Bảo Mật Hosting cPanel: Checklist Toàn Diện Cho Quản Trị Viên

Bảo mật hosting cPanel là gì — câu hỏi nhiều chủ website đặt ra sau lần đầu nhận email cảnh báo từ Google hoặc nhà cung cấp hosting. InterData ghi nhận phần lớn sự cố bảo mật trên shared hosting không xuất phát từ lỗ hổng zero-day phức tạp, mà từ những sai sót cấu hình hoàn toàn có thể phòng tránh: mật khẩu yếu, plugin lỗi thời, phân quyền file sai, thiếu SSL. Bài viết này phân tích từng lớp bảo vệ theo thứ tự ưu tiên — từ những bước cơ bản chủ website tự làm được cho đến cấu hình nâng cao ở cấp quản trị WHM — giúp bạn đánh giá đúng trạng thái bảo mật hiện tại và biết chính xác cần làm gì tiếp theo.

Tại sao Hosting cPanel là mục tiêu tấn công phổ biến?

Mỗi ngày, Google gắn cờ khoảng 10.000 website chứa mã độc hoặc nội dung lừa đảo — theo số liệu từ Google Safe Browsing Dashboard. Phần lớn các website trong danh sách đó không phải mục tiêu được chọn lọc, mà bị phát hiện bởi bot tự động quét địa chỉ IP theo dải, tìm kiếm cấu hình dễ khai thác.

cPanel chiếm hơn 40% thị phần phần mềm quản lý hosting toàn cầu theo dữ liệu W3Techs (2024). Tỷ lệ thị phần cao đồng nghĩa với việc cPanel là nền tảng được khai thác nhiều nhất — không phải vì phần mềm kém bảo mật, mà vì số lượng mục tiêu đủ lớn để đầu tư viết công cụ tấn công chuyên biệt.

Điểm quan trọng cần nhớ: cPanel sau khi cài đặt mặc định chưa phải cấu hình tối ưu bảo mật. Một số tính năng bảo vệ quan trọng như xác thực hai lớp, cPHulk Brute Force Protection, hay ModSecurity WAF cần được bật thủ công — hoặc do nhà cung cấp hosting kích hoạt sẵn.

Shared Hosting có rủi ro gì khác so với VPS?

Shared hosting đặt nhiều tài khoản website trên cùng một máy chủ vật lý, dùng chung tài nguyên CPU và RAM. Nếu nhà cung cấp không cấu hình cô lập tài khoản đúng cách, mã độc từ một tài khoản có thể lây sang tài khoản khác cùng máy chủ — hiện tượng này gọi là cross-account contamination.

Lưu ý khi chọn shared hosting: Nhà cung cấp triển khai CloudLinux với PHP-FPM per-user và cấu hình open_basedir sẽ cô lập từng tài khoản riêng biệt, loại bỏ rủi ro lây nhiễm chéo. InterData triển khai CloudLinux và Imunify360 trên toàn bộ hạ tầng shared hosting — đây là tiêu chí kỹ thuật cần xác nhận trước khi đăng ký bất kỳ gói hosting nào.

Ai thường bị nhắm mục tiêu nhất?

Bot tấn công không chọn nạn nhân theo quy mô doanh nghiệp. Chúng quét dải IP liên tục, tìm kiếm dấu hiệu phiên bản WordPress cũ, plugin lỗi thời hoặc mật khẩu mặc định. Wordfence Intelligence Report ghi nhận hơn 90 tỷ lần thử đăng nhập vào WordPress mỗi tháng — con số này áp dụng đều cho blog cá nhân lẫn website thương mại điện tử.

Nhóm website có nguy cơ cao nhất: cửa hàng online chạy WooCommerce/OpenCart, blog WordPress chưa cập nhật plugin, website trường học và tổ chức phi lợi nhuận (thường thiếu nguồn lực kỹ thuật để bảo trì định kỳ).

