Hướng dẫn sử dụng WordPress Toolkit Plesk

WordPress Toolkit là bộ quản lý toàn diện cho WordPress được tích hợp trong Hosting WordPress tại Mắt Bão. Với WordPress Toolkit bạn có thể dễ dàng quản trị WordPress với 1 click chuột, ngoài ra bạn có thể quản lý được nhiều website WordPress cùng lúc (Multisite manage).

Trong ứng dụng WordPress Toolkit trên Plesk này, chúng tôi sẽ trình bày chi tiết tất cả các tính năng với giao diện thân thiện và trực quan nhất. Mời các bạn cùng tham khảo.

 

Truy cập WordPress Toolkit trên Plesk

Tại giao diện quản trị Plesk hosting  WordPress (Bạn thể nhấn vào WordPressmục số 1, 2 hoặc 3 như hình bên dưới).

Thế bạn đã truy cập vào WordPress Toolkit. Hiện trong WordPress Toolkit rất nhiều tính năng, chúng tôi đánh số thứ tự để các bạn tiện tham khảo (Xem hình bên dưới).

Tính năng WordPress Toolkit trên Plesk

1. Install

Trong menu Install, có hai tùy chọn cài đặt:

1.1. Install (Quick): Cài đặt nhanh: Thao tác này sẽ cài đặt phiên bản WordPress mới nhất ở vị trí bạn chỉ định. Tên người dùng (user) và mật khẩu quản trị website ngẫu nhiên sẽ được tạo ra.


Quick Install WordPress

1.2. Install (Custom): Cài đặt Tùy chỉnh: Thao tác này cho phép bạn cài đặt WordPress và thiết lập như sau:

  • Installation path: Đường dẫn website.
  • Administrative username and Password: Đặt tên người dùng và mật khẩu quản trị.
  • Version: Chọn phiên bản WordPress.
  • Administrator’s email: Email quản trị WordPress. 
  • Site name: Tên website.
  • Interface language: Ngôn ngữ giao diện.
  • Database name, Database user name, Database user password: Tên, user và mật khẩu cơ sở dữ liệu.
  • Auto-updates: Bật cập nhật chính.
  • Search Engine Visibility: Công cụ tìm kiếm khả năng hiển thị (hướng dẫn các trình thu thập thông tin không lập chỉ mục website của bạn).
  • Debug Mode: Bật chế độ gỡ lỗi. 


Cài đặt tùy chỉnh WordPress

2. SSL/TLS

Để bảo đảm bảo mật cho website của bạn, hãy sử dụng giao thức SSL/TLS để  hóa tất cả dữ liệu truyền dữ liệu qua kết nối an toàn. Khi kích hoạt sử dụng SSL/TLS, trạng thái hiển thịenabled.

3. Security Status

Chỉ  với 1 lần nhấp chuột, người dùng có thể đánh giá và tìm ra toàn bộ lỗ hỏng bảo mật của hệ thống. Đồng thời, công cụ này cũng sẽ hỗ trợ trong việc khắc phục những lỗ hỏng trên nếu có.

Tại Security Status → View để kiểm tra tình trạng bảo mật cho WordPress.

Một cài đặt mặc định của WordPress được xây dựng với các cải tiến bảo mật sau đây: 

  • Administrator’s username (Tên người dùng của quản trị viên): Khi một bản sao WordPress được cài đặt, theo mặc định có một người dùng có quyền quản trị và quản trị viên tên người dùng. Vì tên người dùng của người dùng không thể thay đổi trong WordPress, bạn chỉ cần đoán mật khẩu để truy cập vào hệ thống với tư cách quản trị viên. Kiểm tra bảo mật xác minh rằng không có người dùng nào có quyền quản trị và quản trị viên tên người dùng.
  • Database prefix (Tiền tố cơ sở dữ liệu): Các bảng cơ sở dữ liệu WordPress có cùng tên trong tất cả các cài đặt WordPress. Khi tiền tố tên bảng cơ sở dữ liệu tiêu chuẩn wp_ được sử dụng, toàn bộ cấu trúc cơ sở dữ liệu WordPress không phải là bí mật và bất kỳ ai cũng có thể lấy bất kỳ dữ liệu nào từ nó. Kiểm tra bảo mật thay đổi tiền tố tên bảng cơ sở dữ liệu thành một cái gì đó khác với wp_. Chế độ bảo trì được bật, tất cả các plugin bị tắt, tiền tố được thay đổi trong tệp cấu hình, tiền tố được thay đổi trong cơ sở dữ liệu, các plugin được kích hoạt lại, cấu trúc liên kết được làm mới và sau đó chế độ bảo trì bị tắt.
  • Security of the configuration file (Bảo mật của tệp cấu hình): Tệp wp-config.php chứa thông tin đăng nhập để truy cập cơ sở dữ liệu và các thông tin nhạy cảm khác. Sau khi cài đặt WordPress, tệp wp-config.php có thể được thực hiện. Nếu vì một số lý do, việc xử lý tệp PHP của máy chủ web bị tắt, tin tặc có thể truy cập nội dung của tệp wp-config.php. Kiểm tra bảo mật xác minh rằng truy cập trái phép vào tệp wp-config.php bị chặn. Lưu ý rằng chỉ thị tùy chỉnh trong tệp .htaccess hoặc web.config có thể ghi đè biện pháp bảo mật này. 
  • Directory browsing permission (Quyền duyệt thư mục): Nếu tính năng duyệt thư mục được bật, tin tặc có thể lấy thông tin về website của bạn (những plugin bạn sử dụng, v.v.). Theo mặc định, duyệt thư mục bị tắt trong Plesk. Kiểm tra bảo mật xác minh rằng việc duyệt thư mục trên cài đặt WordPress bị tắt.. 
  • Security keys:  Sử dụng khóa bảo mật (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY và NONCE_KEY) để mã hóa thông tin được lưu trữ trong cookie của người dùng. Một khóa bảo mật tốt nên dài (60 ký tự trở lên), ngẫu nhiên và phức tạp. Kiểm tra bảo mật này xác minh rằng các khóa bảo mật được thiết lập và ít nhất chúng chứa cả ký tự chữ và số.
  • Permissions for files and directories (Quyền đối với tệp và thư mục): Nếu quyền đối với tệp và thư mục không tuân thủ chính sách bảo mật, các tệp này có thể được sử dụng để hack website của bạn. Sau khi cài đặt WordPress, các tệp và thư mục có thể có các quyền khác nhau. Kiểm tra bảo mật xác minh rằng các điều khoản cho tệp wp-config.php được đặt thành 600, đối với các tệp khác là 644 và cho các thư mục đến 755.
  • Version information: Có lỗ hổng bảo mật đã biết cho mỗi phiên bản WordPress. Vì lý do này, hiển thị phiên bản cài đặt WordPress của bạn làm cho nó trở thành mục tiêu dễ dàng hơn cho tin tặc. Phiên bản của một cài đặt WordPress không được bảo vệ có thể được nhìn thấy trong các tập tin dữ liệu meta và readme.html của trang. Kiểm tra bảo mật xác minh rằng tất cả các tệp readme.html đều trống và mọi chủ đề đều có tệp functions.php chứa dòng: remove_action ( ‘wp_head ’, ‘wp_generator ’) ;.

Bạn có thể áp dụng các biện pháp sau để cải thiện bảo mật cho các phiên bản WordPress của mình. Tuy nhiên, trước khi thao tác, vui lòng sao lưu dữ liệu website vì một vài thao tác sẽ ảnh hưởng đến website của bạn mà bạn không thể hoàn tác lại được. 

