Bảo mật cho blog WordPress của bạn là một việc làm quan trọng, vì sao? Vì WordPress đang ngày càng phổ biến trong giới blog, do đó mà nguy cơ bị tấn công cũng tăng theo. Trong bài viết này, chúng ta sẽ tham khảo qua 10 cách để tăng cường bảo mật cho blog WordPress.
1. WP Security Scan
Đây là một plugin có thể quét và rà soát toàn bộ hệ thống blog của bạn để tìm ra những vấn đề liên quan đến bảo mật, sau đó plugin sẽ đưa ra những biện pháp cũng như lời khuyên để bạn tối ưu.
2. Bảo vệ thư mục plugins
Một hacker có thể dễ dàng đoạt quyền truy cập vào blog của bạn bằng cách lợi dụng những điểm yếu, lỗ hỏng của các plugin mà bạn đang dùng. Cách dễ nhất để hacker biết bạn đang dùng plugin gì là hacker sẽ truy cập vào thư mục http://ten-blog.com/wp-content/plugins/. Để ngăn chặn việc này, rất đơn giản, bạn chỉ việc đặt một file index.html trắng vào thư mục đó là xong.
Chú ý: từ WordPress 2.8 trở đi thì việc này đã được làm sẵn, bạn khỏi làm cũng được. 
3. Nâng cấp WordPress
Cái này thì cực kỳ dễ làm nhưng đôi khi bạn cũng phải tỏ ra thận trọng, đắn đo trước khi bấm nút nâng cấp. Một lời khuyên là bạn đừng vội nâng cấp lên phiên bản mới ra lò (như WP 2.8) mà hãy kiên nhẫn chờ đợi đến bản fix lỗi kế tiếp (như WP 2.8.1) bởi vì những phiên bản đầu thường chưa ổn định mặc dù đã qua giai đoạn beta, tốt nhất là chờ cộng đồng người dùng phát hiện ra lỗi rồi hãy xài bản fix, bạn sẽ tránh được những phiền phức không đáng có.
4. Chọn một password "chất lượng"
Điều này thì tất nhiên, khỏi cần nói ai cũng biết, password càng dài càng phức tạp thì càng an toàn. Đừng nên dùng chung một password cho tất cả các tài khoản, bạn nên chọn password dễ nhớ nhưng không quá đơn giản, kết hợp chữ HOA - chữ thường với con số và các ký tự đặc biệt sẽ làm cho password của bạn trở nên mạnh hơn.
5. Đổi tên đăng nhập của Admin
Mặc định trong WordPress có một tài khoản đặc biệt (có toàn quyền quản trị) với tên đăng nhập là admin. Hầu hết người dùng đều để nguyên tên đó nhưng họ đâu biết rằng nếu để như vậy thì công việc còn lại của hacker chỉ là đoán password rồi xâm nhập vào blog của họ. Do đó, bạn nên thay đổi tên admin này thành tên khác để hacker nếu có dò password thì phải dò cả tên đăng nhập nữa. Tôi đã viết một bài về vụ này, bạn có thể xem tại đây.
6. Bảo vệ file wp-config.php
File wp-config.php ở thư mục gốc của WordPress chứa thông tin về database vì vậy nó cần được bảo vệ.
Bạn hãy thêm đoạn code sau vào file .htaccess để bảo vệ
# protect wpconfig.php
order allow,deny from allXem thêm - Nometech.com
7. Giấu phiên bản của WordPress
Đầu tiên, bạn mở file header.php trong thư mục chứa theme mà bạn đang dùng và xóa dòng meta (có dạng <meta name="generator"). Sau đó, bạn thêm dòng code sau vào file functions.php của theme nữa là xong:
<?php remove_action('wp_header', 'wp_generator'); ?>
Giải thích: bạn cần làm điều này để không cho người xem biết được bạn đang dùng phiên bản WordPress nào bởi vì hacker có thể lợi dụng thông tin này để tấn công blog của bạn.
Xem thêm - ProBlogDesign
8. Giới hạn số lần nhập password sai khi đăng nhập
Một biện pháp chống dò password là dùng plugin Login LockDown. Nó có nhiệm vụ khóa không cho bạn hay bất cứ ai nhập password sai quá số lần qui định. Bạn có thể chọn số lần nhập sai tối đa cho người dùng trước khi họ bị khóa trong trang tùy chọn của plugin.
9. Lọc luồn truy cập WP-Admin bằng IP
Nếu bạn dùng nhiều máy tính khác nhau hoặc dùng IP động để quản lý blog thì bạn không nên dùng cách này bởi vì nó chỉ cho phép bạn đăng nhập khi bạn đến từ một IP hợp lệ, tuy nhiên nếu có điều kiện thì bạn nên dùng cách này bởi vì tính bảo mật của nó rất cao.
