Bảo trì website định kỳ gồm những gì — Tại sao bỏ qua lại tốn tiền gấp đôi về sau

Nếu website của bạn là một chiếc xe hơi, thì phần lớn chủ doanh nghiệp đang lái xe mà không bao giờ đưa đi bảo dưỡng định kỳ — chỉ đem vào garage khi đã hỏng máy giữa đường. Và khi đó, chi phí sửa chữa thường gấp 5–10 lần chi phí bảo dưỡng định kỳ đơn giản. Bài viết này giải thích bảo trì website định kỳ gồm những gì, tại sao mỗi hạng mục lại quan trọng, và bạn nên tự làm những gì, thuê làm những gì.

Tại sao website cần bảo trì định kỳ?

Website không phải là sản phẩm tĩnh — nó tồn tại trong môi trường kỹ thuật số thay đổi liên tục:

• WordPress core ra mắt major update 3–4 lần/năm, minor security updates thường xuyên hơn
• Plugins được update liên tục để vá lỗ hổng bảo mật và tương thích với WordPress mới
• PHP ra major version mới mỗi năm, các version cũ ngừng hỗ trợ bảo mật
• SSL certificate hết hạn mỗi 90 ngày (Let’s Encrypt) hoặc 1 năm (paid SSL)
• Hackers liên tục tìm kiếm lỗ hổng mới trong các plugin phổ biến

Thực tế đau lòng: theo Sucuri (công ty bảo mật web hàng đầu), hơn 50% website WordPress bị hack đã không được update trong hơn 3 tháng. Bảo trì không phải là lãng phí tiền — đây là bảo hiểm cho tài sản số của bạn.

Lịch bảo trì website hoàn chỉnh

Hàng tuần (5–10 phút)

• Kiểm tra website có online không: Truy cập trang chủ xem có lỗi gì không. Nếu muốn tự động: dùng UptimeRobot (miễn phí) để gửi email/SMS khi website down
• Xem qua Google Search Console: Có Coverage errors mới không? Có manual action không? 5 phút mỗi tuần tốt hơn phát hiện vấn đề sau 2 tháng
• Kiểm tra Google Analytics: Traffic có giảm đột ngột không? Bounce rate có tăng bất thường không? Traffic anomaly sớm phát hiện thường dễ giải quyết hơn

Hàng tháng (1–2 giờ)

• Update WordPress, plugins và theme: Đây là việc quan trọng nhất. Nhưng không update bừa bãi: backup trước → update từng cái → kiểm tra website sau mỗi update → không update tất cả cùng lúc (khó biết cái nào gây lỗi)
• Kiểm tra và xóa spam comments: Spam comments chứa links độc hại ảnh hưởng đến SEO và trust của website
• Chạy database optimization: WP-Optimize → xóa post revisions cũ, transients, bản nháp tự động
• Kiểm tra forms: Gửi test form và xác nhận email đến đúng hộp thư
• Review và xóa user accounts không dùng: Đặc biệt nếu có freelancer hoặc nhân viên cũ đã nghỉ việc còn account trong hệ thống
• Check broken links: Dùng plugin Broken Link Checker hoặc công cụ online để tìm links 404 trong nội dung

Hàng quý (2–4 giờ)

• Full security scan: Plugin Wordfence (miễn phí) hoặc Sucuri → quét malware, file bị sửa đổi, backdoors (cổng hậu — code độc hại được cài bí mật để hacker truy cập lại sau)
• Review và cập nhật nội dung: Đọc lại các trang quan trọng (trang chủ, dịch vụ, about) — thông tin có còn chính xác không? Giá có cần cập nhật không? Nhân sự có thay đổi không?
• Kiểm tra tốc độ: Chạy PageSpeed Insights và so sánh với lần trước. Có thứ gì làm tốc độ giảm không?
• Review Google Analytics sâu hơn: Trang nào có bounce rate cao bất thường? Từ kênh nào đang tăng trưởng, từ kênh nào đang giảm? Hành trình người dùng có vấn đề gì không?
• Kiểm tra SSL certificate: Xem ngày hết hạn. Nếu còn dưới 30 ngày: gia hạn ngay

Hàng năm

• Gia hạn domain: Kiểm tra ngày hết hạn và gia hạn ít nhất 2 năm để tránh quên
• Đánh giá hosting: Hiệu suất hosting có còn đáp ứng nhu cầu không? Có nên nâng cấp không?
• Comprehensive content audit: Review toàn bộ content, xóa hoặc cập nhật nội dung lỗi thời, identify gaps (khoảng trống) so với đối thủ
• Review chiến lược SEO: Từ khóa nào đang rank tốt? Từ khóa nào cần cải thiện? Đối thủ có nội dung mới nào mà bạn chưa có?

