Chia sẻ về bảo mật trên wordpress cá nhân

+ Cài captcha vào admin và bình luận

+ Set quyền folder 755, files là 644

+ Cài các plugin quét lỗi bảo mật:Wordfence,Itheme pro…

+ Backup website thường xuyên: thủ công và auto

+ Bật tường lửa

+ Trỏ DNS về cloudflare

+ 1 server/shared hosting chỉ chạy 1 web hoặc phân ra ở các folder không chung cấp cha để tránh bị chiếm quyền từ web khác.

+ Tắt upload file php nhằm tránh upload shell, tắt chế độ rename từ file khác về .php

+ Backup website trước rồi tải cả bộ code+sql về, dùng Find/Find in files trong sublime text để tìm các mã độc với các hàm phổ biến: eval,base64_decode (ai biết chỉ mình thêm nha)

+ Dùng các tool quét online: Unmask Parasites,Norton Safe Web,Quttera,VirusTotal,Web Inspector…

+ Tắt CURL để tránh bị shell request file khác về, tính riêng trong vps, khi nào dùng thì bật lên.

+ Đổi đường dẫn phpmyadmin
+ Tạo mysl user khác, ko dùng root. Pass lằng nhằng tí

+ Set htacess cấm thực thi

+ Ở config kết nối csdl dùng hàm_giải_mã(chuôi mã hóa tên db…) hoặc mã hóa cả file lại (php obfuscator)

+ Duyệt comment thủ công
+ Tắt tất cả hàm mail, giao thức smtp khi ko cần.
+ Tất cả plugin/theme cần quét code trước khi xài với cách sublime text trên. Đặc biệt hàng nulled, tránh tuyệt đối.
+ Kiểm tra có bị dính SQL Injection, XSS,CSRF,brute forece… bằng tool
+ Tránh chạy các file bash ko rõ, vd các script vps. Nên setup thủ công a-z.
+ Connect đến VPS bằng file ssh: private key. Ko dùng tk root+pass (tắt luôn dùng cái này)
+ Backup và update core wordpress, plugin..thường xuyên
+ Dùng nginx thay apache
+ Vào network chrome/Save preserve, xem log có gửi các request lạ ko. Nếu có chặn ngay