Làm thế nào để bảo vệ website wordpress

Đăng ngày: 09 Tháng 3 2015
Đánh giá bài này
(1 Bình chọn)

Wordpress là một trong những hệ thống quản lý nội dung phổ biến nhất trên thế giới. Thậm chí một số người sử dụng cảm thấy tốt hơn cả mã nguồn mở.

Tuy nhiên, vì như một mã nguồn mở, một phần mềm nó có thể dễ bị cá nhân, tổ chức xâm nhập vào mã để tìm ra các lỗ hổng trong các mã. Như vậy, các thiết kế website wordpress  đã bị các hacker xâm nhập và tấn công, sau khi trang web wp của bạn bị tấn công có thể gây tổn hại đến danh tiếng của bạn và doanh nghiệp của bạn. Dưới dây là những kinh nghiệm để bảo vệ các website wordpress.

Luôn cập nhật

Wordperss luôn luôn gửi bạn những thông báo về các bản cập nhật mới và sẵn có cho website wordpress – bạn không nên bỏ qua điều này. Điều quan trọng là bạn luôn được cập nhật trên wp của bạn cài đặt, chủ đề và bổ sung để đảm bảo rằng bất kỳ lỗ hồng tồn tại đã được vá lại sau các bản cập nhật.

Wordpress sẽ hiển thị các thông báo cập nhật ngay sau khi bạn đăng nhập. Các thông báo trên bảng điều khiển admin, cập nhật các plugin và các chủ đề khác nếu bạn thích sự thay đổi.

Xóa inactive / Chủ đề và plugins cũ

Wordpress Themes và plugin được cài đặt trên website wp của bạn, nhưng hiện đang không hoạt động hoặc các phiên bản cũ là những rủi ro về bảo mật. Những hacker nghiệp dư có thể tận dụng các plugin không hoạt động trên site của bạn để tạo các cuộc tất công độc hại tới website của bạn.

Điều tốt nhất bạn nên làm là loại bỏ các chủ đề và các plugin mà bạn đang không sử dụng và tương lai không sử dụng, hãy cập nhật và sử dụng những gì bạn đang cần.

Vô hiệu quá các chủ đề và plugin biên tập

Hacker có thể đoán đăng nhập và mật khẩu admin của bạn, có thể truy cập vào chủ đề hoặc plugin các tập tin của bạn và chèn mã độc của riêng họ trên website của bạn. Ví dụ, họ có thể thay thế một tập tin mẫu vào một uploader PHP và tải lên các tập tin nhiều hơn hoặc cho phép thay đổi tập tin mà bạn không biết.

Vô hiệu quá các chủ đề tích hợp và soạn thảo văn bản bên trong của wordpress plugin đảm bảo rằng những kẻ xâm nhập không thể thay đổi chủ đề của bạn hoặc mã plugin trong bất kỳ cách nào.

Trong thư mục bạn cài đặt wordpress bạn sẽ thấy một tập tin có tên là wp-config.php và bạn nên thêm mã sau vào tập tin đó để tăng bảo mật cho website:

/* Vô hiệu quá chỉnh sửa và biên tập các plugin */

define( 'DISALLOW_FILE_EDIT', true );

define( 'DISALLOW_FILE_MODS', true );

Khi tắt bạn không còn có thể chỉnh sửa các tập tin bên trong của bảng quản trị wordpress.

Bảo vệ tập tin .htaccess của bạn

Tập tin .htaccess của bạn đang hoạt động trên trang của bạn cho phép bạn kiểm soát quyền truy cập các tập tin có nghĩa là bạn có thể xác định những người có quyền truy cập vào các tập tin cụ thể hoặc các loại tập tin. Đó là một tập tin ẩn trong thư mục gốc trên trang web của bạn và bạn cần để hiển thị các tập tin ẩn để có thể truy cập nó.

Bạn có thể thêm đoạn mã này vào tập tin để chỉnh sửa:

# bảo vệ tập tin .htaccess

<Files ~ "^.*\.([Hh][Tt][Aa])">

 order allow,deny

 deny from all

 satisfy all

</Files>

Điều này sẽ đảm bảo rằng không ai có thể truy cập vào tập tin .htaccess của bạn, bảo vệ website của bạn khỏi những kẻ xấu cố xâm nhập để thay đổi quyền truy cập tập tin trên trang web của bạn.

Vô hiệu hóa Directory Listing

Khi  bạn đang ở trong tập tin .htaccess bạn cũng có thể cài đặt và vô hiệu hóa danh sách các thư mục.

Danh sách thư mục được sử dụng để xem tất cả các nội dung của các thư mục, và thường được sử dụng để xem xét các trang web tổng thể. Tuy nhiên, để có thể nhìn thấy chúng là không tốt, vì nó thường có nghĩa là nó được tiếp xúc với công chúng, nghĩa là người ta có thể tìm kiếm cho các tập tin dễ bị xâm nhập và khai thác lỗ hổng bảo mật.

