Home » Blog » WordPress » Giới thiệu, đánh giá, hướng dẫn sử dụng plugin AAM – Phân quyền và bảo mật nội bộ trong WordPress cực đỉnh

Giới thiệu, đánh giá, hướng dẫn sử dụng plugin AAM – Phân quyền và bảo mật nội bộ trong WordPress cực đỉnh

chuyên mục:
WordPress
06/02/2026
4 Views 0
as Header AAM 16 9 1

AAM – Advanced Access Manager – Cái tên nói lên tất cả, đây là một plugin cực mạnh giúp phân quyền và bảo mật nội bộ trong website WordPress. Nếu các plugin firewall như Wordfence, NinjaFirewall là để bảo vệ trang web, ngăn chặn các cuộc tấn công đến từ bên ngoài Internet thì AAM lại là một “vệ sỹ” bảo vệ ở bên trong, giúp phân quyền chi tiết đến từng user, cho từng url, từng menu, từng plugin …

Vậy ai/trang web nào cần dùng plugin này?

Tất nhiên, mấy trang web kiểu blog thông thường, trang web công ty đơn giản thì không cần dùng. Chúng ta có thể dùng một vài snippets, tôi vẫn thường dùng một vài snippets ngắn gọn để giới hạn hoặc chặn một số tính năng.

Nhưng nếu website của bạn là của một công ty lớn với nhiều phòng ban, nhiều đơn vị ở các khu vực khác nhau, nhiều editor, nhiều admin, nhiều author. Hoặc trang web của bạn/của khách hàng kiểu như tạp chí… thì việc quản lý bằng snippets không khả thi. Lúc này chúng ta cần phải dùng plugin kiểu như AAM.

Tại sao mình lại nói về plugin này?

  1. Vì nó hay
  2. Vì nó đang được bán lifetime license (thanh toán một lần, sử dụng + nâng cấp trọn đời trên AppSumo) ở đây.
Advanced Access Manager
Advanced Access Manager
Plugin phân quyền và bảo mật nội bộ đỉnh cao
$49/lifetime $99 per year
Đánh giá và trải nghiệm thật, không có affiliate link đâu AE.

Lan man giới thiệu vậy đủ rồi nhỉ :). Dưới đây là chi tiết về AAM, mình có dùng AI tổng hợp, liệt kê các chức năng của AAM cũng như so sánh với plugin tương tự. Nếu AE lười đọc thì xem qua video dưới đây thực tế sử dụng nhé.

AAM là gì?

Advanced Access Manager (AAM) là plugin kiểu “xương sống” cho phần phân quyền, bảo mật nội bộ trong WordPress – thứ mà đa số plugin security khác bỏ qua và để bạn tự bơi. Thay vì chỉ chặn bot, firewall, brute force, AAM cho bạn kiểm soát chi tiết ai được làm gì, xem gì, vào đâu trong site – từ user, role đến visitor ẩn danh.

AAM là plugin Access Governance cho WordPress: giúp bạn thiết kế lại toàn bộ chiến lược phân quyền, thay vì “giao đại” quyền admin cho khách hàng, cộng tác viên, agency… rồi cầu may.

  • Plugin đã chạy trên hơn 150.000 website, tồn tại hơn 12 năm, core miễn phí đủ mạnh, và có hệ sinh thái addon premium cho nhu cầu nâng cao (redirect, policy JSON, dev SDK, v.v.).
  • Nếu bạn từng đau đầu với “thằng content sửa theme”, “khách đòi full admin”, hay multisite nhiều site con, thì AAM là kiểu plugin rất nên test.

Các chức năng chính

Mình tóm lại theo góc nhìn người dùng + dev

1. Security Audit & Access Governance

  • Tự động audit roles, users, capabilities để tìm các quyền nguy hiểm, role bị “phồng” quá mức, account có dấu hiệu bất thường.
  • Giúp bạn xử lý “broken access controls” và “excessive privileges” – đúng cái root cause của nhiều vụ fail bảo mật WordPress (người trong nhà làm bậy, không phải hacker).

