Plugin iThemes Security cung cấp hơn 30 cách để bảo mật và bảo vệ trang web WordPress của bạn.

Tôi là Tuấn Anh, tôi SEO leader đang phụ trách duyệt các bài viết và tối ưu SEO cho website của ABC Digi.

Bài viết này chia sẻ với bạn plugin iThemes là một trong những plugin bảo mật website wordpress tốt nhất hiện nay. iThemes không chỉ đơn thuần là công cụ giúp website của bạn ngăn chặn phần mền độc hại, mà còn có nhiều tính năng giúp tăng cường bảo mật và tương tác với khách hàng một cách hiệu quả.

Bài viết dành cho các bạn mới tiếp xúc với thiết kế website, không biết nên sử dụng plugin nào để bảo vệ website và ngăn chặn những xâm nhập trái phép ảnh hưởng đến website của bạn

Tôi đã thử qua nhiều plugin bải mật trên website ABC Digi, và trong bài viết này là plugin iThemes tôi đánh giá rất tốt cả về giao diện sử dụng lẫn chức năng. Giao diện thân thiện với người dùng, nên dù bạn là người mới thì vẫn có thể tối ưu dễ dàng.

Giới thiệu các mô-đun cài đặt

Cài đặt trong menu plugin iThemes Security trong Bảng điều khiển dành cho quản trị viên

Cài đặt bảo mật iTheme

Các phần sau đây cung cấp giải thích chi tiết về từng mô-đun cài đặt plugin iTheme Security. Mặc dù thông tin này thoạt nhìn có vẻ khó hiểu nhưng mô-đun Kiểm tra bảo mật được thiết kế để xử lý việc cấu hình hầu hết các cài đặt được đề xuất cho bạn. Nó cũng có thể giúp bạn đánh giá những ưu điểm của plugin iThemes Security Pro.

Xem thêm:  Phối hợp Topical và Evergreen Content để Tăng Traffic cho Website

Global Settings

Cài đặt chung cho phép bạn định cấu hình các cài đặt cơ bản kiểm soát cách hoạt động của plugin iThemes Security.

• Write to Files – Để tận dụng tất cả những gì iThemes Security cung cấp, nó sẽ cần có quyền ghi vào tệp .htaccess và wp-config.php.Host
• Lockout Message – Đây là thông báo có thể tùy chỉnh sẽ hiển thị khi IP bị khóa. Khóa người dùng – Đây là thông báo có thể tùy chỉnh sẽ hiển thị khi người dùng bị khóa.
• Community Lockout Message – Đây là thông báo có thể tùy chỉnh sẽ hiển thị khi một IP bị mạng iThemes gắn cờ xấu.
• Blacklist Repeat Offender – Điều này sẽ cho phép iThemes Security cấm IP đã đạt đến ngưỡng danh sách đen.
• Blacklist Threshold – Số lần khóa được phép trước khi bị cấm vĩnh viễn.
• Blacklist Lookback Period – Khoảng thời gian khóa sẽ được tính vào lệnh cấm vĩnh viễn.
• Lockout Period – Khoảng thời gian khóa sẽ kéo dài.
• Lockout White List – Đây là nơi bạn có thể thêm IP của người dùng để ngăn họ bị khóa.

Notification Center

Trung tâm thông báo cho phép bạn quản lý và định cấu hình tất cả các thông báo email được gửi bởi iThemes Security liên quan đến các cài đặt khác.

• Email – iThemes Security sẽ gửi thông báo từ địa chỉ email này. Để trống để sử dụng mặc định của WordPress.
• Người nhận mặc định – Chọn người dùng nào sẽ được sử dụng làm danh sách người nhận mặc định.
• Thông tin cập nhật tự động – Mô-đun Quản lý phiên bản sẽ gửi email kèm theo thông tin chi tiết về mọi cập nhật tự động đã được thực hiện
• Sao lưu cơ sở dữ liệu – Mô-đun Sao lưu cơ sở dữ liệu sẽ gửi bản sao của mọi bản sao lưu đến các địa chỉ email được liệt kê bên dưới.
• Thay đổi tệp – Mô-đun Phát hiện thay đổi tệp sẽ gửi báo cáo quét tệp qua email sau khi phát hiện các thay đổi.
• Thay đổi báo cáo điểm – Nhận thông báo khi cấp bảo mật của bạn thay đổi. Email này được tạo bởi mô-đun Báo cáo Điểm.
• Người dùng không hoạt động – Mô-đun Kiểm tra bảo mật người dùng gửi danh sách người dùng không hoạt động trong 30 ngày qua để bạn có thể xem xét giảm hạng hoặc xóa người dùng.
• Liên kết đăng nhập Magic – Thông báo và chủ đề có thể tùy chỉnh được sử dụng cho email Magic Link. Email này được tạo bởi mô-đun Magic

