Làm thế nào để bảo mật WordPress


Quảng Cáo
Đặt Banner Quảng cáo, Textlink, Guest Post
Liên Hệ Ngay: 1900636343

Contents

  • Giới thiệu
  • Bạn y/c gì?
  • Bước 1 – Cập nhật WordPress cho website
  • Bước 2 – Bảo mật WordPress bằng hiện trạng đăng nhập “mưu trí”
  • Bước 3 – Kích Hoạt Bảo Mật WordPress 2 Lớp
  • Bước 4 – Tắt ban bố giải trình ban bố giải trình lỗi PHP Error
  • Bước 5 – Không dùng WordPress Themes null
  • Bước 6 – Quét WordPress để loại malware khỏi website WordPress
  • Bước 7 – Chuyển Trang web WordPress  tới một hosting bảo mật hơn
  • Bước 8 – Lưu trữ thường niên
  • Bước 9 – Tắt các chức năng File Editing
  • Bước 10 – Gỡ Themes và Plugins cấm dùng
  • Bước 11 – Sử dụng .htaccess để bảo mật sự uy tín hơn
  • Bước 12 – Đổi database prefix của WordPress để chặn lại SQL injections
  • Lời kết

Giới thiệu

WordPress là căn do quản trị biểu đạt hàng đầu củ toàn cầu. Nó chạy trên tới 4.5% của toàn trang website trên toàn cầu Internet và đang rất được cài hơn 76.5 triệu lần. Thật rủi ro là mặc dù phổ biến nếu mà thế, theo thông từ ban bố giải trình ban bố giải trình hack của Securi, một cty chuyên về bảo mật. WordPress là CMS dễ dẫn đến hack nhất trên toàn cầu. Nhưng đừng hốt hoảng nhé gia đình, nếu triển khai kĩ thuật đúng cách, cả nhà sẽ gia cố lớp bảo mật WordPress lên tầm cao mới, hãy theo dõi các tỉ dụ cũng đúng các giảng dạy và giảng dạy thực tế phía bên dưới, đây là các biện pháp hữu dụng nhất nhằm tăng speed bảo mật trong WordPress.

Bạn y/c gì?

Trước khi bắt đầu bạn bắt buộc biết::

  • Truy cập vào trang Administrator của WordPress
  • Truy cập vào tài khoản riêng hosting của chính nó ta (tùy chọn lựa)

Bước 1 – Cập nhật WordPress cho website

Bước trước mắt và cũng đó chính là bước trọng đại nhất trong toàn trang các quy trình bảo mật WordPress. Nếu muốn website sạch và không có malware bạn y/c giữ cho WordPress luôn luôn được cập nhật. Mặc dù chắc người nào thì cũng biết điều đó, nhưng thực tế chỉ bắt buộc 22% bản cài WordPress chạy với phiên bản mới nhất trên toàn cầu, tức là có tới 78% website khnguyễn đức an bình, hèn nào WordPress bị nói là CMS dễ dẫn đến hack nhất!

WordPress có thiết lập tự động hóa cập nhật từ bản 3.7, dẫu thế, nó chỉ bần bật với những cập nhật bảo mật nhỏ. Vì vậy, các cập nhật chính nên được tạo thủ túc bằng tay thủ túc. Trong trường ưng ý bạn chưa rất nhiều giờ cách cập nhật WordpPress, xem giảng dạy và giảng dạy này (tiếng Anh)

Bước 2 – Bảo mật WordPress bằng hiện trạng đăng nhập “mưu trí”

không dùng đến admin để đăng nhập

Đừng sử dụng admin làm WordPress administrator username nhé, toàn trang mọi người đều đã biết rõ admin là tên thường gọi gọi mặc định rồi! Nếu đang dùng tức là bạn đang giúp hacker một tay để vào được trang quản trị tiện lợi. Việc đổi hiện trạng quản trị, tên đăng nhập sang một tên khác thay vì là admin là rất y/c(xem giảng dạy và giảng dạy này – tiếng Anh nếu mà khách hàng chưa rất nhiều giờ làm) hoặc tạo một tài khoản riêng Administrator mới và xóa cái cũ. Làm các quy trình sau nếu mà khách hàng chắt lọc cách sau::

