9 bước bảo vệ trang WordPress của bạn !
Bước 1 Tạo 1 file backup/ sao lưu
Nếu bạn có cPanel, bạn có thể thực hiện bước này với công cụ quản lý sao lưu (backup manager)
Nếu không bạn có thể tìm kiếm trên Google và sử dụng “backup buddy” - một Plugin cho WordPress
Bước 2 Chú ý cập nhật phiên bản WordPress mới
Điều này là rất quan trọng bởi vì WordPress sẽ cập nhật các lỗ hổng bảo mật chặt chẽ, điều này sẽ giữ cho trang web của bạn khỏe mạnh, an toàn!
Bước 3 Thay đổi thông tin tài khoản (Tên đăng nhập/Mật khẩu)
Tên người sử dụng mặc định của WP là “admin” và các hacker biết điều này. Do đó bạn nên thay đổi nó sang những tên các nhân của mình, ví dụ như "RocketRanger416" hay "James86". Tốt nhất là bạn nên thêm User mới đó và thiết lập quyền quản trị, xóa thông tin đăng nhập cũ đi.
Điều quan trọng nữa mà các chuyên gia khuyên bạn đó là hãy đặt một mật khẩu bảo mật thực sự mạnh (bao gồm cả chữ hoa, chữ thường, số và ký tự) ví dụ như “Rocket!2@" hay "jessieNOMAD12#4"
Hầu hết các hacker luôn cố gắng để dò mật khẩu của bạn nên nếu mật khẩu mạnh trang web của bạn sẽ an toàn.
Bước 4 Thay đổi các WordPress Keys
Nhiều người thường bỏ qua bước này nhưng đây là bước quan trọng vì những keys này là thành phần giống như muối cho vào bánh và dảm báo việc mã hóa dữ liệu tốt hơn.
Sử dụng WordPress Key Generator để tạo các key cần thiết. Sau đó tùy chỉnh file wpconfig.php và lọc ra các dòng sau:
Quote:
define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
và thay thế chúng bằng những dòng từ Key Generator. Lưu lại.
Bước 5 Cài đặt WP Security Scan
Plugin này rất tốt, hữu ích và sẽ giúp bạn bảo vệ site của mình một cách đơn giản, dễ dàng. NÓ sẽ quét các lỗ hổng bảo mật vs thông báo cho bạn các mã độc.
Nếu plugin này hiển thị các dòng màu xanh tức là an toàn, nếu không phải màu xanh, bạn cần phải sửa lỗi cho đến khi nào nó báo qua màu xanh là ok.
Bước 6 Thay đổi Table Prefix
Chú ý ! Bạn phải sao lưu dữ liệu trước khi tiếp tục
Tiền tố mặc định cho 1 trang Wordpress là “wp_” , điều này sẽ khiến cho kỹ thuật hacking SQL injection dễ dàng được thực hiện vì nó quá dễ đoán.
Một tiền tố tốt nên là “march26_” hay “magnol1a_”. Chúng tôi hoàn toàn khuyên bạn nên thực hiện thay đổi này. Bạn có thể thay đổi bằng plugin WP Security Scan đã cài đặt ở bước 5.
WP Security Scan có 1 tab là “Database”, khi bạn mở tab này lên sẽ có lựa chọn thay đổi tiền tố hiện tại.
Bước 7
Ngăn chặn các tấn công WordPress bằng cách khóa chặn các spider/bot của công cụ tìm kiếm khỏi việc chỉ số hóa khu vực quản trị. Các sprder bò lan khắp nơi trên cấu trúc trang web của bạn trừ khi chúng được lệnh dừng lại, và chúng ta hoàn toàn không muốn điều đso xảy ra.
Cách đơn giản nhất để ngăn chặn việc này là tạo 1 file robots.txt trong thư mục public_html với đoạn code sau:
Quote:
#
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*
Bước 8
Ngăn chặn các tấn công .htaccess
.htaccess (hypertext access) là tên mặc định của tập tin cấu hình cấp thư mục cung cấp việc quản lý phân cấp khi cấu hình bên trong cây web của bạn.
htaccess. thường được sử dụng để hạn chế bảo mật trên một thư mục cụ thể.