Liên Kết

• Kết quả quét phần mềm độc hại – Nhận thông báo khi quá trình quét phần mềm độc hại phát hiện thấy sự cố hoặc nếu quá trình quét liên tục không thành công. Email này được tạo bởi mô-đun Lập kế hoạch quét phần mềm độc hại.
• Security Digest – Chọn tần suất gửi email tóm tắt thông báo do iTheme Security tạo.
• Xuất cài đặt – Tùy chỉnh email chứa xuất cài đặt. Email này được tạo bởi mô-đun Nhập và Xuất Cài đặt. Khóa trang web – Nhận thông báo khi IP hoặc người dùng bị khóa. Trong thời gian bị tấn công nặng nề, iThemes Security có thể tạo ra một lượng lớn email vì nó giúp bảo vệ trang web của bạn.
• Email hai yếu tố – Tùy chỉnh email chứa mã xác thực mà người dùng sẽ nhận được. Email này được tạo bởi mô-đun Xác thực hai yếu tố.
  Xác nhận email hai yếu tố – Email mà người dùng sẽ nhận được khi thiết lập Hai yếu tố. Email này được tạo bởi mô-đun Xác thực hai yếu tố.
• Thông báo nhắc nhở hai yếu tố – Tùy chỉnh email được gửi để nhắc nhở người dùng thiết lập hai yếu tố. Email này được tạo bởi mô-đun Kiểm tra bảo mật người dùng.
• Đăng nhập không được nhận dạng – Người dùng nhận được thông báo nếu có thông tin đăng nhập từ thiết bị không được nhận dạng. Email này được tạo bởi mô-đun Thiết bị đáng tin cậy (Beta).

Phát hiện 404

Phát hiện 404 cho phép bạn tự động chặn người dùng rình mò các trang để khai thác.

• Phút để ghi nhớ lỗi 404 – Lỗi 404 sẽ được tính trong bao lâu để bị khóa.
• Ngưỡng lỗi – Số lượng lỗi 404 cần thiết để khóa.
• Danh sách trắng tệp/thư mục 404 – Sử dụng danh sách trắng để thêm bất kỳ tệp hoặc thư mục nào bạn muốn tính vào tình trạng khóa. Hãy nhớ rằng lỗi 404 sẽ vẫn được ghi lại trong nhật ký bảo mật.
• Các loại tệp bị bỏ qua – Chọn loại tệp mà bạn không muốn tính vào số lần khóa.

Xem thêm: 10 Bước Tạo Tài Khoản Và Làm Website WordPress Miễn Phí

Chế độ đi vắng

Chế độ vắng nhà vô hiệu hóa quyền truy cập vào Bảng điều khiển WordPress theo lịch trình. Khi chế độ đi vắng được kích hoạt, tất cả lưu lượng truy cập cố gắng truy cập trang đăng nhập sẽ được chuyển hướng đến trang chủ của trang web.

• Loại hạn chế – Chọn xem bạn muốn Chế độ đi vắng diễn ra một lần hay hàng ngày.
• Thời gian bắt đầu – Chế độ thời gian vắng mặt sẽ hoạt động và bạn sẽ không thể truy cập trang đăng nhập.
• Thời gian kết thúc – Chế độ thời gian vắng mặt sẽ kết thúc và bạn sẽ có thể truy cập trang đăng nhập.

Người bị cấm

Người dùng bị cấm chặn các địa chỉ IP và tác nhân người dùng cụ thể truy cập vào trang web. Tại đây bạn có thể tìm thấy tất cả những thứ liên quan đến lệnh cấm vĩnh viễn.

• Danh sách đen mặc định – Cấm vĩnh viễn danh sách những kẻ xấu đã biết.
• Cấm máy chủ – Danh sách đen sẽ bao gồm tất cả các IP mà iTheme Security đã cấm. Bạn cũng có thể thêm IP mà bạn muốn chặn vĩnh viễn vào danh sách này theo cách thủ công.
• Cấm tác nhân người dùng – Danh sách bạn có thể sử dụng để cấm vĩnh viễn Tác nhân người dùng truy cập trang web.

Sao lưu cơ sở dữ liệu

Từ mô-đun Sao lưu cơ sở dữ liệu, bạn có thể tạo bản sao lưu cơ sở dữ liệu của trang web của mình. Các bản sao lưu có thể được tạo thủ công và theo lịch trình.

