Trang chủ / Blog / Bảo Mật WordPress: 12 Bước Bảo Vệ Website Khỏi Hacker
Bảo mật WordPress

Bảo Mật WordPress: 12 Bước Bảo Vệ Website Khỏi Hacker

WordPress là mục tiêu tấn công số 1 vì quá phổ biến. Nhưng tin tốt là: hầu hết các vụ hack đều có thể phòng tránh bằng những bước đơn giản. Đây là checklist bảo mật mà mọi website WordPress cần có.

1. Luôn cập nhật WordPress, theme và plugin

70% website WordPress bị hack vì dùng phiên bản cũ có lỗ hổng bảo mật. Bật tự động cập nhật bảo mật:

// Trong wp-config.php
define('WP_AUTO_UPDATE_CORE', 'minor'); // Tự cập nhật bản vá bảo mật

2. Đổi username “admin”

Hacker luôn thử tài khoản “admin” trước. Nếu bạn đang dùng username “admin”, hãy tạo tài khoản mới với username khác, gán role Administrator, rồi xóa tài khoản “admin” cũ.

3. Dùng mật khẩu mạnh + 2FA

Mật khẩu mạnh là ít nhất 16 ký tự, kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt. Bật xác thực 2 bước (2FA) bằng plugin WP 2FA.

4. Giới hạn số lần đăng nhập thất bại

Ngăn brute force attack bằng plugin Limit Login Attempts Reloaded hoặc dùng Wordfence (đã tích hợp sẵn).

5. Đổi URL trang đăng nhập

Mặc định WordPress đăng nhập tại /wp-admin hoặc /wp-login.php — hacker biết điều này. Dùng plugin WPS Hide Login để đổi sang URL tùy chỉnh.

6. Cài SSL (HTTPS)

Mọi hosting hiện đại đều có Let’s Encrypt SSL miễn phí. Bật HTTPS và thêm vào wp-config.php:

define('FORCE_SSL_ADMIN', true);

7. Tắt XML-RPC nếu không dùng

XML-RPC là điểm tấn công phổ biến. Nếu bạn không dùng ứng dụng mobile WordPress hay Jetpack, hãy tắt nó:

// Trong functions.php
add_filter('xmlrpc_enabled', '__return_false');

8. Bảo vệ file wp-config.php

Thêm vào file .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

9. Tắt hiển thị lỗi PHP trên production

// Trong wp-config.php
define('WP_DEBUG', false);
define('WP_DEBUG_DISPLAY', false);

10. Dùng Wordfence hoặc Sucuri

Cài plugin bảo mật chuyên dụng để quét malware, theo dõi file thay đổi và chặn IP độc hại tự động.

11. Backup thường xuyên

Backup là “bảo hiểm” cuối cùng. Dùng UpdraftPlus để backup tự động hàng ngày lên Google Drive. Giữ ít nhất 7 bản backup gần nhất.

12. Theo dõi activity log

Plugin WP Activity Log ghi lại mọi hành động trong admin: ai đăng nhập, ai chỉnh sửa gì, khi nào. Giúp phát hiện sớm hành vi bất thường.

Checklist nhanh

Hành động Mức độ quan trọng
Cập nhật WP + theme + plugin 🔴 Bắt buộc
Đổi username admin 🔴 Bắt buộc
Mật khẩu mạnh 🔴 Bắt buộc
Cài SSL 🔴 Bắt buộc
Backup tự động 🔴 Bắt buộc
Wordfence/Sucuri 🟠 Khuyến nghị
Đổi URL login 🟠 Khuyến nghị
Tắt XML-RPC 🟡 Tùy chọn
n
nguyenluan.dev@gmail.com
Tác giả tại Nguyễn Ngọc Minh Luân. Chia sẻ kiến thức WordPress và kinh nghiệm thực chiến.