1. Kiểm tra xem WordPress core đã được cập nhật chưa:

Vào Dashboard > Updates > nhấn “Update Now”.

Việc cập nhật lõi WordPress là một trong những khía cạnh quan trọng nhất của bảo mật trang web. Nếu phát hiện ra lỗ hổng trong WordPress và phát hành phiên bản mới để giải quyết vấn đề, thông tin cần thiết để khai thác lỗ hổng chắc chắn nằm trong phạm vi công cộng. Điều này khiến các phiên bản cũ dễ bị tấn công hơn và là một trong những lý do chính khiến bạn phải luôn cập nhật WordPress.

Nhờ có bản cập nhật tự động, việc nâng cấp hiện rất đơn giản. Điều hướng đến trang “Bảng điều khiển – Cập nhật” và nhấp vào nút “Cập nhật ngay”.

Quan trọng: Luôn sao lưu các tệp và cơ sở dữ liệu của bạn trước khi thực hiện bất kỳ nâng cấp nào!

2. Kiểm tra xem tính năng cập nhật lõi WordPress tự động có được bật không:

Thêm define('WP_AUTO_UPDATE_CORE', 'minor'); vào wp-config.php.

Trừ khi bạn đang chạy một trang web WordPress được tùy chỉnh cao đòi hỏi phải kiểm tra nghiêm ngặt tất cả các bản cập nhật, chúng tôi khuyên bạn nên bật các bản cập nhật lõi nhỏ tự động. Đây thường là các bản sửa lỗi bảo mật không làm thay đổi WP theo bất kỳ cách đáng kể nào và nên được áp dụng ngay khi WP phát hành chúng.

3. Kiểm tra xem plugin có được cập nhật không:

Dashboard > Updates > chọn plugin > “Update”.

Giống như lõi WordPress, việc cập nhật plugin là một trong những cách quan trọng và dễ dàng nhất để giữ cho trang web của bạn an toàn. Vì hầu hết các plugin đều miễn phí và do đó mã của chúng có sẵn cho bất kỳ ai, nên việc có phiên bản mới nhất sẽ đảm bảo bạn không dễ bị tấn công dựa trên các lỗ hổng đã biết.

Nếu bạn tải xuống plugin từ kho lưu trữ WP chính thức, bạn có thể dễ dàng kiểm tra xem có bản cập nhật nào khả dụng không và cập nhật bằng cách mở Dashboard – Updates . Nếu bạn mua plugin từ nơi khác, hãy kiểm tra hỗ trợ của mục đó về hướng dẫn cách nâng cấp thủ công. Hãy nhớ – luôn sao lưu tệp và cơ sở dữ liệu của bạn trước khi nâng cấp!

4. Xóa plugin không dùng:

Plugins > Deactivate > Delete, hoặc xóa qua FTP (/wp-content/plugins/).

5. Đảm bảo plugin được cập nhật thường xuyên: Kiểm tra ngày cập nhật trong Plugins, thay plugin cũ hơn 12 tháng.

6. Kiểm tra tương thích plugin: Chọn plugin tương thích với phiên bản WP mới nhất.

7. Cập nhật theme: Appearance > Themes > nhấn “Update” nếu có.

8. Xóa theme thừa: Appearance > Themes > Delete theme không dùng.

9. Ẩn phiên bản WP: Thêm add_filter('the_generator', function() { return ''; }); vào functions.php.

10. Xóa link Windows Live Writer: Thêm remove_action('wp_head', 'wlwmanifest_link'); vào functions.php.

11. Dùng PHP 7.4+: Liên hệ host để nâng cấp PHP.

12. Dùng MySQL 10.6+: Liên hệ host để nâng cấp MySQL/MariaDB.

13. Đổi tiền tố bảng DB: Trong wp-config.php, đổi $table_prefix = 'xyz99_';, dùng phpMyAdmin đổi bảng cũ.

14. Ẩn info PHP: Thêm Header unset X-Powered-By vào .htaccess.

15. Tắt expose_php: Trong php.ini, đặt expose_php = off.

16. Xóa user “admin”: Tạo user mới (Users > Add New), xóa “admin”, chuyển nội dung.

17. Tắt “ai cũng đăng ký”: Settings > General > bỏ tick “Anyone can register”.

18. Đổi user ID 1: Tạo user mới, xóa ID 1, chuyển nội dung (Users > Edit).

