11 mẹo bảo mật dành cho blog WordPress

Khi xét về mặt bản chất kỹ thuật thì việc cần làm ngay sau khi cấu hình, thiết lập blog WordPress là đảm bảo mức độ bảo mật, an ninh cần thiết. Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn 11 mẹo cơ bản có thể áp dụng trong nhiều tình huống để thực hiện việc này.


1. Mã hóa thông tin đăng nhập:

Đây là điểm cần quan tâm đầu tiên của chúng ta tại đây là mỗi khi đăng nhập thì mật khẩu sẽ không được mã hóa mà truyền thẳng vào cơ sở dữ liệu lưu trữ. Nếu bạn truy cập ở nơi công cộng thì cơ hội dành cho hacker để “nhòm ngó” và lấy cắp thông tin này là rất lớn nhờ vào các phần mềm Keylogger hoặc ứng dụng khác. Tuy nhiên, chúng ta hoàn toàn có thể khắc phục được vấn đề này bằng plug – in Chap Secure Login với chức năng chính là gán thêm những đoạn mã hash ngẫu nhiên vào chuỗi ký tự mật khẩu, sau đó tiến hành xác nhận tính hợp pháp của tài khoản với giao thức CHAP.

2. Ngăn chặn Brute Force Attack:

11 mẹo bảo mật dành cho blog WordPress

Trên thực tế, tin tặc hoàn toàn có thể bẻ gãy mật khẩu đăng nhập cũng như thông tin xác nhận của người dùng bằng cách sử dụng cơ chế Brute Force Attack. Để giảm thiểu nguy cơ này, các bạn hãy sử dụng plug – in Login LockDown dành cho WordPress. Tiện ích này sẽ ghi lại toàn bộ thông tin mỗi khi có yêu cầu truy cập từ 1 địa chỉ IP nào đó thực hiện nhiều lần đăng nhập vào hệ thống WordPress, sau một số lần đăng nhập thất bại nhất định nào đó thì hệ thống sẽ khóa chức năng truy cập, cũng như tất cả yêu cầu khác từ địa chỉ đó.
3. Sử dụng mật khẩu theo đúng tiêu chuẩn:

Đây là điều rất cơ bản, nhưng có vẻ nhiều người vẫn không áp dụng chuẩn xác, đó là lựa chọn và sử dụng mật khẩu phức tạp nhưng vẫn phải dễ nhớ, người khác khó đoán, không dùng những chuỗi thông tin quen thuộc như tên người thân, số điện thoại, địa chỉ… mà phải kết hợp ký tự và con số, ký tự đặc biệt, chữ hoa chữ thường…

4. “Bảo vệ” thư mục wp-admin:

bảo mật thư mục wp-admin

Về mặt bản chất, thư mục wp-admin chứa tất cả các thông tin quan trọng, cần thiết và có thể ảnh hưởng trực tiếp tới độ ổn định của hệ thống. Và 1 giải pháp nên sử dụng tại đây là cài đặt plug – in AskApache Password Protect dành cho WordPress để đặt mật khẩu bảo vệ thư mục đó, cấp quyền truy cập cho người hoặc tài khoản mà bạn tin cậy.
5. Xóa bỏ thông tin về phiên bản WordPress:

Trên thực tế, có rất nhiều bộ theme WordPress có chứa thông tin về phiên bản trong thẻ meta, và dựa vào đó, hacker có thể dựa vào điều này để tìm phương án tấn công phù hợp. Để khắc phục, các bạn hãy truy cập vào bảng điều khiển chính của WordPress, sau đó mở Design > Theme Editor. Ở phía bên phải, chúng ta chọn file Header và tìm kiếm dòng mã có dạng như dưới đây:

” />

Hãy xóa dòng này và nhấn nút Update File. Các bạn cần lưu ý rằng với phiên bản WordPress 2.6 hoặc mới hơn thì hệ thống tự động gắn thông tin phiên bản trong phần Wp_head. Và để khắc phục, chúng ta chỉ cần cài đặt plug – in WP Security Scan.

6. “Giấu” thư mục plugins:

Nếu truy cập vào thư mục hoặc đường dẫn http://yourwebsite.com/wp-content/plugins, bạn sẽ thấy toàn bộ danh sách plug – in của hệ thống được sử dụng. Nếu muốn ẩn thư mục này thì các bạn chỉ cần đăng tải file index.html trống tới thư mục plugin này. Rất đơn giản, chỉ cần mở 1 ứng dụng chỉnh sửa text bất kỳ, sau đó lưu lại thành index.html, dùng chương trình ftp và tải file index.html này vào thư mục /wp-content/plugins.