  1. Vào WordPress Dashboard
  2. Chuyển tới mục Users và chọn Add New.
    Thêm user mới WordPress
  3. Tạo user mới và cấp quyền administrator cho nó.
    Tạo user mới WordPress
  4. Đăng nhập lại WordPress với hiện trạng mới
  5. Gỡ tài khoản riêng admin bản sắc.
    Gỡ Admin WordPress

Mật Khẩu khắc nghiệt cũng góp thêm phần một song phần khá cao để bảo mật WordPress. Sẽ rất khắc nghiệt để tiến công BruteForce nếu mà khách hàng có chữ thường, chữ hoa, số và ký tự đặc biệt. Nhưng máy móc như LastPass và 1Mật Khẩu rất cũng đều có chức năng giúp tạo mật khẩu đăng nhập khắc nghiệt.

Bước 3 – Kích Hoạt Bảo Mật WordPress 2 Lớp

Bảo mật 2 lớp tạo thêm lần bảo mật nữa cho qui trình đăng nhập của chính nó ta. Hầu hết được chuyên để dùng email, tài khoản riêng ngân hàng. Tại sao cấm dùng trên WordPress?

Rất tiện lợi để cài trên WordPress blog. Bạn chỉ bắt buộc cài app bảo mật 2 lớp cho WordPress. Bạn rất cũng đều có chức năng xem giảng dạy và giảng dạy chỉ huy thêm làm làm sao để kích hoạt bảo mật 2 lớp trên WordPress nơi đây (tiếng Anh).

Bước 4 – Tắt ban bố giải trình ban bố giải trình lỗi PHP Error

Báo cáo lỗi PHP error y/c được bật nếu mà khách hàng đang kiến thiết websitesite và muốn mọi thứ chạy trơn tuột. Tuy nhiên, hiển thị lỗi cho toàn trang mọi người giám sát là trọn vẹn không nên, nhất là lúc bạn đang ngọt ngào cầu bảo mật cho WordPress.

Bạn không càng bắt buộc là kiến thiết viên để làm trường phù hợp bất ngờ này trên WordPress. Nhiều nơi cung ứng hosting như Hostinger chất sẽ có được tắt ban bố giải trình ban bố giải trình lỗi trong trang quản trị. Nếu không có, chỉ có thêm dòng sau vào file wp-config.php. Bạn rất cũng đều có chức năng dùng FTP client hoặc Quản lý File trong control panel để sửa file wp-config.php.

error_reporting(0); @ini_set(‘display_errors’, 0);

Vậy thôi. Báo cáo lỗi đang rất được tắt

Bước 5 – Không dùng WordPress Themes null

Hãy nhớ – “Phô mát không thu tiền nằm ở đoạn trong bẫy chuột”. Chúng ta cũng đều có chức năng áp chế câu nói đó cho nulled WordPress themes và plugins.

Có hàng chục ngàn nulled plugins và themes trôi nổi trên Internet. Người dùng rất cũng đều có chức năng tải xuống chúng tại 1 đôi trang Warez hoặc Torrent site không thu tiền. Nhưng họ chưa rất nhiều giờ rằng số đông trong số chúng đều chứa mã độc, cho dù ngang trái thay là chúng nằm phí trong cả những plugin bảo mật WordPress, nhẹ dịu hơn là SEO links của hacker mũ đen được gọi bằngm website của chính nó ta không rất nhiều giờ lên top google nỗi. Nếu thiết lặp những bản này lên hosting, tức là website WordPress của chúng ta đang trọn vẹn khnguyễn đức an bình, và đang phơi nhiễm trước những lỗ hổng mà hacker đã trình làng từ phía bên trong.