Các mối đe dọa thường gặp trên Hosting cPanel

Phân loại đúng kiểu tấn công là bước đầu tiên để chọn đúng biện pháp phòng ngừa. Dưới đây là bốn nhóm mối đe dọa phổ biến nhất ghi nhận trên môi trường hosting cPanel, theo tổng hợp từ báo cáo Sucuri (2023) và dữ liệu thực tế xử lý sự cố của đội ngũ kỹ thuật InterData.

Brute-Force đăng nhập cPanel

Tấn công brute-force là kiểu bot thử hàng nghìn tổ hợp tên đăng nhập và mật khẩu mỗi phút vào cổng đăng nhập cPanel (cổng 2083), WHM (cổng 2087), FTP (cổng 21) và webmail. Không cần kỹ thuật cao — chỉ cần danh sách mật khẩu phổ biến và thời gian.

Dấu hiệu nhận biết: Log đăng nhập thất bại tăng đột biến, IP lạ xuất hiện nhiều lần trong Brute Force Log tại WHM. Nếu tài khoản bị khóa bất ngờ mà không rõ nguyên nhân, brute-force là nghi vấn đầu tiên cần kiểm tra.

Mã độc và Backdoor trong File Website

Kẻ tấn công thường cài backdoor — file PHP ẩn trong thư mục /uploads/, /tmp/, hoặc bên trong theme — sau khi xâm nhập thành công. Backdoor cho phép truy cập lại bất cứ lúc nào dù mật khẩu đã được đổi.

Số liệu từ Sucuri (2023): 36% website bị nhiễm mã độc qua plugin hoặc theme lỗi thời. 56% website bị nhiễm chứa ít nhất một backdoor — nghĩa là chỉ xóa mã độc hiển thị mà không tìm backdoor sẽ dẫn đến tái nhiễm trong vài ngày.

Dấu hiệu nhận biết: Website tự động chuyển hướng sang trang lạ, Google Search Console hiển thị cảnh báo trong mục Security Issues, hosting gửi thông báo tài khoản gửi spam.

Tấn công qua Email Hosting

Tài khoản email trên hosting bị khai thác để phát tán thư rác hàng loạt — gọi là spam relay attack. Hậu quả: địa chỉ IP máy chủ bị đưa vào danh sách đen (blacklist) của Spamhaus, Microsoft và Google, ảnh hưởng toàn bộ email gửi ra từ máy chủ đó.

Thiếu cấu hình SPF, DKIM và DMARC khiến kẻ xấu dễ dàng giả mạo địa chỉ email doanh nghiệp để phát tán phishing. Đây là lý do cấu hình xác thực email là một phần không tách rời của bảo mật hosting.

Khai thác lỗ hổng CMS và Plugin

Wordfence ghi nhận 97% lỗ hổng bảo mật WordPress đến từ plugin và theme bên thứ ba — không phải lõi WordPress. Phiên bản plugin không cập nhật là cơ sở dữ liệu mồi được hacker khai thác sau khi có CVE (lỗ hổng đã công bố) mà chủ website chưa kịp vá.

Thực tế: Chỉ trong 30 phút đầu sau khi một lỗ hổng plugin WordPress được công bố công khai, bot tự động đã bắt đầu quét toàn bộ internet để tìm website đang dùng phiên bản đó.

Công cụ bảo mật tích hợp trên Hosting cPanel

Các công cụ dưới đây hoạt động trực tiếp trong môi trường cPanel/WHM, không cần cài thêm phần mềm bên ngoài. Hiểu đúng khả năng và giới hạn của từng công cụ giúp tránh ảo tưởng bảo mật — tức là nghĩ rằng đã an toàn trong khi thực ra chưa đủ.

Imunify360

Imunify360 là bộ bảo mật toàn diện được phát triển bởi CloudLinux Inc., bao gồm năm lớp bảo vệ hoạt động đồng thời: WAF (Web Application Firewall), IDS/IPS (phát hiện và ngăn chặn xâm nhập), malware scanner tự động, patch management cho PHP và kernel, và reputation management.

