Hướng dẫn thay đổi đường dẫn admin WordPress A-Z [2026]

Trong bối cảnh an ninh mạng diễn biến phức tạp, việc giữ nguyên đường dẫn đăng nhập mặc định /wp-admin hoặc /wp-login.php là một rủi ro lớn đối với mọi website WordPress. Các công cụ quét tự động và hacker thường xuyên nhắm vào địa chỉ mặc định này để thực hiện các cuộc tấn công dò mật khẩu (Brute Force Attack), gây tiêu tốn tài nguyên máy chủ và uy hiếp dữ liệu. Do đó, để đảm bảo an toàn cho website, Tino sẽ hướng dẫn bạn cách thay đổi đường dẫn admin WordPress đơn giản và nhanh chóng.

Tại sao phải thay đổi đường dẫn đăng nhập WordPress mặc định?

Việc giữ nguyên đường dẫn /wp-admin hoặc /wp-login.php không khác gì việc “để chìa khóa nhà ngay dưới thảm chùi chân”. Dưới đây là những lý do khiến quản trị viên cần thực hiện thay đổi này ngay lập tức:

• Vô hiệu hóa tấn công dò mật khẩu (Brute Force): Các tin tặc thường sử dụng công cụ tự động để quét và thử hàng triệu tổ hợp mật khẩu trên đường dẫn mặc định. Khi thay đổi địa chỉ này, website sẽ trở nên “vô hình” trước các đợt quét đại trà, khiến kẻ xấu không thể tìm thấy cổng vào để thực hiện tấn công.
• Giảm tải áp lực cho máy chủ: Ngay cả khi không xâm nhập được, hàng nghìn lượt truy cập từ bot độc hại vào trang đăng nhập vẫn tiêu tốn băng thông và tài nguyên CPU/RAM. Việc ẩn trang quản trị giúp loại bỏ lượng truy cập rác này, đảm bảo hiệu suất vận hành mượt mà cho website.
• Che giấu thông tin nền tảng: Thay đổi URL đăng nhập góp phần làm khó các đối tượng muốn xác định mã nguồn website. Điều này hạn chế rủi ro bị khai thác các lỗ hổng bảo mật đặc thù chỉ có trên nền tảng WordPress.
• Hạn chế lỗi khóa IP nhầm: Trong trường hợp website cài đặt các tường lửa giới hạn số lần đăng nhập sai, việc bot tấn công liên tục vào đường dẫn mặc định có thể khiến chính quản trị viên hoặc người dùng thật bị hệ thống chặn nhầm do trùng dải IP hoặc quá tải phiên làm việc.
• Tăng tính chuyên nghiệp và nhận diện thương hiệu: Đối với các website có tính năng thành viên, một đường dẫn đăng nhập tùy chỉnh (ví dụ: /cong-tac-vien hoặc /dang-nhap) sẽ thân thiện và dễ nhớ hơn nhiều so với cấu trúc kỹ thuật mặc định khô khan.

Hướng dẫn cách thay đổi đường dẫn admin WordPress

Cách 1: Sử dụng Plugin WPS Hide Login (Phương pháp tối ưu nhất)

Đây là giải pháp được cộng đồng lập trình viên tin dùng nhờ tính ổn định, nhẹ và không thay đổi các tệp tin gốc của hệ thống. Tiện ích mở rộng này chỉ đánh lừa các truy vấn tìm kiếm, giúp website vận hành bình thường mà không gây lỗi tương thích.

Bước 1: Cài đặt và kích hoạt plugin:

• Truy cập trang quản trị WordPress, tìm đến mục Plugins (Gói mở rộng) > Add New (Cài mới).
• Tại thanh tìm kiếm, gõ từ khóa: WPS Hide Login.
• Nhấn Install Now (Cài đặt ngay) tại kết quả của nhà phát triển WPServeur và đợi quá trình hoàn tất.
• Nhấn Activate (Kích hoạt) để khởi chạy tiện ích.

Bước 2: Sau khi kích hoạt, truy cập vào Settings (Cài đặt) > chọn mục WPS Hide Login.

Tại giao diện cấu hình, bạn sẽ thấy phần Login url. Tại đây, hãy nhập đường dẫn tùy chỉnh mà bạn muốn sử dụng.

Trong ô Redirection url, điền địa chỉ sẽ chuyển hướng đến nếu ai đó cố tình truy cập vào đường dẫn /wp-admin cũ (thường để về trang chủ hoặc trang báo lỗi 404).

Bước 3: Nhấn Save Changes (Lưu thay đổi).

Ngay lúc này, địa chỉ đăng nhập cũ đã bị vô hiệu hóa. Hãy đăng xuất và thử truy cập lại bằng đường dẫn mới vừa tạo để đảm bảo hệ thống hoạt động chính xác.

Cách 2: Chỉnh sửa file .htaccess (Tạo đường dẫn ảo)

Lưu ý quan trọng: Bạn cần thao tác cẩn thận vì nếu sai một ký tự trong file này, website có thể báo lỗi 500 (không truy cập được). Hãy tải file .htaccess gốc về máy tính để dự phòng trước khi sửa.

Bước 1: Vào trình quản lý tệp tin (File Manager) trên Hosting hoặc dùng FTP, tìm file có tên .htaccess nằm ngay thư mục gốc (ngang hàng với wp-config.php, wp-content…).

