Bảo đảm blog WordPress của bạn là điều quan trọng nhất mà bạn phải làm sau khi bạn đã cài đặt nó trên máy chủ của bạn. Không nên có bất kỳ lý do gì để cho các tin tặc để leo vào và lấy cắp thông tin của bạn  hoặc phá hủy dữ liệu của bạn. Dưới đây một vài chia sẻ để bạn có thể sử dụng để bảo đảm blog WordPress của bạn.

1) Mã hoá đăng nhập của bạn

Bất cứ khi nào bạn đăng nhập vào trang web của bạn, mật khẩu của bạn được gửi đi không được mã hóa.
Nếu bạn đang trên một mạng công cộng, hacker có thể dễ dàng "đánh hơi" ra ủy nhiệm đăng nhập của bạn bằng cách sử dụng sniffer mạng.
Cách tốt nhất là để mã hóa thông tin đăng nhập của bạn với Chap Secure Login plugin.
Plugin này sẽ thêm một hash ngẫu nhiên để mật khẩu của bạn và xác thực đăng nhập của bạn với các CHAP giao thức.

http://wordpress.org/extend/plugins/chap-secure-login/

2) Stop brute force attack

Để ngăn ngừa mà xảy ra, bạn có thể cài đặt plugin login lockdown. Plugin này ghi lại địa chỉ IP và dấu thời gian của mọi cố gắng đăng nhập thất bại WordPress.
Sau khi một số lượng nhất định cố gắng không thành công được phát hiện, nó sẽ vô hiệu hóa chức năng đăng nhập cho tất cả các yêu cầu từ phạm vi đó.

http://wordpress.org/extend/plugins/login-lockdown/

3) Sử dụng một mật khẩu mạnh

Hãy chắc chắn rằng bạn sử dụng một mật khẩu mạnh rằng rất khó đoán cho người khác. Sử dụng một sự kết hợp các ký tự số, ký tự đặc biệt và hoa / chữ thường để tạo mật khẩu của bạn.

4) Bảo vệ wp-admin thư mục của bạn

Theo mình nên đặt mật khẩu bảo vệ thư mục bằng .htpasswd và .htaccess

http://wordpress.org/extend/plugins/askapache-password-protect/

5) Hủy bỏ thông tin phiên bản WordPress

Design->Theme Editor. Bạn edit Header file.Tìm dòng :


<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />

và xóa nó đi

Bạn có thể dùng thêm :WP Security Scan
Đây là một plugin có thể quét và rà soát toàn bộ hệ thống blog của bạn để tìm ra những vấn đề liên quan đến bảo mật, sau đó plugin sẽ đưa ra những biện pháp cũng như lời khuyên để bạn tối ưu.

http://wordpress.org/extend/plugins/wp-security-scan/

6) Bảo vệ thư mục plugins

Một hacker có thể dễ dàng đoạt quyền truy cập vào blog của bạn bằng cách lợi dụng những điểm yếu, lỗ hỏng của các plugin mà bạn đang dùng. Cách dễ nhất để hacker biết bạn đang dùng plugin gì là hacker sẽ truy cập vào thư mục http://ten-blog.com/wp-content/plugins/. Để ngăn chặn việc này, rất đơn giản, bạn chỉ việc đặt một file index.html trắng vào thư mục đó là xong.

7)  Đổi tên đăng nhập của Admin

Mặc định trong WordPress có một tài khoản đặc biệt (có toàn quyền quản trị) với tên đăng nhập là admin. Hầu hết người dùng đều để nguyên tên đó nhưng họ đâu biết rằng nếu để như vậy thì công việc còn lại của hacker chỉ là đoán password rồi xâm nhập vào blog của họ. Do đó, bạn nên thay đổi tên admin này thành tên khác để hacker nếu có dò password thì phải dò cả tên đăng nhập nữa.

8) Nâng cấp WordPress và các Plugin

Cái này thì cực kỳ dễ làm nhưng đôi khi bạn cũng phải tỏ ra thận trọng, đắn đo trước khi bấm nút nâng cấp. Một lời khuyên là bạn đừng vội nâng cấp lên phiên bản mới ra lò mà hãy kiên nhẫn chờ đợi đến bản fix lỗi kế tiếp bởi vì những phiên bản đầu thường chưa ổn định mặc dù đã qua giai đoạn beta, tốt nhất là chờ cộng đồng người dùng phát hiện ra lỗi rồi hãy xài bản fix, bạn sẽ tránh được những phiền phức không đáng có.


9) Bảo vệ file wp-config.php

File wp-config.php ở thư mục gốc của WordPress chứa thông tin về database vì vậy nó cần được bảo vệ.
Bạn hãy thêm đoạn code sau vào file .htaccess để bảo vệ

# protect wpconfig.php

order allow,deny from all

10) Sao lưu cơ sở dữ liệu của bạn wordpress


Không có vấn đề làm thế nào an toàn trang web của bạn, bạn vẫn muốn chuẩn bị cho điều tồi tệ nhất.
Cài đặt wp-database-backup và lịch trình nó để sao lưu cơ sở dữ liệu của bạn hàng ngày.

http://wordpress.org/extend/plugins/wp-db-backup/

11) Chmod chuẩn

Liên hệ với nhà cung cấp dịch vụ hosting của bạn . Hỏi họ về cách Chmod tối ưu cho những file nhạy cảm như wp-config.php