Thành Phần	Chức Năng	Mức Tự Động
WAF	Lọc request HTTP độc hại	Hoàn toàn tự động
Malware Scanner	Quét và cách ly file nhiễm mã độc	Tự động, lên lịch hàng ngày
IDS/IPS	Phát hiện hành vi bất thường, block IP	Tự động theo rule
Patch Management	Vá lỗ hổng PHP không cần cập nhật version	Tự động
Reputation Management	Block IP từ danh sách blacklist toàn cầu	Cập nhật theo thời gian thực

Imunify360 vs ImunifyAV: ImunifyAV (miễn phí) chỉ quét và phát hiện mã độc, không tự động dọn sạch. ImunifyAV+ và Imunify360 mới có tính năng tự động xóa mã độc và cách ly file nghi ngờ. InterData tích hợp Imunify360 trên toàn bộ hạ tầng hosting — người dùng có thể xem trạng thái quét trong cPanel → Imunify360.

SSL/TLS Status và AutoSSL

WHM → SSL/TLS Status hiển thị trạng thái chứng chỉ của toàn bộ domain trên server: đang hoạt động, sắp hết hạn, hoặc thiếu chứng chỉ. AutoSSL chạy hàng ngày để kiểm tra và gia hạn tự động.

Điều kiện để AutoSSL hoạt động: Domain phải trỏ DNS về đúng IP máy chủ. Nếu domain đang dùng Cloudflare proxy (cam đất), AutoSSL Let’s Encrypt sẽ không cấp được — cần dùng chứng chỉ từ Cloudflare hoặc chứng chỉ trả phí cài thủ công.

Sao lưu dữ liệu

Backup không phải tùy chọn — đây là lớp bảo vệ duy nhất đảm bảo phục hồi được dữ liệu khi mọi biện pháp phòng ngừa khác thất bại. Ransomware, xóa nhầm, lỗi cập nhật CMS, hay sự cố phần cứng đều có chung một giải pháp: backup sạch và được kiểm tra.

Quy tắc 3-2-1: 3 bản sao dữ liệu — 2 phương tiện lưu trữ khác nhau — 1 bản offsite (ngoài máy chủ chính). Backup trên cùng server với website không được tính là backup đầy đủ.

Loại Backup	Tần Suất Khuyến Nghị	Thời Gian Lưu
Backup hàng ngày (incremental)	Mỗi ngày lúc 2-4 giờ sáng	7 bản gần nhất
Backup hàng tuần (full)	Chủ nhật	4 bản gần nhất
Backup hàng tháng (full)	Ngày 1 hàng tháng	3 bản gần nhất
Backup trước khi update lớn	Theo sự kiện	Giữ đến sau khi xác nhận ổn định

Kinh nghiệm thực tế đáng chú ý: Nhiều sự cố mất dữ liệu xảy ra không phải vì không có backup, mà vì backup bị lỗi cả tháng mà không ai phát hiện. Kiểm tra backup bằng cách thực sự restore thử vào môi trường test — không phải chỉ xem file backup có tồn tại hay không.

Phục hồi sau sự cố bảo mật

Khi phát hiện website bị tấn công, thứ tự xử lý quan trọng hơn tốc độ xử lý. Hành động sai thứ tự có thể xóa mất bằng chứng hoặc để sót mã độc dẫn đến tái nhiễm.

• Bước 1 — Cô lập: Tạm ngưng website (đặt maintenance page hoặc tắt tài khoản hosting) để ngăn thiệt hại lan rộng và ngăn bot tiếp tục khai thác.
• Bước 2 — Xác định điểm xâm nhập: Kiểm tra access log, error log, file có thời gian sửa đổi bất thường. Dùng Imunify360 hoặc Maldet để quét toàn bộ.
• Bước 3 — Dọn dẹp: Xóa mã độc và backdoor. Nếu không chắc đã sạch hoàn toàn, restore từ backup trước thời điểm bị nhiễm.
• Bước 4 — Thay đổi thông tin xác thực: Đổi mật khẩu cPanel, FTP, database, tài khoản admin CMS, và email liên quan.
• Bước 5 — Vá lỗ hổng gốc: Cập nhật plugin/theme/CMS, xóa phần mềm không dùng, sửa cấu hình sai trước khi mở lại website.

