1. Không cập nhật core, theme, plugin
Phiên bản cũ thường chứa lỗ hổng đã được công khai. Việc chậm cập nhật khiến site trở thành mục tiêu dễ bị khai thác. Dev thường trì hoãn do sợ xung đột, nhưng chính điều đó mở cửa cho tấn công.
- Luôn bật auto-update cho plugin quan trọng.
- Có staging site để kiểm thử trước khi áp production.
2. Sử dụng theme/plugin không rõ nguồn gốc
Crack theme/plugin thường bị chèn mã độc hoặc backdoor. Dev ham rẻ, nhưng hậu quả là mất dữ liệu hoặc bị khai thác để phát tán malware.
- Chỉ dùng plugin/theme từ repo chính thức hoặc nhà cung cấp uy tín.
- Kiểm tra codebase và review trước khi cài đặt.
3. Mật khẩu yếu và không bật 2FA
Brute force login là kiểu tấn công dễ triển khai và vẫn cực hiệu quả. Rất nhiều site vẫn dùng admin/admin123. Không có 2FA thì chỉ cần leak password là coi như mất site.
- Dùng mật khẩu mạnh, random, lưu trong password manager.
- Bật 2FA qua email, app hoặc plugin hỗ trợ.
4. Thiếu hardening wp-config.php và file system
File wp-config.php chứa key, database credential, dễ bị lộ nếu server cấu hình sai. Ngoài ra, nhiều site cho phép write toàn bộ file system, hacker chỉ cần upload shell là xong.
- Chặn truy cập trực tiếp
wp-config.phpqua .htaccess hoặc Nginx. - Đặt quyền file/folder theo nguyên tắc tối thiểu (644/755).
- Tách DB credential qua biến môi trường nếu có thể.
5. Không giới hạn quyền user và thiếu audit log
Nhiều site để tất cả user có quyền Editor/Administrator. Khi một account bị compromise, hậu quả cực kỳ nghiêm trọng. Không có audit log thì dev khó phát hiện bất thường.
- Chỉ cấp quyền tối thiểu cần thiết cho từng user.
- Sử dụng plugin log để theo dõi hoạt động admin.
Kết luận
Bảo mật WordPress không phải là cài thêm 10 plugin “security”, mà là quản lý vòng đời code, quyền, và dữ liệu một cách có kỷ luật. Dev chủ quan với 5 lỗi trên thường trả giá bằng downtime, mất dữ liệu, hoặc SEO tụt thảm hại. Chỉ cần xử lý đúng những điểm cơ bản này, bạn đã giảm thiểu phần lớn rủi ro cho website.
Bình luận