iThemes Security Pro là plugin được rất nhiều lập trình viên wordpress tin tưởng và sử dụng. Để bảo mật website tránh khỏi những “kẻ xấu” và những mối nguy hiểm tìm ẩn trong website của bạn.
Tải iThemes Security Pro
Hiện tại iThemes Security có phiên bản trả phí và miễn phí. Phiên bản trả phí hỗ trợ nhiều tính năng và được bảo về toàn diện hơn. Hiện tai plugin này đang được bán với giá khoảng $80/website. Nhưng hôm nay mình xin chia sẻ đến các bạn hoàn toàn miễn phí. Và được kích hoạt License Keys sẵn và tự cập nhật, chúng ta không làm thêm điều gì nữa,
Bạn vào đây hoặc click vào nút download bên dưới để tải về. Và tải lên wordpress kích hoạt lên như các plugin khác.
Cách sử dụng iThemes Security Pro
Ngay sau khi cài xong, hãy ấn nút Secure Your Site Now để bắt đầu thiết lập.
Sau đó bạn chỉ cần click vào 2 tùy chọn như trong ảnh và ấn nút Dismiss để kết thúc.
Các tùy chọn cơ bản của iThemes Security Pro
Để cài đặt các tùy chọn cơ bản của ithemes Security. Bạn truy cập vào settings trong mục ithemes Security nằm thanh công cụ bên phải của trình điều khiển wordpess.
1. Security Check – Kiểm tra an ninh
Đảm bảo rằng trang web của bạn đang sử dụng các tính năng và cài đặt được đề xuất.
Ở mục này các bạn có thể kiểm tra bảo mật cho tất cả các tiện ích của plugin. Bạn bấm vào Secure site sẽ quét website của bạn của bạn tổng quát và sẽ nhận báo cáo của iThemes Security Pro.
2. Global Settings
- Write to File – Tùy chọn này sẽ cho phép các plugin khác tự động thêm nội dung vào file wp-config.php và .htaccess, bạn nên chọn nó để có thể cài được các tính năng khác của iThemes Security hoặc các plugin tạo cache một cách tự động.
- Notification Email – Địa chỉ email của bạn để nhận thông báo liên quan đến plugin iThemes Security, bạn có thể thêm nhiều email cách với nhau bằng một hàng.
- Backup Delivery Email – Địa chỉ email nhận file backup nếu bạn backup dữ liệu bằng iThemes Securtity.
- Host Lockout Message – Tin nhắn thông báo lỗi cho những người đăng nhập thất bại do bị khóa IP.
- User Lockout Message – Tin nhắn thông báo lỗi nếu thành viên bị khóa.
- Blacklist Repeat Offender – Kích hoạt sử dụng danh sách địa chỉ spam công cộng. Bạn nên chọn vì nó sẽ giúp các bạn thoát khỏi các spammer có ở trong danh sách này.
- Blacklist Threshold – Sau số lần IP bị khóa rồi sẽ chuyển thành dạng khóa vĩnh viễn.
- Blacklist Lookback Period – Thời hạn khóa các spammer có trong danh sách ở phần Blacklist Repeat Offender.
- Lockout Period – Thời gian mỗi lần khóa nếu có ai đó cố gắng đăng nhập nhưng bị thất bại.
- Lockout White List – Danh sách IP trắng sẽ không bị khóa.
- Email Lockout Notifications – Email nhận thông báo khi có người truy cập bị khóa.
- Log Type – Kiểu ghi các log hoạt động của plugin, nên chọn là Database Only.
- Days to Keep Database Logs – Thời hạn ghi của các log trong database, sau thời hạn các log sẽ bị xóa đi.
- Path to Log Files – Đường dẫn của file log.
- Allow Data Tracking – Cho phép iThemes thu thập các dữ liệu sử dụng của bạn để họ phân tích.
3. Notification Center
Quản lý và định cấu hình các thông báo qua email do iThemes Security Pro gửi liên quan đến các mô-đun cài đặt khác nhau.
- From Email: Mail để gửi đi các thông báo, nếu các bạn đã cài đặt dịch vụ gửi mail qua SMTP rồi, thì phần này để trống.
- Default Recipients: chọn nhưng ai sẽ nhận được mail.
- Automatic Updates Info: Nhận các thông báo tự động, ở đây các bạn tích vào và Recipient để mặc định.
- Database Backup
- File Change
- Inactive Users
- Magic Links Passwordless Login
- Malware Scan Results
- Security Digest
- Settings Export
- Site Lockouts
- Two-Factor Reminder Notice
Các mục được liệt kê ở trên, các bạn tự tùy chỉnh theo riêng của mình. các tiêu đề gửi mail có thể dịch sang tiếng Việt cho các bạn dễ hiểu cũng được.
