11 bước để bảo mật tốt hơn cho WordPress

Last updated on September 29th, 2023 at 05:17 pm

Đây là hướng dẫn từng bước về cách bảo vệ blog của bạn, nhưng trước khi chúng ta bắt đầu, bạn nên biết một số điều đơn giản:

  • luôn cập nhật blog, plugin và chủ đề WordPress của bạn, vì các phiên bản mới thường có các bản sửa lỗi bảo mật quan trọng
  • vui lòng sử dụng mật khẩu thực sự mạnh (không sử dụng «12345» hoặc «qwerty»!)
  • kết nối trang web của bạn chỉ bằng ứng dụng SFTP
  • và đừng quên cài đặt chương trình chống vi-rút trên PC của bạn

Bước 1. Sao lưu

Điều bạn phải làm đầu tiên là sao lưu cơ sở dữ liệu của bạn. Bạn có thể sao lưu nó theo cách thủ công trong phpMyAdmin bằng cách chuyển đến tab Export.

sao lưu database thường xuyên

Một cách khác – là sử dụng plugin WordPress, cho phép bạn tạo bản sao lưu cơ sở dữ liệu. Có rất nhiều plugin như vậy nhưng hôm nay tôi khuyên bạn nên sử dụng  BackWPUp .

Sau khi tạo bản sao lưu cơ sở dữ liệu, bạn có thể sao lưu các tệp chủ đề và thư mục tải lên. Làm theo cách bạn muốn (ví dụ: SFTP).

Các tệp và plugin cốt lõi của WordPress không cần phải sao lưu, trừ khi tệp của chúng không bị thay đổi, vì bạn luôn có thể tải xuống phiên bản WordPress sạch mới nhất và cài đặt các plugin (không có mã độc hại, có thể lây lan qua các tệp trang web của bạn trước đây).

Bước 2. Chmod

Bạn nên thiết lập các quyền sau cho các tệp và thư mục WordPress:

Thư mục Chmod
/ wp-content / 755 (hoặc 777 nếu cần)
/ wp-content / themes / 755
/ wp-content / plugins / 755
/ wp-admin / 755
/ wp-includes/ 755
wp-config.php 400 (hoặc 440)

Để thiết lập quyền chmod, bạn có thể sử dụng ứng dụng khách SFTP của mình.

Bước 3. Bảo mật khu vực quản trị

Lớp bảo vệ thứ hai

Đây là một biện pháp bảo vệ thực sự mạnh mẽ nhưng tôi không khuyên bạn nên sử dụng nó khi:

  • nếu bạn đang sử dụng  admin-ajax.php trình xử lý trên trang web của mình
  • nếu bạn không phải là tác giả duy nhất trên blog

Vì vậy, đây là cách để làm điều đó. Trên thực tế, có hai cách – bảo mật bằng mật khẩu hoặc bảo mật bằng địa chỉ IP. Hãy bắt đầu với bảo vệ mật khẩu bổ sung. Bạn cần tạo hai tệp trong  thư mục wp-admin –  .htaccess và  .htpasswd
Nội dung của  .htaccess tệp:

Tệp  .htpasswd phải chứa tên người dùng và mật khẩu, mỗi cặp ở dòng tiếp theo. Bạn có thể tạo mật khẩu được mã hóa của mình trên  trang này .
Nội dung ví dụ của  .htpasswd tệp:

Chặn hoàn toàn khu vực quản trị bằng địa chỉ IP

Nếu bạn không muốn đăng nhập khu vực quản trị hai lần, bạn có thể chặn nó bằng địa chỉ IP. Tất cả những gì bạn cần là đưa vào  /wp-admin/ thư mục  .htaccess tệp với nội dung sau:

Bước 4. Bảo vệ khỏi các cuộc tấn công

Thay đổi thông báo lỗi mặc định khi đăng nhập không thành công.

Khi bạn không thành công, WordPress sẽ hiển thị cho bạn biết bạn đã làm sai điều gì – đăng nhập hoặc mật khẩu theo mặc định. Điều này có thể hữu ích cho tin tặc để bắt đầu một cuộc tấn công. Vì vậy, họ có thể lấy mật khẩu của bạn nếu họ biết thông tin đăng nhập của bạn.

Có hai thông báo lỗi mặc định trong WordPress. Khi tên người dùng không hợp lệ:

thông báo lỗi mặc định khi đăng nhập không thành công.

Và khi tên người dùng ổn, nhưng mật khẩu sai:

tên người dùng ổn, nhưng mật khẩu sai khi đăng nhập Admin

Phương án giải quyết là bạn đặt mã này vào  functions.php tệp của bạn.

=> thành quả

thay thế thông báo lỗi đăng nhập WordPress mặc định

Thay đổi tên người dùng quản trị viên mặc định

Mọi người đều biết tên người dùng quản trị mặc định của WordPress. Tất nhiên, các hacker cũng biết điều đó.
Vì vậy, chức năng này cho phép bạn thay đổi thông tin đăng nhập của bất kỳ người dùng nào bất cứ lúc nào bạn muốn.

 

$ new_username

(chuỗi) tên người dùng mới

$ user_id

(số nguyên) ID của người dùng bạn muốn thay đổi tên người dùng, theo mặc định – người dùng quản trị có ID = 1

Chèn chức năng này vào trang web của bạn và sau đó chỉ cần chạy nó một lần.

