Cách sử dụng iThemes Security để bảo mật WordPress

Bởi Hai Nguyen vào January 2016

Cách đây không lâu, plugin hỗ trợ bảo mật khá nổi tiếng Better WP Security đã tiến hành sáp nhập vào iThemes và đổi tên thành iThemes Security. Điều này cũng có nghĩa là nó đã được thay đổi lại một số tính năng cũng như cách sử dụng hoàn toàn khác. Do vậy nếu bạn chưa hiểu các tùy chọn cũng như các thiết lập trong iThemes Security thì cũng không cần lo lắng vì ở bài này mình sẽ hướng dẫn về iThemes Security đầy đủ nhất.

 

Cấu hình hosting thích hợp

Plugin này được thiết kế để làm việc trên máy chủ Apache, do đó nếu bạn dùng NGINX thì sẽ không sử dụng được các chức năng như đổi đường dẫn admin, block spam bots trừ khi bạn có thể tự cấu hình được. Vì vậy, mình khuyến khích mọi người nên sử dụng plugin này cho các gói shared host thông thường như A2Hosting, Interserver hay StableHost.

 

search-ithemes-security

 

Ngay sau khi cài xong, hãy ấn nút Secure Your Site Now để bắt đầu thiết lập.

 

active

 

Sau đó bạn chỉ cần click vào 2 tùy chọn như trong ảnh và ấn nút Dismiss để kết thúc.

 

ithemessecurity-quickstart

 

Sau đó bạn chuyển qua tab Settings và bắt đầu tìm hiểu các tùy chọn của nó.

ithemessecurity-settingtab

 

Ở đó có phần Go to là thanh điều hướng, khi bạn chọn từng phần trong đó thì cửa sổ sẽ dẫn bạn đi đến khu vực tương ứng để thiết lập. Hãy cùng tìm hiểu các tùy chọn của iThemes Security ở phần dưới nhé.

Các tùy chọn cơ bản của iThemes Security

Global Settings

Phần này sẽ chứa các thiết lập cơ bản cho iThemes Security.

404 Detection

Đây là tùy chọn sẽ gửi thông báo mỗi khi thành viên truy cập một trang nào đó và phát hiện lỗi 404. Bạn nên cân nhắc bật chức năng này nếu trang của bạn đã có quá nhiều lỗi 404 vì nó sẽ hấp diêm cái hộp email của bạn và tốn rất nhiều tài nguyên.

 

Away Mode

Đây là tính năng giúp bạn khóa trang quản trị trong thời gian nhất định, bạn chỉ có thể vào được trong một thời gian nhất định. Rất hữu ích cho website có 1 admin và bạn có thể tùy chọn khóa trang quản trị lúc bạn đang ngủ, làm việc chẳng hạn.

Banned User

Tùy chọn cho phép bật chức năng ban một thành viên nào đó, kể cả bot spam.

Brute Force Protection

Tùy chọn này sẽ giúp bạn chống Brute Force Attack bằng hình thức hạn chế số lần đăng nhập sai.

Database Backup

Tùy chọn hỗ trợ tự động sao lưu cơ sở dữ liệu. Chỉ nên bật nếu bạn có database nhỏ vì sử dụng BackWPUp hoặc BackupBuddy sẽ tốt hơn nhiều.

File Change Detection

Tính năng gửi thông báo nếu có file nào đó trong host bị thay đổi, thường là để phát hiện các file bị chèn shell. Tuy nhiên chỉ nên bật đúng lúc cần vì nó tốn tài nguyên.

Hide Login Area

Bật tính năng đổi đường dẫn đăng nhập thay vì /wp-admin như cũ.

Secure Socket Layer

Đây là tính năng áp dụng SSL cho website nếu website bạn có chứng chỉ SSL. Nếu bạn không có SSL, tốt nhất để nguyên nếu không muốn lỗi cả website.

Strong Password

Áp dụng bắt buộc sử dụng mật khẩu phức tạp để bảo mật.

System Tweaks

Các thiết lập trong đây sẽ can thiệp hệ thống hosting của bạn đang dùng để bảo mật. Do đây là thiết lập nâng cao nên đừng chọn nếu bạn không biết mình đang làm gì.

WordPress Tweaks

Các tùy chọn này sẽ can thiệp vào mã nguồn của WordPress để bảo mật.

Sau khi thay đổi xong, cứ ấn nút Save all Changes.

Advanced

Đây là các thiết lập nâng cao, hạn chế táy máy nếu bạn sợ bị lỗi hoặc tốt nhất backup toàn bộ database và code trước khi sử dụng các công cụ trong đây.

Admin User

Các thay đổi trong đây sẽ ảnh hưởng tới tài khoản admin của website.

Change Content Directory

Tùy chọn trong đây sẽ thay đổi thư mục wp-content, rất nguy hiểm nếu bạn đã sử dụng website lâu rồi. Chỉ nên áp dụng cho các website mới.

Change Database Prefix

Thay đổi prefix của database thay vì wp_ như mặc định, tùy chọn này sẽ ít có khả năng lỗi nên bạn có thể yên tâm sử dụng.