📢 Bài viết có chứa link affiliate. Bạn không trả thêm phí khi mua qua link của mình.
Deploy WordPress lên VPS mà bỏ qua bảo mật là một sai lầm cực kỳ tốn kém. Một server bị hack không chỉ làm mất dữ liệu mà còn khiến Google đưa site vào danh sách đen, phá huỷ tháng công sức SEO chỉ trong vài giờ. Checklist này tổng hợp 22 bước bảo mật cần thiết trước khi deploy WordPress lên VPS production — từ kinh nghiệm quản lý hàng chục server.
👉 VPS đáng tin cậy để bắt đầu: Xem VPS Vultr tại đây →
PHẦN 1: Bảo Mật Trước Khi Deploy (Server Level)
✅ Bước 1: Đổi Port SSH Mặc Định
Port 22 là mục tiêu của 99% bot brute-force. Đổi sang port ngẫu nhiên (ví dụ 2847) trong /etc/ssh/sshd_config: Port 2847. Nhớ mở port này trong firewall trước khi restart SSH.
✅ Bước 2: Tắt Root Login SSH
Trong /etc/ssh/sshd_config: PermitRootLogin no. Tạo user riêng với sudo privileges thay vì login root trực tiếp.
✅ Bước 3: Dùng SSH Key Authentication, Tắt Password Login
PasswordAuthentication no và PubkeyAuthentication yes. SSH key 4096-bit RSA hoặc Ed25519. Không bao giờ dùng password cho SSH production server.
✅ Bước 4: Cài Và Cấu Hình UFW Firewall
Chỉ mở các port cần thiết: SSH custom port, 80 (HTTP), 443 (HTTPS). Block hết các port còn lại. Lệnh cơ bản: ufw allow 2847/tcp && ufw allow 80 && ufw allow 443 && ufw enable
✅ Bước 5: Cài Fail2ban
Tự động ban IP sau X lần login sai. Cấu hình: maxretry=5, bantime=3600 (1 giờ). Bảo vệ SSH, WordPress login, và WordPress XMLRPC.
✅ Bước 6: Bật Automatic Security Updates
Cài unattended-upgrades để tự cập nhật security patches. Cấu hình chỉ apply security updates, không tự update packages có thể gây conflict.
✅ Bước 7: Swap Memory
VPS RAM thấp (<2GB) cần swap để tránh OOM kill. Thêm 2GB swap: tránh MySQL crash đột ngột làm mất data.
PHẦN 2: Bảo Mật Sau Khi Cài WordPress (Application Level)
✅ Bước 8: Đổi Database Prefix
Thay wp_ thành prefix ngẫu nhiên (ví dụ xk7m_) trong wp-config.php. Giảm hiệu quả SQL injection attacks nhắm vào table name mặc định.
✅ Bước 9: Bảo Vệ wp-config.php
Thêm vào Nginx config: deny access tới wp-config.php và .htaccess từ web. Đặt file permissions: chmod 440 wp-config.php.
✅ Bước 10: Tắt XML-RPC
XMLRPC thường bị dùng cho brute-force và DDoS amplification attacks. Thêm vào Nginx: location = /xmlrpc.php { deny all; } — trừ khi bạn dùng Jetpack hoặc app mobile.
✅ Bước 11: Giới Hạn Login Attempts
Cài plugin Limit Login Attempts Reloaded hoặc dùng Fail2ban WordPress jail. Set max 5 attempts, lockout 1 giờ.
✅ Bước 12: Đổi URL Admin Login
Dùng plugin WPS Hide Login để đổi /wp-admin sang URL ngẫu nhiên. Bot không thể tìm trang login nếu không biết URL.
✅ Bước 13: Bật Two-Factor Authentication
Plugin Two Factor hoặc WP 2FA cho tất cả tài khoản admin. Bắt buộc — không có lý do không làm điều này.
✅ Bước 14: File Permission Chuẩn
Directories: 755, Files: 644, wp-config.php: 440. Script: find /var/www/html -type d -exec chmod 755 {} ; && find /var/www/html -type f -exec chmod 644 {} ;
✅ Bước 15: Disable File Editing Trong Dashboard
Thêm vào wp-config.php: define('DISALLOW_FILE_EDIT', true);. Nếu hacker vào được dashboard, không thể inject code qua theme/plugin editor.
PHẦN 3: SSL, CDN Và Monitoring (Infrastructure Level)
✅ Bước 16: SSL/HTTPS Bắt Buộc
Dùng Certbot Let’s Encrypt miễn phí. Thêm HSTS header: Strict-Transport-Security: max-age=31536000; includeSubDomains. Force redirect HTTP → HTTPS trong Nginx.
✅ Bước 17: Cấu Hình Cloudflare
Bật Cloudflare proxy để ẩn IP server thật. Dùng Cloudflare Firewall Rules để block các country/ASN spam. Bật Bot Fight Mode (miễn phí).
✅ Bước 18: Backup Tự Động Hàng Ngày
Dùng UpdraftPlus hoặc script rsync backup database + files lên remote storage (S3, Backblaze B2). Backup 30 ngày retention. Test restore ít nhất 1 lần/tháng.
✅ Bước 19: Monitoring Uptime
UptimeRobot (miễn phí, check mỗi 5 phút) + alert qua Telegram/email. Biết ngay khi server down thay vì khách hàng báo.
✅ Bước 20: Audit Log
Plugin WP Activity Log để track ai làm gì trong admin. Phát hiện suspicious activity sớm.
PHẦN 4: Kiểm Tra Định Kỳ (Monthly)
✅ Bước 21: Scan Malware Định Kỳ
Wordfence Free scan weekly. Hoặc dùng Maldet (Linux Malware Detect) ở server level. Check /tmp và /var/tmp cho suspicious files.
✅ Bước 22: Review User Accounts
Xoá tất cả WordPress accounts không còn dùng. Review quyền — admin chỉ cấp cho người thực sự cần. Đổi password admin 3 tháng một lần.
Recommended Stack Bảo Mật 2026
- Server: Ubuntu 22.04 LTS + UFW + Fail2ban
- Web server: Nginx (bảo mật hơn Apache mặc định)
- WordPress: Wordfence Free + Limit Login Attempts + WPS Hide Login
- CDN/WAF: Cloudflare Free Plan
- Backup: UpdraftPlus → Backblaze B2
- Monitoring: UptimeRobot + Netdata
👉 Bắt đầu với VPS đáng tin cậy: Nhận $100 credit Vultr tại đây →