Backup strategy — “Bảo hiểm” quan trọng nhất

Tất cả bảo trì trên đều kém giá trị nếu không có backup tốt. Chiến lược backup 3-2-1:

• 3 bản copy của dữ liệu
• 2 loại storage khác nhau (ví dụ: hosting server + cloud storage)
• 1 bản offsite (xa vị trí chính)

Cụ thể với WordPress: UpdraftPlus (miễn phí) backup hàng ngày → lưu tự động lên Google Drive → download về máy local mỗi tuần. Tổng chi phí: $0. Thời gian setup: 30 phút. Giá trị: vô giá khi cần khôi phục.

Tự làm vs Thuê bảo trì — Phân tích cost-benefit

Gói bảo trì từ agency thường bao gồm: update WordPress/plugins, backup định kỳ, security monitoring, fix lỗi kỹ thuật. Chi phí: 500.000–3.000.000đ/tháng. Đáng đầu tư nếu bạn không có thời gian hoặc kỹ năng kỹ thuật để tự làm — và khi so sánh với chi phí khôi phục sau khi bị hack (5–20 triệu + downtime), gói bảo trì thường là bảo hiểm rẻ hơn nhiều. Kết hợp với xử lý website bị chậm, hướng dẫn 30 ngày đầu sau bàn giao và khi nào nên redesign website.

Bảo mật WordPress chuyên sâu — Những lớp phòng thủ cần có

Bảo mật website không phải là một plugin — mà là nhiều lớp phòng thủ kết hợp:

Lớp 1: Authentication (Xác thực)

• Mật khẩu mạnh: Tối thiểu 12 ký tự, mix chữ hoa/thường/số/ký tự đặc biệt. Dùng password manager để quản lý, không dùng cùng mật khẩu cho nhiều tài khoản
• Two-Factor Authentication (2FA): Đặc biệt cho admin accounts. Plugin Google Authenticator hoặc Wordfence 2FA. Ngay cả khi mật khẩu bị lộ, hacker vẫn không vào được nếu không có 2FA code
• Login URL customization: Thay đổi URL login từ /wp-admin/ sang URL tùy chỉnh bằng plugin WPS Hide Login. Giảm đáng kể automated brute force attacks (tấn công thử mật khẩu tự động)

Lớp 2: Access Control (Kiểm soát truy cập)

• Giới hạn login attempts (số lần đăng nhập sai): Wordfence hoặc Limit Login Attempts Reloaded — block IP sau 3–5 lần thử sai
• Chỉ tạo user accounts thực sự cần thiết — nguyên tắc least privilege (ít quyền nhất đủ để làm việc)
• Review và xóa accounts của người không còn làm việc mỗi tháng

Lớp 3: File Integrity (Tính toàn vẹn file)

• Wordfence file integrity monitoring: cảnh báo khi bất kỳ file WordPress core nào bị sửa đổi so với bản gốc
• Disable file editing trong WordPress dashboard: thêm define('DISALLOW_FILE_EDIT', true); vào wp-config.php — ngăn hacker edit files qua dashboard nếu bị compromise (bị xâm phạm)

Security as a process, không phải một lần

Bảo mật không phải là “cài plugin bảo mật rồi xong” — đây là quá trình liên tục. Tư duy đúng: assume breach (giả định sẽ bị tấn công) và chuẩn bị để có thể phục hồi nhanh nhất có thể, không chỉ cố gắng ngăn chặn 100% tấn công. Backup là tuyến phòng thủ cuối cùng và quan trọng nhất — ngay cả website có bảo mật tốt nhất vẫn có thể bị hack bởi zero-day vulnerabilities (lỗ hổng mới chưa có patch). Khi đó, backup sạch là thứ duy nhất cứu bạn.

