Bỏ qua tới nội dung
Liên hệ ngay
Bảo mật website· ·5 phút đọc

Cách bảo vệ WordPress khỏi nhiễm mã độc — checklist gia cố

Vũ Đức Minh
Cách bảo vệ WordPress khỏi nhiễm mã độc — checklist gia cố

Dọn sạch mã độc mới là một nửa câu chuyện; nửa còn lại là đừng để nhiễm lại. Bảo vệ WordPress khỏi mã độc không cần gì cao siêu — chỉ cần vài lớp phòng thủ cơ bản làm đều tay. Bài này là checklist gia cố (hardening — siết chặt bảo mật) mà bất kỳ chủ web nào cũng nên áp dụng.

Bịt lỗ hổng phổ biến nhất trước

Đa số web bị nhiễm không phải vì bị nhắm riêng, mà vì sa vào lưới quét tự động tìm lỗ hổng cũ. Nên hai việc này chặn được phần lớn rủi ro:

  • Cập nhật đều đặn WordPress, theme và plugin. Bản cũ là cửa ngõ số một.
  • Bỏ hẳn plugin và theme lậu (nulled). Đồ bẻ khoá gần như luôn kèm mã độc cài sẵn — đây là nguồn lây phổ biến nhất mà nhiều người không ngờ.
  • Gỡ những thứ không dùng. Plugin/theme cài rồi bỏ đó vẫn là chỗ nhiễm; không dùng thì xoá.
Sơ đồ các biện pháp gia cố bảo mật WordPress — cập nhật, bỏ đồ lậu, mật khẩu và 2FA, quyền file, tường lửa, sao lưu
Sáu biện pháp gia cố giúp WordPress khó bị nhiễm.

Khoá chặt đường đăng nhập

Trang đăng nhập là cửa bị dò mật khẩu nhiều nhất:

  • Mật khẩu mạnh và riêng cho mỗi tài khoản — không dùng lại mật khẩu cũ.
  • Bật xác thực hai lớp (2FA) cho tài khoản quản trị.
  • Giới hạn số lần đăng nhập sai để chặn dò mật khẩu tự động.
  • Tránh tên đăng nhập “admin” — cái tên kẻ tấn công thử đầu tiên.

Siết quyền file và cấu hình

Vài chỉnh sửa ở tầng máy chủ giúp giảm hẳn thiệt hại nếu kẻ tấn công lọt qua được:

  • Chặn chạy PHP trong thư mục uploads. Nếu kẻ tấn công có tải được file lên, nó cũng không chạy được — bịt đúng kiểu cửa hậu phổ biến.
  • Đặt quyền file hợp lý (file 644, thư mục 755), không để 777.
  • Bảo vệ wp-config.php và chặn truy cập các file nhạy cảm.
Checklist 5 bước bảo vệ WordPress khỏi nhiễm mã độc
Năm việc nền tảng để WordPress khó bị tấn công.

Tường lửa và giám sát

Một tường lửa (WAF) chặn các kiểu tấn công phổ biến trước khi chúng tới được web, còn lớp giám sát báo cho bạn khi có file bị thay đổi bất thường. Bạn có thể dùng một plugin bảo mật cho việc này — xem bài so sánh plugin quét mã độc WordPress để chọn cái hợp. Nhớ chỉ cài một plugin bảo mật để tránh xung đột.

Năm lớp phòng thủ bảo vệ WordPress khỏi mã độc
Bảo mật tốt là nhiều lớp xếp chồng, không trông vào một thứ.

Sao lưu — lớp cứu cuối cùng

Dù phòng kỹ đến đâu cũng không có gì tuyệt đối, nên sao lưu là lớp an toàn không thể thiếu. Nguyên tắc: sao lưu định kỳ và tự động, lưu bản sao tách khỏi hosting (để khi hosting bị tấn công thì bản lưu vẫn an toàn), và thỉnh thoảng thử khôi phục để chắc bản lưu dùng được thật. Khi có chuyện, một bản sao lưu sạch giúp bạn đứng dậy trong vài giờ thay vì vài ngày.

Phòng đều tay nhẹ hơn chữa

Bảo mật không phải làm một lần rồi quên, mà là duy trì đều: cập nhật, theo dõi, sao lưu. Nếu bạn không có thời gian làm việc này thường xuyên, đó chính là lúc một gói chăm sóc phát huy tác dụng — Web22 nhận chăm sóc website WordPress định kỳ lo cập nhật, sao lưu và quét bảo mật hằng tháng. Còn nếu web đang gặp sự cố, xem xử lý mã độc website hoặc dịch vụ sửa chữa website.

Đọc tiếp

Bài viết
cùng chủ đề.

Tất cả bài viết
So sánh plugin quét mã độc WordPress (Wordfence, Sucuri, MalCare…) Cách dọn backdoor (cửa hậu) để mã độc không quay lại Mã độc thường giấu ở đâu trong WordPress