7 mẹo bảo mật cho người dùng WordPress Pro

7-meo-bao-mat-cho-nguoi-dung-wordpress-pro

7 mẹo bảo mật cho người dùng WordPress Pro – Bạn không bao giờ nghĩ rằng trang web của bạn sẽ bị hack cho đến khi nó xảy ra.

Cảm giác bất lực, thất vọng và cơn thịnh nộ thuần túy muốn đục lỗ trên bê tông là điều hợp lý khi hàng trăm giờ thời gian, nỗ lực, hy vọng và giấc mơ của bạn rơi xuống máng xối. Tin tôi đi, tôi biết mà .

Nếu không thể, việc đặt tên, khuôn mặt và URL cho người chịu trách nhiệm đưa trang web của bạn xuống là điều khá khó khăn. Bạn có khả năng là nạn nhân của một cuộc tấn công tự động, được thực hiện bởi một bot đã xác định các lỗ hổng và khai thác chúng cho mục đích bất chính của chủ nhân khó tính của nó: cạo dữ liệu, SEO mũ đen, gửi thư rác,…

Đó không phải là hoang tưởng khi bạn biết rằng không ai an toàn, thậm chí và đặc biệt là trên WordPress. Hacker yêu thích số lượng lớn người dùng đó và họ không phân biệt đối xử; nhiều mục tiêu hơn có nghĩa là xác suất thực hiện cú đánh cao hơn . Một lỗ hổng duy nhất trong một plugin phổ biến khiến mọi trang web sử dụng nó đều gặp rủi ro.

Vì vậy, một khi bạn trở lại trực tuyến trên trang web sau khi bị hack, bạn muốn chắc chắn rằng điều này không bao giờ xảy ra nữa.

Trong bài viết này, chúng tôi sẽ xem xét 7 cách để che đậy căn cứ của bạn và tăng cường bảo mật cho trang web WordPress.

Lưu ý: Bài đăng này nâng cao hơn một chút so với việc tạo bản sao lưu và sử dụng mật khẩu mạnh hơn. Tôi giả sử bạn đang làm điều đó và không cần phải nhắc nhở.

Đây là những gì bạn cần làm:

  1. Khóa bí mật WordPress mới

7-meo-bao-mat-cho-nguoi-dung-wordpress-pro

Thông tin được lưu trữ trong cookie của người dùng là một mỏ vàng cho những kẻ độc hại biết những gì họ đang tìm kiếm. Khóa bảo mật WordPress đảm bảo rằng thông tin đó vẫn được bảo vệ thông qua mã hóa.

Bạn có thể sử dụng trình tạo trực tuyến để tạo một bộ khóa duy nhất. Khi bạn đã có chúng, hãy mở tệp wp-config.php của bạn và tìm bit mã này (ở đâu đó giữa dòng 40 và 50) và trao đổi tham số thứ hai trong mỗi dòng cho khóa liền kề:

define( ‘AUTH_KEY’, ‘put your unique phrase here’);

define( ‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);

define( ‘LOGGED_IN_KEY’, ‘put your unique phrase here’ );

define( ‘NONCE_KEY’, ‘put your unique phrase here’);

define( ‘AUTH_SALT’, ‘put your unique phrase here’ );

define( ‘SECURE_AUTH_SALT’, ‘put your unique phrase here’ );

define( ‘LOGGED_IN_SALT’, ‘put your unique phrase here’);

define( ‘NONCE_SALT’, ‘put your unique phrase here’);

Xem thêm: Cách Tạo Một Trang Giới Thiệu Của Website

  1. Thay đổi giá trị $ table_prefix của bạn

Cơ sở dữ liệu của bạn là thiêng liêng và chứa khá nhiều thứ bạn gọi là của riêng bạn trên internet. Cung cấp cho nó sự bảo vệ cơ bản khỏi các lệnh SQL bằng cách thay đổi tiền tố của nó từ mặc định wp_ thấy mặc định thành bất kỳ thứ gì khác.

Đây là một thay đổi khác bạn phải thực hiện thông qua tệp wp_config.php của mình . Hãy tìm cái này và thay đổi giá trị ‘CA_TWS02’ thành bất cứ thứ gì bạn thích:

$table_prefix = ‘CA_TWS02’; // Use letters, numbers, and underscores only!

  1. Viết lại một số quy tắc trong .htaccess

7-meo-bao-mat-cho-nguoi-dung-wordpress-pro

.htaccess kiểm soát cấu hình máy chủ web của bạn, điều đó có nghĩa là bạn có thể sử dụng nó để tạo các quy tắc cụ thể cho tên miền của trang web WordPress của bạn để tăng cường đáng kể cho bảo mật. Tính năng tốt nhất cho đến nay là chặn phạm vi IP.