Checklist bảo mật Hosting cPanel định kỳ

Bảo mật hosting không phải công việc làm một lần. Ba bảng checklist dưới đây được thiết kế để thực hiện theo chu kỳ — giúp phát hiện sớm vấn đề trước khi trở thành sự cố.

CHECKLIST hàng tuần

• Kiểm tra log đăng nhập cPanel — phát hiện IP lạ hoặc lần đăng nhập bất thường
• Xem cảnh báo cPHulk và CSF LFD — IP nào đang bị khóa, tần suất tấn công
• Chạy Virus Scanner / ImunifyAV — quét nhanh thư mục home
• Kiểm tra trạng thái SSL trong cPanel — đảm bảo không có domain hết hạn
• Xem xét Email Deliverability — kiểm tra không có tài khoản email gửi spam

CHECKLIST hàng tháng

• Kiểm tra log đăng nhập cPanel — phát hiện IP lạ hoặc lần đăng nhập bất thường
• Xem cảnh báo cPHulk và CSF LFD — IP nào đang bị khóa, tần suất tấn công
• Chạy Virus Scanner / ImunifyAV — quét nhanh thư mục home
• Kiểm tra trạng thái SSL trong cPanel — đảm bảo không có domain hết hạn
• Xem xét Email Deliverability — kiểm tra không có tài khoản email gửi spam

CHECKLIST hàng quý

• Đổi mật khẩu cPanel, FTP, database, tài khoản admin CMS Review rule ModSecurity — điều chỉnh nếu có false positive hoặc bỏ sót
• Audit plugin/extension đang cài — xóa plugin không dùng hoặc không được cập nhật
• Test phục hồi từ backup — thực sự restore thử vào môi trường test
• Kiểm tra IP reputation của máy chủ trên MXToolbox và Spamhaus
• Cập nhật cấu hình CSF Firewall nếu có thay đổi hạ tầng

Các cách bảo mật hosting cPanel hiệu quả hiện nay

1. Đổi mật khẩu mạnh và bật xác thực hai bước

Đây là bước đơn giản nhất nhưng bị bỏ qua nhiều nhất. Mật khẩu mặc định do nhà cung cấp cấp thường là chuỗi ngắn, dễ đoán hoặc được lưu trong email không mã hóa.

Tiêu chuẩn mật khẩu an toàn cho cPanel:

• Tối thiểu 16 ký tự
• Kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt (!@#$%…)
• Không dùng tên miền, ngày sinh, tên website làm mật khẩu
• Mỗi tài khoản (cPanel, FTP, email, cơ sở dữ liệu) dùng mật khẩu riêng biệt

Ngoài mật khẩu, cPanel hỗ trợ xác thực hai bước (Two-Factor Authentication — 2FA) thông qua ứng dụng như Google Authenticator hoặc Authy. Kích hoạt 2FA tại mục Security → Two-Factor Authentication trong cPanel. Sau khi bật, mỗi lần đăng nhập sẽ yêu cầu nhập mã OTP 6 chữ số có hiệu lực trong 30 giây, ngay cả khi kẻ tấn công đã biết mật khẩu.

Xem thêm: Hướng Dẫn Khách Hàng InterData Bật Tính Năng Xác Thực Hai Bước (2FA)

2. Giới hạn địa chỉ IP được phép đăng nhập cPanel

cPanel cho phép cấu hình danh sách IP được phép truy cập giao diện quản trị — tính năng này gọi là IP Blocker hoặc cấu hình tại Security → IP Blocker.

