Thẻ: bảo mật wordpress

Plugin Wordpress

Review iTheme Security Pro: Plugin bảo mật WordPress tốt nhất 2023

iTheme Security Pro là plugin bảo mật được phát triển bởi iThemes, một cái tên phổ biến đối với WordPress. iTheme được biến đến với việc cung cấp một số plugin premium như Backup Buddy, Restrict Content Pro, List Building Combo, BoomBar,…
1548

iThemes Security Pro là một trong những plugin bảo mật nổi tiếng với rất nhiều tính năng bảo mật giúp website WordPress của bạn an toàn hơn. Plugin này có hơn 35 module với mỗi chức năng cụ thể.

Các developer của iTheme thậm chí còn đưa malware scanner vào để scan website của bạn và tìm ra phần mềm độc hại, lỗi website, phần mềm lỗi thời,…

Các tính năng cơ bản có sẵn trong iTheme Security Free và iTheme Security Pro

Các tính năng cơ bản có sẵn trong iTheme Security Free và iTheme Security Pro

1. Security Check

Đây là module đầu tiên bạn sẽ thấy trong dashboard của iTheme Security Pro (truy cập từ Dashboard > Security > Settings).

Nhấn vào nút “Show Details” để mở một popup mới, bạn sẽ thấy danh sách các module mà iTheme khuyên bạn nên sử dụng. Nếu bạn nhấp “Secure Site”, plugin sẽ tự động bật các module và định cấu hình chúng.

2. Global Setting

Như tên cho thấy, bạn có thể đặt một vài tham số ở đây và các module riêng lẻ của plugin sẽ tự nhận thấy điều đó.

Các setting đã được ghi lại rõ ràng, vì vậy hãy để chúng tự hoạt động. Vietnix khuyên bạn không nên thay đổi các settings mặc định trừ khi bạn biết mình đang làm gì.

3. Notification Center

Đây là nơi bạn sẽ định cấu hình các thông báo qua email mà plugin iTheme Security sẽ gửi cho bạn. Nếu cài đặt không chính xác, bạn sẽ khiến hộp thư đến bị quá tải bởi hàng trăm thư.

Site Lockout Notification là một điểm đặc biệt. Theo mặc định, nó được bật sẵn và bạn sẽ được nhận hàng trăm email mỗi ngày. Vietnix khuyên bạn nên tắt nó đi, nhưng nếu bạn thấy ổn với nhiều email đến hộp thư đến của mình, hãy để nguyên như vậy.

Vietnix vẫn không tìm ra lý do để khuyên bạn bật tùy chọn này. Có một đoạn log có sẵn để bạn có thể kiểm tra server và IP nào đã bị plugin khóa. Bạn sẽ không cần phải nhận email thông báo về các lỗi đó.

4. User Groups

Module này cho phép bạn xác định các vai trò bảo mật khác nhau cho các user group khác nhau. Ví dụ: Người dùng admin sẽ có quyền quản lý cài đặt chung của iTheme Security. Họ cũng có thể sử dụng xác thực hai yếu tố (2FA) và nhiều tính năng khác.

Admin sẽ có quyền kiểm soát tối đa trong khi người dùng thuộc Contributors and Subscribers group sẽ có ít quyền nhất.

Các cài đặt mặc định hoàn toàn ổn và bạn không nên thay đổi gì. Tất nhiên, nếu bạn muốn bạn có thể thay đổi cài đặt tùy thuộc vào mức độ mà bạn tin tưởng vào các thành viên trong group.

5. 404 Detection

iTheme Security Pro sẽ không phát hiện được các trang 404 trên website của bạn. Thay vào đó, nó sẽ phát hiện những người dùng đang gặp phải nhiều trang bị lỗi 404 error trong một khoảng thời gian ngắn.

Các hacker thường có xu hướng kiểm tra các lỗi 404 error để xem liệu họ có tìm thấy được bất kỳ lỗ hổng trong website nào của bạn hay không và họ sẽ khai thác vào lỗ hổng đó để truy cập trái phép vào website.

Bạn có thể định cấu hình module này theo cách mà những người gặp quá nhiều lỗi 404 error trong một khoảng thời gian ngắn trong một số lần nhất định.

6. Away Mode

Đây là một module khá thú vị của iTheme Security PRO. Người dùng thường có xu hướng chỉ cập nhật website của mình vào những thời điểm nhất định.

Module này cho phép bạn định cấu hình về thời gian cụ thể quyền người truy cập vào WordPress dashboard. Bạn chỉ có thể làm việc trên website trong thời gian được chỉ định, sau đó quyền truy cập vào dashboard sẽ được thu hồi.

Có một số ưu và nhược điểm cho tính năng này. Lợi ích đầu tiên mà tính năng này mang lại là ngăn chặn hacker và các tác nhân độc hại khỏi dashboard. Ngoài ra, nếu bạn đang chạy một số schedule, hãy hạn chế quyền truy cập vào website ngoài khung thời gian đã được xác định.

Về nhược điểm, module này có thể gây ra một số sự cố trên website trong khung thời gian đã được xác định. Nếu tình trạng này kéo dài, bạn sẽ mất quyền truy cập vào công việc chưa hoàn thành.

7. Banned Users

Nếu bạn muốn cấm một số người dùng truy cập vào website, hãy sử dụng module này bằng cách thêm IP address của họ.

Vấn đề ở đây là hầu hết người dùng đều sử dụng dynamic IP. Vì vậy, khi bạn chặn IP address của một người dùng, nó vẫn sẽ thay đổi ở lần tiếp theo người dùng đăng nhập vào.

Vì vậy, cấm một IP range sẽ phù hợp hơn. Nhưng để tìm một IP range thật sự rất khó. Tốt hơn hết, bạn chỉ cần chọn tùy chọn “Enable HackRepair.com’s ban list feature.”

8. Database Backup

Như cái tên cho thấy, module này sẽ backup database của website. Bạn không cần phải bật tùy chọn này nếu nhà cung cấp dịch vụ hosting đã cung cấp dịch vụ backup.

9. File Change Detection

Vietnix khuyên bạn nên bật module này. Các mối đe dọa về bảo mật hiện này có rất nhiều và các biện pháp tốt cũng có thể trở nên thất bại. Rất có thể sẽ có ai đó truy cập và gây nguy hại trên website của bạn.

