Bài 6 – Các bước bảo mật cơ bản cho WordPress (người mới)

WordPress thân thiện, dễ dùng nhưng cũng thu hút nhiều “chú ý” không mong muốn nếu bạn không làm đúng các bước bảo mật cơ bản. Với người mới, không cần học hết 20+ mẹo, chỉ cần tập trung vào vài điểm quan trọng: bảo vệ đường đăng nhập, cập nhật định kỳ, dọn dẹp plugin/theme, và phân quyền đúng.

Bài này sẽ hướng dẫn you theo 4 nhóm hành động:

• Đổi đường dẫn login (tùy chọn) và giới hạn số lần đăng nhập.
• Cập nhật core, theme, plugin – theo nguyên tắc “ít mà chất”.
• Gỡ plugin/theme không dùng, kiểm tra nguồn plugin an toàn.
• Quản lý quyền user: phân quyền rõ ràng, không dùng admin cho mọi thứ.

---

1. Đổi đường dẫn login (tùy chọn) và giới hạn login attempts

Đa số WordPress dùng đường đăng nhập mặc định là /wp-login.php hoặc /wp‑admin, hacker có thể dùng robot dò tài khoản, mật khẩu nhiều lần liên tục (brute‑force).

1.1. Đổi đường dẫn login (tùy chọn)

Ý tưởng: thay vì ai cũng biết hostforge.vn/wp-login.php, bạn đổi thành đường lạ hơn để giảm rủi ro bot dò đường.

Cách phổ biến cho người mới:

• Dùng plugin hỗ trợ như WPS Hide Login hoặc tương tự.
• Cài plugin → vào settings → đổi login URL thành một đường tùy chọn (ví dụ: /admin‑auth, /secret‑login…).
• Test lại: truy cập đường mới để xem bạn có đăng nhập được không, sau đó không dùng lại đường cũ.

Điều này không làm cho website “bất khả xâm phạm”, nhưng làm cho cuộc tấn công brute‑force trở nên khó hơn.

1.2. Giới hạn số lần đăng nhập (login attempts)

Giới hạn số lần đăng nhập sai giúp bạn tránh việc hacker dùng script thử hàng trăm mật khẩu.

• Cài plugin hỗ trợ giới hạn đăng nhập, ví dụ: Limit Login Attempts Reloaded, Wordfence Login Security, hoặc plugin bảo mật tích hợp sẵn.
• Cấu hình: sau số lần sai nhất định (ví dụ 5–10 lần), IP đó bị lock trong 10–30 phút.
• Đảm bảo bạn có cách “mở khóa” hoặc whitelist IP đáng tin cậy (nếu vô tình lock IP của bạn).

Việc này đơn giản, không cần code, nhưng giảm đáng kể rủi ro bị bẻ mật khẩu qua brute‑force.

---

2. Cập nhật core, theme, plugin – nguyên tắc “ít mà chất”

Phần lớn các lỗ hổng bảo mật đến từ WordPress core, theme, plugin cũ, lỗi thời. Người mới nên coi: “cập nhật định kỳ” là một phần của quy trình quản trị, không phải việc làm 1 lần.

2.1. Cập nhật định kỳ core WordPress

• Vào /wp‑admin → mục Dashboard → Updates.
• Thường xuyên kiểm tra xem có bản cập nhật WordPress mới không, nếu có hãy cập nhật (nên backup trước).
• “Tùy chọn” tốt: chọn **minor update** (bugfix, patch) tự động, còn **major update** (phiên bản lớn) bạn có thể cập nhật thủ công sau khi test.

2.2. Cập nhật theme và plugin

• Chỉ giữ lại theme chính mà bạn dùng, không giữ nhiều theme không dùng.
• Giữ danh sách plugin ngắn, mỗi plugin có lý do rõ ràng: “cái này để làm gì”, “nếu bỏ thì ảnh hưởng gì”?
• Trên mục **Plugins**, kiểm tra có bản cập nhật mới không, cập nhật thường xuyên.
• Không cập nhật hàng loạt khi không test; nếu dùng plugin backup, bạn có thể tạo backup trước khi cập nhật để test/rollback.

Nguyên tắc nhớ: “ít mà chất”. Thay vì cài 30 plugin free, nên dùng 10 plugin chất lượng, được cập nhật, đánh giá tốt.