• Sao lưu toàn bộ cơ sở dữ liệu – Chọn hộp nếu bạn muốn sao lưu mọi thứ trong cơ sở dữ liệu chứ không chỉ các bảng thuộc về trang web.
• Phương thức sao lưu – Chọn cách bạn muốn phân phối bản sao lưu của mình.
• Bản sao lưu cần giữ lại – Đặt số lượng bản sao lưu cục bộ bạn muốn giữ lại.
• Nén tệp sao lưu – Chọn xem bạn có muốn nén bản sao lưu của mình hay không.
• Loại trừ bảng – Chọn bất kỳ bảng nào để loại trừ khỏi bản sao lưu.
• Lên lịch sao lưu cơ sở dữ liệu – Chọn tần suất tạo bản sao lưu cơ sở dữ liệu.

Cài đặt chuyên nghiệp bảo mật iTheme

Có thể truy cập cài đặt chuyên nghiệp từ trang Cài đặt giống như tất cả các mô-đun cài đặt iTheme Security khác.

• Magic Links, bạn có thể định cấu hình cài đặt để gửi email có Magic Link bỏ qua việc khóa tên người dùng.
• Bật – Tính năng Magic Links cho phép bạn đăng nhập trong khi tên người dùng của bạn bị khóa bởi tính năng Local Brute Force Protection.
• Khi tên người dùng của bạn bị khóa, bạn có thể yêu cầu email có liên kết đăng nhập đặc biệt. Việc sử dụng liên kết được gửi qua email sẽ bỏ qua việc khóa tên người dùng cho bạn trong khi những kẻ tấn công vũ phu vẫn bị khóa.

Lưu ý: Mô-đun Magic Links gửi email có Magic Link bỏ qua việc khóa tên người dùng. Từ mô-đun Trung tâm Thông báo, bạn có thể tùy chỉnh chủ đề và nội dung của email này. HTML cơ bản và một số thẻ email được hỗ trợ.

Xem thêm: 9 Bước và 9 Lưu Ý Quan Trọng Tối Ưu SEO Hình Ảnh

Lập lịch quét phần mềm độc hại: bạn có thể bảo vệ trang web của mình bằng tính năng quét phần mềm độc hại tự động. Khi tính năng này được kích hoạt, trang web sẽ được quét tự động mỗi ngày. Nếu tìm thấy sự cố, một email sẽ được gửi đến những người dùng được chọn.

Bật – Tự động quét trang web của bạn để tìm phần mềm độc hại và các lỗ hổng đã biết.

Lưu ý: Mô-đun Lập lịch quét phần mềm độc hại sẽ gửi email nếu phát hiện ra sự cố hoặc gặp khó khăn nhiều lần khi tiến hành quét. Từ mô-đun

Trung tâm Thông báo: bạn có thể bật email này và chọn người nhận.

Nâng cao đặc quyền Pro: Tăng đặc quyền, bạn có thể cho phép quản trị viên tạm thời cấp thêm quyền truy cập cho người dùng trang web trong một khoảng thời gian nhất định.

Trang tổng quan bảo mật Pro

Trang tổng quan bảo mật, bạn có thể xem tổng quan theo thời gian thực về hoạt động bảo mật trên trang web của mình bằng trang tổng quan động này.

Bật, sau đó Định cấu hình cài đặt.

Tắt tính năng tạo trang tổng quan cho người dùng – Theo mặc định, bất kỳ người dùng nào có thể quản lý iTheme Security đều có thể tạo trang tổng quan. Ngăn những người dùng được chọn bên dưới tạo trang tổng quan và xem/chỉnh sửa cài đặt Trang tổng quan bảo mật.

Xem thêm: 21 cách Tăng Traffic Cho Website

Sau khi bật, hãy làm mới trang để xem liên kết Bảng điều khiển bảo mật mới trong menu bảng điều khiển quản trị viên WordPress của bạn. Truy cập liên kết này để tạo Bảng điều khiển bảo mật với các tùy chọn thẻ sau (nhấp vào liên kết Chỉnh sửa thẻ ở bên phải màn hình):

Quản lý phiên bản, bạn có thể bảo vệ trang web của mình khi phần mềm lỗi thời không được cập nhật đủ nhanh.

Cập nhật WordPress – Tự động cập nhật WordPress.

