Hướng dẫn bảo mật website WordPress từ cơ bản đến nâng cao

🔒 4. Giới hạn đăng nhập & chống brute force

• Dùng plugin như Limit Login Attempts Reloaded hoặc bật tính năng tương tự trong Wordfence, iThemes.

• Khóa IP sau vài lần đăng nhập sai.

🔧 5. Phân quyền người dùng hợp lý

• Không cấp quyền “Administrator” cho người không cần.

• Dùng các quyền khác như “Editor”, “Author”, “Subscriber” tùy vai trò.

📂 6. Bảo mật file & thư mục

✅ Đặt quyền file đúng:

• wp-config.php: 400 hoặc 440

• File khác: 644, thư mục: 755

✅ Ẩn file nhạy cảm

• Thêm vào .htaccess để chặn truy cập các file như:

<Files wp-config.php>
Order allow,deny
Deny from all
</Files>

🌐 7. Cài SSL – Sử dụng HTTPS

• Cài SSL miễn phí (Let’s Encrypt) hoặc mua SSL có chứng chỉ.

• Bật bắt buộc HTTPS toàn site.

• Cài plugin như Really Simple SSL nếu cần.

🧼 8. Xóa theme & plugin không dùng đến

• Càng ít plugin, càng an toàn.

• Plugin không dùng cũng có thể có lỗ hổng => nên xóa hẳn.

🗂️ 9. Tạo backup định kỳ

• Cài plugin như:

  • UpdraftPlus

  • All-in-One WP Migration

  • BackupBuddy

• Lưu trữ bản sao ở nơi khác như Google Drive, Dropbox.

🛡️ 10. Tường lửa & bảo mật server

Nếu bạn có VPS hoặc host riêng:

• Cài tường lửa (UFW, CSF…)

• Cấu hình ModSecurity hoặc bảo mật từ cPanel