8 mẹo giúp tăng bảo mật wordpress

Quảng cáo
Ads_ngang
Website dinhthuanit.com có bài 8 mẹo giúp tăng bảo mật wordpress

Bạn đều đặn gặp phải vấn đề bảo mật khi dùng WordPress, bài hôm nay mình xin gợi ý một số vấn đề lỗ hổng bảo mật và cách khắc phục cho website WordPress của bạn.

Nguyên nhân đa số là vì mã độc tấn công, hack bots làm chậm website và tìm lỗi hổng đề chèn mã độc. Hacker sẽ nhắm vào những blog phổ biến và mục đích chính của họ là khống chế trang web kiếm tiền hàng đầu, đôi khi để giải trí và hầu hết thời gian để đòi tiền chuộc.

Các mẹo bảo mật cơ bản giờ đây có thể giúp bạn bảo mật WordPress từ những tập lệnh tiến công quy mô nhỏ. Tuy nhiên, để xử lý các cuộc tấn công của các tin tặc này, bạn luôn phải sáng dạ hơn và làm theo một số mẹo bảo mật nâng cao cho WordPress.

8 Mẹo bài bản để kiểm xoát bảo mật WordPress

1. Thay đổi đường dẫn đăng nhập

URL đăng nhập của WordPress là chỗ lý tưởng cho hacker tấn công. Cũng giống như bạn sẽ thật càng phải đăng nhập vào bảng điều khiển WP của bạn để thực hiện một số thay đổi hoặc cập nhật, một hacker cũng đòi hỏi quyền truy cập quản trị tương tự để có thể kiểm soát trang web WP của bạn. Do đó, bạn phải thay đổi URL đăng nhập mặc định, “wp-login.php” thành một tên khác.

Loại bỏ mọi liên kết đăng nhập trên blog mà bạn để trên website, có thể bạn đã cài đặt theme mặc định mà quên không sửa lại.

Nếu bạn có nhiều người sáng tác trên blog của mình, người cống hiến thường xuyên, thì bạn luôn có thể chia sẻ URL đăng nhập riêng với họ để được bảo vệ nâng cao.

Bằng cách này, sẽ không dễ khăn cho bất kỳ chương trình hacker nào lẻn vào trang web WordPress của bạn vì chúng được thiết kế cho những thiết lập mặc định của WordPress và quan trọng đặc biệt là nó sẽ đảm bảo an toàn cho trang web của bạn khỏi các tập lệnh độc hại hoặc tiến công bot.

Nếu bạn sử dụng plugin WordPress iThemes Security (trước này là Better WP Security), bạn sẽ cũng có thể thay đổi URL đăng nhập một cách dễ dàng.

2. Ẩn tên đăng nhập

Để bảo mật WordPress, điều quan trọng kế đến là giấu tên người dùng (username) WP của bạn! Nó sẽ đảm nói rằng các tin tặc không có quyền truy cập vào tin tức xác thực người dùng phù hợp để truy cập quản trị khi bạn đã ẩn tên người dùng.

Làm làm sao để ẩn Username trên WordPress?

Như bạn đã biết, mỗi bài đăng được xuất bản trên blog WordPress được gán cho tác giả. Theo mặc định, WordPress chọn tên người dùng của người sáng tác để tạo URL người sáng tác chẳng hạn như: http://www.blogname.com/?author=1

Vì vậy, để ẩn tên người sử dụng của bạn trên URL tác giả, bạn phải thay đổi các cài đặt này cơ sở dữ liệu.

  • Bước 1: Đăng nhập vào cpanel của hosting.
  • Bước 2: Truy cập phpMyAdmin và chọn tên database.
  • Bước 3: Từ database mở bảng wp_users
  • Bước 4: Bạn sẽ thấy danh sách người dùng và mỗi user có thông tin user_login và user_nicename giống nhau.
  • Bước 5: Chỉ dễ dàng đổi tên cột user_nicename khác với user_login là ok.
  • Bước 6: Nhấn nút Save để cập nhật

Như vậy là bạn đã thay đổi thành công URL người sáng tác sao cho không ai có thể theo dấu tên người dùng của bạn thông qua http://www.blogname.com/?author=1

3. Thay đổi quyền của tệp

Lưu ý rằng mọi tệp và thư mục trên máy tính của bạn hoặc máy server lưu giữ có thể có quyền dựa trên đặc quyền của người dùng. Các quyền của người dùng này yêu cầu mở một thư mục hoặc một tệp, được chia thành ba quyền: Đọc, Viết và Thực thi.