Khi có điều gì đó thay đổi, module này sẽ thông báo cho bạn các so sánh giữa cài đặt của bạn với các file được kiểm tra lần cuối, qua đó xác nhận xem có phải bạn là người thực hiện các thay đổi hay không.

10. File Permissions

Module này sẽ hiển thị cho bạn danh sách các directory và file. Chỉ các directory và file quan trọng mới được hiển thị. Bạn sẽ nhận thấy rằng nó sẽ hiển thị cho bạn các quyền được đặt cùng với giá trị được đề xuất. Bạn phải có quyền được đề xuất mà không bị cảnh báo. Nếu bạn thấy cảnh báo, hãy liên hệ với nhà cung cấp dịch vụ hosting để khắc phục.

11. Local Brute Force Protection

Việc kích hoạt module này trong iTheme Security sẽ ngăn không cho hacker giới hạn số lượng password và username truy cập vào website. Module này sẽ đặt một giới hạn về đăng nhập. Bất kỳ ai vượt qua giới hạn này sẽ bị block vĩnh viễn. Vietnix khuyên bạn nên bật module này.

12. Network Brute Force Protection

Module này cho phép bạn tham gia vào một mạng lưới các website báo cáo về sự xuất hiện của hacker, những người dùng độc hại. Khi kích hoạt module, iTheme sẽ chặn hoàn toàn những địa chỉ IP mà trước đó đã cố gắng xâm nhập vào các website khác.

13. Password Requirements

Hãy kích hoạt module này vì module này cho phép bạn bắt buộc user trên website của mình thay đổi những password mạnh hơn. Bạn thậm chí còn có thể làm cho các password của user hết hạn để họ thay đổi sau một thời gian nhất định. Khoảng thời gian từ 30 đến 60 ngày để user thay đổi password là cực kỳ ổn định.

14. SSL

Hãy vô hiệu hóa module này khi website đã có SSL Certificate do công ty web hosting cung cấp là hoàn toàn tốt.

15. System Tweaks

Vietnix khuyên bạn không nên bật module này trừ khi bạn thật sự hiểu rõ về web hosting server của mình hoặc bạn biết cách định cấu hình và thay đổi nó. Nếu không, đừng bao giờ bật tùy chọn này, đây là một tùy chọn rất nâng cao và bạn nên cẩn thận với nó.

16. WordPress Salts

SALT Key là một key bí mật (giống như password) giúp giữ an toàn cho trang WordPress bằng cách thêm một layer bảo mật bổ sung. Mặc dù các SALT Key rất khó đoán, nhưng nếu mọi user đều truy cập được vào key này thì nó sẽ không an toàn nữa.

Do đó, việc thay đổi SALT Key trong những khoảng thời gian những định là một phương pháp bảo mật tối ưu. Vietnix khuyên bạn nên bật module này.

Tuy nhiên, khi tới thời điểm thay đổi SALT Key, bạn sẽ bị đăng xuất khỏi WordPress dashboard. Nhưng không phải lo lắng vì thay đổi SALT Key sẽ không thay đổi username và password.

17. WordPress Tweaks

Hãy cẩn thận với module này vì nó có thể làm hỏng website của bạn. Module này cho phép bạn chỉ sửa một số cài đặt WordPress nhất định để tăng tính bảo mật. Tuy nhiên, có các tùy chọn để tắt một số tính năng thường được nhiều admin sử dụng.

Ví dụ: Module này sẽ khuyến nghị bạn tắt XML-RPC nếu bạn không sử dụng các plugin và dịch vụ khác của nó. Ví dụ, Jetpack sử dụng XML-RPC. Nếu bạn vô hiệu hóa nó, Jetpack sẽ không hoạt động.

Nếu bạn đang bật bất kỳ tính năng nào trong module này, hãy đảm bảo rằng bạn đã xóa bộ nhớ cache của website và sau đó kiểm tra kỹ lưỡng để đảm bảo rằng không có gì bị hỏng. Một website bị hỏng sẽ luôn tạo ra trải nghiệm không tốt cho người dùng.

Những tính năng chỉ có trong phiên bản iTheme Security Pro

Những tính năng chỉ có trong phiên bản Pro

Điều gì sẽ xảy ra nếu bạn quên username của mình nhưng vấn cố đăng nhập? Plugin này sẽ coi nó như một cuộc tấn công vào website và khóa username hoặc địa chỉ IP của bạn. Vậy bạn cần làm gì để khắc phục?

Magic Links sẽ có ích trong trường hợp này. Nó sẽ gửi cho bạn một link đến email để cho phép bạn vượt qua khóa. Sau đó, bạn có thể truy cập vào WordPress và giải phóng IP hoặc username để có thể tiếp tục đăng nhập.

19. Site Scan Scheduling

Bạn có thể sử dụng module này để thực hiện scan tự động website theo khoảng thời gian đã xác định. Nếu có điều gì không ổn, plugin sẽ gửi thông báo qua email.

20. Passwordless Login

Khi kích hoạt module này, bạn sẽ nhận được một link đăng nhập vào WordPress. Link này cho phép bạn đăng nhập vào trang WordPress mà không cần password hoặc xác thực hai yếu tố (2FA).

21. Privilege Escalation

Với module này, bạn có thể cấp quyền truy cập tạm thời cho một user cụ thể trong một thời gian nhất định. Vietnix khuyên bạn chỉ kích hoạt module này khi thật sự cần thiết.

22. reCAPTCHA

Đây là một module không cho bot đăng nhập vào website để spam comment. reCAPTCHA đưa ra những câu đố mà chỉ có người dùng mới có thể giải quyết được.

23. Setting Import and Export

Nếu bạn muốn sử dụng iTheme Security Pro với cùng cài đặt cho website khác, bạn có thể nhập cài đặt từ website mà bạn đã đính cấu hình. Bật module này để nhập hoặc xuất các cài đặt và làm cho công việc của bạn đơn giản hơn.

24. Security Dashboard

Đây là một dynamic dashboard với chế độ xem thời gian thực về các hoạt động được bảo mật. Vietnix khuyên bạn không nên kích hoạt tính năng này, vì nó sẽ ngốn hết tài nguyên hệ thống của bạn.

25. Two-Factor Authentication

Module này sẽ thêm một layer bảo mật bổ sung cho website bằng cách bật xác thực hai yếu tố (2FA). Bạn có thể sử dụng ứng dụng dành cho smartphone như Authy hoặc Google Authenticator hoặc bạn có thể sử dụng email hoặc backup authentication key.

