8 mẹo bảo mật cho WordPress

Nhiều người khi làm web bằng WordPress phản ánh rằng CMS WordPress bảo mật rất kém dẫn đến tình trạng website thường xuyên bị hack. Tuy nhiên thực tế không hoàn toàn như vậy. Nguyên nhân dẫn đến tình trạng đó chẳng qua là vì bạn chưa biết cách bảo mật triệt để mà thôi.

Dưới đây chúng tôi sẽ hướng dẫn các bạn một vài thủ thuật để khắc phục tình trạng trên.

1.    Thường xuyên đổi tiền tố “prefix_” trong CSDL cho web wordpress.

Tên của các bảng trong CSDL có thể giống nhau. Nhưng tiền tố (prefix) thì tốt nhất nên là của riêng bạn. Do đó, khi cài đặt WordPress lần đầu bạn nên đặt cá nhân một chút. Trong trường hợp bạn đã sử dụng mặc định tiền tố của WordPress (wp_) thì cũng có thể dễ dàng thay đổi với các cách sau đây.

Lưu ý: Nên backup lại DB và file wp-config.php trước khi thực hiện.

Nếu bạn chuyên nghiệp một xíu hoặc biết một chút về database thì có thể login vào phpmyadmin và thay đổi trong đó với câu lệnh (query) như sau:

Hoặc bạn có thể viết:

Trong đó wp_ là tiền tố hiện tại, newprefix_ là tiền tố cần chuyển sang (tiền tố này bạn có thể thay đổi tùy theo ý thích của mình). Tuy nhiên, sau khi đã thay đổi trong csdl thì bạn phải vào trong file wp-config.php và thay đổi một chút như sau:

Thành:

Như vậy thì đố các hacker có thể tìm ra được đó. Hoặc bạn có thể đổi prefix theo ý của mình hoặc bạn có thể random.org và thay đổi một cách ngẫu nhiên. Thường khoảng 1-2 tháng thì các bạn nên thay đổi một lần.

Bước cuối cùng, chúng ta cần phải tiến hành thay đổi thêm một số cái linh tinh nữa mới chạy hoàn chỉnh được. Có 2 bảng cần phải thay đổi.

–  Bảng newprefix_option (bảng mới sau khi đổi) tìm tới dòng thứ 89 có tên là wp_user_roles và chuyển thành newprefix_user_roles.

–  Bảng newprefix_usermeta, các bạn chuyển cột meta_key với các tiền tố wp_ thành newprefix_

Sau khi thay đổi xong thì coi như mọi thứ đã hoàn thành rồi đó.

2.    Ẩn thông báo lỗi khi login

Thông báo lỗi khi login đôi lúc vô tình lại là thông tin để các hacker dò ra thông tin của bạn. Do đó, tốt nhất thì chúng ta nên ẩn nó đi. Và cách ẩn thông báo lỗi thì cũng rất đơn giản, bạn chỉ cần vào tập tin functions.php trong thư mục theme của bạn và thêm filter này vào.

3.    Bảo mật hai lớp cho wp-admin bằng .htaccess

Thông thường, khi bạ gõ website.com/wp-admin thì nó sẽ hiển thị ra luôn màng hình đăng nhập. Tuy nhiên, muốn tối ưu hơn thì các bạn có thể tạo thêm một lớp bảo mật nữa từ server với file .htaccess. Khi người dùng vào wp-admin thì nó sẽ hiển thị ra một promt thông báo yêu cầu điền tài khoản và mật khẩu .
Nếu bạn nào đang sử dụng hosting và quản lý bằng Cpanel thì có thể thao tác đơn giản với tính năng có sẵn.

Các bạn đăng nhập vào Cpanel, trong Security Tab, chọn mục Password Protect Directories. Sau đó, chọn thư mục wp-admin và điển các thông tin vào là các bạn đã thành công.

Trong trường hợp các bạn sử dụng VPS hoặc sử dụng phần mền quản lý host khác thì có thể không có tính năng trên. Do đó, các bạn sẽ thực hiện thủ công với các bước như sau:

Bước 1: tạo tập tin htpasswds

Bạn cần phải tạo một tập tin có tên là .htpasswds đây là tập tin chứa đựng thông tin user và password của bạn. Tập tin này bạn có thể nằm ở vị trí nào đó mà mình thích. Trong ví dụ này tôi lưu ở home/user/public_html/wp-admin/passwd/

Bây giờ chúng ta sẽ tiến hành khai báo thông tin cho tập tin .htpasswds. Thông thường, tập tin này có thể dùng command line hoặc php để tạo, tuy nhiên để trực quan hơn, các bạn có thể dùng website này để tạo: http://www.htaccesstools.com/htpasswd-generator/

Sau khi tạo ra thì nó sẽ cung cấp cho mình một đoạn mã, các bạn copy đoạn mã đó vào file .htpasswds và lưu lại.

Bước 2: Tạo tập tin .htaccess

Các bạn vào trong thư mục wp-admin, tạo ra một tập tin là .htaccess với nội dung như sau đây:

Trong đoạn trên thì các bạn lưu ý là cần phải đổi đúng đường dẫn AuthUserFile và phải thay đổi đúng your-user-name là user mà bạn tạo. Sau khi tạo file này xong thì các bạn có thể vào wp-admin và xem thành quả.

Bước 3: Các lỗi hay gặp

Đây là một số lỗi có thể xảy ra khi dùng phương thức bảo mật này.

