Bảo Mật WordPress: 12 Bước Bảo Vệ Website Khỏi Hacker
WordPress là mục tiêu tấn công số 1 vì quá phổ biến. Nhưng tin tốt là: hầu hết các vụ hack đều có thể phòng tránh bằng những bước đơn giản. Đây là checklist bảo mật mà mọi website WordPress cần có.
1. Luôn cập nhật WordPress, theme và plugin
70% website WordPress bị hack vì dùng phiên bản cũ có lỗ hổng bảo mật. Bật tự động cập nhật bảo mật:
// Trong wp-config.php
define('WP_AUTO_UPDATE_CORE', 'minor'); // Tự cập nhật bản vá bảo mật
2. Đổi username “admin”
Hacker luôn thử tài khoản “admin” trước. Nếu bạn đang dùng username “admin”, hãy tạo tài khoản mới với username khác, gán role Administrator, rồi xóa tài khoản “admin” cũ.
3. Dùng mật khẩu mạnh + 2FA
Mật khẩu mạnh là ít nhất 16 ký tự, kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt. Bật xác thực 2 bước (2FA) bằng plugin WP 2FA.
4. Giới hạn số lần đăng nhập thất bại
Ngăn brute force attack bằng plugin Limit Login Attempts Reloaded hoặc dùng Wordfence (đã tích hợp sẵn).
5. Đổi URL trang đăng nhập
Mặc định WordPress đăng nhập tại /wp-admin hoặc /wp-login.php — hacker biết điều này. Dùng plugin WPS Hide Login để đổi sang URL tùy chỉnh.
6. Cài SSL (HTTPS)
Mọi hosting hiện đại đều có Let’s Encrypt SSL miễn phí. Bật HTTPS và thêm vào wp-config.php:
define('FORCE_SSL_ADMIN', true);
7. Tắt XML-RPC nếu không dùng
XML-RPC là điểm tấn công phổ biến. Nếu bạn không dùng ứng dụng mobile WordPress hay Jetpack, hãy tắt nó:
// Trong functions.php
add_filter('xmlrpc_enabled', '__return_false');
8. Bảo vệ file wp-config.php
Thêm vào file .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>
9. Tắt hiển thị lỗi PHP trên production
// Trong wp-config.php
define('WP_DEBUG', false);
define('WP_DEBUG_DISPLAY', false);
10. Dùng Wordfence hoặc Sucuri
Cài plugin bảo mật chuyên dụng để quét malware, theo dõi file thay đổi và chặn IP độc hại tự động.
11. Backup thường xuyên
Backup là “bảo hiểm” cuối cùng. Dùng UpdraftPlus để backup tự động hàng ngày lên Google Drive. Giữ ít nhất 7 bản backup gần nhất.
12. Theo dõi activity log
Plugin WP Activity Log ghi lại mọi hành động trong admin: ai đăng nhập, ai chỉnh sửa gì, khi nào. Giúp phát hiện sớm hành vi bất thường.
Checklist nhanh
| Hành động | Mức độ quan trọng |
|---|---|
| Cập nhật WP + theme + plugin | 🔴 Bắt buộc |
| Đổi username admin | 🔴 Bắt buộc |
| Mật khẩu mạnh | 🔴 Bắt buộc |
| Cài SSL | 🔴 Bắt buộc |
| Backup tự động | 🔴 Bắt buộc |
| Wordfence/Sucuri | 🟠 Khuyến nghị |
| Đổi URL login | 🟠 Khuyến nghị |
| Tắt XML-RPC | 🟡 Tùy chọn |