Xem thêm: Hướng Dẫn Chặn IP Trong Cpanel & Gỡ Địa Chỉ IP Bằng IP Blocker

Nếu bạn quản trị website từ một địa chỉ IP cố định (văn phòng, đường truyền cố định), thêm IP đó vào whitelist và chặn tất cả IP khác khỏi cổng cPanel (mặc định là 2083 hoặc 2087 đối với WHM). Phương pháp này gần như loại bỏ hoàn toàn các cuộc tấn công brute-force từ xa vào trang đăng nhập.

Ở cấp độ máy chủ (nếu bạn có quyền truy cập WHM), nhà cung cấp hosting như InterData cho phép cấu hình tường lửa CSF (ConfigServer Security & Firewall) để whitelist IP chi tiết theo từng dịch vụ.

3. Bảo mật kết nối và giao thức (SSL & FTP)

Dữ liệu truyền tải giữa máy tính và hosting cần được mã hóa để tránh bị nghe lén (Man-in-the-middle attack).

• FTP (File Transfer Protocol) truyền dữ liệu dưới dạng văn bản thuần — nghĩa là tên đăng nhập và mật khẩu bị gửi qua mạng mà không mã hóa. Bất kỳ ai đang theo dõi kết nối mạng đều có thể đọc được.
• SFTP (SSH File Transfer Protocol) giải quyết vấn đề này bằng cách mã hóa toàn bộ phiên kết nối.

Sử dụng SSL/TLS: Luôn cài đặt SSL (HTTPS) cho tất cả tên miền. cPanel cung cấp AutoSSL miễn phí từ Let’s Encrypt, hãy đảm bảo tính năng này luôn bật.

Xem thêm: Hướng dẫn 6 bước cài đặt/ Xóa SSL trên cPanel đơn giản, nhanh

Vô hiệu hóa FTP, chuyển sang SFTP: FTP truyền tải dữ liệu ở dạng văn bản thuần, rất dễ bị hack. Hãy xóa tài khoản FTP cũ, chỉ sử dụng SFTP (SSH File Transfer Protocol) qua cổng 22 để đảm bảo mọi dữ liệu truyền tải đều được mã hóa.

Sử dụng SSH Key thay vì Password: Thay vì dùng mật khẩu cho SSH, hãy tạo cặp khóa Public/Private Key. Đây là tiêu chuẩn bảo mật cao cấp nhất hiện nay.

5. Phân quyền tệp và thư mục đúng chuẩn

Phân quyền file (file permissions) trong Linux xác định ai có thể đọc, ghi hoặc thực thi một tệp. Cấu hình sai dẫn đến hai nguy cơ: tệp nhạy cảm bị đọc từ bên ngoài, hoặc kẻ tấn công có thể ghi mã độc vào tệp của bạn.

Trong cPanel, vào Files → File Manager, nhấp chuột phải vào tệp/thư mục và chọn Change Permissions để điều chỉnh. Không đặt quyền 777 (cho phép tất cả ghi tùy ý) trừ trường hợp thực sự cần thiết và chỉ tạm thời.

6. Tắt các module PHP và chức năng nguy hiểm

PHP là ngôn ngữ chạy hầu hết website trên cPanel (WordPress, Joomla, Magento…). Một số hàm PHP mặc định cho phép thực thi lệnh hệ thống — đây là mục tiêu khai thác phổ biến.

Trong cPanel, vào Software → Select PHP Version → Options để tắt các hàm nguy hiểm. Các hàm cần vô hiệu hóa phổ biến gồm: exec, passthru, shell_exec, system, proc_open, popen, show_source, phpinfo.

7. Bật tường lửa và ModSecurity

ModSecurity là Web Application Firewall (WAF) tích hợp vào máy chủ Apache — lớp bảo vệ đứng trước website và lọc các request độc hại trước khi chúng đến được mã nguồn.

Nhà cung cấp hosting chạy cPanel thường có tùy chọn bật ModSecurity trong WHM (Security Center → ModSecurity). Nếu bạn dùng shared hosting, liên hệ nhà cung cấp để xác nhận ModSecurity có đang hoạt động không.

