Trang chủ > CÔNG NGHỆ WEB, Kiến thức SEO > Mẹo vặt bảo mật cho Blog WordPress cá nhân

Mẹo vặt bảo mật cho Blog WordPress cá nhân

Hàng ngày bạn hì hục chăm sóc cho cái blog mình,bạn ko muốn 1 ai dễ dàng chiếm quyền kiểm soát nó từ tay bạn,hãy tham khảo các thủ thuật bảo mật sau cho wordpress mà http://www.wordpressvn.net  cung cấp

1. Loại bỏ Thông tin về phiên bản WordPress

Một số Theme hay đưa ra thông tin về phiên bản WordPress bạn đang sử dụng, Việc này giúp cho WordPress thống kê được số người dùng nhưng lại có thể gây nguy hiểm, nếu bạn đang sử dụng những phiên bản WordPress cũ hơn. Khi biết được phiên bản bạn đang dùng, Hacker sẽ xác định được các lỗi tồn tại và cách thức khai thác lỗi của phiên bản cũ vốn đã được cung cấp đầy rẫy.
Mở file Header của Theme đang dùng, Tìm và gỡ bỏ đoạn code:

1 <meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please –>

2. Chặn việc truy cập trực tiếp vào thư mục Plugins

Mặc định WordPress không giúp bạn bảo vệ thư mục vốn rất quan trọng này nên bạn cần phải tạo một file index.html hoặc index.php rỗng và đặt vào thư mục wp-content/plugins. Vì sao phải bảo vệ nó, đơn giản vì Hacker nếu biết bạn đang sử dụng những Plugins nào thì sẽ tận dụng những lỗi trong các Plugin đấy để tấn công chính bạn. (BlogSecurity có đưa ra một số Plugin bị dính những lỗi nguy hiểm như WP-Forum 1.7.4, WP-File Manager <=1.2, Democracy 2.0.1, WP TextLinkAds, Audio Captcha System … – Tham khảo thêm tại http://blogsecurity.net/category/wordpress/advisories/ )

3. Hạn chế truy cập WP-ADMIN

Một trong những cách hacker đoạt quyền điều khiển là thông qua công cụ quản trị. Thay vì cho bất kể ai cũng có thể đăng nhập với tên và mật mã admin và phần quản trị thì bạn có thể hạn chế với một số IP nhất định. Để làm việc này, bạn cần tạo một file htaccess dạng như sau trong thư mục gốc của blog WordPress :

1 AuthUserFile /dev/null
2 AuthGroupFile /dev/null
3 AuthName “Access Control”
4 AuthType Basic
5 Order deny,allow
6 Deny from all
7 Allow from 1.1.1.2
8 Allow from 1.1.1.3

Trong phần trên bạn chỉ cho phép IP đến từ các địa chỉ 1.1.1.2 và 1.1.1.3 kết nối đến thư mục /wp-admin/ bạn hãy thay thế nó bằng IP tương ứng của mình. (Nếu bạn không có IP cố định, bạn có thể sử dụng HTTP Basic Auth)

Bạn cũng có thể kết hợp với plugin của Michael’s Login Lockdown plugin cho phép hạn chế khả năng hack mật khẩu người dùng bằng cách thử lặp hay từ điển. Nếu nhập sai mật khẩu một số lần nhất định, nó sẽ khóa IP đó trong vòng một thời gian 1 tiếng theo cấu hình ngầm định.

Mẹo vặt : Bạn có thể chỉ định cho các công cụ tìm kiếm không đánh chỉ mục nội dung thư mục /wp-admin/ bằng cách thêm vào dòng lệnh sau vào trong file robots.txt của blog tại thư mục gốc.

Disallow: /wp-admin/

(Thủ thuật này khó áp dụng tại VN do chúng ta sử dụng IP động, để giải quyết có thể giới hạn cho phép cả một vùng IP)

Hoặc bạn có thể dùng HTTP Basic Auth (.htpasswd) để khóa thư mục WP-ADMiN: (Tham khảo Căn bản về .htaccess và .htpasswd)

1 AuthUserFile /etc/httpd/htpasswd
2 AuthType Basic
3 AuthName “restricted”
4 Order deny,allow
5 Deny from all
6 Require valid-user
7 Satisfy any

Nhưng với cách dùng .htpasswd sẽ gặp chút rắc rối khi khách gửi comment mà quên ghi địa chỉ Email thì hộp thoại đòi nhập mật khẩu sẽ bật lên. Vì một số file CSS và ảnh nằm trong thư mục WP-ADMIN. Để tránh tình trạng này, ta nên cấu hình cho nó chỉ khóa các tập tin .php mà thôi:

1 <Files ~ “.(php)$”>
2 AuthUserFile /etc/httpd/htpasswd
3 AuthType BasicAuthName “restricted”
4 Order deny,allow
5 Deny from all
6 Require valid-user
7 Satisfy any
8 </Files>

Để an toàn hơn, bạn có thể khóa luôn thư mục WP-Inclues và WP-Content, tham khảo chi tiết tại đây.

