10 cách đơn giản để bảo mật cho blog WordPress

hieudt — Wed, 08 Jul 2009 03:13:07 +0000

Bảo mật cho blog WordPress của bạn là một việc làm quan trọng, vì sao? Vì WordPress đang ngày càng phổ biến trong giới blog, do đó mà nguy cơ bị tấn công cũng tăng theo. Trong bài viết này, chúng ta sẽ tham khảo qua 10 cách để tăng cường bảo mật cho blog WordPress.

1. WP Security Scan

Đây là một plugin có thể quét và rà soát toàn bộ hệ thống blog của bạn để tìm ra những vấn đề liên quan đến bảo mật, sau đó plugin sẽ đưa ra những biện pháp cũng như lời khuyên để bạn tối ưu.

Download.

2. Bảo vệ thư mục plugins

Một hacker có thể dễ dàng đoạt quyền truy cập vào blog của bạn bằng cách lợi dụng những điểm yếu, lỗ hỏng của các plugin mà bạn đang dùng. Cách dễ nhất để hacker biết bạn đang dùng plugin gì là hacker sẽ truy cập vào thư mục http://ten-blog.com/wp-content/plugins/. Để ngăn chặn việc này, rất đơn giản, bạn chỉ việc đặt một file index.html trắng vào thư mục đó là xong.
Chú ý: từ WordPress 2.8 trở đi thì việc này đã được làm sẵn, bạn khỏi làm cũng được.

3. Nâng cấp WordPress

Cái này thì cực kỳ dễ làm nhưng đôi khi bạn cũng phải tỏ ra thận trọng, đắn đo trước khi bấm nút nâng cấp. Một lời khuyên là bạn đừng vội nâng cấp lên phiên bản mới ra lò (như WP 2.8) mà hãy kiên nhẫn chờ đợi đến bản fix lỗi kế tiếp (như WP 2.8.1) bởi vì những phiên bản đầu thường chưa ổn định mặc dù đã qua giai đoạn beta, tốt nhất là chờ cộng đồng người dùng phát hiện ra lỗi rồi hãy xài bản fix, bạn sẽ tránh được những phiền phức không đáng có.

4. Chọn một password "chất lượng"

Điều này thì tất nhiên, khỏi cần nói ai cũng biết, password càng dài càng phức tạp thì càng an toàn. Đừng nên dùng chung một password cho tất cả các tài khoản, bạn nên chọn password dễ nhớ nhưng không quá đơn giản, kết hợp chữ HOA - chữ thường với con số và các ký tự đặc biệt sẽ làm cho password của bạn trở nên mạnh hơn.

5. Đổi tên đăng nhập của Admin

Mặc định trong WordPress có một tài khoản đặc biệt (có toàn quyền quản trị) với tên đăng nhập là admin. Hầu hết người dùng đều để nguyên tên đó nhưng họ đâu biết rằng nếu để như vậy thì công việc còn lại của hacker chỉ là đoán password rồi xâm nhập vào blog của họ. Do đó, bạn nên thay đổi tên admin này thành tên khác để hacker nếu có dò password thì phải dò cả tên đăng nhập nữa. Tôi đã viết một bài về vụ này, bạn có thể xem tại đây.

6. Bảo vệ file wp-config.php

File wp-config.php ở thư mục gốc của WordPress chứa thông tin về database vì vậy nó cần được bảo vệ.
Bạn hãy thêm đoạn code sau vào file .htaccess để bảo vệ

# protect wpconfig.php
 
order allow,deny from all

Xem thêm - Nometech.com

7. Giấu phiên bản của WordPress

Đầu tiên, bạn mở file header.php trong thư mục chứa theme mà bạn đang dùng và xóa dòng meta (có dạng

 remove_action('wp_header', 'wp_generator'); ?>

Giải thích: bạn cần làm điều này để không cho người xem biết được bạn đang dùng phiên bản WordPress nào bởi vì hacker có thể lợi dụng thông tin này để tấn công blog của bạn.

Xem thêm - ProBlogDesign

8. Giới hạn số lần nhập password sai khi đăng nhập

Một biện pháp chống dò password là dùng plugin Login LockDown. Nó có nhiệm vụ khóa không cho bạn hay bất cứ ai nhập password sai quá số lần qui định. Bạn có thể chọn số lần nhập sai tối đa cho người dùng trước khi họ bị khóa trong trang tùy chọn của plugin.

Download

9. Lọc luồn truy cập WP-Admin bằng IP

Nếu bạn dùng nhiều máy tính khác nhau hoặc dùng IP động để quản lý blog thì bạn không nên dùng cách này bởi vì nó chỉ cho phép bạn đăng nhập khi bạn đến từ một IP hợp lệ, tuy nhiên nếu có điều kiện thì bạn nên dùng cách này bởi vì tính bảo mật của nó rất cao.
Cách làm như sau: bạn chỉ việc thêm đoạn code dưới đây vào file .htaccess ở thư mục gốc của WordPress

order deny, allow
allow from a.b.c.d. #your static ip
deny from all

Xem thêm - Nometech

10. Đăng nhập thông qua SSL

Nếu host của bạn có "SSL certificate" thì bạn có thể dùng thêm plugin dưới đây để đăng nhập bằng SSL, kể từ đó mọi thông tin trao đổi giữa máy tính với server của bạn sẽ được mã hóa, độ an toàn được tăng lên.

Download

Nguồn: catswhocode.com

Tags: admin, bảo mật, htaccess, login, plugins, wordpress

Đổi tên đăng nhập của admin trong WordPress

hieudt — Thu, 07 May 2009 15:36:29 +0000

Như bạn đã biết, mặc định khi cài WordPress thì nó sẽ cấp cho bạn một tài khoản quản trị với username là admin và bạn không thể thay đổi tên này trừ khi bạn vào phpMyAdmin để sửa trực tiếp trong database. Có thể nói việc áp đặt này là hơi dở và kém bảo mật, còn vì sao kém bảo mật thì chắc bạn cũng tự đoán ra được rồi, hacker chỉ cần dò password nữa là xong.

Hiện có nhiều plugin giúp WordPress tăng cường bảo mật ở khâu đăng nhập nhưng ở đây tôi muốn giới thiệu một plugin "tí hon" có thể thay đổi tên admin thành tên của riêng bạn, cách làm rất đơn giản, chỉ cần 4 bước sau:

1. Download plugin change-admin-username.zip (3 KB)
2. Cài nó vào WordPress
3. Rồi làm như hình minh họa dưới đây
4. Sau đó thoát ra và login lại với username mới

Đổi username thành công rồi thì bạn cứ thoải mái deactivate plugin này đi cho nhẹ blog. Hy vọng plugin bé xíu này sẽ giúp ích cho bạn!

Tags: admin, bảo mật, login, plugin, wordpress

hieudt's blog » login