Các plugin như BulletProof Security và Wordfence có tính năng này tích hợp sẵn, vì vậy bạn không phải lo lắng về vấn đề này. Ngoài ra, hãy thêm mã này vào tệp .htacces ( trước #Begin WordPress) để bảo mật tệp wp-gồm.php lõi :

# Block the include-only files.

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteRule ^wp-admin/includes/ – [F,L] RewriteRule !^wp-includes/ – [S=3] RewriteRule ^wp-includes/[^/]+.php$ – [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+.php – [F,L] RewriteRule ^wp-includes/theme-compat/ – [F,L] </IfModule>

# BEGIN WordPress

  1. Vô hiệu hóa XML-RPC

7-meo-bao-mat-cho-nguoi-dung-wordpress-pro

Tôi không thể chờ ngày XML-RPC được thay thế bằng API JSON REST một lần và mãi mãi.

XML-RPC đã từng rất tuyệt vời cho đến khi ai đó tìm ra cách sử dụng system.multicall để thực thi nhiều phương thức trong một yêu cầu HTTP . Điều đó có nghĩa là mọi bảo mật được cung cấp bởi các bộ lọc cố gắng đăng nhập đều vô dụng.

Giải pháp tạm thời là xóa tệp xmlrpc.php . Bạn có thể vô hiệu hóa nó bằng mã này (đi vào tệp .htaccess của bạn ):

<Files xmlrpc.php>

Order Deny,Allow

Deny from all

</Files>

Các plugin như Vô hiệu hóa XML-RPC sẽ làm tương tự. Và có nhiều cách khác, được giải thích bởi Tony của Geek T’n’T.

  1. Vô hiệu hóa báo cáo lỗi PHP

7-meo-bao-mat-cho-nguoi-dung-wordpress-pro

Báo cáo Lỗi không nên được đặt ở phần có thể truy cập công khai trên máy chủ của bạn .

Báo cáo lỗi PHP hiển thị đường dẫn máy chủ trên mỗi lỗi đã đăng nhập. Đây là một tin tuyệt vời để khắc phục sự cố, không quá nhiều khi một hacker có được sự giảm nhẹ của họ trên đó. Đây là một trường hợp kinh điển, bi thảm về mục đích tốt được sử dụng cho mục đích xấu.

Chỉ cần vô hiệu hóa nó bằng một đoạn mã đơn giản trong tệp wp-config.php của bạn :

error_reporting(0);

@ini_set(‘display_errors’, 0);

  1. Giám sát nâng cao

7-meo-bao-mat-cho-nguoi-dung-wordpress-pro

Có plugin này có tên là WP Security Audit Log , giống như mạng lưới cung cấp thông tin của riêng bạn trải khắp trang web, mang đến cho bạn thông tin từ mọi nơi về mọi thứ.

Plugin cho phép bạn kiểm tra mọi thay đổi được thực hiện dưới mui xe và mọi thứ xảy ra trên trang web WordPress của bạn. Nhà phát triển hoặc chuyên gia bảo mật WordPress chuyên nghiệp có thể sử dụng tuyệt vời nhật ký kiểm toán hoạt động người dùng thời gian thực của plugin, hỗ trợ proxy ngược và tường lửa bảo mật, nhận dạng kẻ tấn công (thông qua địa chỉ IP), cảnh báo bảo mật có thể định cấu hình dựa trên vai trò của người dùng và trạng thái hoạt động quan trọng, và nhiều hơn nữa.

Sử dụng nó cho lợi thế của bạn. Lưu ý: Bạn cần một số kỹ năng lập trình để hiểu ý nghĩa của nó.

  1. Theo kịp với Sucuri và WordFence

7-meo-bao-mat-cho-nguoi-dung-wordpress-pro

Hai thứ này chắc chắn là tốt nhất trong các dịch vụ bảo mật WordPress và blog của họ phản ánh điều đó. Matt Barry của WordFence thậm chí còn lấy (chưa được xác nhận) để khám phá lỗ hổng SSRF đã được sửa gần đây. Và sau khi đọc nghiên cứu của họ về chủ đề này, cá nhân tôi có khuynh hướng đồng ý.

Hai plugin hiệu quả cao, được tối ưu hóa tốt và cực kỳ thân thiện với người dùng là các nhà cung cấp nổi tiếng về các giải pháp bảo mật cấp doanh nghiệp cho các trang web WordPress. Ít nhất một trong số các plugin này là một yêu cầu tuyệt đối về bảo mật chung, giám sát, đưa vào danh sách đen, quét và giữ cho trang web của bạn an toàn trước những kẻ tấn công.

Trình quét SiteCheck của Sucuri có hiệu quả khủng khiếp và lấy dữ liệu từ 10 công cụ danh sách đen đáng chú ý nhất trên web, bao gồm Norton, McAfee, Google Safe Browseing, AVG, v.v.

Xem thêm: Tạo Website bán hàng miễn phí

Chú thích

Có rất nhiều thứ để bảo mật WordPress hơn là cài đặt một vài plugin và gọi nó là một ngày. Đó là một trận chiến đang diễn ra. Nếu bạn không thể chiến thắng trước các tin tặc, bạn có thể đảm bảo sống sót và chiến đấu càng lâu càng tốt. Điều đó gần với chiến thắng như bạn có thể có được trên lĩnh vực kỹ thuật số, trong mọi trường hợp.

Viết một bình luận

0 Shares
Share
Tweet
Pin