WordPress có an toàn không?
Bùi Tấn Lực
- 19/07/2026
- 110
WordPress hiện là hệ quản trị nội dung (CMS) được sử dụng nhiều nhất trên thế giới. Chính vì mức độ phổ biến này nên không ít người cho rằng WordPress là mục tiêu thường xuyên của hacker và từ đó đặt ra câu hỏi: WordPress có an toàn không?
Câu trả lời ngắn gọn là CÓ, nếu website được xây dựng và quản lý đúng cách. Bản thân WordPress liên tục được cập nhật các bản vá bảo mật, tuy nhiên sự an toàn của website còn phụ thuộc vào hosting, plugin, giao diện, tài khoản quản trị và cách vận hành của chủ website.
Trong bài viết này, bạn sẽ hiểu rõ những yếu tố ảnh hưởng đến bảo mật WordPress, các nguy cơ phổ biến và cách xây dựng một website an toàn ngay từ đầu.

WordPress có thực sự an toàn không?
Rất nhiều doanh nghiệp lớn, tổ chức giáo dục, báo điện tử và website thương mại điện tử đang sử dụng WordPress để vận hành hệ thống của họ. Điều đó cho thấy WordPress hoàn toàn đủ khả năng đáp ứng các tiêu chuẩn bảo mật nếu được cấu hình đúng.
Điều cần hiểu là:
- WordPress Core được phát triển bởi đội ngũ chuyên gia và cộng đồng đông đảo.
- Các lỗ hổng bảo mật thường được phát hiện và vá rất nhanh.
- Người dùng có thể cập nhật miễn phí bất cứ lúc nào.
- Có hàng nghìn plugin hỗ trợ tăng cường bảo mật.
Trong phần lớn các trường hợp website bị tấn công, nguyên nhân không nằm ở WordPress mà xuất phát từ việc quản trị website chưa đúng cách.
Vì sao nhiều website WordPress vẫn bị hack?
Do WordPress chiếm thị phần rất lớn nên hacker thường ưu tiên xây dựng công cụ tấn công tự động dành cho nền tảng này. Tuy nhiên, các công cụ đó chủ yếu nhắm vào những website tồn tại lỗ hổng bảo mật.
Dưới đây là những nguyên nhân phổ biến.
Sử dụng plugin đã quá cũ
Nhiều website cài plugin từ nhiều năm trước nhưng không cập nhật. Khi tác giả phát hành bản vá bảo mật mà website vẫn dùng phiên bản cũ, hacker hoàn toàn có thể khai thác lỗ hổng đã được công khai.
Cài plugin hoặc theme không rõ nguồn gốc
Một số người tải plugin miễn phí từ các website chia sẻ không chính thức. Những phiên bản này có thể đã bị chèn mã độc, backdoor hoặc mã theo dõi.
Đây là một trong những nguyên nhân phổ biến nhất khiến website bị chiếm quyền quản trị.
Mật khẩu quá đơn giản
Các mật khẩu như:
- 123456
- admin123
- password
- 123123
đều có thể bị dò bằng công cụ tự động chỉ trong thời gian rất ngắn.
Hosting bảo mật kém
Dù WordPress an toàn đến đâu nhưng nếu máy chủ tồn tại lỗ hổng hoặc cấu hình sai thì website vẫn có nguy cơ bị tấn công.
Một hosting chất lượng nên có:
- Tường lửa.
- Quét mã độc.
- Sao lưu định kỳ.
- Phiên bản PHP mới.
- Hỗ trợ SSL.
Không cập nhật WordPress
Mỗi bản cập nhật đều có thể bao gồm các bản vá bảo mật quan trọng.
Việc trì hoãn cập nhật quá lâu sẽ khiến website trở thành mục tiêu dễ dàng cho các cuộc tấn công.
Những kiểu tấn công thường gặp trên WordPress
Tấn công Brute Force
Đây là hình thức hacker thử hàng nghìn hoặc hàng triệu mật khẩu cho trang đăng nhập.
Nếu mật khẩu yếu hoặc không giới hạn số lần đăng nhập, khả năng bị xâm nhập sẽ rất cao.
SQL Injection
Kẻ tấn công khai thác lỗi trong plugin hoặc theme để gửi câu lệnh SQL độc hại tới cơ sở dữ liệu.
Hậu quả có thể là:
- Đọc dữ liệu.
- Chỉnh sửa dữ liệu.
- Xóa dữ liệu.
- Tạo tài khoản quản trị mới.
Cross Site Scripting (XSS)
Đây là hình thức chèn mã JavaScript độc hại vào website nhằm đánh cắp cookie hoặc chuyển hướng người dùng.
Upload mã độc
Một số plugin upload file không kiểm tra định dạng sẽ tạo cơ hội cho hacker tải lên tập tin PHP và thực thi trên máy chủ.
