Một số cách bảo mật WordPress

Hiện tại wordpress cón khá lỗ hổng bị nhiều hacker khai thác. Nên bảo mật là việc mấu chốt em đặt lên hàng đầu.

Kinh nghiệm của em sau. Ai có thì chia sẻ thêm để học hỏi nha.

  • Đổi đường dẫn admin đăng nhập

  • Cài captcha vào admin và bình luận

  • Set quyền folder 755, files là 644

  • Cài các plugin quét lỗi bảo mật:Wordfence,Itheme pro…

  • Backup website thường xuyên: thủ công và auto

  • Bật tường lửa

  • Trỏ DNS về cloudflare

  • 1 server/shared hosting chỉ chạy 1 web hoặc phân ra ở các folder không chung cấp cha để tránh bị chiếm quyền từ web khác.

  • Tắt upload file php nhằm tránh upload shell, tắt chế độ rename từ file khác về .php

  • Backup website trước rồi tải cả bộ code+sql về, dùng Find/Find in files trong sublime text để tìm các mã độc với các hàm phổ biến: eval,base64_decode (ai biết chỉ mình thêm nha)

  • Dùng các tool quét online: Unmask Parasites,Norton Safe Web,Quttera,VirusTotal,Web Inspector…

  • Tắt CURL để tránh bị shell request file khác về, tính riêng trong vps, khi nào dùng thì bật lên.

  • Đổi đường dẫn phpmyadmin

  • Tạo mysl user khác, ko dùng root. Pass lằng nhằng tí

  • Set htacess cấm thực thi

  • Ở config kết nối csdl dùng hàm_giải_mã(chuôi mã hóa tên db…) hoặc mã hóa cả file lại (php obfuscator)

  • Duyệt comment thủ công

  • Tắt tất cả hàm mail, giao thức smtp khi ko cần.

  • Tất cả plugin/theme cần quét code trước khi xài với cách sublime text trên. Đặc biệt hàng nulled, tránh tuyệt đối.

  • Kiểm tra có bị dính SQL Injection, XSS,CSRF,brute forece… bằng tool

  • Tránh chạy các file bash ko rõ, vd các script vps. Nên setup thủ công a-z.

  • Connect đến VPS bằng file ssh: private key. Ko dùng tk root+pass (tắt luôn dùng cái này)

  • Backup và update core wordpress, plugin…thường xuyên

  • Dùng nginx thay apache

  • Vào network chrome/Save preserve, xem log có gửi các request lạ ko. Nếu có chặn ngay