Hướng dẫn cách cài đặt và sử dụng iThemes Security

Quảng cáo
Ads_ngang
Website dinhthuanit.com có bài Hướng dẫn cách cài đặt và sử dụng iThemes Security Bài viết này mình sẽ hướng dẫn các bạn cách cài đặt và sử dụng iThemes Security để bảo mật wordpress hiệu quả.

Thời gian gần đây, plugin hỗ trợ bảo mật nổi tiếng  Better WP Security đã triển khai sát nhập vào iThemes và đổi tên thành  iThemes Security . Chính vì vậy plugin này đã được thay đổi lại một số tính năng cũng giống cách sử dụng. Bài viết này mình sẽ chỉ dẫn các bạn cách cài đặt và sử dụng iThemes Security để bảo mật wordpress hiệu quả.

Xem thêm: Hướng dẫn bảo mật Wordpress

Hướng dẫn sử dụng iThemes Security

Ở bài chỉ dẫn trước, tôi cũng đã chỉ dẫn các bạn cài plugin là như làm sao rồi. Nên ở bài này mình sẽ hướng dẫn những ý chính.

cach-su-dung-ithemes-security-de-bao-mat-wordpress
Hình 1. Tìm kiếm và cài đặt iThemes Security.

Bước 1 : Sau khi kích hoạt cài đặt iThemes Security bạn ấn nút Secure Your Site Now để thiết lập

cach-su-dung-ithemes-security-de-bao-mat-wordpress-1

Hình 2. Kích hoạt iThemes Security với Secure Your Site Now.

Bước 2 : Bạn click vào Allow File Updates  và One – Click Secure     ấn nút Dismiss để kết thúc
cach-su-dung-ithemes-security-de-bao-mat-wordpress-2
Hình 3. Click vào Allow File Updates và One – Click Secure

Bước 3 :

  • Bạn chuyển sang tab Setting và tìm hiểu các tùy chọn của nó.
  • Phía dưới hình ảnh là thanh điều phối Go to .
  • Bạn bấm vào từng phần thì sẽ dẫn bạn đến khu vực tương ứng để thiết lập.

cach-su-dung-ithemes-security-de-bao-mat-wordpress-3
Hình 4. Khu vực Setting

Tùy chọn thiết lập cơ bản của iThemes Security

Global Setting

cach-su-dung-ithemes-security-de-bao-mat-wordpress-4
Hình 5. Phần Global Setting

Giải thích:

  • Write to File : Tùy chọn này cấp phép các plugin khác tự động thêm nội dung vào file wp-config.php .htaccess , bạn nên tick vào tùy chọn này để cũng đều có thể cài được các tính năng khác của iThemes Security hoặc các plugin tạo cache một cách tự động
  • Notification Email : Địa chỉ email nhận các thông báo
  • Backup Delivery Email : Địa chỉ email nhận file backup
  • Host Lockout Message : Tin nhắn thông báo lỗi cho những người đăng nhập thất bại do bị khóa IP
  • User Lockout Message : Tin nhắn thông báo lỗi nếu thành viên bị khóa
  • Blacklist Repeat Offender : Kích hoạt sử dụng bản kê địa điểm spam công cộng. Bạn nên lựa chọn vì nó sẽ giúp bạn thoát khỏi các spammer có trong bản kê này
  • Blacklist Threshold : Số lần IP bị khóa sẽ chuyển thành dạng khóa vĩnh viễn
  • Blacklist Lookback Period : Thời hạn khóa các spammer có trong danh sách ở phần Blacklist Repeat Offender
  • Lockout Period : Thời gian mỗi lần khóa nếu có ai đó cố gắng đăng nhập nhưng bị thất bại
  • Lockout White List : Danh sách IP tránh bị khóa
  • Email Lockout Notifications : Email nhận thông báo khi ai đó bị khóa
  • Log Type : Kiểu ghi các log hoạt động của plugin, nên chọn >   Database Only .
  • Days to Keep Database Logs : Thời hạn ghi của các log trong database, sau thời hạn các log sẽ bị xóa đi
  • Path to Log Files : Đường dẫn của file log
  • Allow Data Tracking : Cho phép iThemes thu thập các dữ liệu sử dụng của bạn để họ phân tích.

404 Detection

  404 Detection: Là tùy chọn sẽ gửi thông báo mỗi khi thành viên truy cập một trang nào đó và phát hiện lỗi 404.

cach-su-dung-ithemes-security-de-bao-mat-wordpress-5
Hình 6: 404 Detection

Giải thích:

  • Minutes to Remember 404 Error (Check Period) : là thời gian hệ thống tự ghi nhớ lỗi 404 và không báo vào lần sau.
  • Error Threshold : Là số lỗi nhiều nhất mà mỗi thành viên cũng có thể có thể gặp, nếu thành viên vào tối hầu hết trang 404 trong phần này thì sẽ bị khóa. Thường là hay xảy ra với bot spam.
  • 404 File/Folder White List : Các file/folder nó sẽ bỏ qua và không kiểm tra lỗi 404.

