặc triển khai bot để thực hiện tấn công vũ phu trên trang đó. Bằng cách tìm ra thông tin đăng nhập của bạn, họ có thể dễ dàng truy cập vào CMS của bạn. Vì vậy, bạn phải làm mọi thứ trong khả năng của mình để bảo vệ nó chống lại những vị khách không mời này.
Trong bài viết này, chúng tôi sẽ chỉ cho bạn năm phương pháp nâng cao để cải thiện bảo mật đăng nhập WordPress và ngăn chặn bị tấn công.
Mục lục
Cách bảo mật trang đăng nhập WordPress vào năm 2022
Có rất nhiều lời khuyên kém trong lĩnh vực an ninh mạng. Hầu hết nó nhằm mục đích khiến mọi người sợ hãi và khiến họ nhượng bộ trước những lựa chọn bắt buộc. Thay vì thêm vào nhiễu, trong bài viết này, chúng tôi sẽ chỉ cho bạn các phương pháp thực sự hoạt động. Đó là:
Bạn phải nhận thấy rằng chúng tôi chưa bao gồm việc thực thi mật khẩu mạnh và cài đặt Chứng chỉ SSL. Đó là bởi vì nó là một điều nhất định. Chúng tôi hy vọng rằng bạn đã sử dụng những thứ đó. Xem các hướng dẫn khác của chúng tôi về cách hoàn thành việc đó.
Lưu ý: Để thực hiện các biện pháp chúng tôi đã đề cập bên dưới, bạn sẽ cần cài đặt một hoặc hai plugin. Và chúng tôi biết ngay cả những plugin tốt nhất cũng có thể gây ra sự cố. Vì vậy, làm một sao lưu trang web của bạn trước khi bạn tiến hành thêm bất kỳ điều gì.
Bây giờ, hãy bắt đầu:
1. Thay đổi URL trang đăng nhập
Như chúng tôi đã nói ở đầu bài viết, trang đăng nhập WordPress mặc định trông như thế này:
www.website.com/wp-admin/
www.website.com/wp-login.php/
Mọi người đều biết điều đó, bao gồm cả tin tặc thiết kế bot nhắm mục tiêu vào các trang đăng nhập WordPress. Và vì 59% người Mỹ [1] sử dụng mật khẩu yếu, quá dễ dàng để hack một trang web bằng cách brute-buộc trang đăng nhập.
Một cách để bảo vệ trang đăng nhập của bạn là thay đổi URL.
Tạo URL trang đăng nhập tùy chỉnh mới thật dễ dàng. Có một số plugin có sẵn cho phép bạn làm điều đó trong một vài cú nhấp chuột.
Chúng tôi sẽ sử dụng WPS Ẩn đăng nhập plugin để trình bày quy trình, nhưng nếu bạn thích bất kỳ plugin nào khác, hãy tiếp tục. Các bước sẽ dễ dàng và nhanh chóng như nhau.
Cách thay đổi URL đăng nhập WordPress của bạn
Cài đặt và kích hoạt WPS Ẩn đăng nhập. Đi tới Cài đặt → WPS Ẩn đăng nhập.
Cuộn xuống ở cuối trang, chèn URL mới vào URL đăng nhập và nhấn Lưu thay đổi.
Hãy thử đăng nhập bằng URL mới. Đừng quên chia sẻ nó với những người đồng đội của mình.
👉 Nếu bạn cần hỗ trợ, đây là hướng dẫn tận tâm của chúng tôi: cách thay đổi URL trang đăng nhập WordPress của bạn.
2. Triển khai xác thực hai yếu tố
Chắc hẳn bạn đã bắt gặp xác thực hai yếu tố khi sử dụng Facebook và Gmail. Các dịch vụ thường gửi một mã duy nhất đến số điện thoại di động đã đăng ký của bạn bất cứ khi nào bạn cố gắng đăng nhập vào tài khoản của mình. Biện pháp bảo mật này được thực hiện để đảm bảo chỉ chủ sở hữu tài khoản mới có thể truy cập vào nó. Ngay cả khi tin tặc có thể chạm tay vào thông tin đăng nhập của bạn, không có cách nào chúng có thể đánh cắp mã duy nhất được gửi đến số điện thoại di động đã đăng ký của bạn.
Xác thực hai yếu tố cũng có thể được áp dụng cho trang web WordPress của bạn. Nó sẽ thêm một lớp bảo mật vào trang đăng nhập. Tất cả những gì bạn cần làm là cài đặt bất kỳ plugin nào sau đây:
Thiết lập một plugin xác thực hai yếu tố rất dễ dàng. Chúng tôi sẽ sử dụng Google Authenticator của miniOrange để hiển thị cho bạn quá trình thiết lập.
Cách triển khai xác thực hai yếu tố
Cài đặt Google Authenticator của miniOrange trên trang đăng nhập WordPress của bạn. Ngay sau khi bạn kích hoạt plugin, một tiện ích thiết lập sẽ xuất hiện. Chọn tùy chọn đầu tiên, tức là. Trình xác thực của Google.
Tiếp theo, tải xuống ứng dụng Google Authenticator trên điện thoại thông minh của bạne. Mở ứng dụng và quét mã QR.
Ứng dụng tạo ra một mã. Nhập nó vào tiện ích thiết lập và nhấn Cứu.