2. Quản lý Roles & Capabilities chi tiết

  • Tùy biến role, capabilities sâu hơn hẳn so với WordPress mặc định: tạo role mới, chỉnh sửa role, clone role, bật/tắt capabilities theo nhu cầu.
  • Có thể apply cho từng user, từng role, thậm chí cho cả visitor chưa đăng nhập; dùng được cho site đơn lẫn Multisite.

3. Kiểm soát nội dung (Posts, Pages, CPT, Taxonomy, Media…)

  • Giới hạn quyền xem, sửa, publish, delete cho post, page, custom post type, category, taxonomy, media, v.v.
  • Hỗ trợ “secure content by design”: bạn set rule 1 lần bằng policy, sau đó ai vào site cũng phải chơi theo luật đó – rất hợp cho dự án có yêu cầu compliance, nội bộ, membership, intranet.

4. Backend Access & Admin/Menu Control

  • Giấu/hiện từng phần của Dashboard cho từng role/user: menu, submenu, widget, metabox, khu vực Setting, plugin, theme, v.v.
  • Cho phép “tùy biến trải nghiệm admin” cho từng nhóm: editor chỉ thấy những gì họ cần; cộng tác viên chỉ có đúng 1–2 task; khách hàng agency không đụng vào mấy phần nhạy cảm.

5. Redirects & URL Access

  • Quản lý redirect login, logout, 404, access denied theo role, user hoặc visitor – giảm số plugin redirect riêng lẻ, gom về một chỗ cho dễ quản lý.
  • Có thể giới hạn URL, đường dẫn, endpoint theo role, user, IP, geo-location (khi dùng bản premium/AppSumo), phù hợp với site có yêu cầu phân vùng truy cập.

6. JSON Access Policies & Dev Toolkit

  • Cho phép quản lý access như “code”: viết JSON access policies, version control, tái sử dụng giữa môi trường/staging/production, rất hợp với team dev & agency.
  • Cung cấp PHP framework/SDK để dev build logic phân quyền nâng cao, custom flow đăng nhập, bảo vệ REST API, XML-RPC… mà vẫn đi đúng “luật chơi” của AAM.

7. Một số điểm hay khác

  • Không quảng cáo, không tracking, không nhồi bloat – cảm giác rất “developer friendly”.
  • Hỗ trợ modern authentication, passwordless login, bảo vệ REST/XML-RPC, tích hợp tốt với WordPress Multisite.

Bản miễn phí vs Addon/Premium

AAM chơi kiểu core miễn phí rất mạnh, rồi mở rộng qua addon/premium (trong đó có deal lifetime trên AppSumo).

Bản miễn phí – bạn có gì?

  • Role & capability management cơ bản nhưng đã rất chi tiết; đủ để làm hầu hết nhu cầu phân quyền nội bộ cơ bản.
  • Granular access control: set quyền cho user/role/visitor với nội dung, backend, menu, v.v. ở mức khá sâu.
  • Security audit cơ bản: phát hiện role cấu hình sai, user có quyền quá đà, một số vấn đề broken access controls.
  • Admin & menu control, một số redirect, bảo vệ API ở mức nền tảng.

Addon/Premium – mở khoá thêm gì?

Addon/premium tập trung vào 3 mảng: mở rộng giới hạn, tự động hoá bằng policy, và tiện ích cho site phức tạp.

  • Restrict content & URL nâng cao: giới hạn theo role, user, IP, geo-location, điều kiện phức tạp; đảo ngược logic (chỉ allow cái cần thiết).
  • JSON access policies nâng cao: quản trị access như code, dọn đường cho CI/CD, audit, tái sử dụng policy cho nhiều site/concept.
  • Dev features sâu hơn: framework, services, SDK nâng cao để viết logic access custom, bảo vệ REST, XML-RPC, và các luồng login phức tạp.
  • Hỗ trợ ưu tiên và 60 ngày money-back: nếu bạn mua qua kênh premium/lifetime, có support tốt hơn, đặc biệt hữu ích khi triển khai cho client lớn.