Vì vậy, hãy bảo vệ file .htaccess của bạn!
Đầu tiên chúng ta muốn tự bảo vệ tập tin .htaccess đó nên chèn thêm dòng sau (Làm điều này cho tất cả các tập tin .htaccess mà bạn có trong thư mục gốc và hay tạo mới)
Quote:
# STRONG HTACCESS PROTECTION
order allow,deny
deny from all
satisfy all
Public_html .htaccess below
Bây giờ hãy bảo đảm cho file config.php của bạn bằng cách thêm vào
Quote:
# protect wp-config.php
Order deny,allow
Deny from all
Bây giờ hãy ngăn chặn việc truy cập vào cây thư mục của bạn của các hacker bằng cách chèn vào:
Quote:
# disable directory browsing
Options All -Indexes
Quote:
# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
Đến thư mục /wp-content, giới hạn truy cập vào thư mục wp-content bằng cách tạo 1 file .htaccess trong thư mục wp-content và chèn vào :
Quote:
Order deny,allow
Deny from all
Allow from all
Đến thư mục /wp-admin/, Bây giờ nếu bạn sử dụng IP tĩnh tôi sẽ khuyên bạn nên tạo một. Htaccess trong thư mục wp-admin của bạn như sau (thay thế xxx bằng IP tĩnh của bạn)
Quote:
# deny access to wp admin
order deny,allow
allow from xx.xx.xx.xx
deny from all
Bước 9
Bước cuối cùng nhưng không kém quan trọng!
Bạn có thể cài đặt Wordpress Firewall 2 – điều này sẽ chăm sóc và hoàn toàn ngăn chặn mọi nỗ lực tấn công từ bên ngoài.
Hy vọng bài viết này có thể giúp những bạn đang gặp phải các vấn đề bảo mật WP và cả những ai không mong muốn gặp phải !
nguồn:voz
Nếu bạn có cPanel, bạn có thể thực hiện bước này với công cụ quản lý sao lưu (backup manager)
Nếu không bạn có thể tìm kiếm trên Google và sử dụng “backup buddy” - một Plugin cho WordPress
Bước 2 Chú ý cập nhật phiên bản WordPress mới
Điều này là rất quan trọng bởi vì WordPress sẽ cập nhật các lỗ hổng bảo mật chặt chẽ, điều này sẽ giữ cho trang web của bạn khỏe mạnh, an toàn!
Bước 3 Thay đổi thông tin tài khoản (Tên đăng nhập/Mật khẩu)
Tên người sử dụng mặc định của WP là “admin” và các hacker biết điều này. Do đó bạn nên thay đổi nó sang những tên các nhân của mình, ví dụ như "RocketRanger416" hay "James86". Tốt nhất là bạn nên thêm User mới đó và thiết lập quyền quản trị, xóa thông tin đăng nhập cũ đi.
Điều quan trọng nữa mà các chuyên gia khuyên bạn đó là hãy đặt một mật khẩu bảo mật thực sự mạnh (bao gồm cả chữ hoa, chữ thường, số và ký tự) ví dụ như “Rocket!2@" hay "jessieNOMAD12#4"
Hầu hết các hacker luôn cố gắng để dò mật khẩu của bạn nên nếu mật khẩu mạnh trang web của bạn sẽ an toàn.
Bước 4 Thay đổi các WordPress Keys
Nhiều người thường bỏ qua bước này nhưng đây là bước quan trọng vì những keys này là thành phần giống như muối cho vào bánh và dảm báo việc mã hóa dữ liệu tốt hơn.
Sử dụng WordPress Key Generator để tạo các key cần thiết. Sau đó tùy chỉnh file wpconfig.php và lọc ra các dòng sau:
Quote:
define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
và thay thế chúng bằng những dòng từ Key Generator. Lưu lại.