Bạn nên chỉnh sửa thêm vào tập tin dòng lệnh .htaccess root ( cho toàn bộ trang web của bạn cài đặt)

Options- Indexes

Điều này sẽ hạn chế khả năng cho bất cứ ai và tất cả mọi người từ việc có thể xem nội dung của trang web của bạn, làm cho việc tìm kiếm các lỗ hổng trên website của bạn sẽ khó khăn hơn.

Bảo vệ file “wp-config.php”

Tập tin wp-config.php của bạn có chứa rất nhiều thông tin mà có thể rất hữu ích với những hacker. Nơi đây chứa những thứ quan trọng cho website của bạn như : tên cơ sở dữ liệu, mật khẩu,...

Cơ sở dữu liệu trang web wordpress sẽ được bảo vệ bởi các lệnh khóa trong tập tin wp-config.php. Hãy thêm phần này vào tập tin .htaccess:

# bảo vệ tập tin  wp-config.php

<files wp-config.php>

order allow,deny

deny from all

</files>

Cũng như mọi yếu tố ở trên, quy tắc này ngăn cản sự truy cập trái phép ở bên ngoài, đảm bảo dữ liệu bảo mật của bạn tương đối an toàn.

Ngăn chăn truy cập “ wp-login.php” từ một địa chỉ IP không rõ

Với các CMS, mã nguồn mở hay wordpress, theo mặc định cho phép người quản trị có thể truy cập và chỉnh sửa vào các tập tin, wp-login.php, ...vào bất cứ nơi nào và khắp mọi nơi, đó là thuận tiên nhưng cũng là một nguy cơ bảo mật rất lớn.

Sử dụng .htaccess để thiết lập một danh sách các IP có thể được tạo ra mà được phép truy cập, thường được gọi là một “Danh sách trắng” để ngăn chặn IP không được phép truy cập nhằm cố đoán mật khẩu.

Bên trong tập tin .htaccess trong thư mục gốc hãy thêm đoạn mã này:

<files wp-login.php>

order deny,allow

deny from all

# static IP

allow from xxx.xxx.xxx.xxx

# dynamic IP

allow from xxx.xxx.xxx.0/8

allow from xxx.xxx.0.0/8

</files>

Hãy điền IP thực sự của bạn hay truy cập vào file, bạn nên sự dụng IP tĩnh. Có vô số các trang web sẽ cung cấp cho bạn địa chỉ IP chính xác bạn đang truy cập vào website.

Ngăn chặn truy cập “wp-admin” từ một địa chỉ IP không rõ

Bảo vệ website của bằng phương pháp ngăn chặn truy cập tập tin wp-login.php thông qua một danh sách IP Trắng có thể tăng bảo mật lên gấp đôi bằng cách tạo ra các danh sách trắng tư tự cho các thư mục wp-admin bên trong của thư mục wordpress. Thêm mã này vào file .htaccess để ngăn chặn IP không rõ nguồn gốc truy cập thư mục wp-admin của bạn:

<LIMIT GET>

order deny,allow

deny from all

# static IP

allow from xxx.xxx.xxx.xxx

# dynamic IP

allow from xxx.xxx.xxx.0/8

allow from xxx.xxx.0.0/8

</LIMIT>

Từ chối tập tin mở rộng có đuôi .exe

File .exe được up load lên website – họ thường sẽ chứa mã độc và có thể cài đặt virut trên máy tính của người dùng. Bạn có thể ngăn chặn được người dùng tải tập tin .exe đó lên bằng sử dụng .htaccess!

Thêm phần này vào tập tin .htaccess:

# Từ chối tất cả các tập tin .exe

<files "*.exe">

order deny,allow

deny from all

</files>

Giống như các mã khác, ngăn cản bất kỳ và tất cả các file mở rộng đuôi .exe được đăng tải lên website wordpress của bạn.

Thêm một Firewall

Cũng giống như danh sách trắng được thêm vào file .htaccess, cho phép chỉ biết IP truy cập vào wp-login.php một bức tường lửa sẽ chỉ cho phép gọi IP để truy cập vào máy chủ FTP của bạn. Bạn hãy liên hệ với nhà cung cấp hosting trang web của bạn để được thiết lập.

Kết Luận

Bảo mật website là điều quan trọng đối với các chủ sở hữu trang web. Danh sách trên là một khởi đầu vững chắc và hy vọng là hữu ích đối với bạn đọc. Wordpress có thể dùng thêm các plugin để tăng bảo mật website lên như : Acunetix WP an, Login Lockdown, AskApache Password Protect,..

Gửi bình luận

Hãy nhập đầy đủ các thông tin yêu cầu trong ô có dấu (*). Không được phép sử dụng mã HTML.

LIKE để ủng hộ bạn nhé!

 

Tham gia diễn đàn seo hàng đầu Việt Nam

Has no content to show!