  • Security of the wp-content folder: Thư mục wp-content có thể chứa các tệp PHP không an toàn có thể được sử dụng để làm hỏng website của bạn. Sau khi cài đặt WordPress, các tệp PHP có thể được thực thi từ thư mục wp-content. Kiểm tra bảo mật xác minh rằng việc thực thi các tệp PHP trong thư mục wp-content bị cấm. Lưu ý rằng chỉ thị tùy chỉnh trong tệp .htaccess hoặc web.config có thể ghi đè biện pháp bảo mật này. Cũng lưu ý rằng một số plugin của bạn có thể ngừng hoạt động sau khi bảo mật thư mục wp-content. 
  • Security of the wp-includes folder:  Thư mục wp-includes có thể chứa các tệp PHP không an toàn có thể được sử dụng để làm hỏng website của bạn. Sau khi cài đặt WordPress, các tệp PHP có thể được thực hiện từ thư mục wp-includes. Kiểm tra bảo mật xác minh rằng việc thực thi các tệp PHP trong thư mục wp-includes bị cấm. Lưu ý rằng chỉ thị tùy chỉnh trong tệp .htaccess hoặc web.config có thể ghi đè biện pháp bảo mật này. Cũng lưu ý rằng một số plugin của bạn có thể ngừng hoạt động sau khi bảo mật thư mục wp-includes.  
  • Turn off XML-RPC pingbacks: Tắt pingback XML-RPC cho toàn bộ website WordPress và cũng vô hiệu hóa pingback cho các bài đăng được tạo trước đó với các pingback được kích hoạt. 
  • Disable scripts concatenation for WP admin panel: Tắt các tập lệnh ghép nối cho bảng điều khiển quản trị WP -Sets (‘CONCATENATE_SCRIPTS’, false) và bảo vệ chống lại một số ít khai thác WordPress (như CVE-2018-6389). 

4. Updates

Việc cập nhật phần mềm theo phiên bản mới nhất là vô cùng quan trọng, giúp khắc phục những lỗi trong hệ thống cũng như trải nghiệm những tính năng mới và tiến trình cập nhật này là hoàn toàn tự động. 

Tại Updates  View Update Settings để chỉ định cấu hình cách bạn muốn WordPress cập nhật. 

Bạn thể chọn các tùy chọn WordPress core, plugins and themes.

4.1. Update WordPress automatically

  • No: không cập nhật.
  • Minor (security) updates: cập nhật từ từ, từng thao tác nhỏ.
  • Minor and major) updates: Nâng cấp lên tất cả các phiên bản.

4.2. Update plugins automatically: Tự động cập nhật plugin 

Plugin không an toàn là nguyên nhân hàng đầu gây ra website bị hack và nhiễm virus/mã độc. WordPress Toolkit cho phép bạn tự động cập nhật các plugin của mình và phải được bật. Hầu hết mọi người đã không thay đổi  cập nhật plugin của họ trên website. 

4.3. Update themes automatically: Tự động cập nhật giao diện 

Tính năng này áp dụng cho các giao diện themes được liệt kê trong kho lưu trữ WordPress. Nếu giao diện của bạn có bản cập nhật mới và nó xuất hiện tại Available Updates, Plesk sẽ tự động cập nhật nó.

5. Site title

Tại Site title  → Change → Nhập tên mới của website → Change để hoàn tất.

6. Login and Administrator Setup

Với WordPress Toolkit, bạn có thể truy cập vào bảng điều khiển WordPress mà không phải đăng nhập (Login). Hoặc vào Setup bạn có thể xem mật khẩu Quản trị viên và thiết lập mật khẩu mới. 

7. Sync

Đồng bộ hóa – Sync dữ liệu qua website khác cùng hosting (addon).

Nếu bạn có một dự án với một số phiên bản WordPress (ví dụ một cá thể để phát triển và một phiên bản để truy cập công cộng), bạn có thể sao chép dữ liệu từ website WordPress này sang website WordPress khách, đồng bộ hóa dữ liệu giữa các website.  

Bạn có thể lựa chọn các tùy chọn chỉ thực hiện thay đổi tệp (Files Only) và muốn giữ nguyên cơ sở dữ liệu trên miền sản xuất của mình. Hoặc bạn đã thực hiện thay đổi cơ sở dữ liệu và không cần đồng bộ hóa các tệp (Database Only). Hoặc cả 2 (Files and Database). Thậm chí có thể đồng bộ hóa các bảng đã chọn của cơ sở dữ liệu của bạn (Database Tables). 

8. Clone

Copy website hiện tại ra một website mới để chạy 2 website độc lập, tuy nhiên bạn có thể chỉnh sửa lại nội dung website để phù hợp cho việc kinh doanh, quảng bá thương hiệu.

Tại giao diện Clone → a new subdomain. Bạn có thể tạo 1 subdomain mới hoặc 1 subdomain đã tồn tại → OK.

Thế là bạn đã nhân bản website qua subdomain thông qua tính năng Clone. Tiếp theo bạn có thể chỉnh sửa thử nghiệm trên website nhân bản mới này. 