WordPress đã có sẵn những tính năng bảo mật nào?
Ngay từ khi cài đặt, WordPress đã tích hợp khá nhiều cơ chế bảo vệ.
- Hệ thống phân quyền người dùng.
- Mã hóa mật khẩu.
- Nonce chống giả mạo yêu cầu.
- Cập nhật bảo mật định kỳ.
- API được kiểm tra nghiêm ngặt.
- Cộng đồng phát hiện và vá lỗi nhanh.
Tuy nhiên, những tính năng này vẫn cần được kết hợp với việc quản trị đúng cách để đạt hiệu quả cao nhất.
Các biện pháp giúp WordPress an toàn hơn
Luôn cập nhật phiên bản mới
Việc cập nhật nên áp dụng cho:
- WordPress Core.
- Plugin.
- Theme.
- PHP.
Không nên sử dụng các phiên bản đã ngừng hỗ trợ.
Sử dụng SSL
SSL giúp mã hóa dữ liệu giữa trình duyệt và máy chủ.
Ví dụ website sử dụng HTTPS sẽ có địa chỉ như sau:
<a href="https://example.com">https://example.com</a>
Điều này giúp hạn chế nguy cơ bị đánh cắp thông tin khi truyền dữ liệu.
Kích hoạt xác thực hai lớp (2FA)
Ngoài mật khẩu, người dùng còn cần nhập mã xác thực từ điện thoại hoặc ứng dụng bảo mật.
Ngay cả khi hacker biết mật khẩu thì vẫn khó đăng nhập thành công.
Giới hạn số lần đăng nhập
Việc giới hạn số lần thử mật khẩu sẽ giảm đáng kể nguy cơ bị Brute Force.
Sau một số lần nhập sai, địa chỉ IP có thể bị khóa tạm thời.
Đổi đường dẫn đăng nhập
Thay vì sử dụng đường dẫn mặc định:
/wp-login.php
bạn có thể thay đổi sang đường dẫn khác để hạn chế các bot tự động.
Sao lưu dữ liệu thường xuyên
Dù hệ thống bảo mật tốt đến đâu vẫn nên có bản sao lưu định kỳ.
Nếu xảy ra sự cố, website có thể được khôi phục nhanh chóng mà không mất toàn bộ dữ liệu.
Cấu hình .htaccess để tăng cường bảo mật
Nếu website sử dụng máy chủ Apache, tệp .htaccess có thể giúp hạn chế nhiều nguy cơ tấn công phổ biến. Tuy nhiên, trước khi chỉnh sửa, bạn nên sao lưu tệp hiện tại để có thể khôi phục nếu xảy ra lỗi.
Chặn truy cập trực tiếp vào tệp wp-config.php
Tệp wp-config.php chứa thông tin kết nối cơ sở dữ liệu và nhiều thiết lập quan trọng. Việc ngăn truy cập trực tiếp sẽ giảm nguy cơ lộ dữ liệu nhạy cảm.
<Files wp-config.php> Order Allow,Deny Deny from all </Files>
Chặn truy cập tệp xmlrpc.php khi không sử dụng
Nếu website không dùng XML-RPC để kết nối với các ứng dụng bên ngoài, bạn nên vô hiệu hóa truy cập nhằm giảm các cuộc tấn công Brute Force và DDoS.
<Files xmlrpc.php> Order Allow,Deny Deny from all </Files>
Không cho phép xem danh sách thư mục
Nếu máy chủ chưa được cấu hình đúng, người khác có thể xem toàn bộ tệp trong một thư mục khi không có file index. Bạn nên tắt tính năng này.
Options -Indexes
Chặn truy cập các tệp cấu hình quan trọng
Việc hạn chế truy cập các tệp sao lưu hoặc cấu hình sẽ giúp giảm nguy cơ bị khai thác.
<FilesMatch ".(ini|log|conf|sql|bak)$"> Order Allow,Deny Deny from all </FilesMatch>
Thiết lập quyền cho tệp và thư mục
Phân quyền phù hợp giúp hạn chế việc hacker ghi dữ liệu trái phép lên máy chủ.
Thiết lập phổ biến được nhiều quản trị viên sử dụng là:
- Thư mục: 755
- Tệp thông thường: 644
- wp-config.php: 600 hoặc 640 (tùy máy chủ)
Không nên đặt quyền 777 vì điều này tạo ra rủi ro bảo mật rất lớn.
Nên cài plugin bảo mật hay không?
Câu trả lời là nên, nhưng không phải càng nhiều plugin càng tốt. Chỉ cần một hoặc hai plugin bảo mật uy tín là đã đủ đáp ứng hầu hết nhu cầu của website.
Các tính năng nên có
- Tường lửa (Firewall).
- Quét mã độc.
- Giới hạn số lần đăng nhập.
- Cảnh báo khi có thay đổi tệp.
