WordPress là một trong những hệ thống quản lý nội dung phổ biến nhất trên thế giới. Thậm chí một số người sử dụng cảm thấy tốt hơn cả mã nguồn mở.
Tuy nhiên, vì như một mã nguồn mở, một phần mềm nó có thể dễ bị cá nhân, tổ chức xâm nhập vào mã để tìm ra các lỗ hổng trong các mã. Như vậy, các thiết kế website wordpress đã bị các hacker xâm nhập và tấn công, sau khi trang web wp của bạn bị tấn công có thể gây tổn hại đến danh tiếng của bạn và doanh nghiệp của bạn. Dưới dây là những kinh nghiệm để bảo vệ các website wordpress.
Nội dung chính
Wordperss luôn luôn gửi bạn những thông báo về các bản cập nhật mới và sẵn có cho website wordpress – bạn không nên bỏ qua điều này. Điều quan trọng là bạn luôn được cập nhật trên wp của bạn cài đặt, chủ đề và bổ sung để đảm bảo rằng bất kỳ lỗ hồng tồn tại đã được vá lại sau các bản cập nhật.
WordPress sẽ hiển thị các thông báo cập nhật ngay sau khi bạn đăng nhập. Các thông báo trên bảng điều khiển admin, cập nhật các plugin và các chủ đề khác nếu bạn thích sự thay đổi.
WordPress Themes và plugin được cài đặt trên website wp của bạn, nhưng hiện đang không hoạt động hoặc các phiên bản cũ là những rủi ro về bảo mật. Những hacker nghiệp dư có thể tận dụng các plugin không hoạt động trên site của bạn để tạo các cuộc tất công độc hại tới website của bạn.
Điều tốt nhất bạn nên làm là loại bỏ các chủ đề và các plugin mà bạn đang không sử dụng và tương lai không sử dụng, hãy cập nhật và sử dụng những gì bạn đang cần.
Hacker có thể đoán đăng nhập và mật khẩu admin của bạn, có thể truy cập vào chủ đề hoặc plugin các tập tin của bạn và chèn mã độc của riêng họ trên website của bạn. Ví dụ, họ có thể thay thế một tập tin mẫu vào một uploader PHP và tải lên các tập tin nhiều hơn hoặc cho phép thay đổi tập tin mà bạn không biết.
Vô hiệu quá các chủ đề tích hợp và soạn thảo văn bản bên trong của wordpress plugin đảm bảo rằng những kẻ xâm nhập không thể thay đổi chủ đề của bạn hoặc mã plugin trong bất kỳ cách nào.
Trong thư mục bạn cài đặt wordpress bạn sẽ thấy một tập tin có tên là wp-config.php và bạn nên thêm mã sau vào tập tin đó để tăng bảo mật cho website:
/* Vô hiệu quá chỉnh sửa và biên tập các plugin */
define( ‘DISALLOW_FILE_EDIT’, true );
define( ‘DISALLOW_FILE_MODS’, true );
Khi tắt bạn không còn có thể chỉnh sửa các tập tin bên trong của bảng quản trị wordpress.
Tập tin .htaccess của bạn đang hoạt động trên trang của bạn cho phép bạn kiểm soát quyền truy cập các tập tin có nghĩa là bạn có thể xác định những người có quyền truy cập vào các tập tin cụ thể hoặc các loại tập tin. Đó là một tập tin ẩn trong thư mục gốc trên trang web của bạn và bạn cần để hiển thị các tập tin ẩn để có thể truy cập nó.
Bạn có thể thêm đoạn mã này vào tập tin để chỉnh sửa:
# bảo vệ tập tin .htaccess
<Files ~ “^.*\.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</Files>
Điều này sẽ đảm bảo rằng không ai có thể truy cập vào tập tin .htaccess của bạn, bảo vệ website của bạn khỏi những kẻ xấu cố xâm nhập để thay đổi quyền truy cập tập tin trên trang web của bạn.
Khi bạn đang ở trong tập tin .htaccess bạn cũng có thể cài đặt và vô hiệu hóa danh sách các thư mục.
Danh sách thư mục được sử dụng để xem tất cả các nội dung của các thư mục, và thường được sử dụng để xem xét các trang web tổng thể. Tuy nhiên, để có thể nhìn thấy chúng là không tốt, vì nó thường có nghĩa là nó được tiếp xúc với công chúng, nghĩa là người ta có thể tìm kiếm cho các tập tin dễ bị xâm nhập và khai thác lỗ hổng bảo mật.
Bạn nên chỉnh sửa thêm vào tập tin dòng lệnh .htaccess root ( cho toàn bộ trang web của bạn cài đặt)
Options- Indexes
Điều này sẽ hạn chế khả năng cho bất cứ ai và tất cả mọi người từ việc có thể xem nội dung của trang web của bạn, làm cho việc tìm kiếm các lỗ hổng trên website của bạn sẽ khó khăn hơn.
Tập tin wp-config.php của bạn có chứa rất nhiều thông tin mà có thể rất hữu ích với những hacker. Nơi đây chứa những thứ quan trọng cho website của bạn như : tên cơ sở dữ liệu, mật khẩu,…
Cơ sở dữu liệu trang web wordpress sẽ được bảo vệ bởi các lệnh khóa trong tập tin wp-config.php. Hãy thêm phần này vào tập tin .htaccess:
# bảo vệ tập tin wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
Cũng như mọi yếu tố ở trên, quy tắc này ngăn cản sự truy cập trái phép ở bên ngoài, đảm bảo dữ liệu bảo mật của bạn tương đối an toàn.
Với các CMS, mã nguồn mở hay wordpress, theo mặc định cho phép người quản trị có thể truy cập và chỉnh sửa vào các tập tin, wp-login.php, …vào bất cứ nơi nào và khắp mọi nơi, đó là thuận tiên nhưng cũng là một nguy cơ bảo mật rất lớn.
Sử dụng .htaccess để thiết lập một danh sách các IP có thể được tạo ra mà được phép truy cập, thường được gọi là một “Danh sách trắng” để ngăn chặn IP không được phép truy cập nhằm cố đoán mật khẩu.
Bên trong tập tin .htaccess trong thư mục gốc hãy thêm đoạn mã này:
<files wp-login.php>
order deny,allow
deny from all
# static IP
allow from xxx.xxx.xxx.xxx
# dynamic IP
allow from xxx.xxx.xxx.0/8
allow from xxx.xxx.0.0/8
</files>
Hãy điền IP thực sự của bạn hay truy cập vào file, bạn nên sự dụng IP tĩnh. Có vô số các trang web sẽ cung cấp cho bạn địa chỉ IP chính xác bạn đang truy cập vào website.
Bảo vệ website của bằng phương pháp ngăn chặn truy cập tập tin wp-login.php thông qua một danh sách IP Trắng có thể tăng bảo mật lên gấp đôi bằng cách tạo ra các danh sách trắng tư tự cho các thư mục wp-admin bên trong của thư mục wordpress. Thêm mã này vào file .htaccess để ngăn chặn IP không rõ nguồn gốc truy cập thư mục wp-admin của bạn:
<LIMIT GET>
order deny,allow
deny from all
# static IP
allow from xxx.xxx.xxx.xxx
# dynamic IP
allow from xxx.xxx.xxx.0/8
allow from xxx.xxx.0.0/8
</LIMIT>
File .exe được up load lên website – họ thường sẽ chứa mã độc và có thể cài đặt virut trên máy tính của người dùng. Bạn có thể ngăn chặn được người dùng tải tập tin .exe đó lên bằng sử dụng .htaccess!
Thêm phần này vào tập tin .htaccess:
# Từ chối tất cả các tập tin .exe
<files “*.exe”>
order deny,allow
deny from all
</files>
Giống như các mã khác, ngăn cản bất kỳ và tất cả các file mở rộng đuôi .exe được đăng tải lên website wordpress của bạn.
Cũng giống như danh sách trắng được thêm vào file .htaccess, cho phép chỉ biết IP truy cập vào wp-login.php một bức tường lửa sẽ chỉ cho phép gọi IP để truy cập vào máy chủ FTP của bạn. Bạn hãy liên hệ với nhà cung cấp hosting trang web của bạn để được thiết lập.
Bảo mật website là điều quan trọng đối với các chủ sở hữu trang web. Danh sách trên là một khởi đầu vững chắc và hy vọng là hữu ích đối với bạn đọc. WordPress có thể dùng thêm các plugin để tăng bảo mật website lên như : Acunetix WP an, Login Lockdown, AskApache Password Protect,..
Bạn có từng khó chịu khi ngồi bồn cầu lạnh ngắt trong mùa đông hay…
Bạn đang thắc mắc thuê chung cư 2 phòng ngủ có phù hợp với gia…
Một trong những kinh nghiệm giúp việc mua bán nhà đất diễn ra hiệu quả,…
Khi chọn mua bộ bàn làm việc tại nhà, gia chủ tuổi Ngọ nên cân…
Hiện nay, chi phí để thuê mặt bằng công ty tại các thành phố lớn…
Hồ cá Koi bằng thùng xốp được khá nhiều người sử dụng để nuôi cá…