Bạn có thể sử dụng cả ba phương thức bảo mật trên. Nhưng Vietnix khuyên bản chỉ nên sử dụng một phương thức vì đó là tùy chọn an toàn nhất.

Đối với backup authentication, bạn có thể mất chúng bất kỳ lúc nào.

26. User Logging

Nếu bật module này, plugin sẽ ghi lại log các hành động của người dùng như đăng nhập, lưu nội dung. Hãy tắt module này đi, vì nó làm tăng kích thước các log, do đó gây ra áp lực đáng kể lên bộ nhớ server. Đặc biệt nếu bạn cho phép người dùng website của mình tạo tài khoản và đăng nhập.

27. User Security Check

Module này hiển thị trạng thái bảo mật tất cả người dùng đã đăng ký website của bạn, bao gồm cả việc họ có bật được xác thực 2FA hay không.

28. Version Management

Khi bật tính năng này, bạn sẽ cho phép iTheme Security Pro tự động cập nhật WordPress core. Nó cũng sẽ chạy kiểm tra để tìm xem liệu bản cập nhập có sửa được các lỗ hổng hay không.

29. Trusted Devices [Trong bản BeTa]

Khi module này được bật, plugin sẽ xác định các thiết bị mà người dùng sử dụng thường xuyên để đăng nhập. Nếu phát hiện thấy thiết bị lạ, plugin sẽ đưa ra các hạn chế để duy trì tính bảo mật.

Các tính năng cao cấp có sẵn trong iTheme Security Free và iTheme Security Pro

Các tính năng cao cấp có sẵn trong cả phiên bản Free và Pro
Các tính năng cao cấp có sẵn trong cả phiên bản Free và Pro

30. Admin Users

Nếu có bất kỳ người dùng nào sử dụng user ID 1 hoặc sử dụng username là ‘admin’, thì module này sẽ xóa người dùng đó. Vietnix khuyên bạn không nên sử dụng module này vì nó có thể gây ra các vấn đề nghiêm trọng về khả năng tương thích với các plugin và theme khác.

Nếu bạn muốn thử module này, hãy sử dụng nó trên một trang web hoàn toàn mới. Nếu bạn muốn sử dụng tính năng này trên một trang web sản xuất, hãy đảm bảo rằng bạn đã backup toàn bộ trang web của mình.

31. Change Content Directory

Module này sẽ thay đổi tên directory WP-CONTENT thành một tên khác. Nếu làm điều đó, đây là những gì sẽ xảy ra:

  • Bằng không thể hoàn nguyên các thay đổi bằng cách tắt module này.
  • Nếu directory nội dung chứa hình ảnh, website sẽ bị hỏng ngay lập tức.

Nếu bạn định bật tính năng này, hãy đảm bảo bạn đang tạo một backup database đầy đủ.

32. Change Database Table Prefix

WordPress thường sử dụng wp_ làm tiền tố. Điều này làm cho việc tấn công của các hacker trở nên dễ dàng vì họ đã biết các tên table quan trọng của 95% các trang web WordPress. Thay đổi tiền tố thành một cái gì đó khác như 9xgt3raf_ sẽ gây khó khăn vô cùng cho hacker.

Nhưng khi sử dụng module này sẽ có hai rủi ro:

  • Gây ra thiệt hại cho database. Vì vậy hãy nhớ backup website.
  • Module này ngốn rất nhiều bộ nhớ, rất có thể nó sẽ vượt qua bộ nhớ được cấp cho tài khoản lưu trữ của bạn.

Vietnix không khuyên bạn sử dụng module này nhưng hãy ghi nhớ những vấn đề mà bạn có thể sẽ gặp.

33. Hide Backend

Khi sử dụng module này, bạn có thể ẩn trang đăng nhập wp (wp-admin, wp-login.php, admin và login). Điều này làm giảm thiểu các cuộc tấn công tự động. Tuy nhiên, chỉ ẩn phần backend thì không có nghĩa là bạn có quyền sử dụng password yếu.

34. Server Config Rules

Khi bạn cài đặt plugin iTheme Security Pro, nó sẽ thêm các quy tắc cấu hình nhất định vào file .htaccess. File này được bật tính năng “write”. Nếu không, iThemes sẽ không thể ghi các quy tắc đó vào file cấu hình.

Trong trường hợp như vậy, bạn phải thêm mã theo cách thủ công. Nó có sẵn một số chi tiết nhất định.

35. Wp-config.php Rules

Đây là một tính năng cực kỳ nâng cao. iTheme Security Pro sẽ thêm một số quy tắc vào file wp-config.php. Vì vậy, nó phải được kích hoạt quyền “write”. Nếu không, bạn cần thêm quyền này vào file wp-config.php theo cách thủ công.

Đăng ký VPS Giá Rẻ tại Vietnix

Ưu điểm của iTheme Security Pro

Plugin này có nhiều tính năng tuyệt vời. Do đó nó mang lại rất nhiều lợi ích tốt. Dưới đây là một số tính năng mà iTheme Security Pro mang lại:

Sàng lọc người dùng thật và người dùng ảo

iTheme Security Pro sẽ sàng lọc mọi người dùng truy cập vào website hoặc là cố gắng truy cập vào website. Điều này đảm bảo plugin sẽ lọc ra những người dùng độc hại khỏi website.

Thiết lập đơn giản

Quá trình thiết lập plugin khá đơn giản. Tất cả các module đều có những giải thích chi tiết, cho phép bất kỳ ai có trình độ cao hay thấp đều có thể định cấu hình plugin một cách dễ dàng.

Phiên bản Free nhiều tính năng

Phiên bản Free của plugin này khá nhiều tính năng. Tuy nhiên, một số tính năng như TFA, reCAPTCHA, Passwordless,… không có trong phiên bản Free. Nhưng tính năng đó cực kỳ quan trọng, khiến việc nâng cấp lên phiên bản Pro là một khoản đầu tư xứng đáng.

Bảo mật gần như toàn diện

Plugin quan tâm hầu hết mọi khía cạnh của bảo mật WordPress, làm cho nó trở thành một bổ sung tuyệt vời cho bất kỳ website nào.

SALT Key

SALT Key bảo vệ người dùng đã đăng nhập khỏi các mối đe dọa khác nhau.

Cấu hình password

Tính năng yêu cầu người dùng thay đổi password sau một khoảng thời gian thật sự rất tuyệt vời. Điều này giúp cho người dùng có được sự bảo mật cao hơn.

