Bảo mật cho Blog WordPress cá nhân

Thứ sáu, ngày 18 tháng 1, năm 2008 Thêm ý kiến

Hướng dẫn phương pháp cơ bản tăng cường bảo mật cho Blog WordPress

  1. Loại bỏ Meta Tag phiên bản WordPress
  2. Chặn truy cập thư mục
  3. Hạn chế truy cập wp-admin
  4. Theo dõi cập nhật thường xuyên

Công cụ Blog WordPress như các bạn đã biết rất được yêu chuộng từ cấu trúc, trình bày đến bảo mật. Tuy cộng đồng người sử dụng và lập trình viên rất đông trên toàn cầu, nhưng vẫn không thể tránh khỏi những lỗi bảo mật nhất là khi bạn không nâng cấp kịp thời những lỗi được công bố từ WordPress và các plugins của chúng. Và hacker thường là những người nhanh tay hơn vì đó là mục đích của họ.

Trong bài viết này tôi sẽ chia sẻ với các bạn vài mẹo nhỏ để tăng cường đôi chút bảo mật cho Blog cá nhân của chính mình.

Loại bỏ Meta Tag phiên bản WordPress

Ngầm định, rất nhiều themes WordPress sử dụng Meta Tag xác định phiên bản đang sử dụng trên blog các nhân. Việc này giúp ích cho nhãn hiệu của công cụ blog và giúp cho việc thống kedeex dàng hơn. Nhưng Hacker hay Spamer có thể lợi dụng chúng để xác định nhanh chóng các lỗi tồn tại và cách thức khai thác. Các bạn không nên giữ dòng Meta Tag này.
Để loại bỏ, bạn vào trong Wp-Admin/Presentation/Edit Theme/Edit Header.php/Bỏ dòng sau :

<meta content="WordPress <?php bloginfo('version'); ?>" name="generator" />

Chặn truy cập thư mục

Cách này nhằm tránh những người có chủ tâm không tốt khai thác thông tin về blog của bạn, rồi dùng thâm tin đó để dò lỗi và khai thác. Rất nhiều nhà cung câp dịch vụ Hosting hay Webmaster để ngầm định chế đọ cho phép xem trang index của thư mục. Tuy nhiên, bạn nên loại bỏ khả năng xem nội dung thư mục trong phần code của WordPress (Disable Access to your Directory Indexes) bằng cách tạo một file .htaccess với nội dung như sau trong thư mục gốc của Blog WordPress của bạn :

Options -Indexes

Một cách khác cũng khá đơn giản, là tạo một file index.php trắng hay một file index.html trong thư mục quan trọng như Plugins chẳng hạn.

Hạn chế truy cập wp-admin

Một trong những cách hacker đoạt quyền điều khiển là thông qua công cụ quản trị. Thay vì cho bất kể ai cũng có thể đăng nhập với tên và mật mã admin và phần quản trị thì bạn có thể hạn chế với một số IP nhất định. Để làm việc này, bạn cần tạo một tệp tin htaccess dạng như sau trong thư mục gốc của blog WordPress :

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "vietSEO Access Control"
AuthType Basic
order deny,allow
deny from all
allow from 1.1.1.2
allow from 1.1.1.3

Trong phần trên bạn chỉ cho phép IP đến từ các địa chỉ 1.1.1.2 và 1.1.1.3 kết nối đến thư mục /wp-admin/ bạn hãy thay thế nó bằng IP tương ứng của mình.
Bạn cũng có thể kết hợp với plugin của Michael’s Login Lockdown plugin cho phép hạn chế khả năng hack mật khẩu người dùng bằng cách thử lặp hay từ điển. Nếu nhập sai mật khẩu một số lần nhất định, nó sẽ khóa IP đó trong vòng một thời gian 1 tiếng theo cấu hình ngầm định.

Mẹo vặt : Bạn có thể chỉ định cho các công cụ tìm kiếm không đánh chỉ mục nội dung thư mục /wp-admin/ bằng cách thêm vào dòng lệnh sau vào trong file robots.txt của blog tại thư mục gốc.

Disallow: /wp-admin/

Theo dõi cập nhật thường xuyên

Bạn hãy bỏ chút thời gian theo dỗi các thông báo mới nhất từ nhóm phát triển WordPress hoặc đăng ký luồng tin RSS của nhóm tại đây.

Ngoài ra Plugin “The Wordpress Automatic Upgrade Plugin” sẽ giúp bạn nâng cấp phiên bản blog một cách an toàn và đơn giản hơn.