Bước 5 Cài đặt WP Security Scan
Plugin này rất tốt, hữu ích và sẽ giúp bạn bảo vệ site của mình một cách đơn giản, dễ dàng. NÓ sẽ quét các lỗ hổng bảo mật vs thông báo cho bạn các mã độc.
Nếu plugin này hiển thị các dòng màu xanh tức là an toàn, nếu không phải màu xanh, bạn cần phải sửa lỗi cho đến khi nào nó báo qua màu xanh là ok.
Bước 6 Thay đổi Table Prefix
Chú ý ! Bạn phải sao lưu dữ liệu trước khi tiếp tục
Tiền tố mặc định cho 1 trang Wordpress là “wp_” , điều này sẽ khiến cho kỹ thuật hacking SQL injection dễ dàng được thực hiện vì nó quá dễ đoán.
Một tiền tố tốt nên là “march26_” hay “magnol1a_”. Chúng tôi hoàn toàn khuyên bạn nên thực hiện thay đổi này. Bạn có thể thay đổi bằng plugin WP Security Scan đã cài đặt ở bước 5.
WP Security Scan có 1 tab là “Database”, khi bạn mở tab này lên sẽ có lựa chọn thay đổi tiền tố hiện tại.
Bước 7
Ngăn chặn các tấn công WordPress bằng cách khóa chặn các spider/bot của công cụ tìm kiếm khỏi việc chỉ số hóa khu vực quản trị. Các sprder bò lan khắp nơi trên cấu trúc trang web của bạn trừ khi chúng được lệnh dừng lại, và chúng ta hoàn toàn không muốn điều đso xảy ra.
Cách đơn giản nhất để ngăn chặn việc này là tạo 1 file robots.txt trong thư mục public_html với đoạn code sau:
Quote:
#
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*
Bước 8
Ngăn chặn các tấn công .htaccess
.htaccess (hypertext access) là tên mặc định của tập tin cấu hình cấp thư mục cung cấp việc quản lý phân cấp khi cấu hình bên trong cây web của bạn.
htaccess. thường được sử dụng để hạn chế bảo mật trên một thư mục cụ thể.
Vì vậy, hãy bảo vệ file .htaccess của bạn!
Đầu tiên chúng ta muốn tự bảo vệ tập tin .htaccess đó nên chèn thêm dòng sau (Làm điều này cho tất cả các tập tin .htaccess mà bạn có trong thư mục gốc và hay tạo mới)
Quote:
# STRONG HTACCESS PROTECTION
order allow,deny
deny from all
satisfy all
Public_html .htaccess below
Bây giờ hãy bảo đảm cho file config.php của bạn bằng cách thêm vào
Quote:
# protect wp-config.php
Order deny,allow
Deny from all
Bây giờ hãy ngăn chặn việc truy cập vào cây thư mục của bạn của các hacker bằng cách chèn vào:
Quote:
# disable directory browsing
Options All -Indexes
Quote:
# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
Đến thư mục /wp-content, giới hạn truy cập vào thư mục wp-content bằng cách tạo 1 file .htaccess trong thư mục wp-content và chèn vào :
Quote:
Order deny,allow
Deny from all
Allow from all
Đến thư mục /wp-admin/, Bây giờ nếu bạn sử dụng IP tĩnh tôi sẽ khuyên bạn nên tạo một. Htaccess trong thư mục wp-admin của bạn như sau (thay thế xxx bằng IP tĩnh của bạn)
Quote:
# deny access to wp admin
order deny,allow
allow from xx.xx.xx.xx
deny from all
Bước 9
Bước cuối cùng nhưng không kém quan trọng!
Bạn có thể cài đặt Wordpress Firewall 2 – điều này sẽ chăm sóc và hoàn toàn ngăn chặn mọi nỗ lực tấn công từ bên ngoài.
Hy vọng bài viết này có thể giúp những bạn đang gặp phải các vấn đề bảo mật WP và cả những ai không mong muốn gặp phải !
nguồn:voz
Comments
Post a Comment