Chào cả nhà,
Trang đăng nhập mặc định (wp-login.php) của WordPress giống như cánh cửa chính của ngôi nhà bạn. Đây cũng là nơi mà hacker và bot tự động “ghé thăm” nhiều nhất bằng các cuộc tấn công Brute Force (thử mật khẩu liên tục).
Dưới đây là 5 lớp khóa bạn nên trang bị ngay hôm nay để bảo vệ cánh cửa này.
1. Thay đổi đường dẫn đăng nhập:
Việc giữ đường dẫn /wp-admin mặc định chẳng khác nào treo biển “Cửa chính ở đây!”. Hãy đổi nó thành một cái tên khác mà chỉ bạn biết (ví dụ: /cua-sau-nha-toi).
- Plugin gợi ý: WPS Hide Login (siêu nhẹ và dễ dùng).
2. Sử dụng Mật khẩu mạnh và Tên người dùng không phải “admin”:
Điều này là cơ bản nhưng rất nhiều người bỏ qua. Đừng bao giờ đặt tên người dùng là “admin”. Hãy dùng mật khẩu dài, phức tạp, kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt.
3. Kích hoạt Xác thực hai yếu tố (2FA):
Đây là lớp bảo vệ quan trọng nhất. Kể cả khi hacker có được mật khẩu của bạn, chúng vẫn không thể đăng nhập nếu không có mã xác thực từ điện thoại của bạn.
- Plugin gợi ý: Wordfence Login Security, Google Authenticator.
4. Giới hạn số lần đăng nhập sai (Limit Login Attempts):
Tính năng này sẽ tự động khóa một địa chỉ IP nào đó nếu họ nhập sai mật khẩu quá nhiều lần trong một khoảng thời gian ngắn. Điều này làm các bot tấn công Brute Force gần như vô dụng.
- Plugin gợi ý: Limit Login Attempts Reloaded, hoặc tính năng này cũng có sẵn trong các plugin bảo mật lớn như Wordfence, iThemes Security.
5. Thêm Google reCAPTCHA:
Thêm một bước “Tôi không phải là người máy” vào form đăng nhập sẽ ngăn chặn hiệu quả các bot tự động.
- Plugin gợi ý: Advanced noCaptcha & Invisible Captcha.
Chỉ cần áp dụng 5 cách trên, trang đăng nhập của bạn sẽ trở nên an toàn hơn rất nhiều. Anh em còn có cách nào hay hơn không?