Ngừng dùng nulled plugins và themes ngay bữa nay được nghĩ rằng 1 trong các trong các các phương pháp thích ưng ý nhất để bảo mật website WordPress. Nó cấm dùng lại vi phạm luật bản quyền mà còn phải phải ảnh hướng lớn đến tính bảo mật WordPress. Bạn rất cũng đều có chức năng phải thu tiền số đông tiền hơn cho kiến thiết viên để nép dọn website của chính nó ta khi đối chiếu với sự bỏ tiền ra mua theme hay plugin bắt buộc phải có.

Bước 6 – Quét WordPress để loại malware khỏi website WordPress

Hackers chuyên để dùng các lỗ hổng của themes hoặc plugin để cài mã độc lên WordPress. Vì vậy, việc quét blog của chính nó ta thường niên là rất y/c. Có số đông plugin bảo mật WordPress tốt bây chừ. WordFence trông rất riêng biệt nhất. Nó chất sẽ có được scan thủ túc bằng tay thủ túc và tư động với hơi nhiều thiết lập sự rất dị. Bạn rất cũng đều có chức năngm cho dù restore files được căn sửa và cũng đã nhiễm mã độc với chỉ một vài cú click chuột. MIễn phí và bản quyền, thực tế chỉ vậy thôi đã đủ để bạn cài ngay rồi đúng chứ ạ? Còn chờ gì nữa.

Một số plugin bảo mật WordPress tốt khác:

  • BulletProof Security – không gần như là WordFence, BulletProof không quét các files của chính nó ta, mà chỉ cung ứng firewall, bảo mật database, và tương tự. Ưu điểm trông rất riêng biệt nhất là chúng rất cũng đều có chức năng được thông số kỹ thuật và thiết lặp trong vài cú click.
  • Sucuri Security – plugin bảo mật WordPress này sẽ bảo hiểm bạn khỏi tiến công DOS, nó sẽ khởi tạo một danh sách đen, quét website của chính nó ta để phát giác malware và thống trị tường lửa. Nếu phát giác, nó sẽ ban bố giải trình qua email, Google, Norton, McAfee – các blacklist của số đông bộ máy này sẽ dành được gắn vào trong plugin này..

Hãy thử dùng toàn trang. Bạn rất cũng đều có chức năng hướng về cách cài WordPress plugin nơi đây.

Bước 7 – Chuyển Trang web WordPress  tới một hosting bảo mật hơn

Có vẻ lạ nhưng tổng ưng ý cho thấy có hơn 40% website WordPress bị hack vì lỗi hổng bảo mật của trong tài khoản riêng hosting của chính nó ta. Chỉ y/c con số này thôi đã đủ khiến bạn cân nhắc đổi hosting, và chuyển WordPress tới một hosting bảo mật hơn, như Hostinger với BitNinja Smart Security. Có một vài phần tử thực tế khiến bạn cân nhắc chọn hosting mới:

  • Nếu là shared hosting, hãy bảo hiểm tài khoản riêng cho bạn tách khỏi các tài khoản riêng tđộng tháiên khác và không có rủi ro nào một website hư hỏng toàn trang website khác trên server.
  • Có các chức năng backup tự động hóa.
  • Phải có tường lửa và máy móc quét virus

Bước 8 – Lưu trữ thường niên

Back WordPress

Kể cả website  lớn cũng đều có chức năng bị hack mỗi ngày cho dù cho đôi khi thực tế chủ web đã tốn hàng chục nghìn đồngô la để càng tăng cường thêm bảo mật website WordPress và cài hàng loạt plugin bảo mật WordPress.

Nếu bạn đang triển khai theo giảng dạy và giảng dạy này và làm đầy đặn các quy trình, vẫn rất y/c để bạn backup WordPress website thường niên.