Dashboard đơn giản

Dashboard rất đơn giản. Không có điều hướng phức tạp và không có điều hướng nhiều trang. Mọi thứ đều hiển thị trên một trang duy nhất giúp người dùng dễ dàng sử dụng hơn.

Nhược điểm của iTheme Security Pro

Khi thực hiện sai các bước trong quá trình sử dụng plugin có thể gây ra những vấn đề khác nhau. Không phải mọi người dùng đều rành về kỹ thuật, vì vậy việc định cấu hình sai là chuyện rất bình thường.

Dưới đây là những nhược điểm của iTheme Security Pro:

Làm cho website bị hỏng

Nếu định cấu hình plugin không đúng cách, nó có thể làm website của bạn bị hỏng. Trong trường hợp xấu hơn, bạn sẽ không thể truy cập vào website.

Plugin này khá nặng

iThemes Security Pro có nhiều tính năng và cấu hình, khiến nó trở thành một plugin nặng. Nó tiêu tốn rất nhiều dung lượng và sử dụng nhiều bộ nhớ. Vì vậy, nếu bạn có tài nguyên hạn chế (nghĩa là bạn đang sử dụng hosting server được chia sẻ có bộ nhớ từ 1 GB trở xuống).

Tốc độ tải trang

Nó sẽ làm chậm trang web của bạn một chút và điều đó sẽ phản ánh trong điểm PageSpeed Insights. Đây là một ví dụ đơn giản:

Tốc độ tải trang của Mobile

tốc độ tải trang trên pagespeed insights

Tốc độ tải trang của Desktop

tốc độ tải trang trên pagespeed insights

Trước khi cài đặt trên plugin thì website đã được tối ưu hóa rất tốt 100 điểm cho cả thiết bị di động và máy để bàn ngay cả khi có quảng cáo chạy trên website. Sau khi kích hoạt plugin, điểm số đã giảm một (- 1) điểm trên cả thiết bị di động và máy tính để bàn.

Thiết một số biện pháp bảo mật

Bạn đã bao giờ nghe nói về security header hay chưa? Về cơ bản, chúng là một số biện pháp bảo mật có trong header website của bạn.:

  • Strict-Transport-Security.
  • X-Content-Type-Options.
  • X-Frame-Options.
  • X-XSS-Protection.
  • Content Security Policy.

iTheme Security Pro không bao gồm bất kỳ điều nào trong số này. Bạn cần thiết lập chúng một cách riêng biệt. Bạn nên áp dụng chúng thông qua cấu hình server trực tiếp như file wp-config.php, .htaccess,… Tuy nhiên, bạn có thể sử dụng plugin. Có sẵn các plugin riêng biệt.

Lưu ý bạn nên tránh Content Security Policy vì điều đó có thể làm hỏng website. Trừ khi bạn biết tất cả về website WordPress của mình.

Ngoài ra, iThemes Security Pro (hoặc phiên bản Free của nó) sẽ không cung cấp cho bạn Web Application Firewall. Nếu bạn muốn có WAF, bạn có thể xem xét các tùy chọn như Cloudflare, Wordfence, Sucuri,…

Một số nhà cung cấp dịch vụ Hosting không cho phép cài đặt plugin

Một số nhà cung cấp dịch vụ lưu trữ chỉ đơn giản là sẽ không cho phép bạn cài đặt plugin. Vì vậy, hãy đảm bảo rằng bạn liên hệ với nhà cung cấp dịch vụ lưu trữ của mình để biết liệu họ có hỗ trợ plugin hay không. Thông thường, các gói dịch vụ lưu trữ được cung cấp đầy đủ không hoạt động tốt với plugin này.

Một số nhà cung cấp dịch vụ lưu trữ tốt như Vietnix, Kinsta, WPX, Liquid Web (Nexcess),… sẽ cho phép cài đặt plugin.

Cài đặt và thiết lập iTheme Security Pro

Cài đặt iTheme Security Pro rất đơn giản. Quy trình tương tự như cài đặt một plugin WordPress khác.

Trước tiên, bạn cần thực hiện sao lưu đầy đủ trước khi thêm plugin. iTheme Security Pro thực hiện một số thay đổi cơ sở dữ liệu và có thể dẫn đến phát sinh một số vấn đề. Vì vậy tốt hơn hết là bạn nên có biện pháp phòng tránh.

  • Thực hiện sao lưu trang WordPress của bạn bằng công cụ sao lưu mặc định.
  • Đăng nhập vào bảng điều khiển WordPress và điều hướng đến Plugin.
  • Chọn Add New và nhập hoặc dán “iTheme Security Pro” vào box.
  • Chọn Install và sau đó Activate plugin.

Cấu hình cho bảo mật WordPress

Sau khi download và cài đặt iTheme Security Pro thành công, bạn sẽ thấy một mục menu bổ sung trong ngăn menu bên trái.

Chọn Security để truy cập iTheme Security.

Security check

Bạn sẽ thấy tùy chọn để bật Brute Force Network Protection. Bạn nên nhập địa chỉ email của bạn vào box để lấy khóa API nhằm kích hoạt tùy chọn này. Nó hoàn toàn miễn phí và chỉ cần email của bạn.

Các cuộc tấn công brute force rất phổ biến vì các chương trình phần mềm có thể thực hiện các cuộc tấn công liên tục mà chỉ cần đầu tư rất ít. Máy chủ lưu trữ web của bạn có thể cung cấp một số mức độ bảo vệ khỏi các cuộc tấn công nhưng bạn phải trả thêm tiền để thêm lớp phòng thủ của riêng bạn.

Sau khi hoàn tất, bạn sẽ thấy trang kiểm tra iTheme Security Pro. Đây là một quy trình toàn diện thực hiện nhiều kiểm tra cơ bản cần thiết để đánh giá tình trạng trên trang web của bạn. Cho phép plugin thực hiện kiểm tra và thực hiện các thay đổi được đề xuất.

Bảng điều khiển

Sau khi hoàn tất quá trình thiết lập và kiểm tra bảo mật ban đầu, bạn sẽ thấy trang tổng quan chính của iTheme Security / iTheme Security Pro.

Có rất nhiều thứ để quản lý ở đây nhưng đừng quá lo lắng. Mỗi phần có một mô tả ngắn gọn và một tập hợp các giá trị mặc định. Bạn có thể cài đặt thành Enable bằng cách sử dụng các mặc định đó trước khi đi sâu vào cấu hình mọi thứ theo cách thủ công.