19. Ẩn lỗi đăng nhập: Thêm add_filter('login_errors', function() { return 'Sai thông tin'; }); vào functions.php.

20. Đặt quyền wp-config.php: Dùng FTP, chmod wp-config.php thành 400 hoặc 440.

21. Di chuyển wp-config.php: Dời file lên thư mục cha (../wp-config.php).

22. Dùng mật khẩu DB mạnh: Đổi trong cPanel, cập nhật DB_PASSWORD trong wp-config.php.

23. Đặt khóa bảo mật: Tạo khóa tại wordpress.org/secret-key, dán vào wp-config.php.

24. Cập nhật khóa định kỳ: Thay khóa mới trong wp-config.php mỗi 6-12 tháng.

25. Tắt debug mode: Trong wp-config.php, đặt define('WP_DEBUG', false);.

26. Chặn debug.log: Thêm Require all denied vào .htaccess, hoặc xóa file.

27. Tắt debug DB: Tắt $wpdb->show_errors(); trong code plugin nếu có.

28. Tắt debug JS: Trong wp-config.php, đặt define('SCRIPT_DEBUG', false);.

29. Tắt display_errors: Thêm ini_set('display_errors', 0); vào wp-config.php.

30. Giữ URL WP và site giống: Kiểm tra Settings > General, điều chỉnh nếu cần.

31. Tắt register_globals: Trong php.ini, đặt register_globals = off.

32. Tắt safe mode: Trong php.ini, đặt safe_mode = off.

33. Tắt allow_url_include: Trong php.ini, đặt allow_url_include = off.

34. Tắt chỉnh sửa file: Thêm define('DISALLOW_FILE_EDIT', true); vào wp-config.php.

35. Chặn duyệt uploads: Thêm Options -Indexes vào .htaccess.

36. Tắt Application Passwords: Thêm add_filter('wp_is_application_passwords_available', '__return_false'); vào functions.php.

37. Giới hạn MySQL user: Trong cPanel, đặt hostname MySQL user thành “localhost”.

38. Xóa link EditURI (XML-RPC): Thêm remove_action('wp_head', 'rsd_link'); và add_filter('xmlrpc_enabled', '__return_false'); vào functions.php.

39. Kiểm tra Timthumb: Liên hệ theme dev để thay thế nếu phát hiện.

40. Kiểm tra Shellshock #6271: Liên hệ host để cập nhật Bash shell.

41. Kiểm tra Shellshock #7169: Như trên.

42. Dùng SSL cho admin: Thêm define('FORCE_SSL_ADMIN', true); vào wp-config.php, dùng SSL từ Let’s Encrypt.

43. Giới hạn quyền MySQL: Trong cPanel, chỉ cấp SELECT, INSERT, UPDATE, DELETE.

44. Chặn liệt kê username: Thêm RewriteCond %{QUERY_STRING} ^author=([0-9]) RewriteRule . /? [L,R=302] vào .htaccess.

45. Xóa link REST API: Thêm remove_action('wp_head', 'rest_output_link_wp_head'); vào functions.php.

46. Đặt X-Content-Type-Options: Thêm Header set X-Content-Type-Options nosniff vào .htaccess.

47. Đặt X-Frame-Options: Thêm Header set X-Frame-Options SAMEORIGIN vào .htaccess.

48. Đặt Strict-Transport-Security: Thêm Header set Strict-Transport-Security "max-age=31536000;" vào .htaccess.

49. Đặt Referrer-Policy: Thêm Header set Referrer-Policy "same-origin" vào .htaccess.

50. Đặt Permissions-Policy: Thêm Header set Permissions-Policy "camera 'none'; microphone 'none';" vào .htaccess.

51. Đặt Content-Security-Policy: Thêm Header set Content-Security-Policy "script-src 'self'" vào .htaccess (test trước).

52. Tắt REST API: Thêm add_filter('rest_enabled', '__return_false'); vào functions.php nếu không cần.

53. Xóa file thừa trong root: Dùng FTP xóa file như license.txt trong thư mục root.

Lưu ý: Sao lưu trước khi thay đổi. Thử nghiệm từng bước để đảm bảo site hoạt động bình thường!

—

Phiên bản này dành cho người dùng chung, loại bỏ trạng thái cụ thể, chỉ cung cấp hướng dẫn thực hiện ngắn gọn và dễ áp dụng. Nếu bạn muốn điều chỉnh thêm, hãy cho tôi biết!