Disaster recovery plan — Kế hoạch phục hồi khi mọi thứ sai

Mọi website, dù được bảo trì tốt đến đâu, đều có thể gặp sự cố nghiêm trọng. Có kế hoạch sẵn trước khi sự cố xảy ra giúp phục hồi nhanh hơn đáng kể và giảm thiểu downtime:

Scenario 1: Update làm vỡ website

Quy trình: (1) Đừng panic — ghi lại lỗi cụ thể; (2) Vào WordPress admin (nếu vào được) → deactivate plugin vừa update → kiểm tra; (3) Nếu không vào được admin, dùng FTP/SFTP để rename thư mục plugin gây lỗi; (4) Nếu vẫn không xử lý được → restore từ backup sạch nhất trước khi update

Scenario 2: Hosting down hoàn toàn

Quy trình: (1) Kiểm tra status page của hosting provider; (2) Contact support qua chat hoặc email — live chat thường nhanh nhất; (3) Trong thời gian chờ: post thông báo trên mạng xã hội, đảm bảo số điện thoại vẫn active; (4) Nếu downtime kéo dài hơn 4 giờ không có timeline phục hồi rõ ràng → cân nhắc migrate sang hosting khác khẩn cấp

Scenario 3: Domain expired (tên miền hết hạn)

Quy trình: (1) Login vào domain registrar account ngay lập tức; (2) Gia hạn domain — hầu hết registrar có grace period 15–30 ngày sau khi hết hạn; (3) Sau khi gia hạn, DNS propagation (lan truyền DNS) có thể mất 4–24 giờ để website hoạt động trở lại; (4) Phòng ngừa: set calendar reminder 60 ngày trước ngày hết hạn, bật auto-renewal

Compliance và pháp lý — Những thứ ít ai nghĩ đến

Website doanh nghiệp tại Việt Nam có một số yêu cầu pháp lý cần lưu ý:

• Thông tin doanh nghiệp: Tên công ty, địa chỉ, mã số thuế/doanh nghiệp phải hiển thị rõ ràng — thường ở footer
• Chính sách bảo mật: Bắt buộc nếu thu thập bất kỳ dữ liệu người dùng nào (form contact, email subscription, cookies analytics). Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân có hiệu lực từ 2023
• Cookie consent: Với Google Analytics và Facebook Pixel, website nên có cookie notice đơn giản thông báo người dùng — đặc biệt nếu có khách hàng châu Âu (GDPR)
• Website thương mại điện tử: Yêu cầu đăng ký website TMĐT với Bộ Công Thương nếu bán hàng online qua website (website.gov.vn)

Câu hỏi thường gặp về bảo trì website

Không update WordPress và plugins có nguy hiểm đến mức nào?

Rất nguy hiểm. Thống kê từ WPScan (cơ sở dữ liệu lỗ hổng WordPress lớn nhất): hơn 98% lỗ hổng bảo mật trong ecosystem WordPress đến từ plugins, không phải từ WordPress core. Khi plugin phát hiện lỗ hổng và phát hành bản vá — các hacker biết lỗ hổng đó qua changelog (nhật ký thay đổi công khai) và bắt đầu quét internet tìm website chưa update. Thời gian từ khi patch được phát hành đến khi xuất hiện exploit (khai thác lỗ hổng) tự động thường chỉ là 24–72 giờ. Không update = tự để cửa mở.

Có thể tự học bảo trì website WordPress không?

Hoàn toàn có thể với phần lớn tác vụ hàng tháng — backup, update, database cleanup, security scan. YouTube có hàng nghìn tutorial miễn phí bằng tiếng Việt. Kỹ năng cần thiết: biết sử dụng WordPress dashboard cơ bản, không sợ thử và hoàn nguyên khi có lỗi (nhờ backup). Tác vụ cần kỹ năng kỹ thuật cao hơn: debug lỗi PHP, xử lý server issues, phục hồi website bị hack nặng — những việc này nên thuê chuyên gia.

Website bị hack rồi — phải làm gì?

Quy trình xử lý khẩn cấp theo thứ tự: (1) Không panic — backup ngay trạng thái hiện tại (kể cả đang bị hack) để có evidence; (2) Liên hệ hosting ngay lập tức — họ thường có team security hỗ trợ; (3) Đổi tất cả passwords: WordPress admin, hosting, FTP, database; (4) Cài Wordfence và chạy full scan; (5) Restore từ backup sạch nhất trước thời điểm bị hack; (6) Update tất cả WordPress, plugins, themes; (7) Báo cáo lên Google qua Search Console nếu website bị Google đánh dấu là có malware. Tổng thời gian xử lý: 4–24 giờ tùy mức độ. Đây là lý do backup thường xuyên quan trọng hơn bất kỳ bảo trì nào khác.