Away Mode

Away Mode là tính năng giúp bạn khóa trang quản trị trong thời gian nhất định. Các tùy chọn bên dưới sẽ cấp phép bạn vô hiệu hóa truy cập vào WordPress Dashboard cho thời gian quy định.

Ngoài việc có hạn tiếp xúc với các kẻ tấn công này cũng có thể có thể có ích để vô hiệu hóa truy cập trang web dựa trên một lịch trình cho các lớp học hoặc các lý do khác.

Nếu thời gian không chính xác bạn cũng có thể có thể thiết lập lại cài đặt tại:  WordPress general settings page.

Banned User

Banned User là tùy chọn cho phép bật chức năng ban một thành viên nào đó, cho dù là bot spam. Tính năng này cho phép bạn cấm các máy server và các đại lý sử dụng từ trang web của bạn mà chẳng càng phải quản lý bất kỳ cấu hình của máy chủ của bạn. Bất kỳ địa điểm IP hoặc các đại lý người sử dụng tìm thấy trong bản kê dưới đây sẽ chưa được cấp phép truy cập vào website của bạn.

cach-su-dung-ithemes-security-de-bao-mat-wordpress-7
Hình 8. Banner User

Giải thích:

  • Enable HackRepair.com’s blacklist feature : Bật chức năng khóa các bot spam có trong danh sách của HackRepair.com.
  • Enable ban users : Bật chức năng khóa thành viên.

Brute Force Protection

Brute Force Protection là tùy chọn này giúp bạn chống Brute Force Attack bằng hình thức hạn chế số lần đăng nhập sai.

cach-su-dung-ithemes-security-de-bao-mat-wordpress-8
Hình 9. Brute Force Protection

Giải thích :

  • Receive email updates about WP Security from iThemes : Nhận email cập nhật về WP Security từ iThemes
  • Enable brute force protection : Bật chức năng chống Brute Force.
  • Max Login Attempts Per Host : Số lần đăng nhập sai tối đa của 1 IP.
  • Max Login Attempts Per User : Số lần đăng nhập sai tối đa của 1 thành viên.
  • Minutes to Remember Bad Login (check period) : Số thời gian ghi nhớ đăng nhập sai, nếu trong vòng thời gian này mà vượt quá số lần đăng nhập sai cấp phép thì sẽ bị khóa.

Database Backup

Database Backup là tùy chọn bổ trợ tự động sao lưu cơ sở dữ liệu.
Lưu ý: Bạn chỉ nên bật nếu bạn có database nhỏ vì sử dụng BackWPUp hoặc Backup Buddy sẽ tốt hơn nhiều.

cach-su-dung-ithemes-security-de-bao-mat-wordpress-9
Hình 10:  Database Backup

Giải thích:

  • Backup Full Database – Backup toàn bộ cơ sở dữ liệu.
  • Backup Method – Phương thức sao lưu, nó sẽ gửi bản backup qua email hoặc chỉ lưu vào host hoặc cả 2.
  • Backup Location – Đường dẫn thư mục chứa file backup.
  • Backups to Retain – Số file backup sẽ giữ lại trên host. Ví dụ nếu bạn đặt là 5 thì nếu như nó nhiều hơn 5 thì sẽ tự xóa bớt file backup cũ nhất.
  • Compress Backup Files – Hỗ trợ nén file backup.
  • Exclude Tables – Các table trong database bạn không thích backup.
  • Schedule Database Backups – Bật tùy chọn tự động backup.

File Change Detection

File Change Detection là tính năng gửi thông báo nếu có file nào đó trong host bị thay đổi, thường là để phát hiện các file bị chèn Shell. File Change Detection giúp thay đổi nhận diện tập tin sẽ cảnh báo cho bạn biết những tập tin đã thay đổi trong cài đặt WordPress.

Hide Login Area

Hide Login Area là bật tính năng đổi đường dẫn đăng nhập thay vì /wp-admin như cũ.

Giấu trang đăng nhập (wp-admin, wp-login.php, admin và login) làm cho nó khó khăn hơn để tìm thấy bởi các cuộc tiến công tự động và khiến cho nó đơn giản hơn cho người dùng không quen thuộc với những nền tảng WordPress.

Secure Socket Layer

Secure Socket Layer là tính năng áp dụng SSL cho website bạn có chứng thư SSL.
Lưu ý: Nếu bạn không có SSL, bạn nên để nguyên nếu không thích lỗi cả website.

cach-su-dung-ithemes-security-de-bao-mat-wordpress-12
Hình 13. Secure Socket Layer

Giải thích: 

  • Front End SSL Mode : Bật SSL cho website.
  • SSL for Login : Bật SSL cho hệ thống đăng nhập trên website qua kết nối an toàn.
  • SSL for Dashboard : Bật SSL cho Dashboard qua kết nối an toàn.