Pro Configuration options

Tốt nhất, bạn nên bật tất cả các biện pháp bảo vệ bằng cách sử dụng cài đặt mặc định và sau đó lần lượt kiểm tra từng tùy chọn để đảm bảo tùy chọn đó phù hợp với bạn.

Có nhiều thứ cần kiểm tra nhưng bạn nên đầu tư thời gian để xem qua tất cả các tùy chọn. Sau đó, bạn sẽ không chỉ biết chính xác plugin này đang làm gì mà còn cả những cài đặt mặc định nào có thể không hoạt động trong trường hợp cụ thể của bạn.

Trừ khi bạn đã trả tiền cho iTheme Security Pro, nửa dưới của màn hình sẽ chuyển sang màu xám. Đó là điều hoàn toàn bình thường. Sau khi bạn đăng ký, các tùy chọn đó sẽ khả dụng và sẽ cung cấp giá trị mặc định của riêng chúng để bật hoặc không, tùy thuộc vào nhu cầu của bạn.

Local brute force detection

Bảo mật trang web của bạn

Mặc dù mọi trang web đều khác nhau, nhưng plugin luôn thực hiện tốt việc cài đặt chung trong thiết lập ban đầu. Bằng cách đó, bạn sẽ được bảo vệ tối đa với nỗ lực tối thiểu. Sau đó, bạn có thể cấu hình thêm khi bạn thấy phù hợp.

Để bảo mật trang web WordPress của bạn, Vietnix đề xuất những điều sau:

  • Nhận API cho bảo vệ mạng Brute Force và kích hoạt nó.
  • Thực hiện kiểm tra bảo mật và cho phép tất cả các tùy chọn được đề xuất.
  • Bật tính năng phát hiện 404 để ngăn trang web của bạn quét các trang dễ bị tấn công.
  • Bật chế độ Away Mode nếu bạn muốn khóa trang dashboard WordPress của mình ngoại trừ những thời điểm cụ thể trong ngày.
  • Cho phép người dùng bị cấm bắt đầu tạo IP blacklist gồm các lần quét và tấn công.
  • Chỉ bật sao lưu cơ sở dữ liệu nếu bạn chưa bật giải pháp sao lưu.
  • Bật tính năng phát hiện thay đổi file để cảnh báo bạn về bất kỳ thay đổi trái phép nào đối với file.
  • Bật File Permissions để khóa quyền truy cập vào một số loại file nhất định.
  • Bật Local Brute Force Protection để ngăn hacker cố gắng đăng nhập.
  • Bật bảo vệ mạng Brute Force như đã thảo luận trước đó.
  • Bật yêu cầu mật khẩu để thực thi các tiêu chuẩn mật khẩu tối thiểu cho người dùng đã đăng nhập.
  • Bật SSL để buộc trình duyệt sử dụng kết nối SSL bất cứ khi nào đăng nhập vào trang web của bạn.
  • Bật tinh chỉnh hệ thống để hưởng lợi từ một số thay đổi cơ bản đối với cấu hình phía máy chủ.
  • Cho phép WordPress Salts thêm các ký tự ngẫu nhiên vào tất cả các mật khẩu để có thêm một lớp bảo vệ.
  • Bật WordPress Tweaks để thay đổi cách hoạt động của WordPress trong một số trường hợp.

Nếu bạn đang sử dụng iTheme Security Pro, bạn có một số tùy chọn bổ sung để tăng cường bảo mật cho trang web của mình.

  • Bật Magic Links để cho phép người dùng đã đăng nhập yêu cầu đặt lại mật khẩu email.
  • Bật lập lịch quét phần mềm độc hại để quét phần mềm độc hại theo định kỳ cài đặt của bạn.
  • Bật báo cáo đặc quyền để cấp quyền quản trị viên có giới hạn thời gian cho những người dùng nhất định.
  • Bật reCAPTCHA để thêm Captcha vào thông tin đăng nhập, nhận xét và các tương tác khác nhằm ngăn chặn spam.
  • Bật cài đặt Import và Export để sao chép cài đặt bảo mật sang một trang web khác bằng cách sử dụng plugin.
  • Bật xác thực hai yếu tố để có bảo mật tốt nhất.
  • Bật kiểm tra bảo mật người dùng để kiểm tra người dùng để tìm các cài đặt hoặc mật khẩu dễ bị tấn công.
  • Bật tính năng ghi nhật ký người dùng để theo dõi hành động của mọi người dùng đã đăng nhập trên trang web của bạn.
  • Bật quản lý phiên bản để kiểm tra và quản lý nội dung.

Ngay cả khi bạn chỉ bật các tính năng mặc định và không làm gì khác, bạn đã tăng cường đáng kể tính bảo mật cho trang web của mình. Cho dù bạn có bị tấn công trong quá khứ hay không, trang web của bạn hiện đã được bảo mật hết mức có thể khi sử dụng WordPress.

Chi phí của Plugin iTheme Security Pro

iThemes Security Pro có ba gói định giá khác nhau và chúng là:

  • Gói Blogger: Bạn sẽ mất 80$/năm. Với gói này, bạn có thể bảo vệ một trang web, nhận các bản cập nhật bảo mật trong một năm và nhận hỗ trợ trong một năm.
  • Gói Small Business: Bạn sẽ tiêu tốn 127$/năm. Với gói này, bạn có thể bảo mật 10 trang web và nhận được các bản cập nhật và hỗ trợ bảo mật trong 1 năm.
  • Gói Gold: Bạn sẽ mất 199$/ năm. Với gói này, bạn có thể bảo mật số lượng trang web không giới hạn và nhận được các bản cập nhật và hỗ trợ bảo mật trong 1 năm.

Có thể thấy chi phí cho plugin này khá cao khiến nhiều cá nhân, doanh nghiệp phân vân không biết có nên sử dụng công cụ này không. Tuy nhiên hiện tại, bạn có thể tiết kiệm phần chi phí này bằng cách sử dụng dịch vụ Hosting, VPS của Vietnix.

Đây là chương trình được triển khai nhằm giúp khách hàng tiết kiệm thời gian thiết kế, xây dựng, quản trị và vận hành website. Cụ thể khi đăng ký dịch vụ tại Vietnix, bạn sẽ được tặng kèm bộ công cụ Theme & Plugin trị giá 750$ hoàn toàn miễn phí. Dù bạn không quá am hiểu về công nghệ và kỹ thuật thì vẫn có thể nhanh chóng làm quen và ứng dụng những công cụ này vào quá trình làm việc.