---

3. Gỡ plugin/theme không dùng, kiểm tra nguồn plugin an toàn

Một plugin/theme không dùng nhưng vẫn cài đặt trên WordPress vẫn là “cửa mở” tiềm năng: nếu có lỗ hổng, hacker có thể khai thác dù bạn không dùng nó.

3.1. Gỡ plugin và theme không dùng

• Truy cập **Plugins**: vô hiệu hóa các plugin mà bạn không chắc chắn hoặc không còn cần.
• Đợi một vài ngày, nếu không thấy lỗi chức năng, hãy bấm **Delete** để xóa plugin khỏi hệ thống.
• Tương tự với **Appearance → Themes**: xóa theme cũ, theme không dùng, chỉ để lại 1–2 theme (primary + 1 fallback).

Việc này vừa tăng bảo mật, vừa giảm tải server.

3.2. Kiểm tra nguồn plugin an toàn

Không phải plugin nào trên internet đều an toàn; nên ưu tiên:

• Dùng plugin từ **WordPress.org** (kho chính thức) – đã qua kiểm tra cơ bản, thường có đánh giá, số lượng người dùng, cập nhật.
• Đọc đánh giá: số điểm cao, lượt cài lớn, author có profile, không có cảnh báo “out of date by … years”.
• Tránh plugin crack, nulled, premium miễn phí tải từ các trang lạ; tỉ lệ cao plugin này có mã độc hoặc backdoor.
• Nếu phải dùng plugin thương mại, hãy mua từ nhà phát triển chính thức.

Bạn có thể dùng thêm plugin kiểm tra bảo mật (ví dụ: Sucuri, Wordfence, All in One WP Security…) để quét plugin/theme có dấu hiệu mã độc.

---

4. Quyền user: phân quyền rõ ràng, không dùng admin cho mọi thứ

Nguyên nhân phổ biến nhất khi WordPress bị “đốt” là: ai cũng có role **Administrator** (admin), hoặc dùng cùng 1 tài khoản admin cho mọi tác vụ.

4.1. Phân biệt các vai trò (role) trong WordPress

WordPress có các role cơ bản:

• Administrator: quyền cao nhất (cài plugin, đổi theme, cài bản cập nhật, sửa config, v.v.).
• Editor: soạn, sửa, xóa bài viết, quản lý nội dung, nhưng không cài plugin/theme.
• Author: tạo và sửa bài viết của chính mình.
• Contributor: chỉ soạn nháp, chờ người khác duyệt.
• Subscriber: chỉ xem hoặc nhận thông báo.

4.2. Nguyên tắc phân quyền “an toàn”

• Chỉ 1–2 tài khoản chính giữ **Administrator**; những người khác nên dùng **Editor**, **Author** hoặc vai trò tùy chỉnh.
• Không bao giờ dùng 1 tài khoản admin cho tất cả mọi người; nếu nhiều người cần tiếp cận, hãy tạo tài khoản riêng cho mỗi người.
• Trong các plugin bảo mật, có thể bật **Tuyệt đối không cho phép đăng ký tài khoản admin tự động**.
• Nếu dùng hosting quản trị, hãy đổi mật khẩu admin định kỳ, không dùng mật khẩu giống nhau trên nhiều tài khoản khác nhau.

Phân quyền đúng giúp bạn giảm rủi ro: một nhân sự bị lộ tài khoản, hoặc bị tấn công, sẽ không làm “sập” toàn bộ website.

---

5. Checklist bảo mật cơ bản cho WordPress

Để bạn dễ theo dõi, dưới đây là checklist tổng hợp:

• Cập nhật định kỳ: core WordPress, theme, plugin.
• Xóa plugin/theme không dùng.
• Sử dụng mật khẩu mạnh, không dùng tài khoản admin cho mọi người.
• Đổi đường dẫn login (nếu sử dụng plugin hỗ trợ).
• Giới hạn số lần đăng nhập sai (login attempt).
• Chỉ dùng plugin/theme từ nguồn tin cậy (WordPress.org, nhà phát triển chính thức).

Hoàn thành checklist này, website WordPress của bạn đã nằm ở mức bảo mật cơ bản ổn định, giảm nhiều rủi ro phổ biến như brute‑force, lỗ hổng plugin cũ, và quản lý sai phân quyền.