17 October, 2020

Các cách bảo mật cho website Wordpress

 Có nhiều bạn nói rằng Wordpress dễ bị hack... Thực ra ý kiến này chưa thực sự chính xác. Thường website Wordpress dễ bị hack khi chúng ta sử dụng theme/plugin bẩn hoặc do chúng ta chưa thực hiện các bước bảo mật cơ bản cho file code. Dưới đây là bài tổng hợp các cách cơ bản để bảo mật cho website Wordpress. Dù đó không phải là cách bảo mật tuyệt đối nhưng phần nào có thể giúp bạn chống lại cuộc tấn công của những hacker non trẻ.

Cách 1: CHMOD an toàn cho website

CHMOD là một trong bước bảo mật website PHP nói chung và WordPress nói riêng rất tốt để hạn chế các vụ tấn công trực tiếp nhằm vào mã nguồn của website như đọc các thông tin nhạy cảm, tạo thêm các tập tin trong thư mục.

- CHMOD an toàn cho tập tin PHP: CHMOD chuẩn cho toàn bộ tệp tin PHP  trên mã nguồn Wordpress là 644 để website có thể hoạt động bình thường. Riêng tệp tin nhạy cảm như wp-config.php.htaccess thì nên CHMOD thành 400 hoặc 600 (nên dùng 600 là được rồi).

- CHMOD an toàn cho thư mục: CHMOD chuẩn dành cho các thư mục để website Wordpress hoạt động tốt là 755. Để an toàn hơn nữa bạn có thể CHMOD 2 thư mục wp-admin và wp-include là 700. Tuy nhiên nếu là 700 thì khi cần cập nhật phiên bản wordpress mới thì bạn phải thao tác thủ công bởi vì nó không thể ghi đè các tệp tin vào.

Cách 2: Giấu kỹ file config

Hacker vẫn có thể tìm ra dù bạn có giấu kỹ file config, tuy nhiên việc giấu file wp-config.php đi cũng hạn chế phần nào sự tấn công từ các hacker mới vào nghề.

Thông thường file config sẽ có đường dẫn là : .../public_html/wp-config.php do đó chúng ta có thể giấu nó đi bằng cách copy file config ra ngoài thư mục public_html, có thể tạo 1 thư mục "/bao_mat/" ngang cấp với /public_html/ và bỏ file wp-config.php vào đó. Cuối cùng ta sửa lại nội dung file config đang nằm trong thư mục /puclic_html thành như sau

01
02
03
04
<php
  if ( !defined('ABSPATH') )
    define('ABSPATH', dirname(__FILE__) . '/');
  require_once(ABSPATH . '../bao_mat/wp-config.php');

Cách 3: Hạn chế tấn công thông qua đăng nhập

Cách mà hacker rất hay sử dụng đó là tấn công thông qua trang đăng nhập. Để hạn chế được khả năng tấn công này chúng ta cần đảm bảo được các vấn đề sau:

- Tên đăng nhập khó đoán ra.
- Mật khẩu dài, mạnh, có ký tự đặc biệt và không liên quan đến các thông tin cá nhân.
- Hạn chế số lần đăng nhập sai.
- Bảo mật đường dẫn đăng nhập.
- Thường xuyên thay đổi mật khẩu.

Chúng ta có thể sử dụng plugin Better WP Security để thực hiện ẩn đường dẫn đăng nhập và hạn chế số lần đăng nhập sai. Hoặc có thể sử dụng thêm plugin Login Security Solution -Plugin này giúp chặn các IP xấu hay các truy vấn kiểu brute force có trong dữ liệu của riêng họ.

Đó là những cách cơ bản mà bạn có thể dễ dàng thực hiện giúp bảo mật cho website Wordpress, hạn chế phần nào tấn công từ hacker.

1 comment:

  1. Casinos Near Harrisburg, PA - MapyRO
    A map showing casinos 세종특별자치 출장안마 and 보령 출장마사지 other 충청남도 출장안마 gaming facilities located near Harrisburg, PA, 보령 출장샵 with information 김천 출장샵 and reviews, photos, location maps,

    ReplyDelete