–  Lỗi 404 Error hoặc Too many redirects error: trong trường hợp này thì bạn cần phải vào trong file . htaccess gốc ở thư mục root của WordPress (không phải file vừa tạo trong wp-admin), và thêm vào một dòng như sau

–  Lỗi không dùng được file ajax-admin.php: Nguyên nhân là khi chúng ta bảo mật thư mục wp-admin thì đồng thời nó cũng sẽ chặn các truy cập vào thư mục này thông qua các tập tin trong đó. Do đó, các plugin có sử dụng ajax-admin.php ngoài front-end sẽ không thể truy cập đc. Trong trường hợp đó, bạn có thể thêm đoạn code sau vào file .htaccess ở thư mục wp-admin.

–  Không chạy được .htaccess: Nguyên nhân do có thể bạn chưa “Enable Apache Htaccess Files”. Cách thực hiện thì rất đơn giản. Bạn có thể vào trong ftp và tìm dòng lênh như sau /etc/apache2/apache2.conf (cái đường dẫn này còn tùy nhé).

Bạn chữa AllowOverride None thành AllowOverride All.

Lưu lại và khởi động lại Apache.

4.    Thường xuyên backup dữ liệu

Cách bảo vệ an toàn nhất là nên backup dữ liệu cho trang web wordpress thường xuyên (cả database, source code, resource,…). Nếu số bạn may mắn thì hosting hoặc VPS bạn đang xài không có vấn đề gì xảy ra cả. Nhưng nếu số bạn đen thì mọi thứ đen tối đều có thể xảy ra (cháy nổ server, lũ lụt, sét đánh, bị đánh bom, máy bay rới trúng….) chính vì thế chúng ta cần phải backup thường xuyên “Cẩn tắc vô ái náy”.

Thông thường, nếu như website của bạn có lượt comment thường xuyên hoặc bài viết ngày nào cũng có thì có thể backup 1 ngày/lần. Nếu không thường xuyên thì 3 ngày/lần. Bạn có thể backup manual (tức tự backup) hoặc dùng 1 trong số các plugin sau đây để backup:

WP-DB-Backup: Backup lại core database và các bảng khác nếu có.

WP Time Machine: Sẽ backup dữ liệu của bạn, sau đó sẽ sync sang Dropbox hoặc Amazon AWS S3.

WordPress Backup: Sẽ backup lại thư mục upload, themes và plugin của bạn

5.    Không nên hiển thông tin thị thư mục

Thông thường, nếu bạn vào một thư mục trên website mà nó không có sự hiện diện của các tập tin như index.html, index.php… thì tự động server sẽ trả về toàn bộ danh sách các tập tin, các thư mục con có trong nó.

Chính vì thế, muốn bảo vệ thông tin của bạn thì tốt nhất trong mỗi thư mục nên có 1 file index.html rỗng hoặc file index.html đó sẽ tự redirect về trang chủ.
Nếu lười, bạn có thể thêm một lệnh sau ở trong tập tin .htaccess.

6.    Thường xuyên update WordPress và Plugin

WordPress là một trong những mã nguồn mở có tốc độ update nhanh cũng sắp chóng mặt. Nguyên nhân là nó được ưa chuông nhất hiện tại, nhưng càng nhiều người dùng thì người ta sẽ thường xuyên phát hiện lỗi và buộc nhà phát triển phải vá lỗi để đảm bảo khả năng về bảo mật cũng như cải thiện chất lượng khi người dùng và lập trình viên sử dụng.

Do đó, bạn hãy thường xuyên kiểm tra và nâng cấp WordPress core cũng như các Plugin đang có trên website của mình. Ngoài ra bạn cũng nên xóa hoàn toàn đi các plugin nào không sử dụng mà vẫn để ở chế độ Deactive.

7.    Lựa chọn một mật khẩu siêu việt

Thật là lố bịch khi bạn đặt một cái mật khẩu ngô nghê đến mức ai cũng biết. Hãy chọn một mật khẩu của riêng mình. Đảm bảo rằng, trong mật khẩu của bạn phải có các yêu tố như sau:

–  Có ít nhất 1 chữ cái in HOA

–  Có ít nhất 1 số tự nhiên (1234567890)

–  Có ít nhất một ký tự đặc biệt (~!@#$%^&*()_+=|)

Một mật khẩu tốt phải có tối thiểu 12 ký tự hỗn hợp (bao gồm các ký tự nêu trên). Một điểm đáng chú ý nữa là bạn hạn chế sử dụng chức năng ghi nhớ mật khẩu của trình duyệt. Nếu người khác vô tình được ngồi vào máy của mình và vô tình login một cách tự đông vào back-end thì chuyện gì đến rồi cũng sẽ đến.

8.    Không nên dùng user với tên admin hoặc root

Nếu bạn đang sử dụng tài khoản với cái user name là admin, root, administrator,… thì tốt nhất nên thay đổi nó đi. Vì đó là một trong những cái username phổ biến, hacker hoàn toàn có thể sử dụng nó để xâm nhập vào hệ thống của bạn. Nếu muốn đổi thì cũng đơn giản, bạn chỉ cần thực hiện một trong hai cách sau đây:

– Tạo một tại khoản mới với username mới và set nó ở quyền quản trị cao nhất. Sau đó login vào tài khoản mới và xóa cái username cũ đi.

– Nếu bạn rành về quản lý CSDL thì có thể login vào phpmyadmin và vào bản wp-users để thay đổi.

Nguồn/internet

Xem bài viết thêm:

Kiến Thức cần thiết cho Website

google ưu tiên trên website hỗ trợ hiển thị trên thiết bị di động