Ẩn URL trang đăng nhập WordPress là một trong những cách đầu tiên để chống lại các cuộc tấn công brute force. Điều này có thể giúp chủ sở hữu trang web bảo vệ web của mình khỏi các bot tự động và các nỗ lực truy cập trái phép bằng cách thay đổi địa chỉ trang đăng nhập mặc định của WordPress (/wp-admin hoặc /wp-login.php)
Trong bài viết này, chúng ta sẽ cùng thảo luận về nhiều cách khác nhau để ẩn URL đăng nhập WordPress
Tại sao nên ẩn URL trang đăng nhập WordPress?
WordPress là phần mềm CMS phổ biến nhất. Nó được sử dụng bởi gần 40% các trang web trên Internet. WordPress là một ứng dụng mã nguồn mở, đây là lý do tại sao WordPress bị tin tặc nhắm đến vì hầu hết chủ sở hữu trang web giữ cài đặt WordPress ở chế độ mặc định, khiến nó dễ bị tấn công hơn.
Theo kinh nghiệm của tôi, sẽ có ba lý do chính mà bạn nên ẩn URL trang đăng nhập của WordPress:
- Ngăn chặn, giảm nguy cơ bị tấn công
- Ẩn quyền truy cập của quản trị viên
- Bảo vệ thông tin người dùng
Tóm lại, việc ẩn URL trang đăng nhập WordPress sẽ tăng thêm một lớp bảo mật cho trang web của bạn.
Cách ẩn URL trang đăng nhập WordPress thủ công
Mặc dù có nhiều plugin hỗ trợ bạn ẩn URL trang đăng nhập WordPress nhưng trước tiên chúng ta sẽ xem xét phương pháp thủ công trước. Nó rất dễ thực hiện và an toàn. Hãy bắt đầu với các bước sau:
WordPress xác thực người dùng bằng tệp wp-login.php. Về cơ bản, chúng ta sẽ cần đổi tên/thay thế tệp này bằng tệp tên tùy chỉnh của chúng ta.
- Mở thư mục cài đặt WordPress của bạn và tìm tên tệp wp-login.php. Tạo một bản sao của tệp (để dùng cho mục đích khôi phục sau này) và đổi tên thành bất kỳ tên nào bạn thích. VD: hidden-admin.php
- Mở tệp hidden-admin.php, tìm và sửa tất cả tên wp-login.php thành hidden-admin.php.
Giờ khi bạn mở trang web của bạn bằng địa chỉ https://yourdomain.com/wp-login.php, bạn sẽ nhận về lỗi 404- Page Not Found.
Để mở trang đăng nhập, bạn sẽ cần truy cập vào https://yourdomain.com/hidden-admin.php.
Ẩn URL trang đăng nhập WordPress bằng plugins
Mặc dù bạn có thể dễ dàng ẩn URL đăng nhập WordPress bằng phương pháp tùy chỉnh nêu trên, nhưng với việc dùng plugin sẽ bổ sung thêm nhiều chức năng và tính năng hơn là chỉ ẩn URL.
Hầu hết các plugin bảo mật đều có chức năng riêng để ẩn URL đăng nhập, chúng tôi sẽ chỉ thảo luận về những plugin chỉ dành cho mục đích này.
Nhược điểm của plugin là chúng dễ bị tấn công, đặc biệt là nếu chúng không được cập nhật thường xuyên. Hãy đảm bảo theo dõi các lỗ hổng của plugin WordPress và cập nhật chúng.
WPS Hide Login
WPS Hide Login là một trong những plugin phổ biến và đơn giản nhất để ẩn URL trang wp-login.php. Nó sẽ không thay đổi các tệp WordPress mặc định nhưng sẽ chặn các yêu cầu trang đăng nhập. Vì vậy, trang đăng nhập mặc định wp-login.php sẽ không thể truy cập được.
URL trang đăng nhập mới có thể được thay đổi trong mục Settings –> General.
URL trang đăng nhập sẽ có dạng: https://domain.com/custom-login-url/
Easy Hide Login
Tương tự như WPS Hide Login, Easy Hide Login là một plugin nhẹ có chức năng duy nhất là ẩn URL trang đăng nhập WordPress. Nó tạo ra một cấu trúc URL như thế sau: https://domain.com?slug_text.
URL trang đăng nhập mới có thể được thay đổi trong mục Settings –> Easy Hide Login.
Rename wp-admin login
Rename wp-admin login plugin hoạt động rất giống với WPS Hide Login. Nó chặn các yêu cầu trang đăng nhập và khiến người dùng không thể truy cập được trong khi kích hoạt URL ẩn để đăng nhập.
URL đăng nhập sẽ có dạng như sau: https://domain.com/hidden-login/.
Nếu bạn quên URL trang đăng nhập, bạn chỉ cần tắt plugin và mọi thứ sẽ được thiết lập lại.
Login Rebuilder
Có những lúc bạn chỉ muốn thay đổi URL trang đăng nhập dành cho quản trị viên. Login Rebuilder cho phép bạn đặt URL trang đăng nhập riêng cho quản trị viên và người dùng khác.
Những URL này có thể được thay đổi trong mục Settings –> Login Rebuilder.
Kết luận
Bài viết này đã liệt kê một số plugin chuyên dụng hữu ích để bảo vệ thông tin đăng nhập WordPress của bạn. Bạn chỉ nên sử dụng một plugin tại một thời điểm. Nếu có vấn đề về khả năng tương thích với một plugin, bạn có thể sử dụng plugin khác thay thế.