Kiến thức wordpress
Hướng dẫn cấu hình bảo mật website WordPress
Th3
Có lẽ khi bắt đầu tìm hiều Wordpress nhiều bạn băn khoăn và lo lắng khi có quá nhiều website WordPress bị hacker tấn công , mặc dù các hacker chỉ hacker chỉ để thể hiện hoặc một số trường hợp làm ảnh hưởng đến thương hiệu hay quá trình phát triển website bán hàng của bạn trên mạng.Có thể nói WordPress là mã nguồn được dùng để thiết kế website giới thiệu công ty hay sản phẩm được ưa chuộng nhất hiện nay.Cũng chính vì sự phổ biến và là mã nguồn mở nên các hacker cũng dễ dàng tìm ra các lỗ hổng bảo mật trên website và host , nhất là các developer website wordpress còn ít kinh nghiệm.
Sau đây Web Thăng Long sẽ giới thiệu các bạn 19 bước lock down hay cấu hình cho website bạn trở nên an toàn nhất trên nền tảng wordpress.
WordPress Security Index
- Secure WordPress Hosting
- Use Latest PHP Version
- Clever Usernames and Passwords
- Latest Versions
- Lock Down WordPress Admin
- Two-Factor Authentication
- HTTPS – SSL Certificate
- Hardening wp-config.php
- Disable XML-RPC
- Hide WordPress Version
- HTTP Security Headers
- WordPress Security Plugins
- Database Security
- Secure Connections
- File and Server Permissions
- Disable Editing in Dashboard
- Prevent Hotlinking
- Always Take WordPress Backups
- DDoS Protection
- Bảo mật trong hosting
Bạn nên đầu tư vào nhà cung cấp hosting chất lượng, có hệ thống tường lửa ngăn chặn , như các server thường xuyên nâng cấp hệ điều hành,phần mềm chống lại các virus mailware.hoặc dùng thêm phương thức chứng thực ssl cho tên miền.
2. Sử dụng version php mới nhất.
Php hiện nay đang có phiên bản mới nhất là 7.Php là ngôn ngữ backend làm nên wordpress , hiện nay đa số website làm bằng wordpress vẫn còn sử dụng version < ph 5.6 cũ còn nhiều lỗi bảo mất chưa dược fix.Bạn có thể nhờ bên host nâng cấp hoặc sử dụng nhà cung cấp host sử dụng version php mới nhất.Hoặc bạn vào quản trị cpanel của host tự chỉnh như hình:
3. Dùng username, mật khẩu đủ mạnh
Việc dùng user,và mật khẩu quá đơn giản sẽ khiến cho 1 số người tò mò gõ đại cũng trúng chứ đừng nói tới hacker tấn công : tránh dùng các user, mật khẩu phổ biền sau :
- 123456
- password
- 12345
- 12345678
- qwerty
- 123456789
- 1234
- baseball
- dragon
- football
4.Thường xuyên update version wordpress và plugin mới nhất
Wordrpess đã và đang không ngừng cập nhật cải tiến hàng ngày về hiệu năng cũng như bảo mật của website.Chính vì vậy bạn nên nâng cấp ngay khi có version hay plugin bản mới.
5. Khóa đăng nhập wp-admin trong wordpress
Mặc định để đăng nhập vào website wordpress thì đường dẫn là domain.com/wp-admin, đây là điều mà bots,hacker hay ai cũng biết điều này. Chỉ bằng việc thay đổi đường dẫn đăng nhập bạn đã giảm đáng kể những hacker tấn công về login admin website.dể thay đổi đường dẫn plugin bạn cài đặt plugin này nhé : WPS Hide login plugin, sau khi kích hoạt plugin bạn vào phần cài đặt tổng quan để thay đổi đường dẫn login cho website. đồng thời để tránh các công cụ tự động login vào website nhiều lần bạn sử dụng plugin Limit Login Attempts
Source:”https://kinsta.com/blog/wordpress-security/”
6.Thiết lập cấu hình file wp-config.php
1.Đầu tiên bạn cần hạn chế quyền sửa xóa truy cập file này từ bên ngoài,setup permision file là 400 hoặc 444.
2. WordPress đã hỗ trợ tạo 4 key AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, and NONCE_KEY khác nhau để mã hóa lưu cookies. Vì vậy khi cài đặt wordpress bạn nên truy cập trang này : https://api.wordpress.org/secret-key/1.1/salt/ , copy sercet key vò wp-config.php
7. Vô hiệu hóa XML-RPC
Trong vài năm qua XML-RPC đang trở thành mục tiêu tấn công của các hacker, bạn có thể dùng plugin Disable XML-RPC plugin
8. Ẩn version WordPress
Việc ẩn version wordpress hiện tại của bạn sẽ giúp bớt đi thông tin wordpress mà các hacker biết các lỗ hổng từng version.Version wordpress thường được show phần header với thẻ meta như hình :
Để ẩn version bạn thêm đoạn code sau trong functions.php
function wpversion_remove_version() {
return '';
}
add_filter('the_generator', 'wpversion_remove_version');
9 Sử dụng plugin Security
Có khá nhiều plugin hỗ trợ bảo mật cho website của bạn, dưới đây là 1 số plugin phổ biến :
10 Kiểm tra permision(quyền của các file trong host
Bạn để ý việc cấp quyền cho file và thư mục của website trong host:
Tất cả các file nên là 644 hoặc 640, ngoại trừ wp-config là 440 hoặc 400
Tất cả các thư mục nên để quyền 755 hoặc 750.
Tắt việc sửa file trong doashboard trong wp-admin
Có nhiều website có nhiều tài khoản user, admin làm cho việc bảo mật website wordpress trở nên phức tạp, để hạn chế rủi ro trong bảo mật.bạn có thể tắt việc sửa file trong wp-admin , bạn thêm code sau trong wp-config.php
define(‘DISALLOW_FILE_EDIT’, true);