Bên cạnh Plugin iTheme Security Pro thì trong bộ quà tặng miễn phí còn bao gồm nhiều công cụ hữu ích khác như:

  • Plugin: WP Rocket giúp tăng tốc website.
  • Plugin: Rank Math SEO Pro giúp tối ưu hóa công cụ tìm kiếm cho Website.
  • Plugin: WPML hỗ trợ viết và dịch nội dung website sang nhiều ngôn ngữ khác nhau.
  • Plugin: WP Smush Pro giúp tối ưu hình ảnh.
  • Theme + plugin của WP Astra Growth Bundle và MyThemeShop đơn giản, dễ sử dụng cho người không am hiểu về kỹ thuật.

Liên hệ với đội ngũ Vietnix để được tư vấn cấu hình chi tiết và nhận báo giá phù hợp nhất với nhu cầu sử dụng của bạn!

Các lựa chọn thay thế cho iTheme Security Pro

Nói đến vấn đề bảo mật WordPress, người ta thường sẽ nhắc đến 4 cái tên chính đó là: iThemes Security Free / iTheme Security Pro, WordFence, Sucuri và All in One WP Security.

Hãy cùng xem xét iThemes Security Pro so với 3 plugin còn lại khác nhau như thế nào sau đây:

iTheme Security Pro vs WordFence

WordFence là một trong những plugin bảo mật WordPress phổ biến và hiệu quả hiện nay. WordFence bỏ nhiều công sức để bảo mật và tự động hóa nó. Không giống như iThemes Security Free hay iThemes Security Pro, nó có thể làm việc tải trang tốn nhiều thời gian hơn. Trong khi đó, tốc độ tải trang là một yếu tố quan trọng ảnh hưởng đến SEO.

iTheme Security Pro vs Sucuri

Sucuri là một plugin bảo mật phổ biến khác và cung cấp nhiều tính năng tương tự như iThemes Security Free / iThemes Security Pro. Nó cũng dễ dàng cấu hình, tự động hóa nhiều chức năng cốt lõi, cung cấp cả phiên bản miễn phí và cao cấp. Tuy nhiên, Sucuri chỉ đặt chức năng tường lửa như một tính năng chỉ dành cho phiên bản cao cấp.

iTheme Security Pro vs All in One WP Security

All in One WP Security là một tên tuổi lớn khác trong lĩnh vực bảo mật WordPress và thực hiện công việc tương tự như những cái tên khác. Đó là một bộ tính năng toàn diện chia chúng thành Cơ bản, Trung cấp và Nâng cao. Mặc dù nó có nhiều gói dịch vụ để lựa chọn, nhưng bảng điều khiển không rõ ràng, trực quan nên khó sử dụng. Ngoài ra, bất cứ khi nào bạn nâng cấp lên phiên bản “Nâng cao” trên một tính năng, nó sẽ tự động tắt một số user.

Để nhận iTheme Security PRO miễn phí, bạn có thể đăng ký sử dụng dịch vụ Hosting, VPS tại Vietnix. Hiện nay, Vietnix đang có chính sách tặng Theme và Plugin WordPress trị giá 800$/Năm cho khách hàng sử dụng Hosting và VPS. Ngoài iTheme Security PRO, trong bộ Theme và Plugin được tặng bởi Vietnix còn có: WP Rocket, Rank Math SEO Pro, WPML, WP Smush Pro, WP Astra Growth Bundle, Elementor Pro, toàn bộ 164 theme + plugin của MyThemeShop.

Nhận iTheme Security Pro miễn phí

Lời kết

Hy vọng bài viết trên, Vietnix đã giới thiệu và đánh giá đầy đủ về iTheme Security PRO. Nếu có thắc mắc hay đóng góp ý kiến, mời bạn để lại bình luận phía dưới bài viết này. Vietnix xin chân thành cảm ơn bạn!

Nguồn: Vietnix

Học Wordpress

Hướng dẫn cài Wordfence Security cho WordPress

1384

Bài này thuộc phần 6 của 7 phần trong serie Bảo mật WordPress

Wordfence là một trong các plugin miễn phí cho WordPress tốt nhất, và hiện nó là plugin miễn phí chuyên về bảo mật được nhiều người sử dụng nhất.

Sở dĩ nó được sử dụng nhiều như vậy là do có kèm theo nhiều tính năng cực kỳ tốt, có thể hạn chế được nhiều hình thức tấn công phổ biến như Local Hack, XSS, SQL Injection và có cả chức năng mật khẩu hai lớp, tự động quét mã độc trên host.

Trong bài này, mình sẽ giới thiệu qua các chức năng và cách sử dụng Wordfence Security để bạn bảo mật website WordPress của bạn tốt hơn.

Bạn có thể sử dụng plugin này cùng với iThemes Security vì Wordfence Security chuyên về tường lửa hơn.

Toàn bộ chức năng của Wordfence Security

http://vimeo.com/70908504

Trước khi sử dụng, mình xin liệt kê hết toàn bộ các chức năng có trong Wordfence Security để bạn biết nó có thể làm được gì, mặc dù chúng ta có thể không cần sử dụng hết các chức năng này.

