Checklist 20 Bước Bảo Mật VPS Ubuntu Trước Khi Deploy Production 2026

📢 Bài viết có chứa link affiliate. Bạn không trả thêm phí khi mua qua link của mình.

Mỗi ngày có hàng nghìn VPS bị tấn công brute-force, cài cryptominer hoặc biến thành bot spam chỉ vì chủ server không thực hiện các bước bảo mật cơ bản. Dù bạn dùng Vultr, Hetzner, Contabo hay bất kỳ nhà cung cấp nào, bảo mật VPS là trách nhiệm của bạn — không phải của hosting provider. Checklist 20 bước dưới đây đã được kiểm chứng thực tế và áp dụng được ngay.

👉 Cần VPS uy tín để deploy an toàn? Xem Vultr Cloud VPS →

TRƯỚC KHI DEPLOY — Bảo Mật Nền Tảng

1. Đổi Port SSH Mặc Định (22)

Port 22 là mục tiêu của 99% bot scan. Đổi sang port ngẫu nhiên (ví dụ 2222 hoặc 49522) trong /etc/ssh/sshd_config. Lý do: giảm noise log và tránh brute-force tự động ngay từ đầu.

2. Tắt Đăng Nhập Root Qua SSH

Set PermitRootLogin no trong sshd_config. Tạo user non-root với sudo privilege thay thế. Root login trực tiếp là rủi ro lớn nhất.

3. Dùng SSH Key Thay Mật Khẩu

Generate SSH key pair: ssh-keygen -t ed25519 -C "your-email". Copy public key lên server: ssh-copy-id user@server. Sau đó set PasswordAuthentication no.

4. Cập Nhật Hệ Thống Ngay Sau Provision

apt update && apt upgrade -y && apt autoremove -y

Enable unattended-upgrades cho security patch tự động: apt install unattended-upgrades -y

5. Cấu Hình UFW Firewall

ufw default deny incoming
ufw default allow outgoing
ufw allow YOUR_SSH_PORT/tcp
ufw allow 80/tcp
ufw allow 443/tcp
ufw enable

6. Cài Fail2Ban

Fail2Ban tự động ban IP sau nhiều lần login thất bại: apt install fail2ban -y. Cấu hình jail cho SSH với maxretry=5, bantime=3600.

7. Tắt Dịch Vụ Không Cần Thiết

Kiểm tra các service đang chạy: systemctl list-units --type=service --state=running. Tắt những gì bạn không dùng (avahi-daemon, cups, bluetooth nếu có).

SAU KHI DEPLOY — Hardening Ứng Dụng

8. Cài Và Cấu Hình ModSecurity (Nếu Dùng Nginx/Apache)

ModSecurity là Web Application Firewall (WAF) nguồn mở, chặn SQL injection, XSS và các attack phổ biến. Cài với ruleset OWASP CRS.

9. Giới Hạn Quyền File WordPress

find /var/www/html -type d -exec chmod 755 {} ;
find /var/www/html -type f -exec chmod 644 {} ;
chmod 600 wp-config.php

10. Đặt wp-config.php Ngoài Document Root

Move wp-config.php lên một cấp khỏi /public_html. WordPress tự động tìm file này ở thư mục cha — attacker không thể access trực tiếp qua web.

11. Tắt XML-RPC Nếu Không Dùng

XML-RPC là vector tấn công DDoS amplification phổ biến. Nếu không dùng Jetpack hoặc app di động, disable nó trong Nginx config hoặc dùng plugin Disable XML-RPC.

12. Bật 2FA Cho WordPress Admin

Dùng plugin WP 2FA hoặc Google Authenticator. Bước này ngăn attackers vào được admin kể cả khi có mật khẩu.

13. Ẩn Phiên Bản WordPress

Thêm vào functions.php: remove_action('wp_head', 'wp_generator'); để tắt thẻ meta generator hiển thị version WP.

14. Cài Wordfence hoặc Sucuri Security

Một trong hai plugin bảo mật này là bắt buộc. Wordfence có WAF miễn phí và malware scanner. Sucuri có CDN bảo vệ DDoS trong gói trả phí.

ĐỊNH KỲ — Duy Trì Bảo Mật

15. Backup Tự Động Hàng Ngày

Dùng script hoặc plugin UpdraftPlus backup database + files lên S3/Google Drive. Rule 3-2-1: 3 bản sao, 2 loại media, 1 bản offsite.

16. Monitor Log Đáng Ngờ

Cài GoAccess hoặc dùng tail -f /var/log/auth.log để theo dõi login attempt. Set alert email khi có login root bất thường.

17. Kiểm Tra SSL Certificate Hết Hạn

Certbot auto-renew nhưng đôi khi fail. Dùng cron job: 0 3 * * * certbot renew --quiet. Monitor qua uptimerobot.com (miễn phí).

18. Audit User và SSH Keys Định Kỳ

Kiểm tra /etc/passwd và ~/.ssh/authorized_keys hàng tháng. Xóa user không còn cần thiết và revoke key cũ.

19. Scan Malware Định Kỳ

Dùng Maldet (Linux Malware Detect) hoặc ClamAV để scan toàn bộ web root. Chạy hàng tuần qua cron.

20. Penetration Test Cơ Bản

Dùng Nmap để scan port từ bên ngoài: nmap -sV YOUR_IP. Chỉ port 80, 443 và SSH port của bạn nên mở. Dùng SSLLabs.com để test SSL configuration hàng quý.

Recommended Stack Bảo Mật

Combo bảo mật tốt nhất cho VPS WordPress 2026:

• VPS: Vultr High Performance (NVMe, snapshot tự động)
• Firewall: UFW + Fail2Ban
• WAF: Wordfence Free hoặc ModSecurity
• Backup: UpdraftPlus + S3
• Monitor: UptimeRobot + GoAccess

Kết Luận

Bảo mật VPS không phải việc làm một lần rồi thôi — nó là quy trình liên tục. Checklist 20 bước này bao gồm cả việc setup ban đầu, hardening và maintenance định kỳ. Nếu bạn thực hiện đủ 20 bước, server của bạn sẽ an toàn hơn 95% VPS phổ thông ngoài kia.

👉 Cần VPS ổn định để áp dụng checklist này? Nhận ưu đãi Vultr $100 credit →