Cập nhật plugin và chủ đề – Tự động cập nhật plugin và chủ đề. Bạn có thể tùy chỉnh plugin hoặc chủ đề nào sẽ tự động cập nhật và chọn trì hoãn cập nhật các plugin và chủ đề cụ thể.

Thiết bị đáng tin cậy xác định thiết bị mà người dùng sử dụng để đăng nhập và có thể áp dụng các hạn chế bổ sung cho các thiết bị không xác định.

Vai trò tối thiểu – Bật Thiết bị đáng tin cậy cho người dùng có vai trò tối thiểu đã chọn.

Hạn chế khả năng – Khi người dùng đăng nhập trên một thiết bị không được nhận dạng, hãy hạn chế khả năng cấp quản trị viên của họ và ngăn họ chỉnh sửa chi tiết đăng nhập của họ.

Bảo vệ khỏi việc chiếm quyền điều khiển phiên – Giúp bảo vệ chống lại việc chiếm quyền điều khiển phiên bằng cách kiểm tra xem thiết bị của người dùng có thay đổi trong phiên hay không.

Định vị địa lý – iTheme Security sử dụng vị trí địa lý để cải thiện độ chính xác của nhận dạng Thiết bị đáng tin cậy. Theo mặc định, một số dịch vụ GeoIP miễn phí được sử dụng. Chúng tôi thực sự khuyên bạn nên bật một trong các API MaxMind.

API bản đồ hình ảnh tĩnh – iTheme Security sử dụng bản đồ hình ảnh tĩnh để hiển thị vị trí gần đúng của một lần đăng nhập không được nhận dạng. Chúng tôi khuyên bạn nên sử dụng API Mapbox hoặc MapQuest.

Xem thêm: 17 Tiêu Chí Quan Trọng Khi Lựa Chọn Hosting

Người dùng có thể nhận được thông báo nếu có thông tin đăng nhập từ một thiết bị không được nhận dạng. Từ mô-đun Trung tâm thông báo, bạn có thể kích hoạt email này và tùy chỉnh chủ đề cũng như nội dung của email.

Yêu cầu về mật khẩu Pro

• Yêu cầu mật khẩu bao gồm các cài đặt bổ sung cho người dùng Pro.
• Buộc thay đổi mật khẩu – Buộc tất cả người dùng thay đổi mật khẩu trong lần đăng nhập tiếp theo.
• Hết hạn mật khẩu – Đặt khoảng thời gian có thể sử dụng mật khẩu.
• Từ chối mật khẩu bị xâm phạm – Buộc người dùng sử dụng mật khẩu không xuất hiện trong bất kỳ hành vi vi phạm mật khẩu nào được theo dõi bởi Have I Been Pwned.

Báo cáo điểm Pro

Báo cáo điểm cho phép bạn xem cấp độ bảo mật WordPress của mình và khắc phục sự cố.

Lưu ý: Phải chọn Bật Báo cáo Điểm trong mô-đun Cài đặt Chung để mô-đun này hiển thị trên trang Cài đặt.

Bật Định cấu hình cài đặt.

• Vô hiệu hóa cho người dùng – Vô hiệu hóa báo cáo điểm cho những người dùng đã chọn.
• Báo cáo điểm mới sẽ xuất hiện trong bảng điều khiển quản trị viên WordPress của bạn bên dưới menu Bảo mật. Nhấp vào liên kết này để xem bản tóm tắt Báo cáo cấp độ bảo mật của bạn. Bạn có thể quản lý email Thay đổi báo cáo điểm từ Trung tâm thông báo.
• Mô-đun Báo cáo Lớp có thể gửi thông báo bất cứ khi nào Báo cáo Lớp Bảo mật của bạn thay đổi. Từ mô-đun Trung tâm thông báo, bạn có thể kích hoạt email này, sau đó tùy chỉnh theme, lịch trình (hàng ngày hoặc hàng tuần) và nội dung của email này, cùng với việc chọn người nhận.

Xem thêm:  21 cách Tăng Traffic Cho Website – hỗ trợ SEO & ra Doanh Số

Người dùng quản trị

• Một công cụ nâng cao giúp loại bỏ người dùng có tên người dùng là “quản trị viên” hoặc ID người dùng là “1”.
• Thay đổi ID người dùng của người dùng bằng ID là 1
• Cảnh báo: Chỉ thực hiện việc này khi cài đặt WordPress mới và tạo bản sao lưu cơ sở dữ liệu trước khi thực hiện thay đổi.

