8 phương thức bảo mật hiệu quả nhất cho WordPress - Phần 1
Tiếp theo công đoạn thiết lập tài khoản blog Worpress, ngoài việc tiến hành tối ưu hóa máy tìm kiếm và lên kế hoạch phát triển nội dung, một vấn đề người dùng không thể không lưu ý đến trong suốt quá trình website tồn tại, đó là bảo mật blog.
Hãy thử hình dung rằng vào một ngày đẹp trời nào đó blog bạn đã xây dựng từ bao nhiêu mồ hôi công sức bỗng dưng biến mất?
Cảm giác ấy chắc hẳn sẽ không dễ chịu chút nào và sau đó bạn sẽ làm gì? Chán nản bỏ cuộc chơi, hay là gầy dựng lại một cái blog khác hoành tráng hơn? Cho dù nó là cách nào đi chăng nữa, miễn là không phải tìm cách khôi phục dữ liệu hoặc khắc phục sự cố thì những ý định khác đều không được khuyến khích cho lắm.
Bản thân trước đây mình cũng từng bị trở thành mục tiêu của nhiều cuộc tấn công, không chỉ trên blog WordPress mà còn ở bất cứ nền tảng web nào. Qua bao nhiêu năm “bị ăn đòn” thì ít nhất bây giờ mình cũng đã có một chút ít kinh nghiệm nhỏ nhoi để “né đòn”, và những kinh nghiệm ấy hôm nay sẽ được mình diễn đạt một cách tỉ mỉ nhất vào trong bài viết này.
1) Ngăn truy cập trái phép vào trang quản trị wp-admin
Đổi địa chỉ của trang quản trị
Mặc định đường dẫn tới trang quản trị của WordPress là wp-admin, điều này sẽ giúp các hacker dễ dàng xác định địa chỉ đăng nhập sau khi họ đã có đầy đủ thông tin về tài khoản quản trị của bạn, thậm chí là có rất nhiều script hỗ trợ tự động đăng nhập theo một dữ liệu được định sẵn thông qua địa chỉ phổ biến này.
Vì vậy trước tiên, bạn cần đổi địa chỉ đăng nhập vào trang quản trị bằng cách sử dụng plugin Better WP Security để tăng cường bảo mật cho WordPress, trong đó có chức năng đổi đường dẫn mặc định của trang quản trị thành đường dẫn bất kỳ mà bạn muốn.
Sau khi cài đặt, vào Security -> Hide và điền tên của đường dẫn mới của trang quản trị, trang đăng nhập và trang đăng ký.
Lưu ý: Nếu đổi xong mà bạn vẫn không vào được trang admin bằng đường dẫn mới thì hãy CHMOD file .htaccess thành 777 và vào lại ấn nút Save Change một lần nữa. Sau đó CHMOD lại thành 644.
Hạn chế số lần đăng nhập
Hiện nay có một phương pháp vô cùng phổ biến đó là bằng cách nào đó các hacker có thể thu thập địa chỉ hàng trăm nghìn website WordPress mới mỗi ngày, sau đó tiến hành scan mật khẩu bằng cách liên tục đăng nhập vào địa chỉ wp-admin với một số cấu trúc username và mật khẩu khác nhau. Ví dụ họ thường hay scan với cấu trúc là admin/123456.
Vì thế để ngăn tình trạng này, chúng ta sẽ thêm chức năng tự động khóa đăng nhập khi đăng nhập thất bại số lần nhất định. Bạn có thể sử dụng plugin Login Security Solutions (khuyên dùng), Limit Login Attempts, Login Lockdown hoặc ngay chính trong plugin Better WP Security cũng có chức năng này.
Sử dụng mật khẩu phức tạp và không nên dùng tên đăng nhập là admin
Như ở phía trên mình đã nói, các hacker thường hay liên tục scan tự động mật khẩu của admin theo cấu trúc username là admin hoặc administrator. Vì vậy mình cực kỳ không khuyến khích dùng tên đăng nhập kiểu này hoặc tương tự thế.
Nếu bạn đã lỡ cài đặt một bản WordPress và sử dụng tên đăng nhập là admin thì cũng đừng nên lo lắng, plugin Better WP Security hỗ trợ tính năng đổi tên đăng nhập của bạn, plugin này có vẻ đa năng đấy, và đó là lý do mình chọn nó để sử dụng.
