Bỏ qua đến nội dung chính

Những thay đổi gì wp-config.php để đảm bảo blog WordPress của bạn

Divi: chủ đề WordPress dễ sử dụng nhất

Divi: Chủ đề WordPress tốt nhất mọi thời đại!

hơn Tải xuống 701.000, Divi là chủ đề WordPress phổ biến nhất trên thế giới. Nó là hoàn chỉnh, dễ sử dụng và đi kèm với hơn 62 mẫu miễn phí. [Khuyến nghị]

Nếu bạn cho rằng trang web của mình an toàn vì nó không được tin tặc quan tâm thì bạn đã nhầm, vì phần lớn các vi phạm bảo mật không nhằm mục đích đánh cắp dữ liệu hoặc làm biến dạng trang web của bạn.

Tin tặc thường muốn sử dụng máy chủ của bạn làm nơi chuyển tiếp các email spam hoặc thiết lập một máy chủ web tạm thời, thường là để phục vụ các tệp bất hợp pháp. Nếu bạn bị tấn công, hãy chuẩn bị sẵn một số tiền mặt cho các chi phí liên quan đến máy chủ.

Có một số cách khác nhau để tăng cường bảo mật cho trang web của bạn hoặc một mạng nhiều trang, nhưng một trong những cách dễ nhất là chỉnh sửa tệp của bạn. wp-config.php. Cập nhật tệp cấu hình này, mặc dù không có giải pháp chung cho tất cả, là một chính sách phải được tuân thủ để bảo mật tổng thể.

Với ý nghĩ đó, chúng tôi sẽ khám phá những thay đổi khác nhau mà bạn có thể thực hiện để bảo mật blog WordPress của mình.

Định cấu hình các hằng số của WordPress

Trong tệp cấu hình WordPress của bạn, cũng được gọi là wp-config.php , bạn có thể định nghĩa những gì được gọi là hằng số PHP để thực hiện các tác vụ nhất định. WordPress có rất nhiều hằng số mà bạn có thể sử dụng.

Các hằng số cũng được bao bọc trong hàm xác định() như thể hiện trong ví dụ cú pháp này:

xác định ('STRING_NAME', giá trị);

Trên WordPress, tệp wp-config.php được tải trước phần còn lại của các tệp tạo nên hạt nhân. Điều này có nghĩa là nếu bạn thay đổi giá trị của một hằng số trong wp-config.php, bạn có thể thay đổi cách WordPress phản ứng và hoạt động. Bạn có thể vô hiệu hóa một số tính năng hoặc bật chúng bằng cách thay đổi giá trị. Trong nhiều trường hợp, điều này có thể được thực hiện bằng cách thay đổi true cho giả, và ngược lại, ví dụ.

Dưới đây, bạn sẽ tìm thấy các hằng số khác nhau cũng như các loại mã PHP khác mà bạn có thể sử dụng trong tệp của mình wp-config.php  để tăng tính bảo mật của bạn. Đặt tất cả chúng phía trên dòng tiếp theo trong tệp của bạn wp-config.php:

/ * Đó là tất cả, ngăn chặn chỉnh sửa! Chúc mừng blog. * /

Chú ý: Hãy cẩn thận

Vì những thay đổi bạn sắp thực hiện có thể thay đổi đáng kể trang web của bạn, đây là một ý tưởng sao lưu nó. Nếu xảy ra lỗi, bạn có thể nhanh chóng khôi phục trang web của mình về thời điểm trước những thay đổi này và khi trang web của bạn hoạt động bình thường, bạn có thể thử lại.

1. Thay đổi khóa bảo mật của bạn

Bạn có thể đã biết về các khóa bảo mật khác nhau và bạn có thể đã thêm các khóa duy nhất, đó là một điều khá tốt.

Dễ dàng tạo trang web của bạn với Elementor

Elementor cho phép bạn dễ dàng tạo ra bất kỳ thiết kế trang web nào với một cái nhìn chuyên nghiệp. Ngừng trả tiền đắt cho những gì bạn có thể tự làm. [Miễn phí]

Khóa bảo mật thông tin mã hóa dữ liệu được lưu trữ trong cookie và có thể hữu ích khi thay đổi chúng, đặc biệt là sau khi trang web của bạn bị tấn công. Điều này sẽ kết thúc tất cả các phiên mở của người dùng đã đăng nhập trên trang web của bạn, đồng nghĩa với việc tin tặc cũng đã đăng xuất.