Bảo mật đăng nhập 2FA WordPress hiện đang hoạt động trên trang đăng nhập của bạn.
3. Hạn chế số lần đăng nhập thất bại
WordPress cho phép người dùng thử đăng nhập không giới hạn. Điều này nghe có vẻ vô hại, nhưng thành thật mà nói, đó là một lỗ hổng bảo mật rõ ràng.
Các nỗ lực đăng nhập không giới hạn cho phép tin tặc thực hiện các cuộc tấn công vũ phu. Trong kiểu tấn công này, tin tặc triển khai bot để tìm ra sự kết hợp phù hợp giữa tên người dùng và mật khẩu. Các bot thất bại nhiều lần trước khi truy cập thông tin đăng nhập phù hợp. Một trong những cách hiệu quả nhất để chống lại các cuộc tấn công của bot là hạn chế các lần đăng nhập.
Các plugin dưới đây sẽ giúp bạn làm điều đó:
Cách hạn chế số lần đăng nhập thất bại
Cài đặt plugin và sau đó đi tới Giới hạn số lần đăng nhập → cài đặt → ứng dụng cục bộ. Tại đây, bạn có thể đặt số lần đăng nhập nên được cho phép trên trang web của mình. Và ai đó sẽ bị khóa trong bao lâu sau số lần đăng nhập đã nói.
4. Ngăn chặn việc phát hiện ra tên người dùng
Thông thường, tên người dùng được coi là ít quan trọng hơn mật khẩu. Nó là một hồ sơ có sẵn công khai, và đó là lý do tại sao chúng tôi cho rằng nó phải có giá trị thấp. Không đúng.
Tên người dùng chiếm một nửa thông tin đăng nhập của bạn. Nó phải được bảo vệ, giống như mật khẩu.
Trên một trang web WordPress, bạn sẽ tìm thấy tên người dùng được hiển thị trên các bài đăng và kho lưu trữ của tác giả. Rất may, có một cách để vô hiệu hóa cả hai.
Cách tắt lưu trữ tác giả
Điều này có thể được thực hiện với sự trợ giúp của bất kỳ plugin SEO nào. Trong hướng dẫn dưới đây, chúng tôi đang sử dụng Yoast SEO để hiển thị nó.
Đi tới SEO → Giao diện tìm kiếm → Lưu trữ và sau đó vô hiệu hóa Lưu trữ tác giả. Đánh Lưu thay đổi.
Cách thay đổi tên hiển thị
Tên hiển thị hiển thị trên các bài báo và nhận xét đã xuất bản. Theo mặc định, tên hiển thị và tên người dùng (tên bạn sử dụng để đăng nhập) là như nhau. Để ngăn chặn việc phát hiện ra tên người dùng, bạn có thể thay đổi tên hiển thị thành tên khác.
Đi tới Người dùng → Hồ sơ → Biệt hiệu. Bạn không thể thay đổi trực tiếp tên hiển thị. Thay vào đó, hãy thay đổi Biệt hiệu. Sau đó chọn nút biệt danh mới từ menu thả xuống bên dưới.
5. Tự động đăng xuất
Tự động đăng xuất bảo vệ các trang web khỏi những kẻ rình mò. Khi người dùng rời khỏi các phiên không được giám sát, tự động đăng xuất sẽ kết thúc phiên, bảo vệ trang web.
Hành vi mặc định của WordPress là đăng xuất người dùng 48 giờ sau khi cookie phiên đăng nhập hết hạn. Và nếu người dùng đã chọn hộp “Nhớ thông tin đăng nhập của tôi”, bạn sẽ vẫn đăng nhập trong 14 ngày. Để chấm dứt các phiên do một chút thời gian nhàn rỗi, bạn cần cài đặt một plugin riêng.
Các plugin bên dưới giúp bạn tự động đăng xuất để kết thúc các phiên người dùng nhàn rỗi:
Cách bật tự động đăng xuất
Kích hoạt plugin và sau đó đi tới Cài đặt → Đăng xuất không hoạt động → Quản lý cơ bản. Đặt đồng hồ cho thời gian chờ nhàn rỗi. Ngoài ra còn có các tùy chọn cho thời gian chờ dựa trên vai trò. Kiểm tra nó ra nếu bạn thích.
Kết luận về bảo mật đăng nhập WordPress
Tất cả đã sẵn sàng? Tuyệt! Trước khi bạn rời khỏi trang này, một lời khuyên cuối cùng: Cải thiện bảo mật đăng nhập WordPress sẽ đưa bạn tiến gần hơn một bước đến việc bảo mật toàn bộ trang web của mình, đó là mục tiêu cuối cùng!
Mặc dù bạn đã thực hiện các biện pháp để ngăn chặn tin tặc xâm nhập vào trang web của bạn, những kẻ xâm nhập vẫn có thể có quyền truy cập thông qua các chủ đề và plugin dễ bị tấn công. Do đó, hãy giữ cho trang web của bạn được cập nhật suốt ngày đêm.
Để bảo mật trang web của bạn hơn nữa, chúng tôi thực sự khuyên bạn nên thực hiện tất cả các biện pháp bảo mật được đề cập trong hướng dẫn này: 10 chìa khóa WordPress mẹo bảo mật.
Nếu bạn có bất kỳ câu hỏi nào về cách xử lý bảo mật đăng nhập WordPress của mình, hãy cho chúng tôi biết trong phần bình luận bên dưới.