Myshare
New Member
Dạ vâng các bạn à! Mới đây site HanTinh.Org bị bọn cờ hó nào bên nước ngoài đặt cho cái index đẹp quá. Vừa buồn vừa tức nên quyết định thức 1 đêm để tìm hiểu về Bảo Mật cho wordpress thân yêu của mình
Chắc ai cũng vậy thôi chứ không nhất thiết là mình. Cái site HanTinh.Org của mình cũng chẳng có gì nổi tiếng cả nhưng cũng là công sức của gần 2 tháng trời post truyện làm cũng khá cung phu đấy nên bị thế cũng buồn lắm lắm luôn đấy
Mà thôi chắc cũng vào việc chính thôi nhỉ, mình sẽ thảo luận về những gì mình đọc và tìm hiểu được trong đêm nay. Demo Kho Truyện Tình Yêu
1. Đổi địa chỉ của trang quản trị
Cái này cũng khá quan trọng trong việc quản lý và hạn chế tối đa các Hacker đăng nhập được vào trang quản trị của website. Như chúng ta biết đường dẫn mạc định tới trang quản trị của WordPress là wp-admin. Vậy tại sao k thay đổi nó để đánh lạc hướng các Hacker ?
Vì vậy trước tiên, bạn cần đổi địa chỉ đăng nhập vào trang quản trị bằng cách sử dụng plugin Better WP Security (hoặc có thể seach ở google) để tăng cường bảo mật cho WordPress, trong đó có chức năng đổi đường dẫn mặc định của trang quản trị thành đường dẫn bất kỳ mà bạn muốn. Sau khi cài đặt, vào Security -> Hide Backen và điền tên của đường dẫn mới của trang quản trị, trang đăng nhập và trang đăng ký.
Download-2.png-zajbh
2. Hạn chế số lần đăng nhập
Hiện nay còn rất nhiều hacker tấn công vào trang quản trị theo cách phổ thông đó là…..mò mật khẩu của bạn. Họ sẽ gõ đi gõ lại bằng nhiều mật khẩu khác nhau mà họ cho là có nguy cơ trùng khớp với mật khẩu của bạn. Vì thế để ngăn tình trạng này, chúng ta sẽ thêm chức năng tự động khóa đăng nhập khi đăng nhập thất bại số lần nhất định.
Download-1.png-zajbh
3. Sử dụng mật khẩu phức tạp và không nên dùng tên đăng nhập là admin
Cách này cũng khá đơn giản nhưng cũng khá là hiệu quả để hạn chế tình trạng bị đánh cắp tài khoản quản trị. Khi cài đặt WordPress, chúng ta không nên sử dụng tên đăng nhập là admin mà hãy chọn cho mình một tên đăng nhập phức tạp nhất, cộng thêm với một mật khẩu phức tạp nhất luôn (bạn có thể sử dụng công cụ Strong Password Generator để tự tạo mật khẩu phức tạp) và sau đó lưu tất cả chúng vào một file văn bản rồi đặt vào nơi an toàn nhất trong máy tính
.
Mặc định hiển thị tên trong WordPress là chính tên đăng nhập của bạn, bạn có thể vào phần User để chỉnh sửa tên hiển thị thành tên mình thích là được. Nếu bạn đã lỡ cài đặt một bản WordPress và sử dụng tên đăng nhập là admin thì cũng đừng nên lo lắng, plugin Better WP Security hỗ trợ tính năng đổi tên đăng nhập của bạn. Plugin Better WP Security mình khuyên các bạn sử dụng wp k nên bỏ qua. Nó rất nhiều tác dụng khác nữa các bạn cài đặt rồi tự tìm hiểu nha
4. Tạo lớp bảo vệ bằng mật khẩu cho trang quản trị
Nếu bạn vẫn còn băn khoăn về sự an toàn của trang quản trị thì có thể dùng thêm cách tạo thêm một lớp đăng nhập nữa bằng cách sử dụng chức năng Password Protect Directories có trong cPanelX của các hosting thông dụng hiện nay.
Download-3.jpg-zajbh
Sau khi nhấp vào, các bạn chọn thư mục wp-admin và tạo tên đăng nhập và mật khẩu cho lớp đăng nhập.
Download-4.jpg-zajbh
Ấn nút Add/modify authorized user. Tiếp tục, nhìn lên trên và gõ tên folder cần bảo vệ vào, ở đây folder cần bảo vệ là wp-admin, sau đó tích dấu vào ô Password Protect this directory và ấn nút Save để hoàn tất. Và bắt đầu từ đây, mỗi khi chúng ta đăng nhập vào wp-admin đều sẽ trải qua một lớp bảo vệ, và chúng ta phải điền tên đăng nhập và mật khẩu vào vệ vào. Sau đó mới tiến hành đăng nhập vào WordPress theo cách thông thường.
Download-5.jpg-zajbh
5. Tạo lớp bảo vệ nâng cao bằng IP
Cách này có thể nói khá tốt để bảo vệ trang quản trị của bạn. Với lớp bảo vệ này, bạn chỉ có thể đăng nhập vào trang quản trị khi IP của bạn có trong danh sách IP cho phép đăng nhập, còn lại sẽ bị chặn hết.
Đầu tiên các bạn tải gói SecureIP về, mở file capnhatip.php ra và thay mật khẩu 123456 thành mật khẩu mà bạn thích, sau đó upload 3 file capnhatip.php, listip.txt và security.php vào thư mục wp-admin và CHMOD file listip.txt thành 777 hoặc 775. Mở file index.php trong thư mục wp-admin ra và thêm đoạn include("security.php"); ngay đằng sau <?php
Sau đó tiến hành truy cập lại với đường dẫn 302 Found, lúc này bạn sẽ thấy thông báo không cho phép truy cập, bởi vì IP của bạn vẫn chưa được thêm vào danh sách cho phép.
Tiến hành thêm IP vào bằng cách gõ đường dẫn 302 Found, sau đó nhập mật khẩu mà bạn đã chỉnh sửa từ file này ở bước đầu vào. Xong, lúc này bạn đã có thể đăng nhập thoải mái vào trang quản trị rồi.
Muốn xóa hết IP trong danh sách cho phép thì cứ mở file listip.txt trong thư mục wp-admin lên và xóa hết nội dung trong đó hoặc xóa IP cần xóa là xong.
Bạn có thể đổi tên file capnhatip.php thành tên mình thích và nhớ là nhập chính xác khi cần dùng nhé.
6. Phân quyền cho các file và thư mục bằng chmod
+Chmod file config thành 400 hoặc 404
+Chmod thư mục wp-admin thành 101
+Ngoài ra các bạn có thể chmod tất cả các file thành 400 hoặc 404 (ngoại trừ các file trong thư mục theme nhé)
7. Giới hạn quyền truy vấn đề wp-config.php
Bằng cách thiết lập cho .htaccess loại bỏ quyền truy vấn đến wp-config.php
* Ngoài ra chúng ta nên backup dữ liệu 2 tuần 1 lần hoặc ít nhất 1 tuần 1 lần, update liên tục các plugin hoặc phiên bản mới (trước khi update nhớ backup tất cả dữ liệu trước tránh trường hợp phiên bản mới bị lỗi)
P/S: Trên đời thì chẳng có cái gì thực sự hoàn hảo cả vì thế k phải làm theo các cách trên là không thể không bị các hacker nhòm ngó nó chỉ hạn chế được phần nào thôi nhé
Chúc các bạn phát triển wap tốt
Chắc ai cũng vậy thôi chứ không nhất thiết là mình. Cái site HanTinh.Org của mình cũng chẳng có gì nổi tiếng cả nhưng cũng là công sức của gần 2 tháng trời post truyện làm cũng khá cung phu đấy nên bị thế cũng buồn lắm lắm luôn đấy
Mà thôi chắc cũng vào việc chính thôi nhỉ, mình sẽ thảo luận về những gì mình đọc và tìm hiểu được trong đêm nay. Demo Kho Truyện Tình Yêu
1. Đổi địa chỉ của trang quản trị
Cái này cũng khá quan trọng trong việc quản lý và hạn chế tối đa các Hacker đăng nhập được vào trang quản trị của website. Như chúng ta biết đường dẫn mạc định tới trang quản trị của WordPress là wp-admin. Vậy tại sao k thay đổi nó để đánh lạc hướng các Hacker ?
Vì vậy trước tiên, bạn cần đổi địa chỉ đăng nhập vào trang quản trị bằng cách sử dụng plugin Better WP Security (hoặc có thể seach ở google) để tăng cường bảo mật cho WordPress, trong đó có chức năng đổi đường dẫn mặc định của trang quản trị thành đường dẫn bất kỳ mà bạn muốn. Sau khi cài đặt, vào Security -> Hide Backen và điền tên của đường dẫn mới của trang quản trị, trang đăng nhập và trang đăng ký.
Download-2.png-zajbh
2. Hạn chế số lần đăng nhập
Hiện nay còn rất nhiều hacker tấn công vào trang quản trị theo cách phổ thông đó là…..mò mật khẩu của bạn. Họ sẽ gõ đi gõ lại bằng nhiều mật khẩu khác nhau mà họ cho là có nguy cơ trùng khớp với mật khẩu của bạn. Vì thế để ngăn tình trạng này, chúng ta sẽ thêm chức năng tự động khóa đăng nhập khi đăng nhập thất bại số lần nhất định.
Download-1.png-zajbh
3. Sử dụng mật khẩu phức tạp và không nên dùng tên đăng nhập là admin
Cách này cũng khá đơn giản nhưng cũng khá là hiệu quả để hạn chế tình trạng bị đánh cắp tài khoản quản trị. Khi cài đặt WordPress, chúng ta không nên sử dụng tên đăng nhập là admin mà hãy chọn cho mình một tên đăng nhập phức tạp nhất, cộng thêm với một mật khẩu phức tạp nhất luôn (bạn có thể sử dụng công cụ Strong Password Generator để tự tạo mật khẩu phức tạp) và sau đó lưu tất cả chúng vào một file văn bản rồi đặt vào nơi an toàn nhất trong máy tính
.Mặc định hiển thị tên trong WordPress là chính tên đăng nhập của bạn, bạn có thể vào phần User để chỉnh sửa tên hiển thị thành tên mình thích là được. Nếu bạn đã lỡ cài đặt một bản WordPress và sử dụng tên đăng nhập là admin thì cũng đừng nên lo lắng, plugin Better WP Security hỗ trợ tính năng đổi tên đăng nhập của bạn. Plugin Better WP Security mình khuyên các bạn sử dụng wp k nên bỏ qua. Nó rất nhiều tác dụng khác nữa các bạn cài đặt rồi tự tìm hiểu nha
4. Tạo lớp bảo vệ bằng mật khẩu cho trang quản trị
Nếu bạn vẫn còn băn khoăn về sự an toàn của trang quản trị thì có thể dùng thêm cách tạo thêm một lớp đăng nhập nữa bằng cách sử dụng chức năng Password Protect Directories có trong cPanelX của các hosting thông dụng hiện nay.
Download-3.jpg-zajbh
Sau khi nhấp vào, các bạn chọn thư mục wp-admin và tạo tên đăng nhập và mật khẩu cho lớp đăng nhập.
Download-4.jpg-zajbh
Ấn nút Add/modify authorized user. Tiếp tục, nhìn lên trên và gõ tên folder cần bảo vệ vào, ở đây folder cần bảo vệ là wp-admin, sau đó tích dấu vào ô Password Protect this directory và ấn nút Save để hoàn tất. Và bắt đầu từ đây, mỗi khi chúng ta đăng nhập vào wp-admin đều sẽ trải qua một lớp bảo vệ, và chúng ta phải điền tên đăng nhập và mật khẩu vào vệ vào. Sau đó mới tiến hành đăng nhập vào WordPress theo cách thông thường.
Download-5.jpg-zajbh
5. Tạo lớp bảo vệ nâng cao bằng IP
Cách này có thể nói khá tốt để bảo vệ trang quản trị của bạn. Với lớp bảo vệ này, bạn chỉ có thể đăng nhập vào trang quản trị khi IP của bạn có trong danh sách IP cho phép đăng nhập, còn lại sẽ bị chặn hết.
Đầu tiên các bạn tải gói SecureIP về, mở file capnhatip.php ra và thay mật khẩu 123456 thành mật khẩu mà bạn thích, sau đó upload 3 file capnhatip.php, listip.txt và security.php vào thư mục wp-admin và CHMOD file listip.txt thành 777 hoặc 775. Mở file index.php trong thư mục wp-admin ra và thêm đoạn include("security.php"); ngay đằng sau <?php
Sau đó tiến hành truy cập lại với đường dẫn 302 Found, lúc này bạn sẽ thấy thông báo không cho phép truy cập, bởi vì IP của bạn vẫn chưa được thêm vào danh sách cho phép.
Tiến hành thêm IP vào bằng cách gõ đường dẫn 302 Found, sau đó nhập mật khẩu mà bạn đã chỉnh sửa từ file này ở bước đầu vào. Xong, lúc này bạn đã có thể đăng nhập thoải mái vào trang quản trị rồi.
Muốn xóa hết IP trong danh sách cho phép thì cứ mở file listip.txt trong thư mục wp-admin lên và xóa hết nội dung trong đó hoặc xóa IP cần xóa là xong.
Bạn có thể đổi tên file capnhatip.php thành tên mình thích và nhớ là nhập chính xác khi cần dùng nhé.
6. Phân quyền cho các file và thư mục bằng chmod
+Chmod file config thành 400 hoặc 404
+Chmod thư mục wp-admin thành 101
+Ngoài ra các bạn có thể chmod tất cả các file thành 400 hoặc 404 (ngoại trừ các file trong thư mục theme nhé)
7. Giới hạn quyền truy vấn đề wp-config.php
Bằng cách thiết lập cho .htaccess loại bỏ quyền truy vấn đến wp-config.php
Code:
<files wp-config.php>
order allow,deny
deny from all
</files>P/S: Trên đời thì chẳng có cái gì thực sự hoàn hảo cả vì thế k phải làm theo các cách trên là không thể không bị các hacker nhòm ngó nó chỉ hạn chế được phần nào thôi nhé
Chúc các bạn phát triển wap tốt
![[OzzModz] Display Visitor Name ( [you] Mod)](/data/resource_icons/0/342.jpg?1709004947){kind=icon}
![[CSCN] Roman Numeral Chord BB Code Support](/data/resource_icons/0/341.jpg?1624724061){kind=icon}
![[ShikiSuen] CSCN Anniversary theme (for AdminCP Only)](/data/resource_icons/0/340.jpg?1624032501){kind=icon}
![[OzzModz] Login By Country Log](/data/resource_icons/0/339.jpg?1623080236){kind=icon}
![[OzzModz] Nag Guests To Register](/data/resource_icons/0/338.jpg?1623079745){kind=icon}
![[OzzModz] Anti Bump](/data/resource_icons/0/337.jpg?1623079305){kind=icon}