Khi bạn đặt lại mật khẩu và đảm bảo rằng trang web của bạn không bị khai thác backdoor và những thứ tương tự.

Bạn có thể tạo một bộ khóa bảo mật mới bằng cách sử dụng WordPress Security Key Phát điện. Sao chép tất cả nội dung và dán nó để thay thế phần trông giống như sau:

xác định ('AUTH_KEY', 't`DK% X:> xy | eZ (BXb / f (Ur`8 # ~ UzUQG - ^ _ Cs_GHs5U- & Wb? pgn ^ p8 ([email được bảo vệ]} IcnCa | ' ); xác định ('SECURE_AUTH_KEY', 'D & ovlU # | CvJ ## uNq} bel + ^ MFtT & .b9 {UvR] g% ixsXhGlRJ7q! h} XWdEC [BOKXssj'); xác định ('LOGGED_IN_KEY', 'MGKi8Br (& {H * ~ & 0s; {k0[email được bảo vệ]{8XE [DenYI ^ BVf {L: jvF, hf} zBf883td6D; Vcy8, S) - & G '); xác định ('SECURE_AUTH_SALT', 'I6`V | mDZq21-J | ihb u ^ q0F} F_NUcy`l, = obGtq * p # Ybe4a31R, r = | n # =] @] c #'); xác định ('LOGGED_IN_SALT', 'w <$ 4c $ Hmd% / *] ʻOom> (hdXW | 0M = X = {we6; Mpvtg + Vo <$ | #_} qG (GaVDEsn, ~ * 4i'); xác định ('NONCE_SALT', 'a | #h {c5 | P & xWs4IZ20c2 &% 4! C (/ uG} W: mAvy

2. Buộc sử dụng SSL

Chứng chỉ SSL mã hóa kết nối giữa trang web của bạn và trình duyệt của khách truy cập, vì vậy tin tặc không thể chặn và đánh cắp thông tin cá nhân. Nếu bạn đã cài đặt chứng chỉ SSL thì bạn cần buộc WordPress sử dụng chứng chỉ đó, nó có thể tăng tính bảo mật cho bạn.

Để buộc sử dụng chứng chỉ SSL của bạn trong khi kết nối, hãy thêm dòng này:

define ('FORCE_SSL_LOGIN', true);

Bạn cũng có thể buộc chứng chỉ SSL của mình trên trang tổng quan quản trị với dòng này:

define ('FORCE_SSL_ADMIN', true);

Đây là những nơi tuyệt vời để bắt đầu, mặc dù lý tưởng sẽ là sử dụng chứng chỉ SSL trên toàn bộ trang web của bạn.

Bạn đang tìm kiếm các plugin và plugin WordPress tốt nhất?

Tải xuống các plugin và WordPress chủ đề tốt nhất trên Envato và dễ dàng tạo trang web của bạn. Đã tải xuống nhiều hơn 49.720.000. [ĐỘC QUYỀN]

3. Sửa đổi tiền tố cơ sở dữ liệu

Tiền tố được đặt trước tên của tất cả các bảng trong cơ sở dữ liệu của bạn. Theo mặc định, bảng sử dụng tiền tố " wp_" và thêm nó vào cơ sở dữ liệu của bạn sẽ thêm một nhiệm vụ bổ sung cho tin tặc. Bạn càng thêm nhiều chướng ngại vật, blog của bạn càng khó bị hack.

Thay đổi tiền tố mặc định sẽ giúp ích và tất cả những gì bạn cần làm là thay đổi hằng số trên tệp " wp-config.php ", nhưng nó cũng cần thiết cho các bảng cơ sở dữ liệu trong bản cài đặt của bạn để có cùng tiền tố mới. Bạn có thể thay đổi wp_ cho một cái gì đó như g628_. Bạn phải chọn một thứ thực sự không dễ đoán.

4. Tắt chỉnh sửa chủ đề và plugin

Trong mỗi cài đặt WordPress, bạn có thể chỉnh sửa trực tiếp các plugin và chủ đề thông qua bảng điều khiển. Nếu một tin tặc có thể truy cập vào trang tổng quan của bạn, họ có quyền truy cập vào trình chỉnh sửa đặc biệt này, nơi họ có thể làm bất cứ điều gì họ muốn trong các tệp plugin và chủ đề của bạn, chẳng hạn như thêm phần mềm độc hại, vi rút hoặc Thư rác.

5. Vô hiệu hóa gỡ lỗi

Nếu bạn đã từng bật gỡ lỗi trên trang web của mình hoặc trên mạng, bạn có thể làm vì nó là một công cụ tuyệt vời để khắc phục sự cố, nhưng đừng quên tắt nó khi bạn hoàn tất. Bật tùy chọn này có thể tiết lộ thông tin quan trọng về trang web của bạn và vị trí của các tệp của nó cho tin tặc cho bất kỳ ai truy cập trang web của bạn.

Để tắt chế độ gỡ lỗi, bạn có thể thay đổi hằng số WP_DEBUG từ true thành false như sau:

define ('WP_DEBUG', false);

6. Vô hiệu hóa lỗi đăng nhập trong WordPress

 Nếu bạn không thể thực hiện thay đổi trước đó vì bạn vẫn cần chủ động gỡ lỗi trang web của mình, bạn vẫn có thể bảo vệ thông tin quan trọng của trang web bằng cách tắt lỗi giao diện người dùng và tắt ghi lỗi.

Để vô hiệu hóa báo cáo lỗi giao diện người dùng, hãy thêm dòng này trong khi vẫn đặt gỡ lỗi (WP_DEBUG) của bạn thành true:

define ('WP_DEBUG_DISPLAY', false);

7. Cho phép cập nhật tự động

Luôn cập nhật trang web của bạn với các phiên bản mới nhất của WordPress, cũng như các plugin và chủ đề của bạn, phải là một phần quan trọng trong việc phát triển chiến lược bảo mật. Kể từ khiCác bản cập nhật này cung cấp các bản sửa lỗi bảo mật cho các lỗ hổng đã biết, vì vậy đừng cập nhật các phơi nhiễm blog của bạn với các rủi ro tiềm ẩn này.

Kể từ phiên bản WordPress 3.7, các bản sửa lỗi bảo mật nhỏ được tự động áp dụng cho các trang web WordPress, nhưng các phiên bản cơ bản thì không. Tuy nhiên, bạn có thể bật cập nhật tự động cho tất cả các phiên bản mới bằng cách thay đổi giá trị của hằng số để cập nhật tự động:

define ('WP_AUTO_UPDATE_CORE', true);

Tương tự như vậy, bạn có thể thêm dòng sau bên dưới dòng trước đó để kích hoạt cập nhật tự động cho các plugin:

Dễ dàng tạo Cửa hàng trực tuyến của bạn

Tải xuống miễn phí WooCommerce, các plugin thương mại điện tử tốt nhất để bán các sản phẩm vật lý và kỹ thuật số của bạn trên WordPress. [Đề xuất]

add_filter ('auto_update_plugin', '__return_true');

Bạn cũng có thể theo dõi dòng này để cho phép cập nhật tự động cho các chủ đề:

add_filter ('auto_update_theme', '__return_true');

Đó là nó cho hướng dẫn này. Tôi hy vọng nó sẽ cho phép bạn bảo mật blog WordPress của mình tốt hơn.

 

Bài viết này chứa comments 2

  1. Xin chào tất cả nhóm,
    BRAVO cho trang web của bạn, có vẻ như đầy tài nguyên và rất được quan tâm: khi ngân sách của tôi cho phép, tôi sẽ không thất vọng khi gọi dịch vụ của bạn (tôi thực sự cần nó…)!
    Một nhược điểm nhỏ đối với bài viết bảo mật của * Hervé *: chúng ta nhanh chóng bị lạc trong các giải thích, nếu chúng ta không quen thuộc với php. [Ngoài ra, khi chỉnh sửa văn bản, có thể có lợi khi đọc lại: một số từ đã bị lược bỏ - nhưng không mắc lỗi chính tả. ;-)))]

Để lại một bình luận

Địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu *

Trang web này sử dụng Akismet để giảm bớt không mong muốn. Tìm hiểu thêm về cách sử dụng dữ liệu nhận xét của bạn.

Trở lại đầu trang
4 cổ phiếu
cổ phiếu
tweet
Enregistrer4