5 mẹo để bảo vệ trang web WordPress khỏi tin tặc – Hiện nay, có rất nhiều mẹo và thủ thuật để bảo vệ trang web WordPress khỏi tin tặc, nhưng 5 mẹo quan trọng và được sử dụng phổ biến là những mẹo sau:
Thay đổi mọi thứ mặc định
Thông thường, các tin tặc hay tấn công các tùy chọn mặc định trên web nên bạn cần thay đổi mọi thứ như
- Tên người dùng mặc định là quản trị viên và tên tốt hơn phải là biệt danh riêng tư và cá nhân.
- Thư mục cài đặt thường nằm trong thư mục gốc phải là một thư mục ngẫu nhiên và bạn dùng 1 mã php nhỏ làm cho trang web được truy cập như thường lệ ngay cả khi thư mục cài đặt không phải là thư mục thông thường. Bạn dễ sửa đổi mã php từ index.php, từ thư mục gốc của bạn nơi bạn đặt chỉ mục WordPress, nhưng bạn cũng có thể thay đổi thư mục cài đặt bằng cách
require( dirname( __FILE__ ) . ‘/ wp-blog-header.php’);
đến
require( dirname( __FILE__ ) . ‘/random_folder_name/ wp-blog-header.php’ );
- Các khóa WordPress từ tệp cấu hình wp-config.php được sử dụng để mã hóa dữ liệu người dùng tốt hơn, chẳng hạn như:
define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
- Tiền tố bảng từ mặc định có tên _wp khi bạn tạo cơ sở dữ liệu cho WordPress.
- Bạn cần xóa biểu mẫu điền tự động để các biểu mẫu sẽ không tự động và hoàn thành ngay lập tức với dữ liệu riêng tư.
- Vô hiệu hóa nhấp chuột phải để tin tặc không thể thấy mã nguồn của bạn dễ dàng và không thể tìm kiếm sau thông tin cá nhân như tên mẫu, phiên bản WordPress và plugin.
- Chặn các công cụ tìm kiếm khỏi các phần quản trị lập chỉ mục như wp-admin, wp-gộp, wp-content / plugins /, wp-content / cache /, wp-content / Themes và không cho phép truy cập tại các trang nguồn cấp dữ liệu, theo dõi và danh mục bằng robot Tệp .txt được đặt trong thư mục gốc của bạn như trong ví dụ dưới đây:
#
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*
- Sửa đổi và bảo vệ tệp .htaccess để ngăn chặn hack WordPress bằng cách dùng một mã đẹp trong tệp .htaccess gốc như:
# STRONG HTACCESS PROTECTION</code>
<Files ~ “^.*\.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</Files>
- Bảo mật wp-config.php bằng mã bổ sung được viết trong .htaccess:
# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>
- Giới hạn quyền truy cập vào thư mục wp-content bằng cách thêm mã .htaccess bổ sung:
Order deny,allow
Deny from all
<Files ~ “.(xml|css|jpeg|png|gif|js)$”>
Allow from all
</Files>
- Vô hiệu hóa duyệt thư mục bằng mã được viết bằng .htaccess:
Options All –Indexes
- Ngăn chặn việc tiêm script với mã .htaccess khác:
# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR] RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
Cập nhật mọi thứ
Một cách khác để bảo vệ trang web WordPress của bạn là plugin WP Updates Notifier thông báo cho bạn về các bản cập nhật mới và sau đó bạn có thể nghiên cứu từng plugin, chủ đề hoặc thậm chí lõi WordPress để xem có an toàn để cập nhật hay không.
Xem thêm : Cách tạo một Website WordPress
Trong trường hợp, mọi thứ đều ổn, bạn nên cập nhật càng nhanh càng tốt ở phiên bản trước, nếu không trang web sẽ bị lỗi thời và dễ bị hack. Nếu nó không an toàn, tốt hơn hết bạn không nên cập nhật và bạn nên hủy kích hoạt , xóa plugin hoặc chủ đề. Tốt hơn hết là bạn nên dùng một cái mới hơn và tốt hơn.