Cách làm như sau: bạn chỉ việc thêm đoạn code dưới đây vào file .htaccess ở thư mục gốc của WordPress
order deny, allow
allow from a.b.c.d. #your static ip
deny from allXem thêm - Nometech
10. Đăng nhập thông qua SSL
Nếu host của bạn có "SSL certificate" thì bạn có thể dùng thêm plugin dưới đây để đăng nhập bằng SSL, kể từ đó mọi thông tin trao đổi giữa máy tính với server của bạn sẽ được mã hóa, độ an toàn được tăng lên.
Nguồn: catswhocode.com
25 phản hồi cho “10 cách đơn giản để bảo mật cho blog WordPress”
Blog này tiếng anh tiếng việt trộn lẫn à
anh ơi em ko tìm thấy file htaccess thì phải làm sao ạ?
Nếu không có sẵn thì bạn tự tạo cũng được.
anh HieuDT ơi, tình hình là trang web của tôi giờ căng thẳng quá, không hiểu vì sao mà chậm thế, chậm không thể tả, đã vét sạch rác rưởi trên wordpress rồi mà vẫn chậm. Mà dreamhost chẳng lẽ cùi bắp thế, không thể đáp ứng hơn ngàn người truy cập mỗi ngày hay sao? vào panel báo cáo thì thấy đâu ăn thua gì so với gì dreamhost cung cấp.
Mong anh cho lời khuyên. xin cảm ơn rất nhiều
Anh có thể dùng các plugin để tăng tốc cho WordPress, một trong số đó là plugin tạo cache. Loại plugin này chủ yếu tạo cache cho html/css/javascript với database nhằm giảm bớt lượng truy cấp đến hệ thống server cũng như tăng tốc độ đáp ứng ở phía người dùng.
Để tiện tìm kiếm, anh có thể dùng 3 link dưới đây, sẽ có rất nhiều plugin về caching cũng như tối ưu WordPress cho anh lựa chọn đấy:
http://wordpress.org/extend/plugins/tags/caching
http://wordpress.org/extend/plugins/tags/cache
http://wordpress.org/extend/plugins/tags/optimize
cảm ơn anh Hieu rất nhiều, tôi đang dùng supercache, wp-optimize và autoptimazi, mong là tình hình sẽ khả quan hơn.
Một lần nữa, cảm ơn anh đã trả lời comment
Bạn có thể dùng các plugin tạo captcha cho phần comment rồi làm theo hướng dẫn để chèn vào blog, đa số các plugin này rất dễ sử dụng, bạn đừng quá lo lắng nhé.
Bác làm ơn đổi lại đường dẫn domain của em thành: http://www.blogviet.info nhé (có www ở trước nhé). Cám ơn bác nhiều
Sau khi giấu phiên bản wordpress rồi, mà sao vẫn thấy phiên bản Hieudt đang sử dụng là 2.8.3 vậy
Chắc là do trục trặc gì rồi, mấy hôm nay bận quá nên mình quên kiểm tra
Vậy hieudt đã sửa được chưa, nếu được thì hướng dẫn cho mình với
vì mình cũng xóa theo cách bạn nói nhưng vẫn bị hiện ở phần dưới 
Thanks.
Bài viết rất hữu ích. Cảm ơn bạn.
These are some great tips. I will add the blank HTML page to my plugin folder A.S.A.P.
i like your theme!
Thank you friend!
Hiếu ơi khi mình nhập dòng này vào .htaccess thì bị lỗi 500:
# protect wpconfig.php
order allow,deny from all
Mình xóa đi mới hết
Nếu cách đó ko được thì bạn dùng mấy cách còn lại xem.
Bác Hiếu check mail lại nhé
Mình mới email pác 
Add text link á 
hi hì 
Xin hỏi một chuyện rất nhỏ, nhưng em tìm khắp không thấy hướng dẫn nên đành đi nhờ anh (có lẽ là đơn giản quá nên không ai hướng dẫn!). Nếu muốn bài viết chỉ hiện tiêu đề và mấy dòng đầu thì phải làm thế nào? Ở phần hiển thị, em đã ấn vào mục tóm tắt nhưng bài viết vẫn hiển thị toàn bộ.
Trang của mình dùng theme Thesis, tìm trong file header.php của theme nhưng không thấy dòng <meta name="generator"
Bài viết rất hữu ích. Cảm ơn bạn.
tìm trong code đi bạn
đã cài mà vẫn bị hack hoài.chán ghê