ModSecurity với ruleset OWASP CRS (Core Rule Set) chặn các cuộc tấn công phổ biến như SQL Injection, Cross-Site Scripting (XSS), Remote File Inclusion (RFI), và Local File Inclusion (LFI) — bốn loại tấn công chiếm phần lớn sự cố bảo mật website thực tế.

Hosting InterData tích hợp Imunify360 — giải pháp bảo mật toàn diện hơn ModSecurity đơn thuần, kết hợp WAF, quét malware thời gian thực và cơ chế học máy để nhận diện mẫu tấn công mới.

8. Bảo vệ thư mục quản trị bằng mật khẩu (Directory Privacy)

Với WordPress, thư mục /wp-admin là đích tấn công brute-force phổ biến. cPanel cung cấp tính năng Directory Privacy (tại Files → Directory Privacy) cho phép đặt thêm một lớp xác thực HTTP Basic Auth trước khi vào thư mục.

Sau khi bật, bất kỳ ai truy cập /wp-admin sẽ thấy hộp thoại nhập tên đăng nhập và mật khẩu của trình duyệt — trước cả trang đăng nhập WordPress. Ngay cả khi bot biết tên miền, chúng không thể tiếp cận form đăng nhập để thử mật khẩu.

Phương pháp này đặc biệt hiệu quả kết hợp với giới hạn đăng nhập thất bại (Login Lockdown plugin trên WordPress).

9. Thiết lập hotlink protection và Leech Protection

Hotlink Protection ngăn website khác nhúng trực tiếp hình ảnh, video hoặc tệp từ hosting của bạn mà không cần tải về — tiêu tốn băng thông mà bạn phải trả.

Leech Protection (tại Security → Leech Protection) phát hiện khi tài khoản thành viên có bảo vệ mật khẩu bị chia sẻ công khai. Khi số lượng đăng nhập từ một tài khoản vượt ngưỡng cho phép trong thời gian ngắn, hệ thống tự động vô hiệu hóa tài khoản đó.

Xem thêm: Hướng dẫn sử dụng Hotlink Protection trên cPanel Hosting từ A-Z

10. Vô hiệu hóa trình soạn thảo file trong WordPress qua cPanel

WordPress mặc định cho phép chỉnh sửa file PHP theme và plugin ngay từ Dashboard. Nếu tài khoản WordPress bị xâm phạm, kẻ tấn công có thể chèn mã độc vào mã nguồn website mà không cần truy cập FTP.

11. Theo dõi log truy cập và bật cảnh báo bất thường

Log truy cập ghi lại mọi request đến máy chủ — là nguồn thông tin quan trọng để phát hiện tấn công sớm.

Dấu hiệu đáng chú ý trong log:

• Hàng trăm request đến cùng một URL trong vài phút (brute-force hoặc DDoS)
• Truy cập vào các đường dẫn không tồn tại như /wp-login.php, /admin, /xmlrpc.php
• Mã lỗi 500 liên tục từ cùng một IP
• Truy cập từ IP thuộc các quốc gia không phải thị trường mục tiêu

Nhiều nhà cung cấp hosting hỗ trợ thiết lập cảnh báo email khi phát hiện hoạt động bất thường. Kết hợp với Imunify360 hoặc Wordfence (WordPress), hệ thống có thể tự động chặn IP tấn công mà không cần can thiệp thủ công.

12. Sao lưu dữ liệu định kỳ và kiểm tra khôi phục

Sao lưu không phải biện pháp phòng ngừa tấn công, nhưng là biện pháp phục hồi khi mọi lớp bảo mật đều thất bại. Thực tế cho thấy nhiều doanh nghiệp thiệt hại nặng không phải vì bị tấn công, mà vì không có bản sao lưu hợp lệ để phục hồi.

13. Cập nhật phần mềm và xóa ứng dụng không dùng

Phiên bản lỗi thời của PHP, WordPress, plugin hoặc theme là nguyên nhân hàng đầu gây ra sự cố bảo mật. Mỗi phiên bản mới không chỉ bổ sung tính năng mà còn vá các lỗ hổng bảo mật đã được công bố.