2) Tạo lớp bảo vệ bằng mật khẩu cho trang quản trị
Nếu bạn vẫn còn băn khoăn về sự an toàn của trang quản trị thì có thể dùng thêm cách tạo thêm một lớp đăng nhập nữa bằng cách sử dụng chức năng Password Protect Directories có trong cPanelX của các hosting thông dụng hiện nay.
Sau khi nhấp vào, các bạn chọn thư mục wp-admin và tạo tên đăng nhập và mật khẩu cho lớp đăng nhập.
Ấn nút Add/modify authorized user. Tiếp tục, nhìn lên trên và gõ tên folder cần bảo vệ vào, ở đây folder cần bảo vệ là wp-admin, sau đó tích dấu vào ô Password Protect this directory và ấn nút Save để hoàn tất. Và bắt đầu từ đây, mỗi khi chúng ta đăng nhập vào wp-admin đều sẽ trải qua một lớp bảo vệ, và chúng ta phải điền tên đăng nhập và mật khẩu vào vệ vào. Sau đó mới tiến hành đăng nhập vào WordPress theo cách thông thường.
Nếu host bạn không hỗ trợ cPanelX, bạn có thể tạo một cách đơn giản bằng một plugin htaccess password protect dành cho WordPress.
3) Tạo lớp bảo vệ nâng cao bằng IP
Cách này có thể nói khá tốt để bảo vệ trang quản trị của bạn. Với lớp bảo vệ này, bạn chỉ có thể đăng nhập vào trang quản trị khi IP của bạn có trong danh sách IP cho phép đăng nhập, còn lại sẽ bị chặn hết.
Đầu tiên các bạn tải gói SecureIP về, mở file capnhatip.php ra và thay mật khẩu 123456 thành mật khẩu mà bạn thích, sau đó upload 3 filecapnhatip.php, listip.txt và security.php vào thư mục wp-admin và CHMOD file listip.txt thành 777 hoặc 775. Mở file index.php trong thư mục wp-admin ra và thêm đoạn này ngay đằng sau thẻ "< ?php"
include("security.php");
Sau đó tiến hành truy cập lại với đường dẫn http://yourdomain.com/wp-admin, lúc này bạn sẽ thấy thông báo không cho phép truy cập, bởi vì IP của bạn vẫn chưa được thêm vào danh sách cho phép.
Tiến hành thêm IP vào bằng cách gõ đường dẫn http://yourdomain.com/wp-admin/capnhatip.php, sau đó nhập mật khẩu mà bạn đã chỉnh sửa từ file này ở bước đầu vào. Xong, lúc này bạn đã có thể đăng nhập thoải mái vào trang quản trị rồi.
Muốn xóa hết IP trong danh sách cho phép thì cứ mở file listip.txt trong thư mục wp-admin lên và xóa hết nội dung trong đó hoặc xóa IP cần xóa là xong.
Bạn có thể đổi tên file capnhatip.php thành tên mình thích và nhớ là nhập chính xác khi cần dùng nhé.
4) Phân quyền cho file/thư mục trên host bằng lệnh CHMOD
Hướng dẫn CHMOD
Để CHMOD bạn có 2 cách, mở trình upload FTP lên, ấn chuột phải vào thư mục/tập tin cần CHMOD và chọn CHMOD.
Hoặc là bạn vào phần File Manager trong trang quản trị hosting (cPanel X) và chọn Change Permission
Tối ưu CHMOD cho WordPress
File đầu tiên chúng ta cần bảo vệ đó là wp-config.php vì file này lưu giữ những thông tin đăng nhập vào cơ sở dữ liệu của mình. Nếu như các bạn ít khi chỉnh sửa file này thì hãy CHMOD là 444 cho wp-config, điều này có nghĩa tất cả các nhóm người dùng chỉ có thể đọc chứ không chỉnh sửa hay thực thi được, kể cả chủ sở hữu. Và sau khi đưa về 444, chúng ta không thể chỉnh sửa nội dung file này, nếu muốn chỉnh sửa thì hãy đưa nó về 644.
Còn lại thì bạn có thể CHMOD cho file là 644 và và 755 cho folder.
Nếu như bạn thấy khó khăn trong việc CHMOD thì plugin File Permissions & Size Check sẽ giúp bạn CHMOD và theo dõi các tập tin, thư mục dễ dàng trong trang quản trị WordPress.
Còn đây là gợi ý CHMOD tối ưu hóa cho WordPress của BulletProof Security