9. Manage Files

Quản lý tất cả các file trên website WordPress. Tại đây bạn có thể tạo mới, sửa, xóa, upload, nén/giải nén, di chuyển, đổi tên thư mục, phân quyền file,…

10. Backup/Restore

Quản lý sao lưu/phục hồi dữ liệu. Mỗi nhà cung cấp sẽ có những chính sách backup dữ liệu khác nhau nhưng việc làm đó chỉ mang tính chất phục vụ cho công việc của nhà cung cấp. Vì thế bạn nên chủ động thao tác backup để bảo vệ dữ liệu website của bạn. 

Bạn thể tham khảo cách backup/restore tại đây

11. Search engine indexing 

Nếu bạn đang làm việc trên một website dàn dựng và không muốn các công cụ tìm kiếm lập chỉ mục nội dung của website dàn trang của bạn, hãy tắt tính năng này. Nếu website dàn dựng của bạn được Googlebot lập chỉ mục, website chính của bạn có thể bị phạt vì nội dung trùng lặp. 

Vô hiệu hóa tùy chọn này cho phép tùy chọn “Không khuyến khích công cụ tìm kiếm lập chỉ mục website này” trong WordPress, từ đó, thêm thẻ “noindex, nofollow” vào tiêu đề website của bạn và thêm chỉ thị Không cho phép vào tệp robots.txt. 

12. Maintenance mode

Bật để website chuyển sang chế độ bảo trì thay vì sử dụng plugin trên WordPress. Khi một website WordPress ở chế độ bảo trì, nội dung của website bị ẩn khỏi khách truy cập mà không bị thay đổi hoặc bị ảnh hưởng khác. 

Sau khi bật chế độ bảo trì, website sẽ có giao diện như sau: 

13. Debugging

Việc xử lý lỗi của một website là vô cùng khó khăn, phức tạp và mạo hiểm. Vì vậy, phần mềm hỗ trợ người dùng sao chép từ website chính sang một website thử nghiệm và kiểm tra lỗi trên website này với những công cụ đa dạng. 

Bật để cấu hình debug các lỗi của website để quản trị viên dễ dàng nhận thấy để khắc phục (bạn có thể cấu hình chi tiết hơn tại phần setup).  

Thông thường Debugging trong WordPress liên quan đến việc chỉnh sửa bằng tay trong wp_config và thiết lập các hằng số gỡ lỗi toàn cầu WP_DEBUG. SCRIPT_DEBUG và SAVE_QUERIES. Tuy nhiên, với WordPress Toolkit, bạn có thể thiết lập cấu hình Debug.

Tại Debugging -> Setup.

Các tùy chọn bên dưới cho phép bạn quản lý các công cụ WordPress debugging gốc được bật trong tệp wp-config.php:  

  • WP_DEBUGKích hoạt chế độ gỡ lỗi chính trong WordPress.
  • WP_DEBUG_LOGLưu tất cả các lỗi vào tệp debug.log bên trong thư mục wp-content.
  • WP_DEBUG_DISPLAYHiển thị thông báo gỡ lỗi bên trong các trang HTML.
  • SCRIPT_DEBUG: Buộc WordPress sử dụng các phiên bản không được rút gọn của các tệp CSS và JavaScript lõi. Điều này rất hữu ích khi bạn đang thử nghiệm các thay đổi được thực hiện đối với các tệp .js và .css.
  • SAVEQUERIES: Lưu các truy vấn cơ sở dữ liệu vào một mảng có thể được hiển thị để giúp phân tích chúng. Lưu ý: điều này sẽ có tác động đáng chú ý đến hiệu suất website của bạn, vì vậy không nên để tùy chọn này được bật khi bạn không gỡ lỗi.

14. Password protection

Nếu bạn cần giới hạn quyền truy cập công khai vào website của mình và yêu cầu tất cả khách truy cập phải cung cấp tên người dùng và mật khẩu, hãy kích hoạt tùy chọn Password protection. Điều này nên được sử dụng cho các website phát triển đã được nhân bản vào một website dàn dựng. Hoặc nếu bạn đang xây dựng một website WordPress mới và chưa muốn công khai. Điều này cũng sẽ ngừng trình thu thập thông tin của công cụ tìm kiếm lập chỉ mục website. 

