10 Tweak Bảo Mật WordPress Hữu Ích [NEW]

An ninh luôn là một chủ đề nóng. Ngoài đời, người ta lắp lưới chống trộm, lắp báo động ô tô và tìm đủ mọi cách để đảm bảo an ninh cho mình một cách tối đa. Trực tuyến, bảo mật cũng quan trọng không kém, đặc biệt là đối với những người kiếm sống từ các trang web và blog. Trong bài viết này, chúng tôi sẽ chỉ cho bạn một số mẹo hữu ích để bảo vệ trang blog WordPress của bạn.

1. Ngăn thông tin không cần thiết được hiển thị

Vấn đề

Khi bạn không đăng nhập được vào blog WordPress, hệ thống sẽ hiển thị một số thông tin cho bạn biết vấn đề nằm ở đâu (Ví dụ: Tên người dùng hoặc mật khẩu không chính xác). Điều này rất tốt nếu bạn vô tình quên mật khẩu, nhưng cũng rất dễ bị những kẻ muốn hack blog của bạn lợi dụng. Bạn có thể làm cho wordpress không hiển thị thông tin này khá dễ dàng, vậy tại sao bạn không bắt đầu ngay để nâng cao tính bảo mật cho website của mình.

Dung dịch

Để loại bỏ thông báo đăng nhập lỗi, chỉ cần mở tệp functions.php của chủ đề và dán mã sau:

add_filter('login_errors',create_function('$a', "return null;"));

Lưu các tệp và tự kiểm tra: sẽ không có thông báo nào được hiển thị nếu bạn không thể đăng nhập.

Xin lưu ý rằng có một số tệp functions.php. Đảm bảo thay đổi một trong các thư mục wp-content của bạn.

Giải thích

Với mã này, chúng tôi đã thêm một hook đơn giản để ghi đè các hàm login_errors (). Bởi vì hàm tùy chỉnh mà chúng tôi đã tạo chỉ trả về kết quả NULL, thông báo được hiển thị sẽ là một chuỗi trống.

2. Sử dụng SSL để bảo mật

Vấn đề

Nếu bạn lo lắng về việc dữ liệu của mình bị chặn khi chuyển tiếp, thì bạn hoàn toàn có thể sử dụng SSL. Trong trường hợp bạn không biết nó là gì, SSL là một giao thức mã hóa giúp bảo mật thông tin liên lạc qua các mạng như Internet. Nhưng trước khi mua SSL, bạn phải tìm hiểu kỹ về giao dịch thực sự. Đọc hướng dẫn mua chứng chỉ SSL của chúng tôi để biết thêm chi tiết và Tìm hiểu về các loại chứng chỉ SSL khác nhau để chọn loại phù hợp với bạn.

Bạn có biết rằng việc buộc WordPress sử dụng SSL là hoàn toàn khả thi không? Không phải tất cả các dịch vụ lưu trữ đều cho phép bạn sử dụng SSL, nhưng nếu bạn đang lưu trữ trên Bluehost hoặc HostGatorthì SSL sẽ được kích hoạt.

Dung dịch

Khi bạn đã kiểm tra máy chủ Web của mình có thể xử lý SSL, chỉ cần mở tệp wp-config.php của bạn (nằm trong thư mục gốc của WordPress) và dán mã sau:

define('FORCE_SSL_ADMIN', true);

Lưu tệp và bạn đã hoàn tất!

Giải thích

Không có gì khó khăn ở đây. WordPress sử dụng rất nhiều hằng số để tinh chỉnh phần mềm. Trong trường hợp này, chúng tôi chỉ cần xác định hằng số FORCE_SSL_ADMIN và đặt giá trị của nó thành true. Điều này sẽ buộc wordpress phải sử dụng SSL.

3. Sử dụng .htaccess để bảo vệ wp-config. tập tin

Vấn đề

Là một người dùng WordPress, bạn biết tệp wp-config.php quan trọng như thế nào đối với bảo mật. Tệp này chứa tất cả thông tin cần thiết để truy cập cơ sở dữ liệu quý giá của bạn: tên người dùng, mật khẩu, tên máy chủ và hơn thế nữa. Bảo mật các tệp wp-config.php là rất quan trọng, vậy còn việc khai thác sức mạnh của Apache để làm điều này thì sao?