  • Bổ sung công nghệ Falcon Engine để tạo bộ nhớ đệm cho website để tăng tốc lên 50 lần. Nếu dùng chức năng này, hãy tháo các plugin cache ra như WP Super Cache, W3 Total Cache.
  • Hỗ trợ tương thích với các plugin khác và theme khác, ví dụ như Woocommerce.
  • Tự động khóa những người tấn công phổ biến. Ví dụ một website nào đó sử dụng Wordfence mà bị tấn công và họ thiết lập chặn người tấn công đó, thì website của bạn cũng sẽ chặn người tấn công đó.
  • Thêm mật khẩu hai lớp bằng mã xác nhận qua điện thoại, giống như tài khoản Google vậy.
  • Quét lỗ hổng thông qua lỗi bảo mật “HeartBleed”.
  • Bắt buộc các người dùng khác trên website phải sử dụng mật khẩu phức tạp.
  • Tự động quét mã nguồn WordPress, plugin và theme để phát hiện mã độc. Đối với mã nguồn, nó sẽ so sánh với mã nguồn gốc của WordPress xem nếu có sự thay đổi gì thì sẽ thông báo cho bạn.
  • Thiết lập tường lửa để chặn các cách tấn công phổ biến và những người dùng spammer, ví dụ như giả dạng Googlebot.
  • Tự động khóa các người tấn công được liệt vào danh sách đen bằng cách kiểm tra IP nâng cao, kiểm tra domain trên WHO IS.
  • Theo dõi sự thay đổi của các tập tin trên host và bạn có thể tùy chỉnh tự động sửa chữa nếu tập tin đó bị thay đổi.
  • Tự động scan và tìm kiếm một số mã độc phổ biến như 99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx….và rất nhiều cái tên khác.
  • Tự động scan các trang trên website xem có bị liệt chèn mã độc hay không, và kiểm tra xem trang đó có bị Google liệt vào danh sách đen hay không.
  • Tự động tìm và khóa các mã độc khả nghi.
  • Tùy chỉnh giới hạn các bot có thể thu thập thông tin website, nhằm tránh tình trạng bị botnet tấn công tần suất lớn.
  • Theo dõi thời gian thực các lượt truy cập vào website của bạn, thống kê lỗi 404 trên website, thay đổi và sửa xóa nội dung,…
  • Theo dõi thời gian thực và thống kê các lượt truy cập dựa theo quốc gia.
  • Kiểm tra thông tin ổ cứng của host vì nhiều cách tấn công DDoS sẽ làm cho ổ cứng bạn bị đầy.
  • Và một số chức năng nhỏ khác.

Thiết lập Wordfence Security

Mình chỉ hướng dẫn qua các chức năng chính, bạn có thể chủ động tìm hiểu thêm các chức năng khác.

Sau khi cài plugin Wordfence Security, họ đã chủ động thiết lập cho bạn các chức năng quan trọng cần thiết để website của bạn trở nên an toàn.

Bạn có thể vào Wordfence -> Options và chọn lại Security Level để nó tự thiết lập tùy theo level, tốt nhất nếu website bạn đang bình thường, không có ai tấn công thì chỉ chọn Level 2 thôi.

wordfence-security-level

Chặn các quốc gia nguy hiểm

Nếu website của bạn là tiếng Việt thì nên chủ động chặn một số lượt truy cập từ các quốc gia mà bạn không cần họ vào để hạn chế tối đa cơ hội họ vào tấn công.

Để chặn quốc gia, các bạn vào Wordfence -> Country Blocking và chọn một số quốc gia bạn cần chặn rồi ấn Save Change.

wordfence-countryblocking

Một số quốc gia bạn nên chặn:

  • China
  • Russia
  • Israel
  • Turkey
  • Iraq
  • Iran
  • Germany

Còn các chức năng còn lại bạn có thể chủ động tìm hiểu nhé vì nó cũng không quá khó hiểu lắm đâu, riêng chức năng Falcon Engine Cache mình không nói qua vì không chắc là nó có làm việc được trên website của bạn hay không (nhưng mình test thì đều làm việc tốt) nên bạn có thể vào phần Wordfence -> Performence để bật chức năng này lên.

Chúc các bạn thành công!

Xem tiếp bài trong serie

Phần trước: Sau khi website bị hack – các công cụ và dịch vụ nên dùngPhần kế tiếp: Brute Force Attack là gì và làm thế nào để chống cho WordPress?

Học Wordpress

Hướng dẫn cài lại WordPress khi bị dính mã độc

1350

Sẽ cập nhật video sau.

Việc website WordPress bị dính mã độc bởi việc sử dụng theme/plugin không rõ nguồn gốc (nếu không muốn nói là dùng lậu) hoặc đặt mật khẩu đơn giản dễ đoán là chuyện quá đỗi bình thường của chúng ta.

Hiện nay khi website bị dính mã độc thì thường là có 3 kịch bản thường gặp như sau:

  1. Trang chủ bị đổi thành một trang cảnh báo là đã bị hack kèm theo nhạc hoành tráng.
  2. Website âm thầm gửi đi các email lừa đảo, spam liên tục trên host mà chủ nhân không hề hay biết.
  3. Website chứa các đường liên kết ẩn quảng cáo các dịch vụ thuốc kích dục, cờ bạc, phishing scam.

Và khi website bạn bị rơi vào các trường hợp này, các nhà cung cấp Hosting sẽ khóa lại. Nếu bạn dùng VPS thì sẽ bị cảnh báo hoặc khóa nếu rơi vào kịch bản số 1 và tên miền bị rơi vào sổ đen không sớm cũng muộn, lúc này website sẽ bị tụt thứ hạng ở máy tìm kiếm, khi truy cập bằng Google Chrome sẽ có cảnh báo màu đỏ rằng website này rất nguy hiểm.

Thế nhưng để website không bị hack cũng không phải khó, chỉ cần bạn dùng sản phẩm có bản quyền đầy đủ, đặt mật khẩu phức tạp (lưu vô Lastpass chẳng hạn) và thiết lập iThemes Security là được. Nếu bạn dùng Hosting thì nên chọn các đơn vị cung cấp hosting sử dụng CloudLinux như AZDIGI, StableHost, A2Hosting, Hawkhost,…mà sử dụng để tránh bị nhiễm mã độc từ anh bạn hàng xóm.

Chúng ta làm gì khi website bị hack?

Chúng ta hay lên các trang mạng hỏi công cụ quét mã độc khi bị rơi vào các trường hợp này, thế nhưng tin buồn dành cho bạn là không có công cụ nào giúp bạn gỡ mã độc miễn phí cả, mình thề đấy. Chỉ duy nhất có 1 dịch vụ gỡ mã độc mà mình biết và sử dụng qua rồi đó là Sucuri Antivirus với giá rất đắt đỏ và bạn phải chấp nhận nếu cần gỡ mã độc hoàn toàn. Thế nhưng sau khi gỡ xong, chưa chắc website đã thật sự sạch sẽ mà chỉ duy nhất có 1 cách: Cài lại từ đầu.

Cài website lại từ đầu là cách duy nhất cũng là tốt nhất để website của bạn trở nên sạch sẽ. Cài website lại không có nghĩa là bạn sẽ viết lại nội dung hay sản phẩm vì các dữ liệu này sẽ lưu vô database, nhưng tin vui là không có mã độc nào đính kèm vô database của bạn cả. Cài website lại nghĩa là chúng ta sẽ lấy dữ liệu mềm lưu trong database ở website cũ, sau đó cài website mới và nhập các dữ liệu này vào, rồi cài lại plugin và theme từ đầu với nguồn gốc rõ ràng hơn.