Tại Password protection → Setup→ New password → Protect

Sau khi thiết lập Password protection, người dùng sẽ được yêu cầu đăng nhập user và mật khẩu khi truy cập. 

15. Import

Chức năng Import cho phép bạn sao lưu dữ liệu trên một máy chủ khác về website của bạn.

  • Source domain name: tên miền website nguồn mà bạn muốn sao lưu dữ liệu.
  • Hosting access: Username & Password: tài khoản và mật khẩu của FTP/SSH. 
  • Chọn  “Speed up file transfer by using web streaming (beta) when possible” nếu bạn có một số lượng lớn tệp nhỏ cần nhập. Nếu bạn nghi ngờ rằng quá trình nhập có thể bị gián đoạn do kết nối Internet không ổn định, bạn có thể thử tùy chọn này. Nó cho phép Plesk tiếp tục và ngắt nhập thay vì bắt đầu lại. 

Ngoài ra, bạn sẽ nhập thêm các thông tin với các tùy chọn sau: 

  • Source website URL: URL website nguồn – Chỉ định URL đầy đủ của website, tương ứng với website tài liệu nguồn.  
  • Source document root: Chỉ định đường dẫn liên quan đến gốc FTP/SSH. Đường dẫn sẽ có sẵn bằng HTTP. (Ví dụ /public_html trên Cpanel và /httpdocs trên Plesk). 

Importer sẽ tự động phát hiện các phiên bản WordPress và nhập các tệp và cơ sở dữ liệu liên quan đến cá thể WordPress đó. Nhấp vào hộp kiểm tra bên cạnh đường dẫn cài đặt nguồn (Destination Path_ và nhấp vào Bắt đầu nhập (Ready for import). 

Bạn có thể chọn thư mục lưu trữ WordPress trong hosting và Database nếu bạn có nhiều phiên bản WordPress và cơ sở dữ liệu. 

Sau khi hiển thị thông báo dưới dây, bạn đã import dữ liệu thành công. 

16. Plugins

WordPress Toolkit cho phép bạn quản lý tất cả các plugin của bạn. Bạn có thể cài đặt các plugin mới, upload các plugin, kích hoạt, hủy kích hoạt và cập nhật plugin theo cách thủ công. 

17. Themes

Cũng giống như trình quản lý plugin, bạn cũng có thể quản lý các chủ đề của mình trong WordPress Toolkit. Tìm kiếm và cài đặt các chủ đề mới, tải lên các chủ đề cao cấp, gỡ cài đặt và cập nhật các chủ đề hiện có. 

18. Database

Trong tab Database, bạn có thể truy cập phpMyAdmin trực tiếp và chỉnh sửa tên người dùng cơ sở dữ liệu của bạn và chỉnh sửa mật khẩu của nó. 

19. Refresh, Detach and Remove

  • Refresh: Nếu bạn đã thực hiện thay đổi bên trong trang tổng quan WordPress, hãy nhấp vào để đồng bộ hóa các thay đổi đó. Refresh cũng chạy tự động mỗi ngày một lần. 

Nhấn vào biểu tượng trong đó:

  • Check security: Chỉ  với 1 lần nhấp chuột, người dùng có thể đánh giá và tìm ra toàn bộ lỗ hỏng bảo mật của hệ thống. Đồng thời, phần mềm cũng sẽ hỗ trợ trong việc khắc phục những lỗ hỏng trên nếu có. 

  • Detach: Ẩn phiên bản WordPress khỏi WordPress Toolkit nhưng các tệp và cơ sở dữ liệu sẽ vẫn còn. Nhấn vào Scan nếu bạn muốn hiển thị  lại. 
  • Remove: Xóa. Nhấn vào đây xóa phiên bản WordPress của bạn. 

20. Scan

Tính năng Scan sẽ quét bất kỳ phiên bản WordPress và hiển thị tại WordPress Toolkit nếu chúng bị thiếu trong trường hợp WordPress đã được cài đặt thủ công và không thông qua Plesk. 

Đó là tổng quan tất cả các chức năng trong WordPress Toolkit. Hi vọng bài viết này sẽ hữu ích với các bạn.

Chúc các bạn thành công!