Sử dụng các kỹ thuật bảo mật được cải thiện
Nếu bạn dùng các kỹ thuật bảo mật được cải tiến như Chứng chỉ SSL được mã hóa để ngăn dữ liệu cá nhân như số thẻ tín dụng được chuyển đến tin tặc hoặc một công ty lưu trữ web tốt cung cấp cho bạn một IP chuyên dụng, nhưng bảo vệ DDoS và Spam sẽ bảo vệ trang web của bạn an toàn hơn
Sử dụng phần mềm bảo mật nâng cao
Bạn cũng có thể cài đặt các plugin bảo mật khác nhau như WP Security Scan, hoạt động như quét chống vi-rút sau các lỗ hổng và thông báo cho bạn nếu phát hiện mã xấu. Plugin này rất tốt cho các lỗ hổng XSS, xâm nhập, khóa và đăng nhập các lần đăng nhập không chính xác, nhưng bạn có thể sử dụng một chương trình chống vi-rút thông thường như BitDefender Antivirus hoặc ESET Nod32 Antivirus để quét các tệp bạn tải lên trên FTP hoặc qua Thư viện phương tiện WordPress.
Ngoài ra, bạn có thể cài đặt tường lửa ứng dụng web (WAF) là dịch vụ cắm và phát trên nền tảng đám mây đóng vai trò là cổng cho tất cả lưu lượng truy cập đến hoặc các ứng dụng bảo mật khác như Acunetlx WP Security ẩn danh tính CMS trang web.
Sao lưu trang web của bạn thường xuyên
Bạn cũng cần sao lưu thường xuyên mỗi ngày hoặc, ít nhất, mỗi tuần 1 cách thủ công. Bẹn nên làm với plugin WordPress hoặc phần mềm như R1-Soft mà công ty lưu trữ của bạn cung cấp cho bạn để sao lưu tự động.
Bạn thực sự cần sao lưu email, tệp ftp, ngay cả cơ sở dữ liệu của bạn, đặc biệt là khi WordPress sử dụng cơ sở dữ liệu cho các khía cạnh chức năng, nội dung và thiết kế.
Để chắc chắn, bạn nên tải lên mọi bản sao lưu trong Dropbox , OneDrive hoặc MediaFire tùy thuộc vào dung lượng bạn có.
Cuối cùng, ngay cả khi bạn thực hiện tất cả các biện pháp phòng ngừa cần thiết, bạn có thể dễ dàng bị hack hoặc lừa nếu bạn không cẩn thận và bạn cần tuân theo một số quy tắc thông thường như sau:
- Không bao giờ đăng nhập vào bảng điều khiển WordPress hoặc các bảng điều khiển khác liên quan đến trang web từ máy tính của trường học / công ty nước ngoài vì có thể bạn quên rằng bạn đã đăng nhập và ai đó có thể truy cập trang web của bạn sau này.
- Không bao giờ cung cấp thông tin xác thực cPanel, FTP, cơ sở dữ liệu, WordPress hoặc lưu trữ của bạn bởi vì đôi khi do nhầm lẫn hoặc không, mọi người thực sự dễ làm điều xấu.
- Luôn sử dụng liên kết trang web để đăng nhập vào trang web đó và không sử dụng trang web khác ngay cả khi chúng tương tự nhau, bạn bị lừa dễ dàng, sau đó thông tin đăng nhập được lưu trên máy chủ riêng hoặc gửi qua email cho một người.
- Luôn sử dụng các vai trò và quyền người dùng được xác định rõ nếu bạn cần thêm người dùng vào trang web của mình vì những lý do nhất định.
- Luôn dùng địa chỉ email riêng, tên người dùng và mật khẩu cho thông tin đăng nhập trang web của bạn chứ không phải địa chỉ chung.
- Nếu bạn đã cho ai đó như nhà tạo website hoặc lập trình viên FTP của bạn hoặc thông tin đăng nhập khác, bạn cần thay đổi họ sau khi anh ta hoàn thành công việc và bạn nên kiểm tra xem liệu anh ta có dùng bất cứ tập lệnh khai thác nào không.
Trang web có được bảo vệ không? Bạn đang thực hiện những biện pháp nào để bảo mật trang web WordPress của mình và bảo vệ nó trước tin tặc? Hãy cho chúng tôi biết ở phần bình luận bên dưới.