Trong bài viết này, mình sẽ hướng dẫn bạn chi tiết cách làm việc này.

Các bước cài lại website từ đầu

Bước 1. Cài mới website

Bây giờ bạn hãy tiến hành cài đặt một website WordPress mới trên host hoặc localhost và sử dụng một tên miền khác để chạy website này nhằm đảm bảo bạn vừa truy cập vào website mới và cả website cũ để tiện kiểm tra, đối chiếu.

Sau đó mở tập tin wp-config.php của website mới và chèn đoạn sau vào dưới <?php:



define(‘WP_HOME’,’http://example.com’);

define(‘WP_SITEURL’,’http://example.com’);

Thay example.com thành địa chỉ của website mới nhé.

Bước 2. Backup dữ liệu ở website cũ

Đầu tiên hãy truy cập phpMyAdmin để export dữ liệu của database website đang sử dụng ra và tải về máy. Nếu host bạn không có phpMyAdmin, thì có thể dùng plugin BackWPUp để backup database và tải về, chỉ cần database thôi nhé.

Tham khảo: Xuất dữ liệu database trong phpMyAdmin

Kế tiếp là hãy mang các thư mục chứa hình ảnh upload trong /wp-content/uploads/ như 2017, 2016, 2015, 2014,…về máy. Lưu ý là chỉ các thư mục chứa hình ảnh upload, các thư mục khác không cần lấy về để đảm bảo an toàn. Nếu bạn dùng Hosting thì có thể vào File Manager dùng tính năng Compress để nén các thư mục này lại và tải về. Hoặc nếu bạn cài website mới trên cùng host thì không cần tải mà chỉ cần copy dữ liệu các thư mục này vào /wp-content/uploads/ ở thư mục website mới.

Bước 3. Nhập dữ liệu cũ vào website mới

Bây giờ bạn hãy truy cập vào phpMyAdmin tại host (hoặc localhost) đang chạy website mới và tìm tên database của website đó, sau đó ấn Nhập (Import) và tải lên tập tin .sql mà bạn có được ở bước 1.

[alert color=”orange” type=”alert-message-background” title=”Lỗi khi import database” size=”small”]Nếu bạn gặp lỗi khi import database thì hãy tạo một database mới hoàn toàn và import vào database mới. Sau đó thiết lập website sử dụng database mới nhé.[/alert]

Sau khi nhập xong, bạn hãy xem tên bảng dữ liệu có tiền tố là wp_ hay một tiền tố khác. Nếu bạn sử dụng tên tiền tố khác với wp_ thì hãy mở tập tin wp-config.php ở website mới, tìm $table_prefix và thay wp_ thành tiền tố của bảng database. Ví dụ mình có bảng tên 38dug_options trong cơ sở dữ liệu thì sẽ thay thành:



$table_prefix = ’38dug_’;

Sau đó hãy tải các thư mục hình ảnh trong website cũ đang chạy trên host (wp-content/uploads) vào thư mục wp-content/uploads ở website mới để đảm bảo hình ảnh không bị mất.

Để kiểm tra, bạn có thể truy cập vào phần Media Library trên website mới để xem đã có hiển thị hình ảnh đầy đủ hay chưa. Nếu hình ảnh hiển thị ra bình thường thì đã hoàn tất.

Bước 4. Cài lại theme an toàn hơn

Bây giờ bước còn lại của bạn là hãy cài lại theme trên website. Nếu bạn dùng theme trả phí thì tốt nhất nên mua bản quyền theme đó để đảm bảo hơn, được cập nhật phiên bản mới thường xuyên nếu có lổ hổng bảo mật xảy ra.

Về bước này chắc mình không cần nói qua rồi, khi cài theme nếu theme đó yêu cầu cài thêm plugin gì bạn có thể cài vào vì các plugin đi theo theme cũng rất đảm bảo nên bạn có thể hoàn toàn yên tâm.

Bước 5. Upload mã nguồn vào website chính

Khi bạn đã thiết lập website hoàn tất và bắt đầu sử dụng. Hãy tiến hành truy cập vào website cũ và xóa toàn bộ dữ liệu trên host đi, sau đó chuyển mã nguồn của website bạn mới làm lên host vào thư mục của website chính. Về bước này, bạn làm giống như việc chuyển host của một website bình thường bao gồm 2 bước:

  1. Backup và khôi phục mã nguồn website mới lên host.
  2. Backup database và khôi phục database trên host.

Tham khảo:

  • Chuyển host thủ công với cPanel
  • Chuyển host website WordPress với server/VPS

Sau khi chuyển hoàn tất, hãy mở tập tin wp-config.php của website mới trên host và sửa lại WP_HOME, WP_SITEURL thành địa chỉ website chính. Ví dụ:



define(‘WP_HOME’,’http://example.com’);

define(‘WP_SITEURL’,’http://example.com’);

Việc này sẽ đảm bảo bạn có thể truy cập vào website mới theo tên miền chính của website.

Bước 6. Thay địa chỉ website trong database

Bây giờ bạn hãy đăng nhập vào website mới trên host và cài plugin Better Search Replace, sau đó vào mục Tools -> Better Search Replace và tìm tên miền cũ trong tất cả bảng database và đổi sang tên miền mới, bỏ chọn Run as dry run như hình dưới.

Hướng dẫn cài lại WordPress khi bị dính mã độc 19

Như vậy tất cả các liên kết trong website đang sử dụng tên miền cũ sẽ được đổi thành tên miền mới mà không cần phải làm thủ công.

Bước cuối. Thiết lập bảo mật cho website WordPress

Ngay sau khi website đã hoạt động hoàn tất, hãy tiến hành thiết lập bảo mật cho website. Bạn hãy xem qua serie Bảo mật WordPress toàn tập và làm theo các bước để tăng sự an toàn của website.

Và quan trọng nhất là không sử dụng các plugin/theme được chia sẻ không rõ nguồn gốc vì điều này là nguyên nhân của 90% trường hợp bị mã độc mà mình từng biết đến. Nếu bạn không cài cái gì lạ vào website, mật khẩu quản trị phức tạp, thiết lập plugin bảo mật tốt thì bạn sẽ không cần quan tâm đến các giải pháp bảo mật nào nữa.

Chúc website của bạn sớm được phục hồi và hoạt động ổn định.