7. Thay đổi tên đăng nhập:

thay đổi tên Username

Tên Username mặc định ở đây là admin, tuy nhiên chúng ta vẫn có thể thay đổi được để cản trở quy trình tấn công của hacker vào những hệ thống đơn giản. Trong bảng điều khiển chính của WordPress, các bạn mở Users và tạo mới 1 tài khoản, sau đó gán quyền administrator và đăng nhập lại bằng tài khoản vừa tạo.

Truy cập vào phần Users, lần này các bạn đánh dấu check vào ô bên cạnh admin và chọn Delete. Khi hệ thống hiển thị cửa sổ xác nhận thông báo, chúng ta chọn Attribute all posts and links to: và chọn tài khoản vừa tạo tại bước trên trong danh sách dropdown. Quá trình này sẽ chuyển toàn bộ các bài viết sang tài khoản mới. Sau đó các bạn nhấn Confirm Deletion.

8. Luôn cập nhập phiên bản mới nhất của WordPress và plug – in:

Về mặt kỹ thuật, phiên bản mới nhất của WordPress luôn được cập nhật các bản vá bảo mật, do vậy người dùng hãy để ý đến quá trình này. Tại thời điểm của bài viết này thì WordPress đã cho phát hành bản 3.3, và các bạn có thể download trực tiếp tại đây.

9. Thực hiện quy trình quét thường xuyên:

11 mẹo bảo mật dành cho blog WordPress

Như đã đề cập tới ở bên trên, các bạn cần cài đặt tiện ích WP Security Scan và tiến hành quét thường xuyên nhằm phát hiện ra các lỗ hổng bảo mật trong hệ thống. 1 điểm nữa cần áp dụng ở đây là thay đổi wp_ thành bất tiền tố tùy chỉnh, nhằm tránh khỏi sự nhòm ngó của hacker.

10. Sao lưu cơ sở dữ liệu:

Để thực hiện việc này, các bạn hãy cài đặt và sử dụng tiện ích hỗ trợ WP-DB-Backup với chức năng chính là sao lưu toàn bộ cơ sở dữ liệu của hệ thống theo thời gian và lịch sắp đặt của người quản trị.

11. Thiết lập mức phân quyền phù hợp:

Trong trường hợp có nhiều hơn 1 tác giả – Author trong hệ thống của bạn, hãy sử dụng plug – in Role Manager để tạo, quản lý và giám sát mức phân quyền đối với người dùng hoặc nhóm người dùng trong hệ thống.

Nguồn: http://thuthuatvn.net/news/Xay-dung-website/11-meo-bao-mat-danh-cho-blog-WordPress-3373.html#ixzz1z8efocWT








11 meo bao mat danh cho blog WordPress


Khi xet ve mat ban chat ky thuat thi viec can lam ngay sau khi cau hinh, thiet lap blog WordPress la dam bao muc do bao mat, an ninh can thiet. Trong bai viet duoi day, chung toi se gioi thieu voi cac ban 11 meo co ban co the ap dung trong nhieu tinh huong de thuc hien viec nay.


1. Ma hoa thong tin dang nhap:

Day la diem can quan tam dau tien cua chung ta tai day la moi khi dang nhap thi mat khau se khong duoc ma hoa ma truyen thang vao co so du lieu luu tru. Neu ban truy cap o noi cong cong thi co hoi danh cho hacker de “nhom ngo” va lay cap thong tin nay la rat lon nho vao cac phan mem Keylogger hoac ung dung khac. Tuy nhien, chung ta hoan toan co the khac phuc duoc van de nay bang plug – in Chap Secure Login voi chuc nang chinh la gan them nhung doan ma hash ngau nhien vao chuoi ky tu mat khau, sau do tien hanh xac nhan tinh hop phap cua tai khoan voi giao thuc CHAP.

2. Ngan chan Brute Force Attack:

11 meo bao mat danh cho blog WordPress

Tren thuc te, tin tac hoan toan co the be gay mat khau dang nhap cung nhu thong tin xac nhan cua nguoi dung bang cach su dung co che Brute Force Attack. De giam thieu nguy co nay, cac ban hay su dung plug – in Login LockDown danh cho WordPress. Tien ich nay se ghi lai toan bo thong tin moi khi co yeu cau truy cap tu 1 dia chi IP nao do thuc hien nhieu lan dang nhap vao he thong WordPress, sau mot so lan dang nhap that bai nhat dinh nao do thi he thong se khoa chuc nang truy cap, cung nhu tat ca yeu cau khac tu dia chi do.
3. Su dung mat khau theo dung tieu chuan:

Day la dieu rat co ban, nhung co ve nhieu nguoi van khong ap dung chuan xac, do la lua chon va su dung mat khau phuc tap nhung van phai de nho, nguoi khac kho doan, khong dung nhung chuoi thong tin quen thuoc nhu ten nguoi than, so dien thoai, dia chi… ma phai ket hop ky tu va con so, ky tu dac biet, chu hoa chu thuong…