Cách ẩn tên người dùng khỏi lớp bình luận

Vì vậy, bạn đã thay đổi tên người dùng của mình nhưng nếu điều này không giúp được gì? Và tại sao? Bây giờ hãy nhìn vào ảnh chụp màn hình của tôi, đây là mã HTML của một bình luận của người dùng trên blog:

Cách ẩn tên người dùng khỏi lớp bình luận

=> đây là một tên người dùng. Và khi bạn đã đăng nhập với tư cách quản trị viên và đã đăng bình luận, tin tặc có thể dễ dàng lấy được thông tin đăng nhập của bạn. Làm thế nào để ngăn chặn điều này?

Cách đầu tiên là không sử dụng tài khoản quản trị để bình luận blog. Cách thứ hai và là cách tốt nhất đơn giản là thay đổi hoặc ẩn tên người dùng quản trị khỏi thuộc tính lớp nhận xét bằng cách chèn mã sau vào  functions.php tệp chủ đề của bạn.

 

Nếu bạn muốn xóa tất cả tên người dùng khỏi lớp nhận xét:

Giới hạn số lần đăng nhập

Có một plugin tuyệt vời,  Limit Login Attempts Reloaded . Nó vô hiệu hóa chức năng đăng nhập cho một phạm vi IP nhất định, nếu phát hiện nhiều hơn một số lượng tham dự nhất định từ phạm vi này trong một khoảng thời gian ngắn.

Bước 5. Bảo mật tệp cấu hình

Ý tôi là  wp-config.php. Tệp này chứa tên người dùng và mật khẩu cơ sở dữ liệu, do đó, nó cũng phải được bảo vệ. Làm thế nào để làm nó? Chỉ cần di chuyển trang web của bạn  wp-config.php vào thư mục phía trên thư mục trang web của bạn.

Bạn cũng có thể bảo vệ nó bằng  .htaccess các quy tắc, đặt mã này vào  .htaccess tệp nằm trong cùng thư mục với  wp-config.php.

<files wp-config.php> order allow,deny deny from all </files>

Bước 6. Tắt trình chỉnh sửa tệp

Nếu ai đó có quyền truy cập vào bảng điều khiển trang web của bạn với tư cách là quản trị viên, người đó có thể cũng có thể chỉnh sửa các tệp plugin và chủ đề trang web. Để ngăn chặn khả năng này từ bất kỳ ai, bạn nên thêm dòng sau vào  wp-config.php tệp.

define('DISALLOW_FILE_EDIT', true);

 

Sau khi bạn làm điều đó, trình chỉnh sửa sẽ biến mất. Ngoài ra, nó sẽ không có sẵn bởi URL.

Bước 7. Thay đổi tiền tố cơ sở dữ liệu

Nếu bạn chưa cài đặt blog của mình, bạn có thể thiết lập tiền tố cơ sở dữ liệu trong quá trình cài đặt.

Thay đổi tiền tố cơ sở dữ liệu

Nếu bạn đã cài đặt blog WordPress – hãy làm theo hướng dẫn này.

Lúc đầu, bạn nên mở  wp-config.php tệp của mình và thay đổi dòng này:

Ví dụ:

Sau đó, bạn nên chạy một vài truy vấn SQL. Bạn có thể làm điều đó trong tab phpMyAdmin SQL. Có các truy vấn:

Bước 8. Xóa phiên bản WordPress khỏi nguồn cấp dữ liệu RSS và khỏi trang web <head>

Đây có thể là bước rất quan trọng, đặc biệt nếu bạn không cập nhật WordPress của mình thường xuyên. Đây cũng là bước đơn giản nhất để làm. Chỉ cần chèn mã sau vào  functions.php tệp của bạn:

Phiên bản 2.0 của plugin WPCode – Insert Headers and Footers + Custom Code Snippets – WordPress Code Manager đã hỗ trợ + thêm nhiều option khá hay ho.

Bước 9. Chặn hotlink với file .htaccess:

Vì vậy, liên kết nóng là khi ai đó ăn cắp nội dung trang web của bạn (thường là hình ảnh) và chèn liên kết trực tiếp đến chúng trên trang web của chính họ. Vấn đề là chúng ăn cắp không chỉ hình ảnh mà còn cả băng thông của bạn.

Và làm thế nào chúng ta có thể ngăn chặn điều này? Khá đơn giản! Sẽ có một mã khác cho của bạn  .htaccess. Bạn có thể sử dụng  .htaccess nằm trong thư mục gốc trang web của mình nhưng cũng có thể sử dụng nằm trong thư mục có hình ảnh.

Bước 10. Bảo vệ thư mục tải lên của bạn

Mã này từ chối quyền truy cập vào bất kỳ tệp nào trong thư mục ngoại trừ các tệp có phần mở rộng nhất định. Vì vậy, nó cũng  vô hiệu hóa việc thực thi các tệp PHP  trong thư mục này (và cả trong tất cả các thư mục con của nó).

Hoặc bạn chỉ có thể tắt thực thi tệp PHP:

Tôi khuyên bạn nên bảo vệ  /wp-includes/ thư mục.

Tệp đầu tiên bạn nên xóa là  readme.html, nằm trong thư mục gốc blog của bạn. Tệp này chứa phiên bản WordPress mà bạn sử dụng. Hãy nhớ rằng tin tặc có thể tìm ra cách khai thác thích hợp cho phiên bản chính xác của WordPress.

Một tập tin khác  install.php nằm trong  thư mục /wp-admin/ . Đây là tập lệnh cài đặt và cũng nên được gỡ bỏ.

Các tệp đã xóa sẽ xuất hiện lại sau mỗi lần cập nhật WordPress.

Xem thêm bài viết

TEMPLATES

PLUGIN

MỜI CAFE

ủng hộ tôi