PHP 7.4 đã hết hỗ trợ từ tháng 11/2022; PHP 8.0 hết hỗ trợ từ tháng 11/2023. Phiên bản được khuyến nghị hiện tại là PHP 8.2 trở lên.

Với WordPress, bật tự động cập nhật nhỏ (minor updates) và kiểm tra thủ công cập nhật lớn. Plugin và theme không còn sử dụng nên được xóa hoàn toàn — không chỉ vô hiệu hóa — vì mã nguồn vẫn tồn tại trên máy chủ và vẫn có thể bị khai thác.

14. Cấu hình email authentication: SPF, DKIM và DMARC

Bảo mật hosting không chỉ là bảo vệ website — email cũng là bề mặt tấn công quan trọng. Thiếu cấu hình xác thực email dẫn đến nguy cơ giả mạo danh tính (email spoofing) và bị đánh dấu spam.

• SPF (Sender Policy Framework): Khai báo máy chủ nào được phép gửi email nhân danh tên miền của bạn. Trong cPanel, vào Email → Email Deliverability để kiểm tra và bật SPF tự động.
• DKIM (DomainKeys Identified Mail): Thêm chữ ký số vào email gửi đi, cho phép máy chủ nhận xác minh email thực sự đến từ tên miền đó. Kích hoạt tại Email → Email Deliverability → Repair.
• DMARC: Chính sách xử lý email không qua được kiểm tra SPF hoặc DKIM.

15. Giới hạn quyền truy cập cho từng tài khoản con

cPanel cho phép tạo tài khoản FTP phụ, tài khoản email, tài khoản cơ sở dữ liệu với phạm vi truy cập giới hạn. Nguyên tắc least privilege (đặc quyền tối thiểu) trong bảo mật thông tin yêu cầu mỗi tài khoản chỉ được cấp đúng quyền cần thiết — không hơn.

Ví dụ thực tế: Nếu thuê nhà thiết kế chỉnh sửa giao diện WordPress, tạo cho họ tài khoản FTP riêng chỉ trỏ vào thư mục /wp-content/themes — không phải tài khoản FTP gốc truy cập toàn bộ hosting. Khi hợp tác kết thúc, xóa tài khoản đó ngay.

Với cơ sở dữ liệu MySQL, mỗi website nên dùng một tài khoản database riêng với quyền chỉ giới hạn trên database của website đó (không dùng tài khoản root).

16. Scan malware định kỳ với công cụ tích hợp

Ngay cả khi đã áp dụng mọi biện pháp phòng ngừa, quét malware định kỳ vẫn là thói quen cần thiết. Malware đôi khi tồn tại âm thầm trong nhiều tuần trước khi gây thiệt hại rõ ràng.

Công cụ phổ biến tích hợp trong môi trường cPanel:

• Imunify360 (InterData và nhiều nhà cung cấp lớn): Quét thời gian thực, cách ly tệp độc hại tự động
• ClamAV: Phần mềm diệt virus mã nguồn mở, có thể kích hoạt qua WHM
• Wordfence / MalCare (WordPress): Quét mã nguồn tại tầng ứng dụng, phát hiện thay đổi bất thường trong file core

Lịch quét khuyến nghị: Tự động hàng ngày với báo cáo qua email, kiểm tra thủ công sau mỗi lần cài plugin/theme mới hoặc sau khi có thông báo lỗ hổng bảo mật liên quan đến phần mềm đang dùng.

Người mới có thể bắt đầu với 5 bước ưu tiên cao nhất: đổi mật khẩu mạnh + bật 2FA, kích hoạt AutoSSL, thiết lập phân quyền tệp đúng, cập nhật PHP và phần mềm lên phiên bản được hỗ trợ, và bật sao lưu tự động. Năm bước này đã loại bỏ phần lớn nguy cơ thông thường.