Bảo mật WordPress cơ bản cho người mới bắt đầu

Chắc hẳn rằng nhiều bạn mới làm WordPress muốn bảo mật cho blog của mình để tránh việc bị chèn mã độc không mong muốn. Vậy thì làm thế nào để bảo mật mã nguồn WordPress?

Bài viết này sẽ hướng dẫn các bạn cách bảo mật WordPress cơ bản nhất mà mình đang áp dụng.

Bật captcha trang đăng nhập.

Cách này là do một người em (VA) chỉ cho mình chứ lúc đầu mình cũng không biết đâu 😉

Mình sử dụng CloudFlare cho nên mình tận dụng chức năng Firewall có sẵn của nó để thực hiện.

Đầu tiên bạn đăng nhập vào CloudFlare -> Bấm vào tên miền của bạn -> Chọn mục Firewall (biểu tượng hình cái khiên) – > Chọn Firewall Rules -> Create a Firewall rule và các bạn điền như hình bên dưới.

Sau khi tạo xong các bạn nhấn Deploy và tác dụng của em nó sẽ như thế này đây:

Với cách làm này, bạn sẽ hạn chế được vấn đề Brute Force password. (các bạn cũng nên làm tương tự với xmlrpc.php hoặc xóa luôn cho khỏe người).

Bật xác thực 2 bước.

Ở đây mình dùng plugin Google Authenticator, tuy nhiên điểm hạn chế đó là không có key backup cho nên các bạn cần cẩn thận.

Link plugin các bạn có thể tham khảo tại đây: https://wordpress.org/plugins/google-authenticator/

Công dụng của Google Authenticator sẽ như thế này:

Tắt chức năng cài đặt, chỉnh sửa theme, plugin trong WP Admin.

Bằng một cách nào đó mà kẻ xấu có được 1 tài khoản Admin khác để đăng nhập và kẻ xấu muốn cài đặt hoặc chỉnh sửa theme, plugin đã chèn sẵn mã độc.

Để tắt chức năng cài đặt, chỉnh sửa theme, plugin trong trang quản trị, bạn chỉ cần dán đoạn mã sau vào cuối file wp-config.php

/** Cấm sửa file (plugins, theme) trong wp-admin. */
define( 'DISALLOW_FILE_EDIT', true );

/** Cấm cài đặt plugins, theme trong wp-admin. */
define('DISALLOW_FILE_MODS',true);

Bây giờ thì Admin cũng sẽ không có quyền cài đặt, chỉnh sửa theme hay plugin nữa. Nếu bạn cần cài đặt theme, plugin mới thì bạn có thể upload thông qua hosting hoặc xóa đoạn mã ở trên trong file wp-config.php mà bạn đã thêm vào trước đó.

Bảo vệ thư mục wp-content.

Tạo 1 file .htaccess ngay bên trong thư mục wp-content với nội dung như sau:

Order deny,allow
Deny from all
<Files ~ ".(xml|css|jpe?g|png|gif|js|eot|svg|ttf|woff|ico|woff2|mp4)$">
Allow from all
</Files>

<Files timthumb.php>
Allow from all
</Files>

Giải thích sơ qua thì ở đoạn đầu những người dùng thông thường có thể truy cập được những file có các định dạng nằm bên trong ngoặc. Ở đoạn dưới do mình có sử dụng thêm timthumb.php nên cũng cần cấp phép cho mọi người có thể truy cập đến nó.

Trên đây là 4 bước mà NamLee Blog đang áp dụng, nếu bạn có cách nào hay hơn hay comment chia sẻ cho mọi người ở bên dưới nhé.

Chúc các bạn có những blog thật đẹp và chất lượng.