BẢO MẬT WORDPRESS
***
Wordpress là mã nguồn thông dụng và được sử dụng hầu hết các website. Bên cạnh đó Wordpress là một loại mã nguồn mở vì vậy khộng tránh khỏi trở thành mục tiêu để các hacker tấn công; Chính vì lẽ đó chúng ta phải biết cách tự bảo vệ website của mình trước các mối nguy hại này.
A. Dùng Plugins
- Vì như đã nói là mã nguồn mở nên mọi người ai đã dùng đều biết quá rõ về nó như link đăng nhập vào trang quản trị.
- Tôi xin giới thiệu 1 plugin để tránh trường hợp bị mò ra link quản trị của website.
- Lockdown WP Admin là plugin phù hợp cho mọi người có thể thay đổi được đường đẫn đến trang đăng nhập admin của website.
- Link Download: https://wordpress.org/plugins/lockdown-wp-admin/
- Cài đặt : Vào trang quản trị -> Plugin -> LockDown ->Install là xong (Xem video bên dưới bài viết)
B. Dùng HTACCESS
- Khóa wp-config.php và file .htaccess bằng htaccess
+ wp-config.php :
<Files wp-config.php>
order allow,deny
deny from all
</Files>
Htaccess:
<Files .htaccess>
order allow,deny
deny from all
</Files>
+ Tắt chức năng sửa code php giao diện,plugin của Wordpress:
Vào Quản lý file trên hosting/vps/server: tìm đến file tên wp-config.php
Thêm vào đoạn code như sau:
[PHP]define('DISALLOW_FILE_EDIT', true);[/PHP]
+ Tắt chức năng tự update và cài đặt của theme,plugin trên Wordpress:
[PHP]
define( 'DISALLOW_FILE_MODS', true );
[/PHP]
+ Tắt Worpress update core:
# Disable all core updates:
[PHP]
define( 'WP_AUTO_UPDATE_CORE', false );
define( 'WP_AUTO_UPDATE_CORE', true );
define( 'WP_AUTO_UPDATE_CORE', 'minor' );
[/PHP]
+ Cleanup Image Edits:
[PHP]
define( 'IMAGE_EDIT_OVERWRITE', true );
[/PHP]
C. CHMOD
- wp-admin và wp-include là 705 hoặc 700
- wp-config: là 400
D. Security CODE
- Đỗi đường dẫn của wp-config: tại sao phải đổi? Do là open source nên các hacker đã quá quen với file wp-config chứa thông tin database rồi. nếu cứ để như thế sẽ rất dễ tấn công. Chính vì thế ta cần thay đổi wp-config.php thành 1 file abc gì đó và ẩn ở một nơi khó tìm ra!
- Trước tiên cần vào File Manager: -> vào thư mục sẽ chứa file cấu hình (nếu muốn để thư mục khác thì tạo mới thư mục, nhưng nên để vào các thư mục có sẳn của Wordpress để đánh lừa các hacker, thư mục mới thì quá dễ để tìm rồi) -> tạo file cấu hình (vd: hvn.php) > chép hết file wp-config.php vào file mới này (vd: hvn.php) -> lưu lại:
- Trởi lại public_html -> wp-load.php -> tìm code có chứa từ khóa : “wp-config.php” đổi lại thành đường dẫn mới.
- Vào wp-admin/setup-config.php -> tìm code có chứa từ khóa : “wp-config.php” đổi lại thành đường dẫn mới.
- Save lại là được.
Mời các bạn xem thêm video tương tự
[MEDIA=youtube]faJ6uxObeUw[/MEDIA]
E. Làm gì khi bị hack!
Nếu không may bạn rơi vào trường hợ trên bạn hãy đọc bài viết khắc phục website bị hack này nhé.
Cảm ơn các bạn đã đọc bài viết bảo mật website này. Các bạn có thể đọc thêm các bài viết bảo mật khác tại mục BẢO MẬT WEBSITE và mục dịch vụ bảo mật .
Chúc bạn đọc vui với bài viết này.