Hoài Nam – vietSEO.net

Bài viết cùng chủ đề liên quan

  1. Công cụ Blog cá nhân WordPress 2.5 | bỏ qua phiên bản 2.4 Release
    Tin tức cập nhật phiên bản mới WordPress từ cộng đồng WordPress. Phiên bản WordPress 2.5 ra mắt vào thắng Ba 2008.
  2. Nâng cấp Blog WordPress lên phiên bản 2.3.3
    Phiên bản Blog WordPress 2.3.3 sửa chữa một lỗi nghiêm trọng và vài lỗi nhỏ. Hướng dẫn nâng cấp toàn diện một cách đơn giản nhất.
  3. Plugins cần thiết cho Blog WordPress
    Tổng hợp các plugins cần thiết nhất cần có cho Wordpress từ quản lý cơ sở dữ liệu cho đến dàn trang, xuất bản và cấu trúc blog.
  4. Ebook sổ tay WordPress | Thủ thuật blog tiếng Việt toàn tập
    Ebook, sổ tay tiếng Việt hướng dẫn toàn tập : cơ bản và nâng cao dành cho Blog WordPress được sưu tầm và xuất bản bởi VietTut.
  5. Quản lý ảnh WordPress với Image Manager | Thu thuat Blog
    Hướng dẫn cài đặt, sử dụng WordPress Plugin : Trình quản lý, biên tập ảnh Image Manager.
  6. SEO Blog WordPress – Quảng bá Website – Khái quát chung
    Hướng dẫn các bạn kiến thức SEO cơ bản dùng để tối ưu Blog WordPress cho công cụ tìm kiếm. Phần 1 : Khái quát chung.

Tags : bao mat, hacker, htaccess, kien thuc webmaster, thu thuat blog, wordpress

11 lời bình cho “Bảo mật cho Blog WordPress cá nhân”
  1. MobileVina :
    April 21st, 2008 at 21:44

    Anh ơi cho em hỏi là em đã vào Wp-Admin/Presentation/Edit Theme/Edit Header.php/ nhưng chỉ thấy hai dòng này thôi

    meta http-equiv content-type content php bloginfo html_type
    meta name description content php bloginfo description’

  2. quang ba Web :
    April 21st, 2008 at 22:22

    Thế là do templates của cậu đặt biệt, có thể sẽ tìm thấy thẻ meta đó trong phần Pages hay Main Index, nó chắc chèn vào sau đó.

    Tớ vừa đảo qua trang của cậu, code bị lỗi nặng, nếu đọc code source thì cậu có hai trang code HTML (với thẻ html, header, body lặp những hai lần) trong 1 trang view trên trình duyệt. Tớ nghĩ người thiết kế hay chỉnh templates phạm phải sai lầm.

    Cậu nên ưu tiên giải quyết phần code sai khá nghiêm trọng trên đi, trước khi tính đến vấn đề bảo mật.

    Thân.

  3. MobileVina :
    April 22nd, 2008 at 7:40

    Cahò bạn mình đã tìm trong file Pages & Index nhưng cũng không thấy, còn vấn đề về code đó bị lỗi như thế nào thì mình chịu thua vì kiến thức PHP của mình không có bạn có thể giúp mình về vấn đề này được không
    demo
    http://www.wpdesigner.com/demo/index.php?preview=Gossip
    theme
    http://viettut.info/upload/wpp/gossip-theme.zip

  4. MobileVina :
    April 22nd, 2008 at 7:46

    Xin lổi không phải bài viết chờ Admin duyệt mà là bài viết có link mới như vậy

  5. Nguyễn Mạnh Lưu :
    June 9th, 2008 at 9:58

    Chào anh!
    Em muốn blog của em chỉ cho một số người đọc thôi, tức là những người là thành viên mới được truy cập wordpress. Có thể làm như thế được không anh?
    Cảm ơn anh!

  6. quang ba Web :
    June 12th, 2008 at 5:39

    Trong WordPress khi tùy chỉnh quyền biên tập, xem các bài viết, có thể đặt mật khẩu. Tuy nhiên nếu muốn đặt quyền truy nhập cụ thể hơn thì bạn hãy tham khảo plugin này.

    Chúc bạn thành công.

  7. Seo tips and tricks :
    August 28th, 2008 at 19:36

    I want to read this ảticle in english .

  8. aBlogz :
    June 30th, 2009 at 5:39

    Theme của em thì có đoạn này ” <meta name=”generator” content=”WordPress ” /> ”
    Tại sao mặc dù anh viết nhưng anh không làm thoe bài viết của mình hay hacker không lợi dụng được gì nhiều qua cách biết Version WordPress mà mình đang xài ?

  9. hung :
    February 22nd, 2010 at 15:37

    cho mình hỏi. mình vừa mới tạo được 1 trang wp nhưng khi mở trang web thì xuất hiện trang “Index of /
    wordpress/ “. vậy làm cách nào để có thể loại bỏ được trang này. xin cảm ơn

  10. quang ba Web :
    March 2nd, 2010 at 10:17

    Đơn giản là bạn chưa cài đặt WordPress, hoặc là WordPress của bạn bị hỏng, bạn phải xem lại

  11. getofts :
    May 18th, 2010 at 12:13

    bạn có thể nói rõ hơn về chmod các thự mục để khỏi bị local được không vậy bạn!Thanks!

Bình luận của bạn



SEO Blog Sitemap About Contact