Chia sẻ về bảo mật trên wordpress cá nhân

Hiện tại wordpress cón khá lỗ hổng bị nhiều hacker khai thác. Nên bảo mật là việc mấu chốt  đặt lên hàng đầu.

Kinh nghiệm của mình  sau. Ai có thì chia sẻ thêm để học hỏi nha.

1. Các bước cần làm:

+ Đổi đường dẫn admin đăng nhập

+ Cài captcha vào admin và bình luận

+ Set quyền folder 755, files là 644

+ Cài các plugin quét lỗi bảo mật:Wordfence,Itheme pro…

+ Backup website thường xuyên: thủ công và auto

+ Bật tường lửa

+ Trỏ DNS về cloudflare

+ 1 server/shared hosting chỉ chạy 1 web hoặc phân ra ở các folder không chung cấp cha để tránh bị chiếm quyền từ web khác.

+ Tắt upload file php nhằm tránh upload shell, tắt chế độ rename từ file khác về .php

+ Backup website trước rồi tải cả bộ code+sql về, dùng Find/Find in files trong sublime text để tìm các mã độc với các hàm phổ biến: eval,base64_decode (ai biết chỉ mình thêm nha)

+ Dùng các tool quét online: Unmask Parasites,Norton Safe Web,Quttera,VirusTotal,Web Inspector…

+ Tắt CURL để tránh bị shell request file khác về, tính riêng trong vps, khi nào dùng thì bật lên.

+ Đổi đường dẫn phpmyadmin
+ Tạo mysl user khác, ko dùng root. Pass lằng nhằng tí

+ Set htacess cấm thực thi

+ Ở config kết nối csdl dùng hàm_giải_mã(chuôi mã hóa tên db…) hoặc mã hóa cả file lại (php obfuscator)

+ Duyệt comment thủ công
+ Tắt tất cả hàm mail, giao thức smtp khi ko cần.
+ Tất cả plugin/theme cần quét code trước khi xài với cách sublime text trên. Đặc biệt hàng nulled, tránh tuyệt đối.
+ Kiểm tra có bị dính SQL Injection, XSS,CSRF,brute forece… bằng tool
+ Tránh chạy các file bash ko rõ, vd các script vps. Nên setup thủ công a-z.
+ Connect đến VPS bằng file ssh: private key. Ko dùng tk root+pass (tắt luôn dùng cái này)
+ Backup và update core wordpress, plugin..thường xuyên
+ Dùng nginx thay apache
+ Vào network chrome/Save preserve, xem log có gửi các request lạ ko. Nếu có chặn ngay

Xem thêm:  50 lỗi WordPress phổ biến nhất và cách khắc phục chúng

2. Về plugin:

Ngoài ra bạn còn có thể  cài plugin ithemes, change link admin, web k cần bình luận nên tắt, còn chmod 755 vs 644 là mặc định r, update theme, plugin.
backup để chạy auto cần mỗi folder upload vì source tải về trước đó r và xác định ít thay đổi.
chạy nhiều web cùng server bật basedir và waf, done.

Việc này giúp tránh lan tràn virus cho các web cùng sever, hosting với nhau.

0/5 (0 Reviews)