Checklist 22 Bước Bảo Mật WordPress Trước Khi Deploy Production 2026

📢 Bài viết có chứa link affiliate. Bạn không trả thêm phí khi mua qua link của mình.

Mỗi ngày có hàng nghìn website WordPress bị hack, bị inject malware hoặc bị tấn công brute force. Điều đáng buồn là phần lớn có thể phòng tránh được với checklist bảo mật cơ bản. Dù bạn dùng hosting shared, VPS hay managed WordPress — đây là 22 bước bảo mật không thể bỏ qua trước khi đưa site vào production.

👉 Hosting có bảo mật tốt nhất: Xem SiteGround →

Giai Đoạn 1: Trước Khi Cài WordPress (Server Level)

✅ 1. Dùng PHP phiên bản mới nhất (8.2+)

PHP 7.x đã EOL. PHP 8.2+ không chỉ nhanh hơn mà còn ít lỗ hổng bảo mật hơn. Kiểm tra: php -v trong SSH.

✅ 2. Tắt PHP functions nguy hiểm

Thêm vào php.ini: disable_functions = exec,passthru,shell_exec,system,proc_open

✅ 3. Cấu hình Firewall server (UFW hoặc CSF)

Chỉ mở port 80, 443 và SSH (nên đổi khỏi port 22). Block toàn bộ các port không cần thiết.

✅ 4. Fail2Ban cho SSH

Tự động ban IP sau 5 lần login SSH thất bại: sudo apt install fail2ban

✅ 5. SSL/TLS Certificate (HTTPS)

Bắt buộc. Dùng Let’s Encrypt miễn phí hoặc Cloudflare SSL. Kiểm tra grade A+ tại ssllabs.com.

Giai Đoạn 2: Cài Đặt và Cấu Hình WordPress

✅ 6. Đổi prefix database (không dùng wp_)

Khi cài WordPress, đổi table prefix thành random string như x7k_ để tránh SQL injection nhắm vào tên bảng mặc định.

✅ 7. Xóa user “admin” mặc định

Tạo user mới với username không đoán được, assign role Administrator, xóa user “admin” đi.

✅ 8. Đặt mật khẩu mạnh + 2FA

Dùng password manager (Bitwarden) để tạo mật khẩu 20+ ký tự. Bật 2FA bằng plugin WP 2FA hoặc Google Authenticator.

✅ 9. Giới hạn Login Attempts

Plugin Limit Login Attempts Reloaded (miễn phí) — ban IP sau 3-5 lần nhập sai mật khẩu.

✅ 10. Ẩn phiên bản WordPress

Thêm vào functions.php: remove_action('wp_head', 'wp_generator');

✅ 11. Bảo vệ file wp-config.php

Trong .htaccess (Apache) hoặc Nginx config: chặn truy cập trực tiếp vào wp-config.php và .htaccess.

✅ 12. Tắt File Editor trong Admin

Thêm vào wp-config.php: define('DISALLOW_FILE_EDIT', true);

Giai Đoạn 3: Plugin và Theme

✅ 13. Chỉ dùng plugin/theme từ nguồn tin cậy

WordPress.org repo, themeforest.net có xác minh, hoặc developer nổi tiếng. Tuyệt đối không dùng theme/plugin crack — đây là nguồn malware phổ biến nhất.

✅ 14. Cập nhật plugin và theme thường xuyên

Enable auto-update cho minor version. Kiểm tra major update trước khi apply trên staging.

✅ 15. Xóa plugin và theme không dùng

Plugin inactive vẫn có thể bị exploit. Xóa sạch, không chỉ deactivate.

✅ 16. Cài Security Plugin

Wordfence Security (miễn phí) hoặc Solid Security — scan malware, firewall layer WordPress, monitor login.

Giai Đoạn 4: Backup và Monitoring

✅ 17. Backup tự động hàng ngày

Plugin UpdraftPlus — backup files + database lên Google Drive hoặc S3. Test restore ít nhất 1 lần/tháng.

✅ 18. Monitor uptime và file changes

UptimeRobot (miễn phí) cho uptime monitoring. Wordfence File Change Detection cho file integrity.

✅ 19. Bật Activity Log

Plugin WP Activity Log — ghi lại mọi thay đổi: ai login, ai sửa bài, ai thêm plugin. Cực kỳ hữu ích khi điều tra sự cố.

Giai Đoạn 5: Bảo Mật Định Kỳ

✅ 20. Scan malware hàng tuần

Dùng Wordfence hoặc MalCare để scan định kỳ. Nếu dùng Cloudflare, bật Bot Fight Mode.

✅ 21. Kiểm tra SSL expiry

Cài reminder 30 ngày trước khi SSL hết hạn. SSL hết hạn = site trắng với người dùng.

✅ 22. Review user accounts định kỳ

Mỗi 3 tháng, xem lại danh sách user — xóa tài khoản cũ, đổi mật khẩu, revoke API key không dùng.

Recommended Security Stack

Kết Luận

22 bước này tốn không quá 2-3 giờ để setup lần đầu nhưng bảo vệ bạn khỏi 95% các cuộc tấn công phổ biến. Điều quan trọng nhất: backup thường xuyên và test restore — không gì an toàn hơn là biết mình có thể khôi phục khi bị tấn công.

Đánh giá checklist: ⭐⭐⭐⭐⭐ (5/5) — Bắt buộc cho mọi website WordPress production.

👉 Hosting với bảo mật tốt nhất hiện nay: Xem SiteGround →