Nếu bạn thiết kế website wordpress thì lưu một vài điểm sau để tránh bị một vài hacker vui tính thích vọc vạch làm bạn mất dữ liệu hay,nghe nhạc kinh dị giật mình.Lâu rồi mới có website khách hàng bị hack nên viết lấy kinh nghiệm 😀
1 Cấu hình file wp-config.php
- Không cho edit , chỉnh sửa file wp-config.php dùng lệnh sau : [crayon] define(‘DISALLOW_FILE_EDIT’, true);[/crayon]
- Đổi tiền tố bảng cơ sở dữ liệu trong wordpress [crayon] $table_prefix = ‘wp_’;[/crayon]
- Tạo security key wordpress tránh việc lưu thông tin cookie [crayon]define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
define(‘AUTH_SALT’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);
define(‘LOGGED_IN_SALT’, ‘put your unique phrase here’);
define(‘NONCE_SALT’, ‘put your unique phrase here’); - [/crayon] , click vào WordPress Salt Keys Generator để tạo key và pass vào đoạn trên.
- Nhớ setup file wp-config.php permission là 440
2. Vấn đề tài khoản admin website wordpress
- Không bao giờ dùng user admin làm quản trị website
- Dùng mật khẩu đủ mạnh ,gồm chữ , số và kí tự đặc biệt không dùng mật khẩu dạng 123456
3. Dùng file htaccess để bảo mật
Dùng file htacccess để bảo vệ file htaccess [crayon]<files wp-config.php>
order allow,deny
deny from all
</files> [/crayon]
Bảo vệ thu mục wp-admin, nếu bạn dùng ip tĩnh thì có thể thêm dòng code này [crayon] order deny,allow
allow from 192.168.5.1
allow from 123.456.7.8
deny from all[/crayon] thay ip trên bằng ip máy bạn .
Tương tự cho file wp-login.php bạn cũng có thể dùng code này [crayon] <Files wp-login.php>
order deny,allow
Deny from all
# allow access from my IP address
allow from 192.168.5.1
</Files>[/crayon]
Thư mục wp-includes cũng chứa rất nhiều file quan trọng để chạy wordpress, bạn có thể dùng code sau để bảo vệ [crayon]# Block the include-only files
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
</IfModule> [/crayon]
Tắt XML-RPC
Từ wordpress version 3.5 xml-rpc là chức năng đã được bật mặc định, tính năng này có thể điều khiền website khách hàng từ xa, ngoài ra có thể pingback và trackback tự động.Tuy nhiên hacker có thể dùng nó để ddos website của bạn.
Điều quan trong nữa là máy tính của bạn nên dùng phần mêm chống virus để tránh các virus mailware.
