Có 2 cách đêt năng cao bảo mật cho trang web hay blog wordpress : sự dụng plugin của wordpress và tôi ưu hóa code tăng độ bảo mật.
- Sự dụng Plugin :
1. Login Lockdown
Login LockDown sẽ theo dõi IP và thời gian của người đăng nhập thất bại, nếu có nhiều hơn một số lần đăng nhập không thành công nhất định trong một khoảng thời gian ngắn của một dải IP thì chức năng đăng nhập sẽ bị vô hiệu hóa đối với người đó. Điều này sẽ ngăn chặn những kẻ thường xuyên nhòm ngó tài khoản blog của bạn.
Hiện tại, theo mặc định plugin đó sẽ vô hiệu hóa tính năng đăng nhập trong khoảng 1h nếu như bạn đăng nhập thất bại 3 lần trong vòng 5 phút. Bạn cũng có thể sửa đổi lại các mức thời gian cũng như số lần đăng nhập trong bảng điều khiển của plugin đó.
2. WP Security Scan
WP Security Scan giúp quét toàn bộ website để kiểm tra vấn đề bảo mật kiểm tra mật khẩu, phân quyền trên thư mục/tập tin, cơ sở dữ liệu, ẩn phiên bản WP, bảo vệ các chức năng quản trị (ví dụ như cho phép đổi tên tài khoản “admin” mặc định)
3. Antivirus for WordPress
Antivirus for WordPress sẽ giúp bạn phòng tránh được những nguy cơ đó. Nó sẽ tự dộng quét, dò tìm và thông báo tới bạn nếu phát hiện có Viruses, worms và malware trong blog của bạn. Bạn còn có thể cấu hình để nó quét hàng ngày và gửi email thông báo cho bạn nếu có gì bất thường xảy ra. Đây thực sự là một plugin rất hữu ích trong việc bảo mật cho blog.
4. WordPress File Monitor
WordPress File Monitor giúp giám sát quá trình thêm/xóa/thay đổi của các tập tin trong WordPress của bạn. Một khi có sự thay đổi nào đó được phát hiện, một 1 e-mail thông báo sẽ được gửi đến địa chỉ e-mail xác định của bạn.
5. Secure WordPress
Secure WordPress giúp xóa bỏ thông tin lỗi trên trang đăng nhập; thêm index.html vào thư mục plugin; xóa bỏ wp-version ngoại trừ khu vực admin; xóa bỏ Really Simple Discovery, Windows Live Writer; xóa bỏ các thông tin cập nhật chính, thông tin cập nhật theme, plugin cho các tài khoản non-admin; dấu wp-version trong backend-dashboard cho các tài khoản non-admin; thêm string cho WP Scanner; ngăn chặn các truy vấn xấu.
- Tối ưu hóa code:
1. Loại bỏ Meta Tag phiên bản WordPress
Ngầm định, rất nhiều themes WordPress sử dụng Meta Tag xác định phiên bản đang sử dụng trên blog các nhân. Việc này giúp ích cho nhãn hiệu của công cụ blog và giúp cho việc thống kedeex dàng hơn. Nhưng Hacker hay Spamer có thể lợi dụng chúng để xác định nhanh chóng các lỗi tồn tại và cách thức khai thác. Các bạn không nên giữ dòng Meta Tag này.
Để loại bỏ, bạn vào trong Wp-Admin/Presentation/Edit Theme/Edit Header.php/Bỏ dòng sau :
<meta content="WordPress <?php bloginfo('version'); ?>"
name="generator" />
2. Chặn truy cập thư mục
Cách này nhằm tránh những người có chủ tâm không tốt khai thác thông tin về blog của bạn, rồi dùng thâm tin đó để dò lỗi và khai thác. Rất nhiều nhà cung câp dịch vụ Hosting hay Webmaster để ngầm định chế đọ cho phép xem trang index của thư mục. Tuy nhiên, bạn nên loại bỏ khả năng xem nội dung thư mục trong phần code của WordPress (Disable Access to your Directory Indexes) bằng cách tạo một file .htaccess với nội dung như sau trong thư mục gốc của Blog WordPress của bạn :
Options -Indexes
Một cách khác cũng khá đơn giản, là tạo một file index.php trắng hay một file index.html trong thư mục quan trọng như Plugins chẳng hạn.
3. Hạn chế truy cập wp-admin
Một trong những cách hacker đoạt quyền điều khiển là thông qua công cụ quản trị. Thay vì cho bất kể ai cũng có thể đăng nhập với tên và mật mã admin và phần quản trị thì bạn có thể hạn chế với một số IP nhất định. Để làm việc này, bạn cần tạo một tệp tin htaccess dạng như sau trong thư mục gốc của blog WordPress :
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "vietSEO Access Control"
AuthType Basic
order deny,allow
deny from all
allow from 1.1.1.2
allow from 1.1.1.3
Trong phần trên bạn chỉ cho phép IP đến từ các địa chỉ 1.1.1.2 và 1.1.1.3 kết nối đến thư mục /wp-admin/ bạn hãy thay thế nó bằng IP tương ứng của mình.
Bạn cũng có thể kết hợp với plugin của Michael’s Login Lockdown plugin cho phép hạn chế khả năng hack mật khẩu người dùng bằng cách thử lặp hay từ điển. Nếu nhập sai mật khẩu một số lần nhất định, nó sẽ khóa IP đó trong vòng một thời gian 1 tiếng theo cấu hình ngầm định.
Mẹo vặt: Bạn có thể chỉ định cho các công cụ tìm kiếm không đánh chỉ mục nội dung thư mục /wp-admin/ bằng cách thêm vào dòng lệnh sau vào trong file robots.txt của blog tại thư mục gốc.
Disallow: /wp-admin/
0 nhận xét:
Đăng nhận xét