WordPress là một trong những CMS mã nguồn mở được sử dụng nhiều nhất hiện nay. Trong bài viết này mình sẽ hướng dẫn các bạn một số biện pháp tăng cường bảo mật cho website wordpress của mình.
* Lưu ý: Hầu hết các thao tác đều thực hiện trên file .htaccess, đồi với hosting sử dụng cPanel nếu các bạn không thấy file này thì có thể làm theo hướng dẫn dưới đây:
1. Ngăn chặn truy cập trái phép file wp-config.php và xmlrpc.php
Thêm đoạn code sau vào file .htaccess
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# protect xmlrpc.php
<files xmlrpc.php>
order allow,deny
deny from all
</files>
2. Ngăn chặn truy cập trái phép vào thư mục wp-includes
Thêm đoạn code sau vào file .htaccess
# Block wp-includes folder and files
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
3. Bảo vệ thư mục uploads
Tạo file .htaccess theo đường dẫn /wp-content/uploads/.htaccess với nội dung sau
<Files *.php>
deny from all
</Files>
4. Vô hiệu hóa chỉnh sửa file và cài đặt plugins và theme trong wp-admin
Thêm đoạn code sau vào file wp-config.php
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);
5. Sử dụng plugins bảo mật cho wordpress
Một số plugins tăng cường bảo mật cho wordpress:
– Wordfence Security : Đây là một Plugin với hàng triệu lượt tải về và là một trong những Plugin bảo mật WordPress tốt nhất hiện nay, nó không ngừng kiềm tra trang web của bạn để phát hiện ra những phần mềm độc hại, bao gồm quét toàn bộ code wordpress và các plugin của bạn và thông báo cho bạn biết được những File nào, Plugin nào bị nhiễm mã độc.
– iThemes Security : Đây là một Plugin nổi tiếng nhất trong việc bảo mật wordpress, nó cung cấp hầu như một cách toàn diện về các vấn đề liên quan đến bảo mật wordpress, bao gồm cả sửa lỗi và ngăn chặn các cuộc tấn công.
– BulletProof Security : Là một Plugin phổ biến sử dụng bảo mật trong wordpress, Nó cho phép bảo mật bằng tường lửa, bảo mật cơ sở dữ liệu, bảo mật đăng nhập và một số tính năng quan trọng khác. Bạn chỉ cần cài đặt Plugin này là bạn đã có thể bảo mật trang wordpress thông qua những cấu hình mặc định.
– Sucuri Security : Tương tự như Plugin trên, với tính năng bảo mật và kiểm soát website, đây là một Plugin tập chung chủ yếu vào việc phát hiện và ngăn chặn các mã độc trong Theme và cac Plugin của bạn, theo dõi danh sách IP bị chặn và tường lửa.
– All In One WP Security & Firewall : Đúng như tên gọi của nó, đây là một Plugin bảo mật wordpress một cách toàn diện, Plugin này rất dễ dàng sử dụng và làm giảm nguy cơ bảo mật bằng các thêm vào các vấn đề được khuyến cáo.
6. Thường xuyên cập nhật phiên bản wordpress cũng như theme và plugins.
7. Tránh sử dụng mật khẩu admin quá đơn giản dễ đoán.