4. Theo dõi và cập nhật thường xuyên

Bạn hãy bỏ chút thời gian theo dỗi các thông báo mới nhất từ nhóm phát triển WordPress hoặc đăng ký luồng tin RSS của nhóm tại đây .Bởi vì Họ không vô cớ đưa ra thông báo, Họ chỉ thông báo khi đưa ra các phiên bản mới hoặc các miếng vá bảo mật, bạn nên áp dụng ngay cho Blog của bạn nếu không muốn Blog trở nên hớ hênh và dễ bị tổn thương.

5. Một số Plugin, công cụ tăng cường bảo mật

  1. WordPress Scanner - Một công cụ trực tuyến có khả năng quét, thu thập thông tin và tìm ra những lỗi bảo mật mà Blog WordPress của bạn mắc phải. Để đảm bảo an toàn thì thông tin này chỉ bản thân bạn và Team Blog Security là có thể xem được thôi. Vì vậy, bạn phải xác nhận Blog là của bạn bằng cách tải Plugin WP Scanner về, Kích hoạt nó rồi truy cập trang http://blogsecurity.net/cgi-bin/wp-scanner.cgi để tiến hành quét và kiểm tra. Ngay sau khi kiểm tra xong, bạn phải vô hiệu Plugin WP Scanner để tránh người khác dùng chúng để kiểm tra Blog của bạn.
    image_thumb
  2. AskApache Password Protect - Plugin giúp bạn bảo vệ thư mục Admin của WordPress bằng mật khẩu. Như vậy là Blog của bạn sẽ có 2 lớp tường bảo vệ, tránh người khác truy cập vào trang quản trị. một là lớp bảo vệ bằng tài khoản Admin và thứ 2 là bảo vệ bằng mật khẩu bạn định trong AskApache Password Protect. Plugin này khá đơn giản, bạn chỉ cần chọn tên user và mật khẩu là xong. Với AskApache Password Protect, bạn không cần dùng đến thủ thuật khóa wp-admin bằng .htpasswd đã đề cập ở phần trên của bài viết Vì Plugin này đã làm giúp bạn điều đó.
    aa-passpro-on
  3. Force SSL: Ép dùng kết nối HTTPS (bảo mật hơn HTTP) cho Blog WordPress, dĩ nhiên là Host bạn phải hỗ trợ https thì mới dùng được Plugin này.
  4. Login LockDown: Ghi lại Đỉa Chỉ IP và thời gian mỗi lần ai đó đăng nhập sai. Nếu quá số lần quy định đăng nhập thất bại liên tiếp từ một(vùng) địa chỉ IP thì Plugin sẽ tự khóa chức năng đăng nhập với (vùng) địa chỉ IP đó.
    lockdown
  5. Secure Files: Plugin này cho phép bạn Upload/Download tập tin đặt ở ngoài thư mục gốc của Website (Như với Host linux thì thư mục gốc của Website thường là public_html), việc này sẽ tăng tính bảo mật cho Blog của bạn. secure-files-screenshot
  6. Secure Form Mailer Plugin For WordPress: Một Plugin Form Mailer khá hay và an toàn với nhiều chức năng cao cấp.
    image_thumb_3

6. Những Nguyên Tắc bảo mật bạn cần nhớ

  • Sao lưu dữ liệu thường xuyên – có thể tham khảo bài viết trên Blog của bác Phamen.
  • Thường xuyên cập nhật các phiên bản mới và các miếng vá cho WordPress.
  • Không nên Sử dụng quá nhiều Plugins, chỉ dùng những Plugin thực sự cần thiết và không quên cập nhật khi chúng có phiên bản mới.

Nguồn http://www.wordpressvn.net

Advertisements
  1. Không có bình luận
  1. No trackbacks yet.

Trả lời

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

w

Connecting to %s

%d bloggers like this: