Một trong mã nguồn mở được sử dụng nhiều nhất trong việc thiết kế website là WordPress. Là một trong những CMS đầu tiên xuất hiện, WordPress nhanh chóng trở thành trong những giải pháp ưu việt nhất vì code đơn giản dễ hiểu và khả năng tùy biến cao cho yêu cầu khác nhau của mỗi dự án.
Nhiều người biết đến sự hữu dụng của WordPress, nhưng chưa hiểu rõ hết được những lỗi bảo mật cần tránh để đảm bảo an toàn cho website của mình. Bài viết dưới đây sẽ đề cập đến các lỗi thường gặp nhất, giúp website WordPress của bạn có thể giảm thiểu tối đa những rủi ro không mong muốn, vận hành vững chắc và ổn định trong thời gian dài.
1. Lựa chọn username là “admin”
Các webmaster sử dụng username “admin” như là một thói quen khi tên đó được gợi ý khi cài đặt CMS. Những hacker có thể dễ dàng lợi dụng thói quen này để truy cập vào hệ thống bằng các thủ thuật như brute force để tìm kiếm password của bạn.
=> Cách giải quyết: Nên sử dụng một username ít phổ biến và mang tính cá nhân.
2. Giữ các tiền tố (prefix) mặc định các bảng (table) có dạng “wp_” trong database
Lỗi bảo mật nghiêm trọng thứ hai cũng đặc biệt có thể gây nguy hại đến sự an toàn của website. Khi cài đặt website thì prefix “wp_” được mặc định khi cài đặt WordPress, hacker rất dễ lợi dụng điều này để truy cập vào database (cơ sở dữ liệu) của website.
Vì thế hãy thay những tiền tố này bằng những cái tên khác, cá nhân hóa và dễ nhớ hơn.
3. Back-up dữ liệu không thường xuyên và không cập nhật bản vá
Giả sử website của bạn bị hack hoặc block thì việc sửa code nhanh chóng không phải là một điều đơn giản. Giải pháp an toàn hơn là bạn cần sao lưu dữ liệu tự động thường kì để có thể tái sử dụng.
Bên cạnh đó, bất kì một website nào cũng không thể chỉ tạo ra rồi bỏ đấy là xong. Công nghệ thay đổi thường xuyên thì các hacker càng tinh vi hơn. Bạn cần cập nhật cho website thường xuyên, đặc biệt là các bản vá an ninh nếu không muốn kẻ nào đó lợi dụng các lỗ hổng để kiểm soát website của bạn.
4. Giữ lại các plugin không hoạt động
Bạn buộc phải xóa các plugin không sử dụng hoặc không cần thiết. Lỗ hổng an ninh từ những plugin lỗi thời sẽ đe dọa tới sự bảo mật website của bạn.
5. Tạo ra quá nhiều chuyên mục (category) mà lại không đủ thẻ Tag
Những người mới bắt đầu có xu hướng tạo các category liên tiếp, nhưng mức độ sử dụng nó lại rất ít. Trong khi đó, thẻ tags lại không được tận dụng, khiến website mất đi lượng truy cập tiềm năng và khả năng được tìm kiếm một cách dễ dàng.
Vì thế đừng lạm dụng category, thay vào đó hãy gắn đủ thẻ tags cho website để tận dụng được khả năng SEO từ WordPress
6. Chấp nhận những comment “Spam”
Có một khó chịu nhỏ từ phần comment của WordPress là nó luôn ngập tràn Spam tự động. Các webmaster không nên chấp nhận các comment này mà cần duyệt bằng tay, tránh cho website đầy chật spam, làm giảm trải nghiệm người dùng.
7. Đổi URL bất cẩn
Tuy rằng WordPress chấp nhận việc thay đổi URL, nhưng bạn chỉ nên thay đổi URL khi mới public bài viết không lâu. Còn một khi bài viết đã được tìm kiếm bởi các robot.txt từ các công cụ tìm kiếm (Google, yahoo…), bạn nên dùng biện pháp chuyển hướng URL (URL direction) để đảm bảo SEO cho website.
8. Cài đặt plugin và không kiểm tra lại
Cài đặt một plugin là thay đổi cách hoạt động của một website. Vì thế bắt buộc phải kiểm tra lại toàn bộ website mỗi khi cài đặt, từ các chức năng cơ bản đến các chức năng quan trong như cách liên lạc, mẫu đăng ký, tránh gây ra mâu thuẫn giữa các plugin.
9. Có thư mục “index.php” trong các đường dẫn
Cần tránh các đường link theo type /index.php xuất hiện trong website khiến giảm hiệu năng của SEO.
10. Tiết lộ công khai các thông tin về website của bạn
Mặc dù chẳng là điều gì mới mẻ nhưng đây vẫn là một trong 10 lỗi thường gặp nhất với người dùng WordPress. Chẳng gì mời gọi hacker hơn là tiết lộ các thông tin về website của bạn một cách công khai, ví dụ như plugin website đang sử dụng, tiết lộ version WordPress hay loại hosting bạn sử dụng, đưa cho robot.txt tìm kiếm vào các đường link từ back-office hay các tài liệu “mật”…