Hầu hết các thư mục trên hệ thống WordPress của bạn đều chưa bảo mật với chmod thư mục trên hosting là 777 , cho phép bất kỳ ai có quyền truy cập của người dùng đều có thể đọc, viết và thực hành các thư mục đó.

Để bảo vệ thư mục WordPress như vậy, bạn nên gán 755 hoặc 750 theo đề xuất của WordPress.org cho mọi thứ các thư mục này. Ngoài ra, đặt các tệp của bạn thành 640 hoặc 644 và quan trọng nhất là gán tệp wp-config.php với quyền 600.

Làm ra sao để thay đổi quyền truy cập tập tin cho các tập tin và thư mục?

  • Bước 1: Sử dụng trình FTP của bạn để truy cập máy server lưu giữ trang web WordPress của bạn.
  • Bước 2: Truy cập thư mục public_html .
  • Bước 3: Nhấn chuột phải vào tệp và thư mục, chọn File Permissions. Bạn sẽ thấy xuất hiện hình sau:
  • Bước 4: Nhập quyền và nhấn “OK”

Bạn đã thay đổi thành đạt quyền truy cập tệp và đã thêm 1 lớp bảo mật trên trang web WP của bạn rồi.

Không cho phép truy cập tệp hoặc thư mục

Bạn cũng cũng có thể bảo mật trang web WordPress của bạn từ các người lén lút, những người sẽ sử dụng công cụ thám hiểm để duyệt qua các tệp và thư mục của bạn 1 cách không cần thiết. Do đó, nó được khuyến khích để ngăn chặn họ duyệt các thư mục của bạn.

Chỉ cần thêm dòng sau vào tệp .htaccess của bạn để hạn chế mọi người duyệt các thư mục quan trọng của bạn:

 Options -Indexes  

Bây giờ, bạn đã vô hiệu hoá thành công việc duyệt thư mục trên trang web WordPress của bạn.

5. Không cấp phép chỉ mục thư mục WordPress sử dụng Robots.txt

Robots.txt là một tệp mặc định trên máy chủ của bạn hoạt động như 1 hướng dẫn cho cả các loại chương trình thu thập thông tin. Những chương trình này sẽ bị hạn chế khi chúng không được phép thu thập dữ liệu bất kỳ tệp và thư mục nào được đề cập trên Robots.txt

Chủ yếu được sử dụng cho mục tiêu SEO, để cho Google và các công cụ tìm kiếm khác thu thập thông tin các trang có liên quan trên trang web trong lúc bỏ qua các tệp hoặc thư mục chẳng cần có khác không liên quan đến thứ hạng công cụ tìm kiếm.

Tuy nhiên, robots.txt cũng đều có thể đáp ứng rằng các tập lệnh hoặc bot thu thập thông tin, ngoài các công cụ tìm kiếm, tận gốc bị hạn chế thu thập dữ liệu vào các mục mẫn cảm như theme hoặc thư mục plugin trên trang web WordPress của bạn.

 User-agent: * Disallow: /wp-admin/ Disallow: /wp-includes/ Disallow: /wp-content/plugins/ Disallow: /wp-content/themes/  

Các cài đặt này sẽ đáp ứng rằng không có bot nào có thể thông qua thư mục “wp-admin”, “wp-includes” hoặc “wp-content / plugins” và “wp-content / themes” và truy cập dữ liệu quan trọng về trang web của bạn.

6. Xóa tùy chọn Đặt lại Mật khẩu Trong Đăng nhập WordPress

Loại bỏ tùy chọn đặt lại mật khẩu là một trong những mẹo bảo mật nâng lên tốt nhất cho WordPress. Điều gì sẽ xảy ra nếu email của bạn bị tấn công? Chúng tôi cũng có thể thử đặt lại mật khẩu WordPress của bạn sau khi biết tên người sử dụng hoặc email của bạn.

Để ngăn chặn điều này xảy ra phạm pháp và làm tăng độ tin cậy của WordPress, bạn có thể xóa tùy chọn đặt lại mật khẩu trong đăng nhập WordPress.

