Bảo mật là một vấn đề được tất cả các blogger quan tâm. Trong cuộc sống thực, chúng ta cần bảo vệ tài sản của mình bao nhiêu, thì trên blog, chúng ta cần đảm bảo nguồn thu nhập của mình bấy nhiêu. WordPress theo mặc định có một hệ thống bảo mật được chấp nhận. Nhưng hệ thống này thường bị hỏng với vô số plugin và chủ đề được cài đặt.

Để giúp bạn cải thiện tính bảo mật của blog WordPress, Tôi cung cấp cho bạn trong hướng dẫn này 8 thao tác mà bạn có thể áp dụng blog của bạn, để cải thiện tính bảo mật sau này.

1. Ẩn thông tin không cần thiết

Lo lắng

Khi bạn không thể kết nối với blog WordPress, CMS hiển thị một số thông tin để cho bạn biết điều gì đã xảy ra. Điều này rất hữu ích nếu bạn quên mật khẩu, nhưng nó cũng là một lỗ hổng. Vì vậy, tại sao không tránh hiển thị thông báo lỗi để chỉ ra rằng một kết nối đã bị lỗi?

Giải pháp

để xóa thông báo lỗi kết nối, chỉ cần mở tệp "functions.php" của chủ đề và thêm mã sau:

add_filter ('login_errors', create_function ('', 'return null; "));

Lưu tệp và thử kết nối với blog của bạn, mô phỏng lỗi kết nối xem có xuất hiện lỗi không.

2. Buộc sử dụng giao thức SSL

Vấn đề

Nếu bạn lo lắng về việc chặn của bạn données, thì bạn nên cân nhắc sử dụng SSL. Nếu bạn không biết nó là gì, tôi mời bạn đọc hướng dẫn này mà chúng tôi đã viết trên Tích hợp giao thức SSL.

Bạn có biết rằng có thể buộc sử dụng giao thức SSL trên WordPress không? Tuy nhiên, bạn phải đảm bảo rằng máy chủ của bạn chấp nhận SSL.

Giải pháp

Khi bạn đã xác minh rằng máy chủ của mình tương thích, chỉ cần mở tệp wp-config.php (nằm ở phần gốc của bản cài đặt WordPress của bạn), và dán văn bản sau đây:

define ('FORCE_SSL_ADMIN', true);

Lưu tệp của bạn và gửi lại cho máy chủ của bạn.

3. Sử dụng tệp .htaccess của bạn để bảo vệ tệp wp-config.php của bạn

Vấn đề

Là một người dùng WordPress, bạn có thể biết có bao nhiêu tệp wp-config.php là quan trọng. Tệp này chứa tất cả thông tin cần thiết để truy cập cơ sở dữ liệu của bạn. données : tên người dùng, mật khẩu, tên máy chủ, v.v. Tập tin wp-config.php là nhạy cảm, sau đó chúng tôi phải làm mọi thứ để bảo vệ tệp này.

Giải pháp

hồ sơ Htaccess. nằm ở gốc của cài đặt WordPress của bạn. Sau khi tạo bản sao lưu của tệp này (dưới tên khác), thêm văn bản sau vào tập tin Htaccess..

lệnh cho phép, từ chối từ chối từ tất cả

4. Làm thế nào để người dùng và công cụ tìm kiếm bị cấm

Vấn đề

Điều này đúng trên mạng cũng như trong đời thực: ai đó quấy rối bạn hôm nay có thể sẽ lại quấy rối bạn vào ngày mai. Bạn có để ý thấy các bot email hoạt động trở lại như thế nào khôngblog của bạn ? Đôi khi nó có thể đạt tới 10 lượt truy cập mỗi ngày. Chuyến thăm này thường có thể đi kèm với những bình luận không mong muốn.

Giải pháp

Chúng tôi sẽ chặn quyền truy cập vào blog của bạn bằng cách cung cấp một mã bổ sung để thêm vào tệp Htaccess.. Ngoài ra, đừng quên thay đổi địa chỉ IP 123.456.789 thành địa chỉ bạn muốn chặn.

lệnh cho phép, từ chối cho phép từ tất cả từ chối từ 123.456.789

Bạn có thể xác định robot bằng cách sử dụng Google AnalyticsBạn có thể thêm bao nhiêu địa chỉ IP như sau:

order cho phép, từ chối cho phép từ tất cả từ chối từ 123.456.789 từ chối từ 93.121.788 từ chối từ 223.956.789 từ chối từ 128.456.780

5. Làm thế nào để bảo vệ blog của bạn khỏi việc tiêm script

Vấn đề

Bảo vệ blog của bạn là đặc biệt quan trọng. Hầu hết các nhà phát triển vẫn bảo vệ các yêu cầu GET và POST, nhưng đôi khi điều đó là không đủ. Chúng tôi cũng cần bảo vệ blog của mình khỏi việc chèn tập lệnh và bất kỳ nỗ lực nào để thay đổi các giá trị GLOBALS và _REQUEST của các biến.

Giải pháp

Giải pháp để chặn chèn các tập lệnh và bất kỳ nỗ lực nào để sửa đổi các biến GLOBALS, bạn chỉ cần thêm đoạn mã sau, nhưng hãy đảm bảo luôn sao lưu tệp .htaccess của mình.

Options + FollowSymLinks RewriteEngine On RewriteCond% {QUERY_STRING} (<|% 3C). * kịch bản. * (> |% 3E) [NC, OR] RewriteCond% {QUERY_STRING} GLOBALS (= | [|% [0 - 9A - Z] {0, 2}) [OR] RewriteCond% {QUERY_STRING} _REQUEST (= | [ |% [0 - 9A - Z] {0, 2}) Quy tắc viết lại ^ (. *) $ Index. php [F, L]

7. Cách tạo plugin để bảo vệ blog của bạn khỏi các truy vấn độc hại

Vấn đề

Tin tặc thường sử dụng các yêu cầu độc hại để thực hiện một cuộc tấn công vào blog tại các điểm nhạy cảm của nó. WordPress có khả năng bảo vệ tốt, nhưng cải thiện nó không phải là một điều xấu.

Giải pháp

Bạn sẽ phải tạo một plugin để thực hiện bước này. Sau đó, bạn phải thêm mã sau vào tệp chính của plugin. Sau khi hoàn tất, hãy cài đặt plugin của bạn.

global $user_ID;

if($user_ID) {
  if(!current_user_can('level_10')) {
    if (strlen($_SERVER['REQUEST_URI']) > 255 ||
      strpos($_SERVER['REQUEST_URI'], "eval(") ||
      strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
      strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
      strpos($_SERVER['REQUEST_URI'], "base64")) {
        @header("HTTP/1.1 414 Request-URI Too Long");
  @header("Status: 414 Request-URI Too Long");
  @header("Connection: Close");
  @exit;
    }
  }
}

8. Cách ẩn phiên bản cài đặt WordPress của bạn

Vấn đề

Như bạn có thể biết, WordPress tự động hiển thị phiên bản đang sử dụng trên tiêu đề blog của bạn. Sẽ vô hại nếu blog của bạn luôn được cập nhật kịp thời (những gì thường là thái độ mặc định của bạn). Nhưng nếu vì lý do này hay lý do khác mà nó không được cập nhật, thì phiên bản hiện tại có thể có lỗ hổng và bằng cách phát hiện ra phiên bản cài đặt WordPress của bạn, tin tặc có thể hack tài khoản của bạn.

Giải pháp

Tất cả những gì bạn cần làm là thêm đoạn mã sau vào tệp chính của plugin.

remove_action ('wp_head', 'wp_generator');

Để thực hiện một số hành động nhất định, WordPress sử dụng một cơ chế gọi là “Hooks”, giúp làm cho WordPress khá linh hoạt. Chức năng " wp_generator »Hiển thị phiên bản của WordPress và bằng cách xóa chức năng này khỏi danh sách các chức năng được lưu trong hàng đợi, nó sẽ không chạy nữa.

Đó là nó cho hướng dẫn này. Tôi hy vọng nó sẽ cho phép bạn bảo mật tốt hơn blog WordPress. Hãy chia sẻ nó với bạn bè của bạn trên các mạng xã hội yêu thích của bạn.