4. User Groups
Ở phần này các bạn có thể chỉnh các tùy chọn quyền cho các từng user. Nếu website các bạn có nhiều user và phân quyền, thì bạn có thể quản lý quyền điều khiển tại đây.
5. 404 Detection
Đây là tùy chọn sẽ gửi thông báo mỗi khi thành viên truy cập một trang nào đó và phát hiện lỗi 404. Bạn nên cân nhắc sử dụng chức năng này nếu trang web của bạn đã có quá nhiều lỗi 404. Như thế mail của bạn sẽ bị nó “hấp diêm” sẽ tốn nhiều tài nguyên đấy.
- Minutes to Remember 404 Error (Check Period) – Thời gian hệ thống tự ghi nhớ lỗi 404 và không báo cho lần sau.
- Error Threshold – Số lỗi tối đa mà mỗi thành viên có thể gặp, nếu thành viên vào tối đa số trang 404 trong phần này thì sẽ bị khóa. Thường là hay xảy ra với bot spam.
- 404 File/Folder White List – Các file/folder nó sẽ bỏ qua và không kiểm tra lỗi 404.
6. Away Mode
Đây là tính năng của iThemes Security Pro giúp khóa trang quản trị một thời gian nhất định. Và bạn có thể vào được thời gian nhất định đã cài đặt sẵn. Đây là chế đọ đi vắng giúp bạn không phải lo lăng có người đăng nhập vào. Khi bạn có công việc quan trọng và thương xuyên để ý đến website.
- Enable away mode – Bật tính năng Away Mode.
- Type of Restriction – Loại từ chối, nếu bạn truy cập vào website mỗi ngày thì chọn Daily.
- Start Time – Thời gian bắt đầu “mở cổng” trang admin.
- End Time – Thời gian đóng cổng trang admin.
7. Banned User
Chức năng này cho phép bạn ban một thành viên nào đó hoặc bot spam.
- Enable HackRepair.com’s blacklist feature – Bật chức năng khóa các bot spam có trong danh sách của HackRepair.com.
- Enable ban users – Bật chức năng khóa thành viên (không phải thành viên trong trang WordPress của bạn).
- Ban Hosts – Danh sách các IP sẽ bị ban, mỗi IP là một dòng.
- Ban User Agents – Loại User Agents sẽ bị ban, áp dụng cho các bot spam. Bạn có thể lên Google gõ “Bad User Agents list” để lấy danh sách và bỏ vào tùy chọn này nếu muốn.
- Whitelist Users – IP sẽ không bị ban.
8. Database Backup
Tùy chọn này iThemes Security Pro sẽ tự động sao lưu dữ liệu. Nên sử dụng khi website bạn có các database nhỏ, bạn sử dụng BackWPUp hoặc BackupBuddy thay thế sẽ tốt hơn nhiều.
- Backup Full Database – Backup toàn bộ cơ sở dữ liệu của bạn.
- Backup Method – Phương thức sao lưu, nó sẽ gửi bản backup qua email hoặc trên host (có thể chọn cả 2).
- Backup Location – Đường dẫn chưa thư mục file backup.
- Backups to Retain – Số file backup sẽ giữ lại trên host. Ví dụ bạn đặt là 3, nhiều hơn 3 thì các bản cũ hơn sẽ tự động xóa.
- Compress Backup Files – Hỗ trợ nén file backup.
- Exclude Tables – Các table trong database bạn không muốn backup.
- Schedule Database Backups – Bật tùy chọn tự động backup.
- Backup Interval – Tự động backup sau số ngày nhất định.
9. File Change Detection
Tính năng này sau khi bật nó sẽ gửi thông báo cho bạn các file trong host đã bị thay đổi. Thường là để phát hiện các file bị chèn shell. Tính năng này sẽ tốn tài nguyên của bạn nên bật khi cần thiết nhất.
- Enable File Change detection – Bật tính năng phát hiện các file trong host bị thay đổi.
- Split File Scanning – Chia nhỏ các phần trong code để kiểm tra lần lượt thay vì một lúc, đỡ tốn tài nguyên.
- Include/Exclude Files and Folders – Tùy chọn loại bỏ hoặc bao gồm các file để phát hiện.
- Files and Folders List – danh sách các file/folder mà bạn muốn loại bỏ/bao gồm để scan.
- Ignore File Types – Các định dạng file mà nó sẽ bỏ qua.
- Email File Change Notifications – Bật tính năng gửi thông báo qua email.
10. Local Brute Force Protection
Tính năng này bảo vệ tránh khỏi những kẻ tấn công trang web của bạn. Cố ý đoán các thông tin đăng nhập vào các tài khoản của bạn.
