Thứ Ba, 9 tháng 9, 2014

THỦ THUẬT BẢO MẬT VỚI WORDPRESS

Hướng dẫn Bảo mật website WordPress an toàn tuyệt đối!!

1. Cập nhật WordPress lên phiên bản mới nhất!

update
Hãy luôn luôn cập nhật phiên bản WordPress mới nhất, bởi vì các phiên bản WordPress mới  sẽ được tăng cường khả năng bảo mật tốt hơn. Nhiều bạn thường hay ngại việc cập nhật lên các phiên bản wordpress mới nhất vì sợ phát sinh lỗi khi cập nhật. Tuy nhiên, hãy thay đổi suy nghĩ để website wordpress của mình an toàn hơn! Nếu thực hiện đúng cách thì việc xảy ra lỗi là không nhiều. Đừng để củi nhặt 3 năm thiêu một giờ vì lý do này nhé!

2. Thay đổi Secret Keys

Secret Keys là một mật mã bí mật cho các gói cài đặt WordPress, tuy nhiên, như đã đề cập, kết cấu WordPress gồm những gì thì ai cũng biết cả, nên mặc dù gọi là bảo mật, nhưng ai cũng biết nó là gì rồi. Do đó, việc chúng ta cần làm là thay đổi Secret Keys này đi, để tránh việc các hacker lợi dụng Secret Keys để truy cập trái phép website của bạn nhé!
wordpress_security_keys
Để thay đổi Secret Keys, các bạn truy cập theo đường link này https://api.wordpress.org/secret-key/1.1/salt/ - đây là website sinh Secret Keys ngẫu nhiên của WordPress, sau đó copy và dán đè lên đoạn code chứa Secret Keys trong file wp-config.
3. Thay đổi Tiền tố Cơ sở dữ liệu WordPress – Database Prefix
Thông thường tiền tố mặc định của wordpress đó là wp- , do đó, chúng ta cần phải thay đổi yếu tố “lộ thiên” này luôn. Vì Database Prefix là một trong những yếu tố quan trọng, liên quan đến Database của chúng ta, do đó, chúng ta cần thay đổi nó để gây khó khăn trong việc xác định đâu là tiền tố CSDL của chúng ta, trong trường hợp website của chúng ta bị tấn công!
wp_database_prefix
Để thay đổi Database Prefix, các bạn có thể xem bài viết này: “Cách thay đổi Database Prefix cho wordpress”
4. Bảo vệ file wp-config
wp-config là một trong những file quan trọng nhất trong gói cài đặt WordPress của chúng ta, nó chứa nhiều thông tin cài đặt cấu hình quan trọng cũa website như username, password,…, do đó nếu truy cập được file wp-config thì gần như chắc chắn, website của chúng ta đã bị chiếm dụng. Chính vì vậy, đây là một trong những file đầu tiên và phải được ưu tiên hàng đầu trong vấn đề bảo mật.
Để bảo vệ tuyệt đối, chống truy cập trái phép file wp-config, các bạn dán đoạn code dưới đây vào file wp-config nhé:
5. Bảo vệ file .htaccess
Tương tự như wp-config, .ht access là một trong những file chứa thông tin website quan trọng nhất cần được quan tâm bảo mật.
Để bảo vệ file .htaccess, các bạn cũng dán đoạn code dưới đây vào file .htaccess nha:
6. Ẩn thông tin phiên bản WordPress hiện tại
Chúng ta cần giấu đi thông tin phiên bản wordpress hiện tại mà website của chúng ta đang sử dụng! Tại sao lại vậy?! Bởi đơn giản rằng WordPress vẫn đang hoàn thiện từng ngày, tuy nhiên, không còn lỗi nào tồn tại gần như là điều không thể, do đó với mỗi phiên bản wordpress, sẽ vẫn còn tồn tại một số bug bảo mật nào đó, và tất nhiên nó sẽ được nhà phát hành công khai để giúp chúng ta phòng tránh, đó là mục đích tốt, nhưng vô tình lại là một tài liệu tuyệt vời cho các hacker biết đâu là điểm yếu trên từng phiên bản wordpress. Do đó giấu đi thông tin phiên bản wordpress hiện tại mà website của chúng ta đang sử dụng là việc làm cần thiết.
Để làm việc này, các bạn mở file function.php trong theme mà chúng ta đang dùng, rồi dán 2 đoạn code dưới đây vào là được:
7. Giới hạn số lần đăng nhập WordPress
Nghĩa là chúng ta sẽ quy định số lần đăng nhập sai được phép. Nếu nhập sai quá số lần quy định sẽ bị tạm trì hoãn việc đăng nhập lại.
Việc này sẽ chống được việc một người nào đó cố tình đoán password hay các chương trình đoán password tự động.
Để có thể Giới hạn số lần đăng nhập WordPress, các bạn cài đặt plugin Login LockDown
8. Không nên sử dụng Username là Admin
Đây là cái tên đăng nhập mà Hacker sẽ thử đầu tiên khi họ muốn truy cập trái phép website của bạn. Do đó, hãy sử dụng một username khác cùng với một password đủ an toàn nhé!
Mình cũng giới thiệu đến các bạn một website chuyên hỗ trợ việc tạo ra các Password an toàn mà ban nên tham khảo là http://strongpasswordgenerator.com/
9. Yêu cầu truy suất Apache Password
Thực hiện việc này sẽ giúp cho các bạn tăng thêm một lớp bảo mật cho website wordpress. Nó sẽ giúp cho các bạn chống lại các đợt tất công tự động từ Hacker.
Để làm được việc này, các bạn có thể sử dụng plugin AskApache Password Protect
10. Backup dữ liệu thường xuyên
Đây là vấn đề hết sức cần thiết. Việc backup dữ liệu thường xuyên sẽ giúp cho các bạn có thể giảm tối đa thiệt hại nếu không may website của bạn bị Hacker tấn công. Các bạn sẽ đỡ phải đau đầu hơn rất nhiều nếu như toàn bộ website đã được backup an toàn. Việc này sẽ giúp cho chúng ta khôi phục hoạt động website nhanh chóng hơn nếu web của chúng ta bị hack.

Không có nhận xét nào:

Đăng nhận xét