4. “Bao ve” thu muc wp-admin:

bao mat thu muc wp-admin

Ve mat ban chat, thu muc wp-admin chua tat ca cac thong tin quan trong, can thiet va co the anh huong truc tiep toi do on dinh cua he thong. Va 1 giai phap nen su dung tai day la cai dat plug – in AskApache Password Protect danh cho WordPress de dat mat khau bao ve thu muc do, cap quyen truy cap cho nguoi hoac tai khoan ma ban tin cay.
5. Xoa bo thong tin ve phien ban WordPress:

Tren thuc te, co rat nhieu bo theme WordPress co chua thong tin ve phien ban trong the meta, va dua vao do, hacker co the dua vao dieu nay de tim phuong an tan cong phu hop. De khac phuc, cac ban hay truy cap vao bang dieu khien chinh cua WordPress, sau do mo Design > Theme Editor. O phia ben phai, chung ta chon file Header va tim kiem dong ma co dang nhu duoi day:

” />

Hay xoa dong nay va nhan nut Update File. Cac ban can luu y rang voi phien ban WordPress 2.6 hoac moi hon thi he thong tu dong gan thong tin phien ban trong phan Wp_head. Va de khac phuc, chung ta chi can cai dat plug – in WP Security Scan.

6. “Giau” thu muc plugins:

Neu truy cap vao thu muc hoac duong dan http://yourwebsite.com/wp-content/plugins, ban se thay toan bo danh sach plug – in cua he thong duoc su dung. Neu muon an thu muc nay thi cac ban chi can dang tai file index.html trong toi thu muc plugin nay. Rat don gian, chi can mo 1 ung dung chinh sua text bat ky, sau do luu lai thanh index.html, dung chuong trinh ftp va tai file index.html nay vao thu muc /wp-content/plugins.

7. Thay doi ten dang nhap:

thay doi ten Username

Ten Username mac dinh o day la admin, tuy nhien chung ta van co the thay doi duoc de can tro quy trinh tan cong cua hacker vao nhung he thong don gian. Trong bang dieu khien chinh cua WordPress, cac ban mo Users va tao moi 1 tai khoan, sau do gan quyen administrator va dang nhap lai bang tai khoan vua tao.

Truy cap vao phan Users, lan nay cac ban danh dau check vao o ben canh admin va chon Delete. Khi he thong hien thi cua so xac nhan thong bao, chung ta chon Attribute all posts and links to: va chon tai khoan vua tao tai buoc tren trong danh sach dropdown. Qua trinh nay se chuyen toan bo cac bai viet sang tai khoan moi. Sau do cac ban nhan Confirm Deletion.

8. Luon cap nhap phien ban moi nhat cua WordPress va plug – in:

Ve mat ky thuat, phien ban moi nhat cua WordPress luon duoc cap nhat cac ban va bao mat, do vay nguoi dung hay de y den qua trinh nay. Tai thoi diem cua bai viet nay thi WordPress da cho phat hanh ban 3.3, va cac ban co the download truc tiep tai day.

9. Thuc hien quy trinh quet thuong xuyen:

11 meo bao mat danh cho blog WordPress

Nhu da de cap toi o ben tren, cac ban can cai dat tien ich WP Security Scan va tien hanh quet thuong xuyen nham phat hien ra cac lo hong bao mat trong he thong. 1 diem nua can ap dung o day la thay doi wp_ thanh bat tien to tuy chinh, nham tranh khoi su nhom ngo cua hacker.

10. Sao luu co so du lieu:

De thuc hien viec nay, cac ban hay cai dat va su dung tien ich ho tro WP-DB-Backup voi chuc nang chinh la sao luu toan bo co so du lieu cua he thong theo thoi gian va lich sap dat cua nguoi quan tri.

11. Thiet lap muc phan quyen phu hop:

Trong truong hop co nhieu hon 1 tac gia – Author trong he thong cua ban, hay su dung plug – in Role Manager de tao, quan ly va giam sat muc phan quyen doi voi nguoi dung hoac nhom nguoi dung trong he thong.

Nguon: http://thuthuatvn.net/news/Xay-dung-website/11-meo-bao-mat-danh-cho-blog-WordPress-3373.html#ixzz1z8efocWT

11 mẹo bảo mật dành cho blog WordPress

Khi xét về mặt bản chất kỹ thuật thì việc cần làm ngay sau khi cấu hình, thiết lập blog WordPress là đảm bảo mức độ bảo mật, an ninh cần thiết. Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn 11 mẹo cơ bản có thể áp dụng trong nhiều tình huống để thực hiện việc này.
Giới thiệu cho bạn bè
  • gplus
  • pinterest

Bình luận

Đăng bình luận

Đánh giá