  • Bước 1: Truy cập vào quản lý tệp trên cpanel.
  • Bước 2: Tìm đến thư mục theme wp-content > themes > your theme
  • Bước 3: Nhấp vào thư mục chủ đề của bạn, bạn sẽ được thể xem một số tệp ở bên phải của bạn ở định dạng bảng.
  • Bước 4: Mở file functions.php và thêm vô dòng sau:
     function disable_password_reset() { return false; } add_filter ( 'allow_password_reset', 'disable_password_reset' );  

Bây giờ, nếu ai đó cố gắng đặt lại mật khẩu quản trị viên WP của bạn, họ sẽ nhận được thông báo dưới đây

Nếu bạn quên mật khẩu, đừng lo! Chỉ cần đăng nhập vào cPanel và xóa các mã mà bạn đã thêm vào tệp functions.php và lấy mật khẩu mới.

7. Vô hiệu hóa email làm tên người sử dụng

Với phiên bản WordPress 4.5, có tính năng đăng nhập sử dụng email. Bạn cũng đều có thể đăng nhập thông qua địa điểm email được liên kết với tài khoản người dùng.

Do đó, mặc dù thực tế rằng bạn đã thay đổi tên người dùng của bạn, nếu ai đó theo dõi địa chỉ email của bạn, họ vẫn cũng có thể có thể sử dụng tựa như để đăng nhập. Do đó, nên tắt tùy chọn email làm tên người dùng và tăng cường bảo mật cho blog WordPress của bạn.

Để làm điều này, bạn thêm nữa dòng sau trong functions.php

 remove_filter('authenticate', 'wp_authenticate_email_password', 20);  

8. Di chuyển/ẩn wp-config.php

Bạn có biết rằng các cracker có thể đơn giản định vị địa thế các tập tin wp-config.php có chứa các thiết lập cần thiết như Username, mật khẩu, cơ sở dữ liệu MSQL..? Nếu cấu hình PHP không đúng, họ có thể xem file wp-config.php trên trình duyệt.

Do vậy, bạn nên xem xét di chuyển tệp này sang một thư mục khác. Trước khi di chuyển tệp wp-config.php, hãy đáp ứng rằng bạn đã cài đặt WordPress trong thư mục public_html của trang web của bạn. Đừng thử nếu nó nằm trong thư mục con.

VD: nếu bạn cài đặt ở home/yourblog/public_html/ , bạn cũng có thể di chuyển vào thư mục home/yourblog . Tuy nhiên bạn cũng cũng đều có thể bảo quản file này bằng cách thêm vào .htaccess với đoạn code sau đây:

    order allow,deny deny from all     

Lời kết

Khi bạn đi sâu hơn vào WordPress, có những lỗ hổng mới cũng như các biện pháp để chứa những lỗ hổng này để đáp ứng bảo mật WordPress. Tuy nhiên, các chuyên gia luôn đề nghị cập nhật các bản cập nhật WordPress mới để giữ cho trang web hoặc blog của bạn an toàn và bảo mật mọi lúc. Không có gì đáp ứng rằng trang web WordPress của bạn an toàn 100% từ mọi cuộc tấn công phần mềm độc hại.

Bạn nên lên lịch sao lưu đều đều trang web WordPress của bạn hàng ngày để ngăn chặn mọi mất mát dữ liệu ngay cả khi bạn mất quyền truy cập vào trang web của mình do 1 số ứng dụng độc hại tấn công.

Tôi kỳ vọng rằng bạn đã học được 1 số mẹo bảo mật WordPress nâng lên thông qua bài đăng này. Chúc bạn thành công!

Nếu bạn thích bài viết này, hãy ủng hộ chúng tôi bằng phương pháp đăng ký nhận bài viết mới ở bên dưới và đừng quên chia sẻ kiến thức này với bạn bè của bạn nhé. Bạn cũng có thể theo dấu blog này trên Twitter và Facebook

Bài viết 8 mẹo giúp tăng bảo mật wordpress được tổng hợp và biên tập bởi: dinhthuanit.com. Mọi ý kiến đóng góp và phản hồi vui lòng gửi Liên Hệ cho dinhthuanit.com để điều chỉnh. dinhthuanit.com xin cảm ơn.

Bài Viết Liên Quan


Bài Viết Khác


Quảng cáo
Ads_ngang