Hướng dẫn bảo mật website WordPress từ cơ bản đến nâng cao

Contents

🔐 1. Cơ bản: Những việc cần làm ngay sau khi cài đặt WordPress
✅ Đổi đường dẫn đăng nhập mặc định
✅ Đổi tên tài khoản “admin”
✅ Sử dụng mật khẩu mạnh
🔄 2. Cập nhật thường xuyên
✅ Cập nhật:
🛡️ 3. Cài plugin bảo mật
🔒 4. Giới hạn đăng nhập & chống brute force
🔧 5. Phân quyền người dùng hợp lý
📂 6. Bảo mật file & thư mục
✅ Đặt quyền file đúng:
✅ Ẩn file nhạy cảm
🌐 7. Cài SSL – Sử dụng HTTPS
🧼 8. Xóa theme & plugin không dùng đến
🗂️ 9. Tạo backup định kỳ
🛡️ 10. Tường lửa & bảo mật server

Dưới đây là hướng dẫn bảo mật website WordPress từ cơ bản đến nâng cao, phù hợp cho cả người mới bắt đầu lẫn quản trị viên website:

🔐 1. Cơ bản: Những việc cần làm ngay sau khi cài đặt WordPress

✅ Đổi đường dẫn đăng nhập mặc định

Mặc định: yourdomain.com/wp-admin
Dễ bị tấn công brute force.
Giải pháp: Dùng plugin như WPS Hide Login để đổi sang đường dẫn khác (ví dụ: /admin-doanh-nghiep).

Hướng dẫn bảo mật website WordPress từ cơ bản đến nâng cao

✅ Đổi tên tài khoản “admin”

Tên “admin” là mặc định => hacker thường nhắm vào.
Cách đổi: Tạo user mới có quyền Administrator, đăng nhập bằng tài khoản mới rồi xóa user “admin”.

✅ Sử dụng mật khẩu mạnh

Dài > 12 ký tự, gồm chữ hoa, thường, số, ký tự đặc biệt.
Có thể dùng trình quản lý mật khẩu như Bitwarden, LastPass, 1Password.

🔄 2. Cập nhật thường xuyên

✅ Cập nhật:

Core WordPress
Theme
Plugin

Luôn backup trước khi cập nhật.

🛡️ 3. Cài plugin bảo mật

Một số plugin mạnh mẽ:

Tên Plugin	Tính năng chính
Wordfence Security	Tường lửa, quét mã độc, chặn IP
Sucuri Security	Giám sát website, log hoạt động
iThemes Security	Tăng cường bảo mật tổng thể

🔒 4. Giới hạn đăng nhập & chống brute force

Dùng plugin như Limit Login Attempts Reloaded hoặc bật tính năng tương tự trong Wordfence, iThemes.
Khóa IP sau vài lần đăng nhập sai.

🔧 5. Phân quyền người dùng hợp lý

Không cấp quyền “Administrator” cho người không cần.
Dùng các quyền khác như “Editor”, “Author”, “Subscriber” tùy vai trò.

📂 6. Bảo mật file & thư mục

✅ Đặt quyền file đúng:

wp-config.php: 400 hoặc 440
File khác: 644, thư mục: 755

✅ Ẩn file nhạy cảm

Thêm vào .htaccess để chặn truy cập các file như:

<Files wp-config.php>
Order allow,deny
Deny from all
</Files>

🌐 7. Cài SSL – Sử dụng HTTPS

Cài SSL miễn phí (Let’s Encrypt) hoặc mua SSL có chứng chỉ.
Bật bắt buộc HTTPS toàn site.
Cài plugin như Really Simple SSL nếu cần.

🧼 8. Xóa theme & plugin không dùng đến

Càng ít plugin, càng an toàn.
Plugin không dùng cũng có thể có lỗ hổng => nên xóa hẳn.

🗂️ 9. Tạo backup định kỳ

Cài plugin như:
- UpdraftPlus
- All-in-One WP Migration
- BackupBuddy
Lưu trữ bản sao ở nơi khác như Google Drive, Dropbox.

🛡️ 10. Tường lửa & bảo mật server

Nếu bạn có VPS hoặc host riêng:

Cài tường lửa (UFW, CSF…)
Cấu hình ModSecurity hoặc bảo mật từ cPanel

Tin tức

Hướng dẫn bảo mật website WordPress từ cơ bản đến nâng cao

🔐 1. Cơ bản: Những việc cần làm ngay sau khi cài đặt WordPress

✅ Đổi đường dẫn đăng nhập mặc định

✅ Đổi tên tài khoản “admin”

✅ Sử dụng mật khẩu mạnh

🔄 2. Cập nhật thường xuyên

✅ Cập nhật:

🛡️ 3. Cài plugin bảo mật

🔒 4. Giới hạn đăng nhập & chống brute force

🔧 5. Phân quyền người dùng hợp lý

📂 6. Bảo mật file & thư mục

✅ Đặt quyền file đúng:

✅ Ẩn file nhạy cảm

🌐 7. Cài SSL – Sử dụng HTTPS

🧼 8. Xóa theme & plugin không dùng đến

🗂️ 9. Tạo backup định kỳ

🛡️ 10. Tường lửa & bảo mật server

Để lại một bình luận Hủy

Hướng dẫn bảo mật website WordPress từ cơ bản đến nâng cao

Hướng dẫn cách đưa website lên top google

Cách tiếp cận khách hàng trong thời đại 4.0

Dự báo xu hướng Marketing năm 2025

Xu hướng thiết kế website năm 2025

Các bước lập kế hoạch kinh doanh cho doanh nghiệp vừa và nhỏ

Cập nhật xu hướng thiết kế Website nội thất năm 2022

Những lưu ý để lựa chọn đơn vị thiết kế website uy tín