Có vô số cách để backup, tỉ dụ như tải file WordPress về và xuất database ra hoặc sử dụng backup từ nơi cung ứng hosting của chính nó ta. Có 1 cách kế tiếp đây là sử dụng WordPress Plugin. Phổ biến nhất là::

  • VaultPress
  • BackUpWordPress
  • BackupGuard

Bạn rất cũng đều có chức năng backup và chuyển bacup sang dropbox qua WordPress backups vào Dropbox (giảng dạy và giảng dạy tiếng Anh). Backup là cách tiện lợi và nhất để bảo mật cho WordPress, vì việc đào bới kiếm tìm lại từ file backup dễ hơn khi đối chiếu với sự rà lỗi và xóa malware đi.

Bước 9 – Tắt các chức năng File Editing

Như bạn biết, WordPress đã kiến thiết căn sửa file phía bên trong nhằm cho chép căn sửa file gốc WordPress. Mặc dù rất tiện lợi, nhưng nó cũng đều có chức năng hư hỏng. Nếu hacker có quyền sử dụng vào trong dashboard của chính nó ta, điều trước mắt hắn nghĩ tới là FIle Editors, mọi người sử dụng WordPress tắt trọn vẹn các chức năng này ngay từ đấy cài để làm tăng tính bảo mật WordPress files.  Nó rất cũng đều có chức năng được tắt bằng phương pháp sửa file wp-config.php thêm nữa dòng code sau:

define( 'DISALLOW_FILE_EDIT', true );

Đó là toàn trang các gì bạn bắt buộc biết để tắt ứng dụng căn sửa file trong WordPress.

QUAN TRỌNG, trong trường ưng lời xin mở lại hiệu năng này, hãy dùng FTP clietn hoặc file manager ở trong phòng cung ứng hosting của chính nó ta và xóa dòng code trên khỏi wp-config.php file.

Bước 10 – Gỡ Themes và Plugins cấm dùng

Dọn dẹp site WordPress của chính nó ta và xóa những plugins hoặc themes không dùng đến cũng khá được nghĩ rằng 1 trong các cách tốt để bảo mật cho WordPress. Hacker rất cũng đều có chức năng quét những themes và plugins lỗi thời (cho dù cho có plugin chính thức của WordPress) để truy nhập vào trang Dashboard và upload ứng dụng ô nhiễm và chất ô nhiễm lên server của chính nó ta. Bằng cách xóa plugins và themes bạn đã ngừng sử dụng (hoặc quên cập nhật) cách đó khoảng chưa lâu, bạn đã giảm khả năng cơ bị tiến công và giúp WordPress Site của chính nó ta trở nên bảo mật hơn.

Bước 11 – Sử dụng .htaccess để bảo mật sự uy tín hơn

.htaccess file được sử dụng để khiến các hòa hợp WordPress hoạt động giải trí. Không có những lệnh đúng trong các các .htaccess file ban sẽ gặp số đông lỗi 404.

Rất mọi người chưa rất nhiều giờ .htaccess rất cũng đều có chức năng làm tăng tính bảo mật website WordPress. Ví dụ, với .htaccess, bạn có chặn truy nhập hoặc vô hiệu hóa việc thực thi PHP trên một thư mục được lời xin. Bên dưới là cách giúp bạn làm làm sao để dùng .htaccess để làm tăng tính bảo mật của WordPress.

QUAN TRỌNG Trước khi bắt đầu thực thi bất kỳ hiện đại nào, bên tôi khuyên bạn y/c backup file .htaccess cũ. Bạn rất cũng đều có chức năng dùng FTP client hoặc File CEO Founder để làm trường phù hợp bất ngờ này.

Chặn truy nhập tới trang quản trị WordPress

Dòng mã phía bên dưới chặn truy nhập vào WordPress Administrator và chỉ còn còn chất sẽ có được một vài chiếc rốn IPs được lời xin:

AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic  order deny,allow deny from all allow from xx.xx.xx.xxx allow from xx.xx.xx.xxx 

Chú ý là bạn y/c đổi XX.XX.XX.XXX tới chiếc rốn IP của chính nó ta. Bạn rất cũng đều có chức năng dùng website này để nhìn IP đang thực hiện. Nếu mình yêu thích dùng nhiều kết nối hơn để thống trị WordPress site, hãy bảo hiểm toàn trang IPs quản trị đang có thêm nữa (bạn rất cũng đều có chức năng thêm bao lăm dòng cũng đã cảm sẽ có được). Đoạn script trên chưa được khuyên dùng khi bạn có IP động.

Tắt tài năng thực thi PHP trong thư mục được lời xin

Kẻ tiến công thích upload các scripts ô nhiễm và chất ô nhiễm lên thư mục WordPress. Mặc định thư mục này được sử dụng để chứa file đa đạo cụ. Vì vậy nó không nên được sử dụng để chứa file PHP. Bạn rất cũng đều có chức năng tiện lợi vô hiệu hóa các chức năng thực thi PHP bằng phương pháp tạo một file .htaccess trong thư mục /wp-content/uploads/ với những lệnh như sau:

 deny from all 

Bảo vệ WordPress file wp-config.php

wp-config.php file chứa các thiết lặp WordPress chủ công và hiện trạng chỉ huy thêm MySQL databases. Vì vậy đây được nghĩ rằng 1 trong các file WordPress trọng đại nhất, cũng đó chính là file chính mà hacker thường hướng về để tiến công WordPress. Tuy nhiên, bạn rất cũng đều có chức năng tiện lợi bảo hiểm file này bằng lệnh sau trong .htaccess:

 order allow,deny deny from all 

Bước 12 – Đổi database prefix của WordPress để chặn lại SQL injections

WordPress database chứa và lưu giữ toàn trang các hiện trạng trọng đại nhất để site hoạt động giải trí. Vì vậy, nó trở nên một phương châm rất lôi cuốn cho hacker và spammer muốn thực thi các mã tự động hóa để làm SQL injection. Khi thiết lặp WordPress, số đông mọi người không đổi prefix mặc định của WordPress là wp_. Dựa theo WordFence, 1 trong các các 5 trường ưng ý hacking WordPresss là nhờ vào SQL injections. Khi wp_ được đặt mặc định, hacker sẽ chọn độ quý và hiếm này để tiến công trước. Với qui trình này, cả nhà sẽ bảo hiểm WordPress khỏi kiểu tiến công nếu mà thế.

Đổi table prefix cho site WordPress đã cảm sẽ có được sẵn

QUAN TRỌNG! An toàn là thích ưng ý nhất. Hãy chắc rằng bạn đã backup/export WordPress MySQL database của chính nó ta trước khi triển khai.

Phần 1 – Đổi prefix trong file wp-config.php

Sử dụng FTP client hoặc File CEO Founder để sửa file wp-config.php và tìm độ quý và hiếm $table_prefix.Prefix wp_ mặc định WordPress

Bạn rất cũng đều có chức năng thêm số, chữ, hoặc gạch dưới. Sau đó, đọng lại và kế tiếp đây đó bước sau. Trong bài giảng dạy và giảng dạy này, bên tôi sử dụng wp_1secure1_ như cho table prefix.

Khi đang nằm ở đoạn trong file wp-config.php, cả nhà hãy tìm tên database, để hiểu bạn y/c căn sửa database nào. Tìm mục define(‘DB_NAME’ section.database name trong wp-config

Phần 2 – Cập nhật các bảng databases

Bây giờ, cả nhà sẽ y/c cập nhật toàn trang các entries trong database WordPress của chính nó ta. Việc này rất cũng đều có chức năng được triển khai bằng hiện đại trong phpMyAdmin.Truy cập phpMyAadmin WordPress

Tìm database bạn y/c sửa ở đoạn 1 và truy nhập vào phpmyadmintruy nhập phpmyadmin