Bước 2: Mở file .htaccess và chèn đoạn mã sau lên trên cùng (trước dòng # BEGIN WordPress):

# Tao duong dan dang nhap ao

<IfModule mod_rewrite.c>

RewriteEngine On

# Thay 'duong-dan-ao' bang duong dan ban muon

RewriteRule ^duong-dan-ao$ wp-login.php [NC,L]

</IfModule>

Bước 3: Sau khi lưu lại, bạn có thể truy cập: https://tunghuynhwiki.com/duong-dan-ao

Lúc này trang đăng nhập sẽ hiện ra.

Cách 3: Can thiệp vào file functions.php

Phương pháp này không thay đổi hoàn toàn URL nhưng sẽ chặn truy cập vào trang đăng nhập mặc định và chuyển hướng người dùng về trang chủ nếu họ không sử dụng đúng tham số đặc biệt.

Lưu ý: Vì can thiệp vào mã nguồn nên bạn hãy sao lưu (backup) website trước khi chỉnh sửa code.

Bước 1: Vào Appearance (Giao diện) > Theme File Editor (Sửa tập tin giao diện).

Bước 2: Tìm và chọn file functions.php ở cột bên phải. Sau đó, thêm đoạn mã sau vào cuối file:

/* Chuyen huong wp-admin ve trang chu */
add_action( 'init', 'block_wp_admin_access' );
function block_wp_admin_access() {
$secret_key = 'mat-khau-cua-ban'; // Thay 'mat-khau-cua-ban' bang tu khoa rieng
if ( strpos( $_SERVER['REQUEST_URI'], 'wp-admin' ) !== false && !is_user_logged_in() && !isset( $_GET[$secret_key] ) ) {
wp_redirect( home_url() );
exit;
}
}

Bước 3: Sau khi lưu đoạn mã, bất kỳ ai truy cập vào domain.com/wp-admin đều sẽ bị đẩy về trang chủ.

Để đăng nhập, quản trị viên cần sử dụng đường dẫn có kèm tham số bí mật: domain.com/wp-admin?mat-khau-cua-ban

Những lưu ý khi thay đổi đường dẫn admin WordPress

• Sao lưu dữ liệu trước khi hành động: Đây là nguyên tắc bất di bất dịch. Trước khi cài đặt plugin hay sửa mã nguồn, hãy đảm bảo bạn đã có một bản sao lưu dự phòng của website. Nếu phát sinh lỗi trắng trang hoặc không thể truy cập, bản sao lưu này chính là “phao cứu sinh” để khôi phục lại trạng thái ban đầu.
• Chuẩn bị phương án khôi phục: Hãy luôn nắm rõ cách truy cập vào Hosting thông qua FTP hoặc File Manager. Trong trường hợp xấu nhất khi website bị lỗi và không thể vào trang quản trị, bạn cần truy cập trực tiếp vào thư mục cài đặt để xóa plugin hoặc xóa đoạn code trong file functions.php để đưa mọi thứ trở về mặc định.
• Ghi nhớ kỹ đường dẫn mới: Nghe có vẻ đơn giản nhưng rất nhiều quản trị viên đã quên mất “mật khẩu” hoặc “từ khóa” mình vừa đặt sau vài ngày không đăng nhập. Hãy lưu lại địa chỉ URL mới vào các ứng dụng quản lý mật khẩu hoặc ghi chú vào sổ tay bảo mật.
• Xử lý vấn đề về bộ nhớ đệm (Cache): Sau khi đổi đường dẫn, hệ thống Cache (từ plugin WP Rocket, LiteSpeed Cache hoặc từ máy chủ Cloudflare) có thể vẫn lưu lại trạng thái cũ. Hãy thực hiện thao tác xóa toàn bộ Cache ngay sau khi áp dụng thay đổi để trình duyệt nhận diện địa chỉ mới.
• Kiểm tra tính tương thích với các plugin khác: Một số tiện ích mở rộng cũ hoặc được lập trình kém có thể được gắn cứng (hard-code) đường dẫn /wp-admin hoặc /wp-login.php. Khi đường dẫn này thay đổi, các chức năng như đăng nhập thành viên, trang thanh toán hoặc form liên hệ có thể ngừng hoạt động. Hãy kiểm tra kỹ quy trình đăng nhập của người dùng thường sau khi đổi link admin.
• Tránh đặt đường dẫn trùng với danh mục: Không nên đặt từ khóa đăng nhập trùng tên với các chuyên mục (Category) hoặc trang (Page) đã có sẵn trên website (ví dụ: /lien-he, /tin-tuc). Sự trùng lặp này sẽ khiến hệ thống WordPress bối rối, không biết nên hiển thị form đăng nhập hay nội dung bài viết.
• Thông báo cho các đồng quản trị: Nếu website có nhiều người cùng quản lý, hãy thông báo đường dẫn mới cho toàn bộ đội ngũ ngay lập tức. Việc thay đổi âm thầm sẽ khiến các thành viên khác hoang mang khi thấy trang đăng nhập quen thuộc biến mất hoặc báo lỗi 404.

Kết luận

Việc thay đổi đường dẫn admin WordPress tuy chỉ là một thao tác kỹ thuật nhỏ nhưng lại đóng vai trò như một lớp khiên chắn đầu tiên, giúp website ẩn mình trước sự dòm ngó của các công cụ dò quét tự động. Tuy nhiên, để xây dựng một hệ thống phòng thủ vững chắc, quản trị viên nên kết hợp thao tác này với việc đặt mật khẩu phức tạp, kích hoạt xác thực hai yếu tố (2FA) và thường xuyên sao lưu dữ liệu.

Hy vọng những hướng dẫn trong bài viết sẽ giúp bạn thực hiện thành công và an tâm hơn trong quá trình phát triển website.

Những câu hỏi thường gặp