Bảng so sánh Free vs Premium/Addons

Tính năngBản miễn phíPremium / Addons / AppSumo
Role & capability managementCó, chi tiết, đủ dùng cho đa số site đơn giản.Mở rộng cho case phức tạp, đa site, nhiều điều kiện.
Security AuditAudit cơ bản roles, users, risks.Nhiều rule hơn, report chi tiết, phù hợp site lớn/agency.
Content access (posts, pages, CPT)Có, granular ở mức role/user/visitor.Thêm điều kiện IP, geo, policy phức tạp, đảo ngược access.
Backend & menu controlCó, đủ để giấu/hiện khu vực admin.Tinh chỉnh sâu, phối hợp với policy & dev toolkit.
Redirects (login, logout, 404…)Có, cơ bản.Logic redirect đa điều kiện, quản lý tập trung cho hệ thống lớn.
API & endpoint protectionCơ bản cho REST/XML-RPC.Bảo vệ nâng cao kết hợp JSON policy & conditions.
JSON Access PoliciesHỗ trợ nền tảng.Policy nâng cao, automation & governance cấp enterprise.
Dev SDK / PHP servicesCó, nhưng ở mức đủ dùng.Toolkit đầy đủ cho custom access logic phức tạp.
MultisiteHỗ trợ.Điều khiển sâu, sync config, phù hợp network lớn.
Hỗ trợ & hoàn tiềnHỗ trợ cộng đồng (WP.org).Support ưu tiên, 60 ngày refund (AppSumo).

Ai nên dùng AAM?

Từ trải nghiệm kiểu dev/agency, mình thấy AAM hợp với mấy nhóm sau:

  • Agency, freelancer làm web cho khách:
    Bạn không muốn khách đụng vào mọi thứ trong admin, cũng không muốn maintain cả rừng plugin nhỏ lẻ cho roles/redirect/content restriction. AAM gom khá nhiều thứ vào một chỗ và cho bạn control đúng thứ quan trọng: quyền.
  • Site nhiều cộng tác viên, toà soạn, blog team:
    Mỗi người một vai trò: người chỉ post draft, người chỉ review, người chỉ chỉnh SEO, người chỉ upload media. Bạn dùng AAM để cắt gọn UI và quyền cho từng nhóm, giảm nguy cơ “bấm nhầm” và xung đột.
  • Membership, intranet, hệ thống nội bộ:
    Cần phân tầng nội dung, phân nhóm người dùng, bảo vệ một số post/page/taxonomy cho từng nhóm cụ thể – AAM làm phần nền access control rất ổn, kết hợp với các plugin khác nếu cần thêm billing/membership.
  • Dev & security-conscious user:
    Nếu bạn là dev, thích “as code”, muốn access policy có thể version control, audit được, và không tin vào kiểu “plugin all-in-one thần thánh”, thì AAM cho bạn một toolkit để tự ráp “luật chơi” của site.

Vì sao đáng dùng / trải nghiệm thực tế

Một vài lý do khiến mình đánh giá cao AAM (dựa trên concept + feedback từ WordPress.org):

  • Tập trung đúng chỗ đau thực sự: nội bộ, quyền, role tràn lan – thứ nhiều site bỏ qua cho đến khi có sự cố.
  • Đã tồn tại lâu năm, code được rewrite, cải tiến liên tục, changelog active, nhiều bug được fix đều đặn (đặc biệt ở branch 7.x).
  • Free version đã dùng được cho rất nhiều trường hợp thực tế; premium chỉ cần khi bạn bắt đầu đụng những rule phức tạp, hoặc cần quản lý hàng loạt site/role.
  • Reviews trên WordPress.org khá tích cực, nhiều người khen plugin “all-encompassing” về mặt capabilities, free cũng đã đủ trâu, chỉ lên premium khi cần granular control rất sâu.

