Bảo mật WordPress: checklist 15 bước chống hack

WordPress là CMS phổ biến nhất thế giới — cũng vì vậy mà là mục tiêu bị quét lỗ hổng nhiều nhất. Checklist 15 bước dưới đây giúp bạn giảm rủi ro bị hack đáng kể mà không cần kiến thức bảo mật chuyên sâu.

Nhóm 1: Tài khoản & mật khẩu

  1. Không dùng username admin — đổi sang tên khác khó đoán.
  2. Mật khẩu mạnh, riêng cho từng tài khoản (dùng trình quản lý mật khẩu).
  3. Bật xác thực 2 lớp (2FA) cho tài khoản Administrator.
  4. Xoá ngay các user không còn dùng, giới hạn quyền Administrator cho càng ít người càng tốt.

Nhóm 2: Cập nhật & plugin

  1. Luôn cập nhật WordPress core, theme, plugin lên bản mới nhất.
  2. Gỡ plugin/theme không dùng tới — kể cả khi đã tắt, code vẫn có thể bị khai thác.
  3. Chỉ cài plugin từ nguồn uy tín (WordPress.org, tác giả có uy tín) — tránh bản “null/crack”.

Nhóm 3: Hạ tầng & cấu hình server

  1. Bật SSL/HTTPS toàn site.
  2. Giới hạn số lần đăng nhập sai (chống brute-force) bằng plugin hoặc cấu hình control panel.
  3. Ẩn hoặc đổi đường dẫn đăng nhập mặc định /wp-admin nếu bị quét nhiều.
  4. Chặn truy cập trực tiếp file wp-config.php, xmlrpc.php nếu không dùng.
  5. Cài plugin tường lửa ứng dụng (WAF) như Wordfence hoặc dùng WAF ở tầng CDN.

Nhóm 4: Sao lưu & giám sát

  1. Backup định kỳ, lưu off-site — đây là “phao cứu sinh” cuối cùng nếu mọi lớp bảo mật khác thất bại.
  2. Bật quét malware định kỳ (plugin bảo mật hoặc dịch vụ bên thứ ba).
  3. Theo dõi log đăng nhập bất thường, IP lạ truy cập nhiều lần.

Không có hệ thống nào an toàn 100% — mục tiêu thực tế là làm website của bạn khó tấn công hơn phần lớn website khác, khiến kẻ xấu bỏ cuộc chuyển mục tiêu.

Câu hỏi thường gặp

WordPress có an toàn không?

Bản thân WordPress core khá an toàn và được vá lỗi nhanh, phần lớn sự cố thực tế đến từ plugin/theme bên thứ ba lỗi thời hoặc mật khẩu yếu — không phải lỗi của WordPress core.

Có cần plugin bảo mật trả phí không?

Không bắt buộc — bản miễn phí của Wordfence, Sucuri hay iThemes Security đã đủ cho website vừa và nhỏ nếu áp dụng đúng checklist trên. Bản trả phí hữu ích khi cần quét malware chủ động và hỗ trợ nhanh hơn.

Website bị hack rồi thì làm gì trước?

Cô lập site (tạm ẩn/offline), restore từ bản backup sạch gần nhất, đổi toàn bộ mật khẩu liên quan (WordPress, database, hosting/VPS, FTP), sau đó rà lại checklist này trước khi đưa site online trở lại.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *