Chúng tôi tiếp tục nhấn mạnh sự an toàn của việc bảo vệ khu vực admin WordPress do các cuộc tấn công gần đây trên trang web của chúng tôi, chúng tôi đã biên soạn một bài viết đầy đủ chi tiết nhấn mạnh một số biện pháp bảo vệ khu vực admin WordPress của bạn.
Chúng tôi không nói rằng bạn phải làm theo tất cả những lời khuyên này, nhưng bạn vẫn cần phải có một vài trong số những thực hiện trên trang web của bạn để chắc chắn. Các bước hơn bạn đi, khó khăn hơn, nó sẽ trở thành cho các tin tặc.
1. Tạo các liên kết tuỳ chỉnh đăng nhập để bảo vệ khu vực admin
Để truy cập vào bảng admin WordPress, các bạn cần đăng nhập vào địa chỉ của các trang web với /wp-login.php. Nếu bạn sử dụng một mật khẩu trong nhiều trang web, thì sẽ rất dễ dàng cho các hacker có thể hack trang web của bạn. Một plugin gọi là Stealth Login cho phép bạn tạo ra các URL tuỳ chỉnh cho đăng nhập, đăng xuất, quản lý và đăng ký cho blog WordPress của bạn. Bạn cũng có thể dùng “Stealth Mode” để ngăn chặn người dùng có thể truy cập ‘wp-login.php’. Sau đó bạn có thể thiết lập url đăng nhập bí mật hơn. Điều này sẽ không hoàn toàn đảm bảo an toàn cho trang web của bạn nhưng nếu ai đó muốn crack mật khẩu của bạn, thì nó sẽ rất khó khăn cho họ. Điều này cũng ngăn chặn bất kỳ chương trình độc từ việc truy cập tập tin wp-login.php của bạn và cố gắng làm gián đoạn.
2. Chọn mật khẩu mạnh
Khi đưa ra các phương án bảo vệ khu vực admin chúng ta thường bỏ qua tầm quan trọng của độ mạnh mật khẩu. Các bạn không nên sử dụng cùng một mật khẩu ở những trang web khác nhau, hãy cố gắng tạo ra các mật khẩu khác nhau và khó đoán. Sử dụng Detector Password Strength WordPress tạo lợi thế cho mình và làm cho mật khẩu của bạn khó đoán hơn. Một điều bạn cần làm là thay đổi mật khẩu định kỳ, vì vậy ngay cả khi ai đó đã đoán được mật khẩu của bạn, thì điều đó trở nên vô ích vì bạn đã đổi mật khẩu rồi. Bạn có thể tham khảo thêm bài viết thiết lập mật khẩu bảo vệ quyền quản trị.
3. Giới hạn login attempts
Đôi khi các hacker nghĩ rằng họ biết mật khẩu của bạn, hoặc họ có thể tạo ra một hệ thống để đoán mật khẩu của bạn. Trong trường hợp đó những gì bạn cần làm là hạn chế những Login Attempt. Bạn có thể dễ dàng làm điều đó bằng cách sử dụng một plugin gọi là Limit Login Attempts, công cụ này sẽ khóa tài khoản người dùng nếu họ nhập sai mật khẩu nhiều so với số lượt quy định. Tài khoản đó sẽ được khóa trong một thời gian xác định. Bạn có thể kiểm soát các thiết lập thông qua bảng wp-admin của bạn.
4. Sử dụng secure SSL login pages
Bạn có thể đăng nhập vào WordPress Admin Panel thông qua các kênh mã hóa với SSL có nghĩa là URL của bạn sẽ có phần https: //. Bạn phải xác nhận với webhost của bạn rằng bạn có Shared SSL, hoặc bạn sở hữu một chứng chỉ SSL. Khi đã xác nhận, bạn hãy dán đoạn mã sau vào file wp-config.php của bạn:
define(’FORCE_SSL_ADMIN’, true);
Ngoài ra còn có một plugin gọi là Admin SSL, có thể ép buộc SSL trên tất cả các trang. Bạn có thể đăng nhập vào trang 1 cách dễ dàng hơn bằng lugin này nhưng nó chỉ tương thích với phiên bản 2.7 trở lên. Bạn có thể quan tâm đến bài viết làm thế nào để thêm SSL miễn phí trên wordpress với let’s encrypt.
5. Hướng dẫn bảo vệ mật khẩu WP-Admin
Không có gì sai với việc sử dụng hai mật khẩu. Điều này giúp bạn thêm một cấp độ bảo mật cho việc bảo vệ khu vực admin WordPress. Điều này có thể được thực hiện bằng cách sử dụng một plugin gọi là AskApache Password Protect. Nó mã hóa mật khẩu của bạn và tạo ra các tập tin htpasswd, cũng như thiết lập các quyền truy cập file nhằm tăng cường bảo mật chính xác. Bạn cũng có thể sử dụng cPanel Password Protection trên một Directory nếu bạn đang sử dụng một Web cPanel Host bảo mật cho thư mục wp-admin.
6. Giới hạn truy cập thông qua địa chỉ IP
Bạn có thể giới hạn truy cập vào WP-Admin Panel của bạn và cho phép địa chỉ IP nhất định có thể để truy cập. Tất cả bạn cần làm là tạo ra một tập tin .htaccess trong thư mục / wp-admin / nếu chưa có. Dán đoạn mã sau:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist Syed's IP address allow from xx.xx.xx.xxx # whitelist David's IP address allow from xx.xx.xx.xxx # whitelist Amanda's IP address allow from xx.xx.xx.xxx # whitelist Muhammad's IP address allow from xx.xx.xx.xxx # whitelist Work IP address allow from xx.xx.xx.xxx /LIMIT
Thay đổi địa chỉ IP và mọi thứ sẽ hoạt động. Nhưng nhược điểm của việc này là bạn không thể đăng nhập vào bảng điểu khiển từ một nơi khác trừ khi bạn thêm IP trong tập tin .htaccess.
7. Không bao giờ sử dụng tên đăng nhập “Admin”
Đây là người dùng đầu tiên được tạo ra khi cài đặt WordPress. Bạn không nên sử dụng tên này. Bởi vì trong quá khứ có nhiều sơ hở liên quan giữa Brute Force Attack và tên người quản trị, vì thế bạn nên ngưng sử dụng nó. Bạn nên tạo một người dùng khác sử dụng WordPress admin panel của bạn, và gán vai trò quản trị. Hãy cố gắng làm tên người dùng không rõ ràng, vì vậy nó sẽ khó khăn hơn cho hacker đoán. Sau đó, xóa hoàn toàn tài khoản người dùng admin để an toàn hơn.
8. Di chuyển Error Message trên trang đăng nhập
Khi bạn nhập sai mật khẩu hoặc tên người dùng, bạn sẽ nhận được một thông báo lỗi từ trang đăng nhập. Vì vậy, nếu một hacker đoán được ID hoặc mật khẩu, thông báo lỗi sẽ giúp họ xác định. Vì vậy bạn nên bỏ tin nhắn thông báo lỗi. Mở functions.php của bạn nằm trong thư mục chủ đề và dán đoạn mã sau:
add_filter('login_errors',create_function('$a', "return null;"));
Một plugin được gọi là Secure WordPress cũng có thể làm điều này và nó cũng có nhiều tính năng khác nữa. Nếu bạn quan tâm, có thể tham khảo plugin đó
9. Sử dụng Encrypted Password để đăng nhập để bảo vệ khu vực admin
Khi bạn không có kích hoạt được SSL, thì phương pháp này sẽ có ích cho bạn. Có một plugin cho phép bạn làm công việc này, gọi là Semisecure Login Reimagined. Semisecure Login Reimagined giúp tăng sự an toàn của quá trình đăng nhập bằng cách sử dụng khóa công khai RSA để mã hóa mật khẩu khi người dùng đăng nhập. máy chủ sau đó giải mã các mật khẩu được mã hóa với khóa riêng. Sử dụng Javascript để hỗ trợ cho quá trình mã hóa.
10. WordPress Antivirus Protection
Sử dụng AntiVirus cho WordPress là một giải pháp thông minh và hiệu quả để bảo vệ blog của bạn chống lại sự khai thác và thư rác. Điểm đặc biệt của plugin này là kiểm tra với kết quả trực tiếp của các tập tin bị nhiễm, và tự động kiểm tra hàng ngày với thông báo email.
11. Luôn cập nhật với WordPress phiên bản mới nhất
Luôn cập nhật với phiên bản mới nhất của WordPress bởi vì sau khi mỗi phiên bản được phát hành, WordPress cũng phát hành các lỗi và lỗ hổng trong các phiên bản trước đó, bảo vệ khu vực admin của bạn rẽ gặp rủi ro nếu bạn không nâng cấp.
Những thủ thuật bạn có để bảo vệ khu vực admin WordPress của bạn?
12. One time password
One Time Password Plugin cho phép bạn đăng nhập vào WordPress weblog sử dụng mật khẩu hợp lệ chỉ cho một lần đăng nhập. Loại mật khẩu chỉ đăng nhập được một lần này ngăn chặn việc đánh cắp mật khẩu WordPress trong môi trường không đáng tin cậy, giống như các quán cà phê internet, ví dụ bởi keyloggers.
13. WordPress firewall plugin
WordPress Firewall Plugin Detect phát hiện và ngăn chặn các thông sớ đáng ngờ có thể ảnh hưởng đến WordPress. Nó cũng bảo vệ hầu hết các plugin WordPress từ các cuộc tấn công tương tự. Bạn có thể tùy chọn cấu hình như là plugin đầu tiên để tải về an ninh tối đa. Nó sẽ gửi cho bạn một tùy chọn để gửi một email đến bạn với những thông tin hữu ích khi ngăn chặn một cuộc tấn công và nhiều hơn thế nữa.
Các bạn có thể tham khảo thêm bài viết 3 cách quản lý mật khẩu tốt nhất cho người mới bắt đầu.
Bạn ơi. Trên wordpress Mình dùng cách thứ 6:Giới hạn truy cập thông qua địa chỉ IP thì không thể comment được cho các địa chỉ IP khác. Vậy có cách nào khác để chặn khu vực admin bằng IP nhưng vẫn commen được? Cảm ơn bạn.