Nếu bạn là dev/agency, mình nghĩ nên đưa AAM vào “stack tiêu chuẩn” cho các dự án có hơn 1–2 role người dùng thực sự, nhất là khi khách hàng hay đổi staff và bạn không kiểm soát được chuyện phân quyền sau bàn giao.

Khuyến mãi Lifetime trên AppSumo

Hiện tại AAM đang có deal lifetime trên AppSumo, khá ngon nếu bạn xác định dùng lâu dài hoặc triển khai cho nhiều site.

  • Gói Lifetime access, trả một lần (hiện hiển thị mức giảm khoảng 51%, khoảng 49 USD ở thời điểm mình xem), được hoàn tiền trong 60 ngày nếu không ưng.
  • Bạn unlock đầy đủ bộ công cụ premium: audit sâu, content/URL restriction nâng cao (role, user, IP, geo-location), redirect theo điều kiện, JSON policies nâng cao, tích hợp tốt với Multisite, dev toolkit mạnh hơn.
  • Deal này rất hợp với: dev, freelancer, consultant, agency – những người có thể dùng AAM nhiều lần cho nhiều project và muốn tránh mô hình subscription.

Nếu đang cân nhắc, cách dễ nhất là: cài bản free, dựng 1–2 site phân quyền thực tế (ví dụ: client, editor, cộng tác viên, partner, API user), nghịch thử. Nếu thấy hợp flow làm việc của bạn, lúc đó chốt lifetime trên AppSumo sẽ rất đáng tiền.

So sánh AAM với hai plugin có chức năng tương tự là User Role Editor và PublishPress

  • AAM: tập trung vào Access Governance – xem bảo mật từ góc nhìn “quyền và sai sót phân quyền” (broken access controls, excessive privileges), có JSON access policies, dev framework, bảo vệ REST/XML-RPC, backend lockdown.
  • User Role Editor (URE): thiên về role & capability editor thuần túy, UI đơn giản, rất quen mặt, dễ dùng cho admin phổ thông; pro mới có thêm vài tính năng hạn chế backend/menu và hạn chế chỉnh sửa nội dung.
  • PublishPress Capabilities: kiểu “suite” cho content team, role editor + admin menu, content permissions, tích hợp tốt với hệ plugin PublishPress khác (Permissions, Revisions, v.v.).

Nếu là mình, mình sẽ dùng AAM vì AAM làm đc hết mấy cái mà 2 plugins kia làm, nó cũng dễ dùng và quan trọng là hoạt động rất ổn định, nhanh, DEV đã có hơn 12 năm phát triển plugin này.

AE đánh giá AAM ra sao, đã từng có trải nghiệm với plugin này hoặc case phân quyền phức tạp nào chưa? Hãy bớt chút thời gian để lại comment quý giá của bạn để chia sẻ với mình và ae khác nhé. (thanks).

Advanced Access Manager
Advanced Access Manager
Plugin phân quyền và bảo mật nội bộ đỉnh cao
$49/lifetime $99 per year
Đánh giá và trải nghiệm thật, không có affiliate link đâu AE.
5/5 - (1 vote)

Tags:

Subscribe
Notify of
guest

0 Comments
Oldest
Newest
Inline Feedbacks
View all comments
:: Giới thiệu
Danh bạ AI là trang web chuyên giới thiệu, đánh giá các dịch vụ, sản phẩm liên quan tới AI (trí tuệ thông minh nhân tạo - trí tuệ máy tính mô phỏng bộ não con người). AI là tương lai của công nghệ và loài người, việc phát triển AI thuộc về các tập đoàn, công ty lớn. Nhưng chúng ta phải học cách sử dụng các công cụ AI để hỗ trợ cho công việc, giải trí và cuộc sống...đọc tiếp...
:: Liên kết
Danh Bạ AI
Logo
Register New Account