Thay đổi thư mục nội dung

• Tính năng nâng cao để đổi tên thư mục wp-content thành một tên khác.
• Cảnh báo: Đây là một tính năng nâng cao và nó có thể gây ra nhiều vấn đề hơn là giải quyết được. Tính năng này cũng có thể phá vỡ các loại bài đăng tùy chỉnh và các plugin khác.

Thay đổi tiền tố cơ sở dữ liệu

• Thay đổi tiền tố bảng cơ sở dữ liệu mà WordPress sử dụng.
• Cảnh báo: Chỉ thực hiện việc này khi cài đặt WordPress mới và tạo bản sao lưu cơ sở dữ liệu trước khi thực hiện thay đổi.

Ẩn phần phụ trợ

• Ẩn trang đăng nhập bằng cách thay đổi tên và ngăn truy cập vào wp-login.php và wp-admin. Ẩn trang đăng nhập (wp-login.php, wp-admin, admin và login) khiến các cuộc tấn công tự động khó tìm thấy hơn và giúp người dùng không quen với nền tảng WordPress dễ dàng hơn.
• Cảnh báo: Mặc dù điều này có thể thêm một lớp bảo mật thông qua tính năng che khuất bằng cách thay đổi URL đăng nhập, nhưng bạn nên dựa nhiều hơn vào mật khẩu mạnh và xác thực hai yếu tố.

Quy tắc cấu hình máy chủ

• Nếu bạn cần thêm các quy tắc cấu hình máy chủ do iTheme Security tạo theo cách thủ công vào máy chủ của mình, bạn có thể tìm thấy chúng tại đây.

Quy tắc wp-config.php

• Nếu bạn cần thêm các quy tắc wp-config.php do iTheme Security tạo theo cách thủ công vào máy chủ của mình, bạn có thể tìm thấy chúng tại đây.

Xem thêm: 7 Sự Thật cần biết về WordPress trước khi làm Website

Giá cả

Lời kết

Trong bối cảnh ngày càng gia tăng các mối đe dọa về an ninh mạng, việc bảo mật WordPress trở thành một nhiệm vụ cấp thiết đối với mọi chủ sở hữu wwebsite. iThemes Security không chỉ cung cấp những công cụ mạnh mẽ để bảo vệ trang web của bạn khỏi các cuộc tấn công, mà còn giúp bạn dễ dàng quản lý và tối ưu hóa các thiết lập bảo mật. Bằng cách áp dụng những tính năng nổi bật như quét mã độc, giới hạn số lần đăng nhập và xác thực hai yếu tố, bạn có thể yên tâm hơn khi vận hành website của mình. Hi vọng bài viết giúp bạn hiểu thêm về plugin này.

Câu hỏi thường gặp

1. Plugin iThemes Security có những tính năng bảo mật nổi bật nào?

Plugin iThemes Security cung cấp hơn 30 phương pháp bảo mật trang web WordPress, bao gồm tính năng chống xâm nhập trái phép, phát hiện phần mềm độc hại, bảo vệ tệp tin và cơ sở dữ liệu, cùng với việc quản lý truy cập của người dùng.

2. Làm thế nào để cài đặt và cấu hình plugin iThemes Security?

Bạn có thể cài đặt và cấu hình plugin thông qua menu iThemes Security trong Bảng điều khiển quản trị WordPress. Plugin có các mô-đun giúp đơn giản hóa việc cấu hình, như tính năng kiểm tra bảo mật tự động đề xuất các cài đặt bảo mật phù hợp.

3. Tính năng “Lockout” của iThemes Security hoạt động như thế nào?

Tính năng “Lockout” cho phép bạn khóa IP và người dùng khi họ có những hành vi truy cập trái phép. Bạn có thể tùy chỉnh thời gian khóa, số lần vi phạm trước khi khóa, và tạo danh sách trắng IP để tránh bị khóa nhầm.

4. iThemes Security có hỗ trợ tính năng sao lưu dữ liệu không?

Có, plugin hỗ trợ sao lưu cơ sở dữ liệu và bạn có thể cấu hình để sao lưu tự động theo lịch trình hoặc thực hiện sao lưu thủ công. Ngoài ra, plugin còn cho phép nén tệp sao lưu và loại trừ các bảng không cần thiết.

5. Làm thế nào để iThemes Security bảo vệ khỏi các cuộc tấn công brute force?

iThemes Security sử dụng tính năng Magic Links để bảo vệ tài khoản của bạn khỏi các cuộc tấn công brute force. Khi tài khoản bị khóa do quá nhiều lần đăng nhập thất bại, bạn có thể yêu cầu gửi một email chứa liên kết Magic để đăng nhập mà không cần bỏ khóa tài khoản.