Bảo mật cơ bản cho Wordpress

[ChickenStyle]

Có nhiều cách bảo mật khác nhau, hôm nay Lê Tí xin hướng dẫn cách mà mình hay sử dụng nhất

1. Giới hạn quyền truy vấn đề wp-config.php
thêm vào file .htaccess với nội dung sau

<files wp-config.php>
    order allow,deny
    deny from all
</files>

2. Tắt chức năng chỉnh sửa trực tiếp theme và plugin
từng vọc qua local và nhận ra rằng, nếu để admin có quyền edit theme hoặc plugin trong bảng điều khiển wp-admin thì nguy cơ bị up shell rất cao nên cách tốt nhất là tắt nó đi
Thêm vào wp-config.php đoạn code sau

define('DISALLOW_FILE_EDIT',true);

3. Tắt chức năng cài đặt thêm theme và plugin mới
tương tự như chỉnh sửa theme và plugin bên trên, họ có thể chèn shell vào trong theme mới hoặc plugin mới sau đó upload lên, nên cách tốt nhất là tắt nó đi luôn cho khỏe người
Thêm vào wp-config.php đoạn code sau

define('DISALLOW_FILE_MODS',true);

Có một khó khăn nho nhỏ đó là khi tắt các chức năng này bạn bắt buộc phải chỉnh sửa theme hay plugin trên máy và upload lên host mỗi khi hoàn thành. Cũng tương tự như mỗi khi plugin hay theme có bản cập nhập từ wp.org ta cũng đều phải upload lên host nhưng an toàn là trên hết mà .

4. Chmod thư mục public_html thành 111 với cp11, DA chưa thử

5. Xem thêm bài viết này: Bảo mật website sử dụng WordPress và Hướng dẫn Chmod an toàn cho website

Sau khi làm xong các bước trên, các bạn chỉ việc backup data thường xuyên, hoặc dùng cronjob để auto backup mà không sợ bị up shell vào site nữa
tuy nhiên data vẫn có thể bị drop đấy nhé

sẽ bổ sung thêm sau [