Strong Password

Strong Password là tính chất áp dụng bắt buộc sử dụng mật khẩu phức tạp để bảo mật.

System Tweaks

System Tweaks là những thiết lập bảo mật nâng cao để tăng cường an toàn website WordPress.

cach-su-dung-ithemes-security-de-bao-mat-wordpress-14

Giải thích:

  • Protect System Files : Bảo mật các file quan trọng của WordPress như wp-config.php , . htaccess, wp-include , instal ,….
  • Disable Directory Browsing : Không cho phép browse file tập tin bằng trình duyệt.
  • Filter Request Methods : Lọc các truy vấn gửi đi thông qua URL, nó sẽ chặn các truy vấn mang thuộc tính nguy hiểm hoặc nghi ngờ.
  • Filter Suspicious Query Strings in the URL : Lọc và chặn các truy vấn mang thuộc tính nguy hiểm trên URL, ai đó cố tình truy cập vào các file trong thư mục themes, plugins.
  • Filter Non-English Characters : Một cách để hạn chế SQL Injection bằng cách chặn các query chứa ký tự lạ.
  • Filter Long URL Strings : Lọc các truy vấn quá dài, thường là các attacker bằng hình thức SQL Injection thường viết truy vấn khá dài trên URL để thay đổi database.
  • Remove File Writing Permissions : Tự động CHMOD bảo mật cho các file nhạy cảm, nếu bật thì các file đó sẽ có CHMOD thành 0444 thay vì 0644 như mặc định.
  • Disable PHP in Uploads : Không cho phép thực thi các mã PHP trong tính năng upload trong WordPress để né màng up shell lên host.

WordPress Tweaks

WordPress Tweaks: Các tùy chọn này sẽ can thiệp vào mã nguồn của WordPress để bảo mật.

  • Remove WordPress Generator Meta Tag – Xóa các thẻ meta mặc định của WordPress tự sinh ra.
  • Remove the Windows Live Writer header – Xóa thẻ header để hồi đáp lại truy vấn từ Windows Live Writer nhằm tránh lại các hình thức tiến công thông qua việc đăng tin trái phép.
  • Remove the RSD (Really Simple Discovery) header – Xóa thẻ header chứa file xml-rpc trên header để né lại các hình thức tiến công bằng sự việc đăng bài trái phép.
  • Reduce Comment Spam – Chống spam ở comment.
  • Display Random Version – Tự động hiển thị tình cờ số phiên bản WordPress để hacker khó xác định phiên bản thật sự mà bạn đang dùng.
  • Disable File Editor – Không cho phép chỉnh sửa theme, plugin trong Dashboard.
  • Disable login error messages – Tắt hiển thị lỗi đăng nhập để hacker khó xác định là họ đăng nhập sai hay lỗi.
  • Force users to choose a unique nickname – Không cho thành viên sử dụng nickname trùng nhau.
  • Disables a user’s author page if their post count is 0 – Không tạo đường dẫn author riêng nếu họ chưa xuất hiện bài.

Đến này là xong rồi, các bạn nhớ nhấn Save all Changes  để lưu lại những thay đổi.

Lời kết

WordPress là một trong số mã nguồn tuyệt vời giúp dịch vụ thiết kế web lên ngôi, việc bảo mật website wordpress là vô cùng cần thiết. Trong bài viết này tôi đã giới thiệu và hướng dẫn cụ thể đi sâu chi tiết vào các tính năng quan trọng của plugin bảo mật WordPress iThemes Security. Như đã nói đây là sự phối hợp giữa iThemes và Better WP Security, mặc dù mới ra mắt nhưng được đánh giá khá tốt tại thời điểm này. Ngoài iThemes Security còn có những plugin khác giúp bảo mật wordpress, chúng ta sẽ khám phá ở các bài viết lần sau. Chúc các bạn thành đạt !

Để thu được bài viết mới vui lòng đăng ký kênh kiến thức WordPress từ A-Z ở Form bên dưới. Bạn cũng cũng đều có thể thu được sự trợ giúp trên Twitter và Facebook

Bài viết Hướng dẫn cách cài đặt và sử dụng iThemes Security được tổng hợp và biên tập bởi: dinhthuanit.com. Mọi ý kiến đóng góp và phản hồi vui lòng gửi Liên Hệ cho dinhthuanit.com để điều chỉnh. dinhthuanit.com xin cảm ơn.

Bài Viết Liên Quan


Bài Viết Khác


Quảng cáo
Ads_ngang