- Max Login Attempts Per Host: Số lần đăng nhập của người dùng trước khi máy chủ hoặc máy tính của họ bị khóa khỏi hệ thống. Đặt thành 0 để ghi lại các lần đăng nhập không hợp lệ mà không khóa máy chủ.
- Max Login Attempts Per User: Số lần đăng nhập của người dùng trước khi tên người dùng của họ bị khóa khỏi hệ thống. Lưu ý rằng điều này khác với các máy chủ trong trường hợp kẻ tấn công đang sử dụng nhiều máy tính. Ngoài ra, nếu họ đang sử dụng tên đăng nhập của bạn, bạn có thể bị khóa. Đặt thành 0 để ghi lại các lần đăng nhập không hợp lệ cho mỗi người dùng mà không bao giờ khóa người dùng (điều này không được khuyến nghị).
- Minutes to Remember Bad Login (check period): Số phút đăng nhập xấu cần được ghi nhớ.
- Automatically ban “admin” user: Cấm ngay máy chủ lưu trữ cố gắng đăng nhập bằng tên người dùng “quản trị viên”.
11. Password Requirements
Tính năng này cho phép bạn bật để quản lý các mật khẩu của thành viên website. Bạn có thể yêu cầu bắt buộc phải tạo mật khảo mạnh để sử dụng đăng nhập. Và có thể đặt số ngày giữ mật khẩu hiện tại, sau thời gian này sẽ yêu cầu đổi ngay một mật khẩu khác.
12. SSL
Bật chức năng bảo mật SSL cho toàn bộ người dùng và các link để trao đổi dữ liệu an toàn. iThemes Security Pro thật tuyệt vời khi bổ sung tính năng này mà không cần thêm plugin như Really Simple SSL.
13. WordPress Tweaks
Đây là những cài đặt nâng cao có thể được sử dụng để tăng cường bảo mật hơn nữa cho trang WordPress của bạn.
Lưu ý: Các cài đặt này được liệt kê là nâng cao vì chúng chặn các hình thức tấn công phổ biến nhưng chúng cũng có thể chặn các plugin và chủ đề hợp pháp dựa trên các kỹ thuật tương tự. Khi kích hoạt cài đặt bên dưới, chúng tôi khuyên bạn nên bật từng cài đặt một để kiểm tra xem mọi thứ trên trang web của bạn vẫn hoạt động như mong đợi.
Hãy nhớ rằng một số cài đặt này có thể xung đột với các plugin hoặc chủ đề khác, vì vậy hãy kiểm tra trang web của bạn sau khi bật từng cài đặt iThemes Security Pro.
14. Magic Links
Tùy chọn khóa bỏ qua Magic Links cho phép bạn đăng nhập trong khi tên người dùng hoặc IP của bạn bị khóa.
15. Malware Scan Scheduling
Bảo vệ trang web của bạn bằng tính năng quét trang web tự động. Khi tính năng này được kích hoạt lên, trang web của bạn sẽ được tự động quét mỗi ngày. Nếu một vấn đề được tìm thấy, một email sẽ được gửi đến những người dùng được chọn để nhận email.
16. Passwordless Login
Tính năng này cho phép đăng nhập mà không dùng mật khẩu và bảo mật 2 lớp. Bằng cách gửi một liên kết để đăng nhập qua mail thành viên khi đăng ký tài khoản.
Bạn có thể tùy chọn bật tính năng này cho các user bạn mà bạn đặt ra,
17. reCAPTCHA
Bảo vệ trang web của bạn khỏi bot bằng cách xác minh rằng người gửi nhận xét hoặc đăng nhập thực sự là con người. Ở đây các bạn thêm Site Key và Secret Key để nó hoạt động nhé. Đăng ký lấy key tại đây, các bạn nhớ chọn dịch vụ “v2 Checkbox” mới đúng nha.
18. Two-Factor Authentication
Tính năng này cho phép bạn xác thực 2 yếu tố để tăng cười bảo mật. Sau khi bật nó lên bạn sẽ được tao ra các mã bảo mật ngẫu nhiên để lưu lại. Khi thực hiện đăng nhập nó sẽ gửi mã về mail cho bạn hoặc sử dụng mã đã lưu dự phòng.
Lời kết
Đó là những tính năng quan trọng mà mình cần nói qua trong plugin iThemes Security Pro này. Mặc dù phiên bản do iThemes phát triển ra mắt chưa được bao lâu nhưng theo đánh giá của mình, nó vẫn hoạt động khá tốt ở thời điểm hiện tại và sẽ còn tiếp tục chỉnh sửa và bổ sung khá nhiều.
Hy vọng với plugin iThemes Security Pro này, bạn sẽ yên tâm hơn trong việc bảo mật WordPress. Nếu có các câu hỏi hoặc thắc mắc liên quan hãy để lại comment bên dưới nhé.