Lưu ý: Nhiều độc giả hỏi chúng tôi Tại sao không tìm thấy tệp .htaccess trên WordPress. Hy vọng bài viết này sẽ giúp ích cho bạn khi gặp trường hợp tương tự

Dung dịch

Các tệp htaccess nằm trong thư mục cài đặt gốc của WordPress. Sau khi tạo bản sao lưu của nó (đây là một tệp quan trọng nên chúng ta luôn phải có một bản sao an toàn), hãy mở nó và dán đoạn mã sau:

<files wp-config.php>
order allow,deny
deny from all
</files>

Giải thích

Tệp Htaccess rất mạnh mẽ và là một trong những công cụ tốt nhất để bảo mật và ngăn chặn truy cập không mong muốn vào tệp của bạn. Trong đoạn mã này, chúng tôi chỉ đơn giản là tạo một quy tắc ngăn chặn bất kỳ quyền truy cập nào vào tệp wp-admin.php, do đó đảm bảo rằng không có bot xấu nào có quyền truy cập vào tệp đó. có thể truy cập nó.

4. Tạo danh sách đen gồm những người dùng và chương trình không mong muốn

Bảo vệ

Vấn đề

Ai đó làm phiền bạn hôm nay có thể sẽ lại làm phiền bạn vào ngày mai. Bạn đã bao giờ nhận thấy có bao nhiêu spam bots trở lại blog của bạn 10 lần một ngày để gửi thư rác? Giải pháp cho vấn đề này khá đơn giản: cấm họ truy cập vào blog của bạn.

Dung dịch

Dán đoạn mã sau vào tệp .htaccess của bạn, nằm trong thư mục cài đặt gốc WordPress (root). Như tôi đã nói, luôn sao lưu tệp htaccess trước khi chỉnh sửa nó. Ngoài ra, đừng quên thay đổi 123.456.789 thành địa chỉ IP mà bạn muốn cấm.

<Limit GET POST PUT>
order allow,deny
allow from all
deny from 123.456.789
</LIMIT>

Giải thích

Apache có thể dễ dàng được sử dụng để cấm những người và chương trình không mong muốn khỏi trang web của bạn. Với mã này, chúng tôi đang nói với Apache rằng mọi người đều được phép truy cập vào blog của chúng tôi ngoại trừ những người có địa chỉ IP 123.456.789.

Để có thể chặn nhiều người hơn, bạn chỉ cần lặp lại dòng mã 4 này trên một dòng mới, sử dụng địa chỉ IP khác, như hình dưới đây:

<Limit GET POST PUT>
order allow,deny
allow from all
deny from 123.456.789
deny from 93.121.788
deny from 223.956.789
deny from 128.456.780
</LIMIT>

5. Bảo vệ Blog WordPress của bạn khỏi việc tiêm tập lệnh

Vấn đề

Bảo mật các trang web động là đặc biệt quan trọng. Hầu hết các nhà phát triển luôn bảo vệ các yêu cầu GET và POST của họ, nhưng đôi khi điều này là không đủ. Chúng tôi cũng nên bảo vệ blog của mình khỏi việc chèn tập lệnh và bất kỳ nỗ lực nào nhằm thay đổi các biến PHP GLOBALS và _REQUEST.

Dung dịch

Đoạn mã sau sẽ chặn việc đưa tập lệnh vào và mọi nỗ lực sửa đổi các biến PHP GLOBALS và _REQUEST. Dán nó vào tệp htaccess của bạn. Đảm bảo rằng bạn luôn sao lưu tệp htaccess trước khi sửa đổi nó.

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Giải thích

Sử dụng .htaccess, chúng tôi có thể kiểm tra các yêu cầu đến. Những gì chúng tôi đã làm ở đây là kiểm tra xem liệu yêu cầu có chứa