Logo của Wordpress - giản thể

Những cách bảo mật WordPress cơ bản

Trong phát triển website thì bảo mật là vấn đề quan trọng nhất, bài viết sau đây xin giới thiệu các bước bảo mật Wordpress đơn giản và dễ làm

WordPress thật tuyệt vời để làm blog hay website dạng nhỏ. Nhưng để phát triển và an toàn trước các cuộc tấn công của những người ghét bạn :)) thì cần phải tối ưu bảo mật cho mã nguồn. Mã nguồn của WordPress cũng bị các lỗi tấn công hàng loạt đấy. Bài viết sau đây tôi xin chia sẻ các thông tin liên quan tới bảo mật WordPress cơ bản.

Bạn có chắc website của mình không bị dính mã độc ? Hay thi thoảng website của bạn tự động gửi email hàng loạt ? Tất thảy đều do bạn bảo mật không tốt cho WordPress của mình.

Nguyên tắc bảo mật cơ bản

1. Không bao giờ sử dụng tên Username là “admin” hay “administrator” nhằm tránh các cuộc oanh tạc qua Brute force attack hoặc bạn đang tạo điều kiện cho hacker đoán mật khẩu của mình 😀

Hacker vào trang của bạn luôn có lý do, và khai thác bất cứ lỗi nào bạn có ...
Hacker vào trang của bạn luôn có lý do, và khai thác bất cứ lỗi nào bạn có …

2. Không được đặt prefix của bảng cơ sở dữ liệu là “wp_” – đây là nguyên tắc chung, không xài cái này mặc định, vì khi hacker tấn công qua SQL Injection họ cần phải đoán prefix để thâm nhập, nên hãy đổi thành bất kỳ thứ gì bạn thích …

Trong lúc bạn cài đặt, bạn sẽ để ý tới cái tiền tố cho bảng cơ sở dữ liệu, nếu bạn cài đặt rồi thì vào trong wp-config.php sau đó tìm dòng:

$table_prefix  = 'wp_';

Sau đó chỉnh lại theo ý muốn của bạn, nhưng không nên để mặc định nhé các bạn !

Đổi rồi vậy còn cơ sở dữ liệu thì làm thế nào ? Hãy chạy lần lượt các lệnh sau đây:

RENAME table `wp_posts` TO `evnjam_posts`;

3. Trong các mẹo bảo mật WordPress, thì cấm edit các file trong admin là cách hiệu quả, đây là điều mà cần phải làm ngay từ đầu vì đơn giản thế này: Nếu ai đó theo dõi bạn và biết được mật khẩu thì sao ? Họ sẽ đăng nhập và chỉnh sửa vào file bất kỳ và bạn có thể gặp rắc rối cho mỗi lần hacker thí nghiệm 😀 vì họ đặt code backdoor chỗ nào đó trong plugin hoặc trong giao diện mà bạn hoàn toàn không để ý.

Cấm bằng cách thêm vào wp-config.php của WordPress đoạn code sau:

define( 'DISALLOW_FILE_EDIT', true );

4. Đừng bật debug: Nếu bạn đang chỉnh sửa, okey, nhưng nếu bạn đang bật debug và quên ở đó là nguy nan đấy nhé, đơn giản là các hacker chỉ cần biết bạn lỗi gì hiển thị trên màn hình là có thể khai thác được ngay, bạn hãy kiểm tra code và tắt debug nếu bạn đang bật nha ( những người khác không cần quan tâm vì nếu là dân lập trình mới bật debug – mặc định là tắt ).

5. Không được phép dùng Plugin hay giao diện trả phí mà lại chia sẻ free. Bất cứ thứ gì cũng nên dùng trên WordPress.org chứ không dùng chùa tại các diễn đàn chia sẻ. Nguyên tắc ” không ai cho không ai cái gì” nên bạn tự biết.

Tôi biết rằng rất nhiều người hiện nay đang dùng các bản share, bản null trên mạng, những plugin này luôn có virus hoặc một con backdoor để bẫy các bạn, khi website có giá trị thì chắc chắn sẽ bị tấn công qua các lỗ hổng sẵn có này !

6. Để bảo mật WordPress đơn giản nhất, không sử dụng core hay plugin và giao diện lỗi thời, thường thì bản mới nhất sẽ vá hầu hết các lỗi bảo mật đã biết, hoặc sẽ tối ưu tốc độ, chả dại gì dùng bản cũ cả !

* Ngoài các cách đơn giản trên, bạn nên sử dụng các plugin giúp bảo mật website để cho blog / website của bạn an toàn hơn ! Xem thêm plugin giúp bạn bảo mật WordPress 2 bước đăng nhập !

Hết rồi, chúc cả nhà thành công !

TÁC GIẢ:

Tôi là Jam, thâm niên 7 năm thiết kế website và làm SEO. Hãy theo dõi blog của tôi để nhận được nhiều chia sẻ thú vị xung quanh chủ đề công nghệ.
Bạn có thấy bài viết về bảo mật Wordpress thú vị ? Chia sẻ ngay tới mọi người, hoặc tham gia bình luận thật sôi nổi nhé !

Có 6 bình luận !

    1. Check lỗi thì không có, chỉ có plugin giúp bạn phần nào bảo mật như Itheme security hoặc rất nhiều plugin khác bạn có thể tìm trên WordPress.org nhé, còn check lỗi bằng tay thì bạn bật debug trong file wp-config lên thành true thì khác nhìn thấy các lỗi hiển thị trên màn hình !

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *