Nếu bạn cho rằng trang web của mình an toàn vì nó không được tin tặc quan tâm thì bạn đã nhầm, vì phần lớn các vi phạm bảo mật không nhằm mục đích đánh cắp dữ liệu hoặc làm biến dạng trang web của bạn.

Tin tặc thường muốn sử dụng máy chủ của bạn làm nơi chuyển tiếp các email spam hoặc thiết lập một máy chủ web tạm thời, thường là để phục vụ các tệp bất hợp pháp. Nếu bạn bị tấn công, hãy chuẩn bị sẵn một số tiền mặt cho các chi phí liên quan đến máy chủ.

Có một số cách khác nhau để tăng cường bảo mật cho trang web của bạn hoặc một mạng nhiều trang, nhưng một trong những cách dễ nhất là chỉnh sửa tệp của bạn. wp-config.php. Cập nhật tệp cấu hình này, mặc dù không có giải pháp chung cho tất cả, là một chính sách phải được tuân thủ để bảo mật tổng thể.

Với ý nghĩ đó, chúng tôi sẽ khám phá các sửa đổi khác nhau mà bạn có thể thực hiện để đảm bảo blog WordPress.

Định cấu hình các hằng số của WordPress

Trong tệp cấu hình WordPress của bạn, cũng được gọi là wp-config.php , bạn có thể định nghĩa những gì được gọi là hằng số PHP để thực hiện các tác vụ nhất định. WordPress có rất nhiều hằng số mà bạn có thể sử dụng.

Các hằng số cũng được bao bọc trong hàm xác định() như thể hiện trong ví dụ cú pháp này:

xác định ('STRING_NAME', giá trị);

Trên WordPress, tệp wp-config.php được tải trước phần còn lại của các tệp tạo nên hạt nhân. Điều này có nghĩa là nếu bạn thay đổi giá trị của một hằng số trong wp-config.php, bạn có thể thay đổi cách WordPress phản ứng và hoạt động. Bạn có thể vô hiệu hóa một số tính năng hoặc bật chúng bằng cách thay đổi giá trị. Trong nhiều trường hợp, điều này có thể được thực hiện bằng cách thay đổi true cho giả, và ngược lại, ví dụ.

Dưới đây, bạn sẽ tìm thấy các hằng số khác nhau cũng như các loại mã PHP khác mà bạn có thể sử dụng trong tệp của mình wp-config.php  để tăng tính bảo mật của bạn. Đặt tất cả chúng phía trên dòng tiếp theo trong tệp của bạn wp-config.php:

/ * Đó là tất cả, ngăn chặn chỉnh sửa! Chúc mừng blog. * /

Chú ý: Hãy cẩn thận

Vì những thay đổi bạn sắp thực hiện có thể thay đổi đáng kể trang web của bạn, đây là một ý tưởng sao lưu nó. Nếu xảy ra lỗi, bạn có thể nhanh chóng khôi phục trang web của mình về thời điểm trước những thay đổi này và khi trang web của bạn hoạt động bình thường, bạn có thể thử lại.

1. Thay đổi khóa bảo mật của bạn

Bạn có thể đã biết về các khóa bảo mật khác nhau và bạn có thể đã thêm các khóa duy nhất, đó là một điều khá tốt.

Khóa bảo mật thông tin mã hóa dữ liệu được lưu trữ trong cookie và có thể hữu ích khi thay đổi chúng, đặc biệt là sau khi trang web của bạn bị tấn công. Điều này sẽ kết thúc tất cả các phiên mở của người dùng đã đăng nhập trên trang web của bạn, đồng nghĩa với việc tin tặc cũng đã đăng xuất.

Khi bạn đặt lại mật khẩu và đảm bảo rằng trang web của bạn không bị khai thác backdoor và những thứ tương tự.

Bạn có thể tạo một bộ khóa bảo mật mới bằng cách sử dụng WordPress Security Key Phát điện. Sao chép tất cả nội dung và dán nó để thay thế phần trông giống như sau:

xác định ('AUTH_KEY', 't`DK% X:> xy | eZ (BXb / f (Ur`8 # ~ UzUQG - ^ _ Cs_GHs5U- & Wb? pgn ^ p8 (2 @} IcnCa |'); xác định ('SECURE_AUTH_KEY ',' D & ovlU # | CvJ ## uNq} bel + ^ MFtT & .b9 {UvR] g% ixsXhGlRJ7q! H} XWdEC [BOKXssj '); define (' LOGGED_IN_KEY ',' MGKi8Br (& {H * ~ & 0s; {k0  (hdXW | 5M = X = {we4; Mpvtg + Vo <$ | #_} qG (GaVDEsn, ~ * 2i '); define (' NONCE_SALT ',' a | #h {c7 | P & xWs0IZ2c8 &% 883! c ( / uG} W: mAvy

2. Buộc sử dụng SSL

Chứng chỉ SSL mã hóa kết nối giữa trang web của bạn và trình duyệt của khách truy cập, vì vậy tin tặc không thể chặn và đánh cắp thông tin cá nhân. Nếu bạn đã cài đặt chứng chỉ SSL thì bạn cần buộc WordPress sử dụng chứng chỉ đó, nó có thể tăng tính bảo mật cho bạn.

Để buộc sử dụng chứng chỉ SSL của bạn trong khi kết nối, hãy thêm dòng này:

define ('FORCE_SSL_LOGIN', true);

Bạn cũng có thể buộc chứng chỉ SSL của mình trên trang tổng quan quản trị với dòng này:

define ('FORCE_SSL_ADMIN', true);

Đây là những điểm rất tốt để bắt đầu, mặc dù lý tưởng sẽ là sử dụng chứng chỉ SSL trên tất cả website.

3. Sửa đổi tiền tố cơ sở dữ liệu

Tiền tố được đặt trước tên của tất cả các bảng trong cơ sở dữ liệu của bạn. Theo mặc định, bảng sử dụng tiền tố " wp_" và việc thêm nó vào cơ sở dữ liệu của bạn sẽ thêm một nhiệm vụ bổ sung cho tin tặc thực hiện. Bạn càng thêm nhiều trở ngại thì càng có nhiều blog của bạn sẽ khó hack.

Thay đổi tiền tố mặc định sẽ giúp ích và tất cả những gì bạn cần làm là thay đổi hằng số trên tệp " wp-config.php ", nhưng nó cũng cần thiết cho các bảng cơ sở dữ liệu trong bản cài đặt của bạn để có cùng tiền tố mới. Bạn có thể thay đổi wp_ cho một cái gì đó như g628_. Bạn phải chọn một thứ thực sự không dễ đoán.

4. Tắt chỉnh sửa chủ đề và plugin

Trong mỗi cài đặt WordPress, bạn có thể chỉnh sửa trực tiếp các plugin và chủ đề thông qua bảng điều khiển. Nếu một tin tặc có thể truy cập vào trang tổng quan của bạn, họ có quyền truy cập vào trình chỉnh sửa đặc biệt này, nơi họ có thể làm bất cứ điều gì họ muốn trong các tệp plugin và chủ đề của bạn, chẳng hạn như thêm phần mềm độc hại, vi rút hoặc Thư rác.

5. Vô hiệu hóa gỡ lỗi

Nếu bạn đã từng bật gỡ lỗi trên trang web của mình hoặc trên mạng, bạn có thể làm như vậy vì đây là một công cụ tuyệt vời để khắc phục sự cố, nhưng đừng quên tắt nó khi bạn hoàn tất. Việc bật tùy chọn này có thể tiết lộ thông tin quan trọng về trang web của bạn và vị trí các tệp của nó cho tin tặc cho bất kỳ ai truy cập trang web của bạn.

Để tắt chế độ gỡ lỗi, bạn có thể thay đổi hằng số WP_DEBUG từ true thành false như sau:

define ('WP_DEBUG', false);

6. Vô hiệu hóa lỗi đăng nhập trong WordPress

 Nếu bạn không thể thực hiện thay đổi trước đó vì bạn vẫn cần chủ động gỡ lỗi trang web của mình, bạn vẫn có thể bảo vệ thông tin quan trọng của trang web bằng cách tắt lỗi giao diện người dùng và tắt ghi lỗi.

Để vô hiệu hóa báo cáo lỗi giao diện người dùng, hãy thêm dòng này trong khi vẫn đặt gỡ lỗi (WP_DEBUG) của bạn thành true:

define ('WP_DEBUG_DISPLAY', false);

7. Cho phép cập nhật tự động

Luôn cập nhật trang web của bạn với các phiên bản mới nhất của WordPress, cũng như các plugin và chủ đề của bạn, phải là một phần quan trọng trong việc phát triển chiến lược bảo mật. Kể từ khiCác bản cập nhật cung cấp các bản sửa lỗi bảo mật cho các lỗ hổng đã biết, không cập nhật các lỗ hổng bảo mật blog của bạn trước những rủi ro tiềm tàng này.

Kể từ phiên bản WordPress 3.7, các bản sửa lỗi bảo mật nhỏ được tự động áp dụng cho các trang web WordPress, nhưng các phiên bản cơ bản thì không. Tuy nhiên, bạn có thể bật cập nhật tự động cho tất cả các phiên bản mới bằng cách thay đổi giá trị của hằng số để cập nhật tự động:

define ('WP_AUTO_UPDATE_CORE', true);

Tương tự như vậy, bạn có thể thêm dòng sau bên dưới dòng trước đó để kích hoạt cập nhật tự động cho các plugin:

add_filter ('auto_update_plugin', '__return_true');

Bạn cũng có thể theo dõi dòng này để cho phép cập nhật tự động cho các chủ đề:

add_filter ('auto_update_theme', '__return_true');

Đó là nó cho hướng dẫn này. Tôi hy vọng nó sẽ cho phép bạn bảo mật tốt hơn blog WordPress.