Bảo mật toàn diện cho WordPress

Bảo mật toàn diện cho WordPress Một số thủ thuật giúp blog WordPress của bạn sẽ “đứng vững” hơn trước hacker. Bảo vệ thư mục bằng file .htaccess Khi cần ngăn cản sự truy cập trái phép vào một thư mục nào đó trong website, ta thường tạo một file .htaccess chứa trong thư mục đó. Cụ thể với WordPress, bạn có thể sử dụng file .htaccess để ngăn sự truy cập vào thư mục wpcontent và wp-admin.
Nội dung trích xuất từ tài liệu:
Bảo mật toàn diện cho WordPressBảo mật toàn diện cho WordPress Một số thủ thuật giúp blog WordPress của bạn sẽ“đứng vững” hơn trước hacker.Bảo vệ thư mục bằng file .htaccessKhi cần ngăn cản sự truy cập trái phép vào một thư mụcnào đó trong website, ta thường tạo một file .htaccess chứatrong thư mục đó. Cụ thể với WordPress, bạn có thể sửdụng file .htaccess để ngăn sự truy cập vào thư mục wp-content và wp-admin.- Bảo mật thư mục wp-admin:Vào phần quản lý hosting (tuỳ vào từng loại hosting màtrình điều khiển là Cpanel, Helm, hay DirectAdmin,…),chọn File Manager, vào thư mục chứa WordPress (giả sửtên là wordpress), chọn tiếp thư mục wp-admin, tại đây bạnbấm New File để tạo một file mới, đặt tên là .htaccess. Saukhi tạo xong, bạn sẽ không thể thấy được file .htaccesstrong File Manager (do đây là file cấu hình nên được đặtthuộc tính ẩn). Do đó, bạn hãy sử dụng FlashFXP để xemvà chỉnh sửa file này. Tải FlashFXP phiên bản mới nhất tạiđây.Sau khi kết nối đến website, vào thư mụcwww/wordpress/wp-admin, bấm phải vào file .htaccess,chọn Edit.Chỉnh sửa file .htaccessTrong cửa sổ chỉnh sửa file .htaccess, bạn gõ vào dòng sau:Order Deny,AllowAllow from ww.xx.yy.zzDeny from allVới lệnh trên, bạn sẽ ngăn cản được sự truy cập của bất cứai vào thư mục wp-admin, ngoại trừ người có địa chỉ IP làww.xx.yy.zz. Bạn có thể truy cập vàohttp://www.ip2location.com để xem địa chỉ IP của mình.Tuy nhiên, bạn chỉ nên sử dụng cách này nếu IP của bạn làIP tĩnh.Nếu muốn ngăn cấm sự truy cập vào wp-admin đối với tấtcả mọi người, kể cả bạn thì bạn bỏ dòng Allow fromww.xx.yy.zz đi. Về sau, khi người khác vào wp-admin sẽ bịchuyển về trang chủ website.- Bảo mật thư mục wp-content:Tương tự như cách làm với wp-admin, bạn tạo file.htaccess trong thư mục wp-content, với nội dung:Order Allow,DenyDeny from allHai dòng trên giúp cho thư mục wp-content được bảo vệkhỏi người khác. Nếu muốn quy định một vài định dạngfile mà người khác có thể xem trong thư mục wp-contentthì bạn thêm vào 2 dòng sau, trong ví dụ sau thì các file jpg,gif, png, js, css được phép truy cập:Allow from all- Bảo vệ file wp-config.php:File wp-config.php chứa các thiết lập quan trọng củawebsite nên bạn cần phải bảo vệ file này khỏi sự “dòmngó” của người khác. Vào thư mục www/wordpress, tìmđến file .htaccess, thêm vào đoạn sau:order allow,denydeny from allSử dụng PluginKhi cần bảo mật cho WordPress một cách nhanh chóng,bạn nên sử dụng các plugin hỗ trợ, việc này giúp bạn tiếtkiệm thời gian hơn khi làm thủ công bằng tay.Để cài đặt plugin cho WordPress, bạn upload thư mục chứaplugin vào thư mục wp-content/plugins. Tiếp theo vào trìnhquản lý blog, chọn mục Plugins > bấm Activate để kíchhoạt plugin cần sử dụng.Sau đây là 2 plugin khá hiệu quả để chống virus cũng nhưsự xâm nhập của người khác.1. AntiVirus:Bạn tải plugin AntiVirus tại đây, plugin tương thích vớiWordPress 2.5 đến 2.9.2. Sau khi kích hoạt, vào mụcSettings > Antivirus để thiết lập lại.Sau khi được kích hoạt, plugin sẽ tự động quét virus, trojan,worm,… trên website, và sẽ xoá bỏ chúng đi. Bạn nên đánhdấu vào dòng Enable the daily antivirus scan and send mean email if suspicion on a virus để plugin tự động quét vàomỗi ngày và gửi email thông báo đến bạn nếu phát hiện cóvirus. This image has been resized. Click this bar to view the full image. The original image is sized 638x207px.Nhận thông tin về virus qua email, quét các file trongtemplateBên cạnh đó, plugin còn giúp bạn quét được các đoạn mãđộc trong theme mà bạn sử dụng. Bấm Scan the templatesnow để quét. Antivirus sẽ quét tất cả các file php chứatrong theme và đưa ra các đoạn mã “bất thường” trong cácfile này.2. WP Security Scan:Bạn tải plugin tại đây, plugin tương thích với WordPress2.3 đến 2.9.2. Sau khi kích hoạt, bấm vào mục Security tạithanh menu bên trái, sẽ thấy xuất hiện các tuỳ chọn sau: Truy cập plugin- Security: đưa ra các lời nhắc nhở về độ an toàn của blog.Để sửa lỗi, bạn hãy truy cập vào các tuỳ chọn tiếp theo sauđây.- Scanner: tự động kiểm tra xem các tập tin, thư mục quantrọng trong WordPress đã được CHMOD cẩn thận chưa.CHMOD là lệnh giúp bạn giới hạn quyền truy cập (gồmRead, Write, Executive) của từng nhóm người. NếuCHMOD không đúng website sẽ rất dễ bị xâm nhập vào.Cột Needed Chmod đưa ra lời gợi ý CHMOD cho từng tậptin, thư mục, và cột Current Chmod cho biết tình trạngCHMOD hiện thời trên website của bạn. Nếu 2 cột khônggiống nhau, bạn nên CHMOD lại theo như cột NeededChmod. Để CHMOD, cách nhanh nhất là dùng FlashFXP,bấm phải vào tên tập tin cần CHMOD, chọn Attributes, tạihộp thoại hiện ra, gõ giá trị CHMOD vào khungPermissions (ví dụ 644, 755,…). This image has been resized. Click this bar to view the full image. The original image is sized 819x184px.Gợi ý CHMOD cho thư mục- Password Tool: đây là công cụ kiểm tra độ an t ...