Mặc định WordPress có 12 bảng và toàn trang y/c được cập nhật. Tuy nhiên, bạn rất cũng đều có chức năng làm cuống quýt hơn bằng phương pháp vào mục SQL trong phpMyadmin.vào database trong phpmyadmin

Bạn rất cũng đều có chức năng dùng các lệnh sau để đổi hàng loạt prefix cho toàn trang các bảng trong database:

RENAME table `wp_commentmeta` TO `wp_1secure1_commentmeta`; RENAME table `wp_comments` TO `wp_1secure1_comments`; RENAME table `wp_links` TO `wp_1secure1_links`; RENAME table `wp_options` TO `wp_1secure1_options`; RENAME table `wp_postmeta` TO `wp_1secure1_postmeta`; RENAME table `wp_posts` TO `wp_1secure1_posts`; RENAME table `wp_terms` TO `wp_1secure1_terms`; RENAME table `wp_termmeta` TO `wp_1secure1_termmeta`; RENAME table `wp_term_relationships` TO `wp_1secure1_term_relationships`; RENAME table `wp_term_taxonomy` TO `wp_1secure1_term_taxonomy`; RENAME table `wp_usermeta` TO `wp_1secure1_usermeta`; RENAME table `wp_users` TO `wp_1secure1_users`;

Một vài WordPress themes hoặc plug-ins rất cũng đều có chức năng tạo thêm bảng khác trong database. Trong trường ưng ý bạn có hơi nhiều hơn 12 bảng trong MySQL database, thêm các bảng không đủ vào trong danh sách và thực thi nó.

Phần 3 – Xem xét bảng options và usermeta

Tùy thuộc vào con số plugins bạn đã thiết lặp, nhiều độ quý và hiếm trong database y/c được cập nhật thủ túc bằng tay thủ túc. Việc này rất cũng đều có chức năng được tạo qua bảng options  và usermeta bằng phương pháp queries SQL riêng.

Với bảng options bạn rất cũng đều có chức năng dùng:

SELECT * FROM `wp_1secure1_options` WHERE `option_name` LIKE '%wp_%'

Với bảng usermeta bạn rất cũng đều có chức năng dùng:

SELECT * FROM `wp_1secure1_usermeta` WHERE `meta_key` LIKE '%wp_%'

Khi bạn đã cảm sẽ có được thành tựu SQL query, chỉ bắt buộc cập nhật toàn trang các độ quý và hiếm từ wp_ tới prefix mới và nếu mà thế đã hoàn chỉnh. Trong bảng usermeta cả nhà sẽ rất cũng đều có chức năng đổi trường meta_key, còn với bảng options, độ quý và hiếm option_name y/c được hiện đại.hiện đại prefix bằng query

Bảo mật WordPress khỏi việc thiết tái diễn mới

Nếu mình yêu thích thiết lặp WordPress site mới, cả nhà sẽ không còn triển khai các quy trình trên nữa. Bạn chỉ bắt buộc tiện lợi đổi table trong qui trình thiết lặp:prefix khi cài mới WordPress

Chúc mừng! Bạn đã hỗ trợ WordPress trốn tránh kiểu tiến công SQL injection.

Lời kết

Mặc dù WordPress được nghĩ rằng 1 trong các CMS bị hack tối đa trên toàn cầu. Tuy nhiên, không khắc nghiệt để làm tăng tính bảo mật WordPress của chính nó. Trong bài giảng dạy và giảng dạy này bên tôi đã cung ứng đủ 12 thủ thuật trọng đại nhất để bạn bắt chiếc nhằm giúp website của chính nó ta bảo mật hơn số đông, và hãy quên đi nỗi lo bị hack để triệu tập kiến thiết biểu đạt hơn.

Sưu Tầm: Internet

Bài Viết Liên Quan


Bài Viết Khác


Quảng Cáo
Đặt Banner Quảng cáo, Textlink, Guest Post
Liên Hệ Ngay: 1900636343