• This site uses cookies. By continuing to use this site, you are agreeing to our use of cookies. Learn more.
  • Upgrade Your Account
    Hello Guest! Upgrade your account to download all VIP Resource here

Hướng dẫn Bảo mật cho Wordpress

kuteboy

Ahihi
Staff member
Joined
Dec 13, 2015
Messages
923
Chủ thớt
#1
Một chút kiến thức cùi + kinh nghiệm nhỏ, hôm nay làm cái topic bảo mật WP cho bạn nào dùng mã nguồn WP vậy. Nhưng có bảo mật đến đâu Server cùi thì cũng chịu


1./ Vấn đề Chmod:
a. Chmod thư mục public_html thành 710 và các thư mục còn lại thành 701, một số thư mục không quan trọng hoặc bắt buộc thì chmod 755 (một số bắt 777), việc này sẽ giúp bạn bảo vệ được cấu trúc Website của mình.
b. Chmod tập tin wp-config.php và các file liên quan wp-load.php và wp-settings.php thành 400, điều này chống hacker local và view source của tập tin này


2./ Vấn đề giấu file wp-config.php và các file liên quan.
a. Giấu file wp-config.php
- File config là file chứa tất cả những gì quan trọng nhất, vì vậy việc làm cho hacker không view đc source của file này rất quan trọng.
Sau khi đổi tên và đổi đường dẫn file config, các bạn tìm file wp-load.php và e....
Các bạn tìm trong file wp-load.php dòng này


if ( file_exists( ABSPATH . 'wp-config.php') ) {


/** The config file resides in ABSPATH */
require_once( ABSPATH . 'wp-config.php' );


} elseif ( file_exists( dirname(ABSPATH) . '/wp-config.php' ) && ! file_exists( dirname(ABSPATH) . '/wp-settings.php' ) ) {


/** The config file resides one level above ABSPATH but is not part of another install*/
require_once( dirname(ABSPATH) . '/wp-config.php' );
edit cho phù hợp.
b. Giấu file wp-load.php
Tìm trong file wp-login.php dòng này


/** Make sure that the WordPress bootstrap has run before continuing. */
require( dirname(__FILE__) . '/wp-load.php' );
edit lại cho phù hợp với path và tên file wp-load.php


Đang tìm cách để giấu link admin. Cách tốt nhất hiện tại là đặt pass cho folder wp-admin, cách khác để tìm hiểu rồi update sau.


3./ Vấn đề mã hoá
Các cách mã hoá tốt nhất hiện nay là mã hoá sang IonCube và ZendGuard 5
Mã hoá file wp-config.php bằng ZendGuard 5 sẽ khó mà giải mã được (khó không có nghĩa là không thể )


4./ Thông tin Admin
Thường thì wp mặc địch user của quản trị viên là admin và không thay đổi được, điều này làm cho các hacker chỉ cần đoán pass, việc cần làm là thay đổi tên admin.
Các bạn vào phpmyadmin và e... lại, có thể e..., muốn nhanh thì dùng lệnh SQL


update wp_users set user_login="tên bạn muốn đổi đê login", user_nicename="tên bạn thích", display_name="tên bạn muốn đổi để hiển thị" where ID=1;
Khuyến cáo không nên để user_login, user_nicename và display_name trùng nhau vì như thế hacker vẫn có thể biết user của bạn.

Nguồn: Sưu tầm
 

Facebook Comment

New posts New resources Most viewed threads Threads with more replies