- Xác thực hai lớp.
- Theo dõi nhật ký đăng nhập.
Tránh cài nhiều plugin có cùng chức năng vì có thể gây xung đột hoặc làm giảm hiệu suất website.
Dấu hiệu cho thấy website WordPress có thể đã bị tấn công
Nếu website xuất hiện một hoặc nhiều dấu hiệu dưới đây, bạn nên kiểm tra ngay.
- Website tự động chuyển hướng sang trang lạ.
- Xuất hiện quảng cáo không rõ nguồn gốc.
- Tốc độ tải trang giảm bất thường.
- Google cảnh báo website không an toàn.
- Xuất hiện tài khoản quản trị không rõ nguồn gốc.
- Có các tệp PHP lạ trong thư mục uploads.
- Hosting gửi cảnh báo phát hiện mã độc.
- Lưu lượng truy cập tăng bất thường từ các quốc gia không liên quan.
Khi phát hiện các dấu hiệu này, bạn nên tạm thời sao lưu dữ liệu, đổi toàn bộ mật khẩu quản trị và kiểm tra toàn bộ plugin, giao diện cũng như mã nguồn.
Checklist bảo mật WordPress nên thực hiện
Bạn có thể tham khảo danh sách kiểm tra dưới đây để tăng cường mức độ an toàn cho website.
- Cập nhật WordPress thường xuyên.
- Cập nhật tất cả plugin.
- Cập nhật giao diện.
- Xóa plugin không sử dụng.
- Xóa giao diện không dùng.
- Sử dụng SSL.
- Đặt mật khẩu mạnh.
- Bật xác thực hai lớp.
- Sao lưu dữ liệu định kỳ.
- Chỉ cài plugin từ nguồn uy tín.
- Kiểm tra nhật ký đăng nhập.
- Quét mã độc theo lịch.
- Giới hạn số lần đăng nhập.
- Thiết lập phân quyền tệp hợp lý.
- Kiểm tra website sau mỗi lần cập nhật lớn.
Những quan niệm sai lầm về bảo mật WordPress
Website nhỏ sẽ không bị hacker tấn công
Đây là suy nghĩ khá phổ biến nhưng không chính xác. Phần lớn các cuộc tấn công hiện nay đều được thực hiện bằng bot tự động, không phân biệt website lớn hay nhỏ.
Chỉ cần cài plugin bảo mật là đủ
Plugin chỉ là một phần của hệ thống bảo mật. Nếu hosting yếu, mật khẩu đơn giản hoặc sử dụng plugin lậu thì website vẫn có nguy cơ bị xâm nhập.
Website dùng HTTPS thì tuyệt đối an toàn
HTTPS chỉ giúp mã hóa dữ liệu truyền tải giữa trình duyệt và máy chủ. Điều này không đồng nghĩa website sẽ miễn nhiễm với các lỗ hổng từ plugin, theme hoặc cấu hình máy chủ.
Câu hỏi thường gặp
WordPress có an toàn hơn website tự lập trình không?
Không có câu trả lời tuyệt đối. Một website tự lập trình nếu được xây dựng bởi đội ngũ có kinh nghiệm vẫn rất an toàn. Tuy nhiên, WordPress có lợi thế là được cộng đồng kiểm tra liên tục và phát hành bản vá nhanh chóng.
Có nên dùng plugin và theme miễn phí?
Có, nếu chúng được tải từ kho chính thức hoặc nhà phát triển uy tín. Không nên sử dụng các phiên bản bị chỉnh sửa hoặc chia sẻ trái phép trên Internet.
Có cần thay đổi đường dẫn đăng nhập không?
Đây không phải là biện pháp bắt buộc nhưng có thể giúp giảm lượng bot tự động quét trang đăng nhập mặc định.
Cần sao lưu website bao lâu một lần?
Đối với website cập nhật nội dung thường xuyên, nên sao lưu hằng ngày. Với website ít thay đổi, có thể sao lưu theo tuần nhưng vẫn nên lưu nhiều phiên bản khác nhau.
Lời kết
WordPress là một nền tảng an toàn nếu được sử dụng đúng cách. Hầu hết các sự cố bảo mật đều xuất phát từ việc sử dụng plugin không rõ nguồn gốc, không cập nhật phiên bản mới, mật khẩu yếu hoặc cấu hình máy chủ chưa hợp lý.
Để website hoạt động ổn định trong thời gian dài, bạn nên xây dựng quy trình bảo mật ngay từ khi bắt đầu, thường xuyên cập nhật hệ thống, sao lưu dữ liệu và chỉ sử dụng các thành phần đến từ nguồn đáng tin cậy. Khi được quản trị đúng cách, WordPress hoàn toàn có thể đáp ứng tốt nhu cầu của cả blog cá nhân, website doanh nghiệp lẫn các dự án thương mại điện tử quy mô lớn.