SONHA AUTO tự hào 20 năm lắp đặt cửa trượt tự động và Tư vấn lắp cổng tự động cho biệt thự số 1 Việt Nam. Các Sản phẩm & Dịch vụ khác về cua tu dong:
- Triển khai Sửa chữa cửa tự động chuyên nghiệp
- Update các tính năng mới của Cửa tự động Nhật Bản - NABCO - Thương hiệu số 1 thế giới
- Cam kết chất lượng sản phẩm Cửa tự động Hàn Quốc - SWICO - Thương hiệu số 1 Hàn Quốc

--------------------------------------------------------

TOP FORUM ĐĂNG KÝ FREE


Diễn đàn làm đẹp --- Rao vặt thái nguyên --- Diễn đàn sức khỏe --- Diễn đàn thời trang --- Diễn đàn nội thất --- Diễn đàn vật liệu xây dựng --- Diễn đàn thiết bị xây dựng --- Diễn đàn xây dựng--- Diễn đàn máy móc--- Diễn đàn máy miền bắc


Hiện kết quả từ 1 tới 2 của 2

Chủ đề: Cách bảo mật website sử dụng mã nguồn wordpress

  1. #1
    Administrator Avatar của meotom
    Tham gia ngày
    Jan 2013
    Yahoo : winter3289
    Bài gửi
    441
    Thanks
    76
    Thanked 15 Times in 4 Posts

    Cách bảo mật website sử dụng mã nguồn wordpress

    ID topic : 6036    Ngày gửi : 05-17-2014 11:31 AM 

    Hiện nay, rất nhiều người sử dụng WordPress như một sự tiện lợi trong việc tạo website miễn phí. Tuy nhiên, vấn đề bảo vệ website không được thực hiện tốt. Chính vì thế trong thời gian qua, có rất nhiều site xây dựng trên nền WordPress bị hack.

    Bài viết này, iNET xin chia sẻ một số biện pháp giúp khách hàng sử dụng WordPress để tạo website tăng cường sự bảo vệ site của mình khỏi các lỗ hổng cơ bản, tránh bị hacker lợi dụng, upload shell và mất mát dữ liệu.

    1. Bảo mật thông tin đăng nhập

    Sử dụng plugin Chap Secure Login với chức năng chính là gán thêm những đoạn mã hash ngẫu nhiên vào chuỗi ký tự mật khẩu, sau đó tiến hành xác nhận tính hợp pháp của tài khoản với giao thức CHAP.

    Cài đặt Plugin xong bạn vào add plugin, gõ vào trình search: Chap Secure Login.


    2. Chống tấn công dò mật khẩu Brute Force Attack


    Với một mật khẩu yếu, đơn giản thì tin tặc hoàn toàn có thể dùng cơ chế Brute Force Attack (tấn công dò tìm mật khẩu).
    WorPress có plugin Login LockDown giúp website của bạn giảm đi nguy cơ này. Công cụ này giúp ghi lại sự kiện đăng nhập sai nhiều lần từ 1 IP, sau đó sẽ khóa lại IP này.


    3. Đặt password phức tạp

    Bất kể hệ thống nào, việc thiết lập một password đơn giản là một miếng mồi ngon cho những kẻ ý đồ xấu. Vì vậy password các tài khoản WordPress của bạn nên đặt đủ mạnh, chữ hoa + chữ thường + số + ký tự bàn phím, và dĩ nhiên, password nên có nhiều hơn 7 ký tự.


    4. Bảo vệ thư mục wp-admin


    Đường dẫn mặc định trang admin của WordPress khi cài đặt thành công là website/wp-admin. Điều này trở nên dễ dàng với những kẻ phá hoại khi họ đã có thông tin đăng nhập site của bạn.

    Bạn cần đổi địa chỉ đăng nhập vào trang quản trị bằng cách sử dụng plugin Better WP Security để tăng cường bảo mật cho WordPress. Chức năng đổi đường dẫn mặc định của trang quản trị thành đường dẫn bất kỳ mà bạn muốn.

    Sau khi cài đặt, vào Security => Hide và điền tên của đường dẫn mới của trang quản trị, trang đăng nhập và trang đăng ký.


    5. Ẩn thư mục plugins


    Bạn thử truy cập vào thư mục hoặc đường dẫn http://websitecuaban/wp-content/plugins , bạn sẽ thấy toàn bộ danh sách plug – in của hệ thống được sử dụng.

    Để ẩn thư mục này thì các bạn chỉ cần đăng tải file index.html trống tới thư mục plugin này. Đơn giản, chỉ cần mở 1 ứng dụng chỉnh sửa text bất kỳ, sau đó lưu lại thành index.html, dùng chương trình FTP và tải file index.html này vào thư mục /wp-content/plugins.


    6. Đổi tên đăng nhập mặc định


    Mặc định WordPress sử dụng admin là tên đăng nhập. Bạn có thể thay đổi được để cản trở quy trình tấn công của hacker vào những hệ thống đơn giản.

    Trong bảng điều khiển chính của WordPress, các bạn mở Users và tạo mới 1 tài khoản, sau đó gán quyền administrator và đăng nhập lại bằng tài khoản vừa tạo.

    Truy cập vào phần Users, lần này các bạn đánh dấu check vào ô bên cạnh admin và chọn Delete.

    Khi hệ thống hiển thị cửa sổ xác nhận thông báo, chúng ta chọn Attribute all posts and links to: và chọn tài khoản vừa tạo tại bước trên trong danh sách dropdown.

    Quá trình này sẽ chuyển toàn bộ các bài viết sang tài khoản mới. Sau đó các bạn nhấn Confirm Deletion.


    7. Luôn cập nhập phiên bản mới nhất của WordPress và plugin


    Wordpress luôn khuyến cáo người dùng update version mới nhất cho website của mình.


    8. Thực hiện quy trình quét thường xuyên


    Như đã đề cập tới ở bên trên, các bạn cần cài đặt tiện ích WP Security Scan và tiến hành quét thường xuyên nhằm phát hiện ra các lỗ hổng bảo mật trong hệ thống. Một điểm nữa cần áp dụng ở đây là thay đổi wp_ thành bất tiền tố tùy chỉnh, nhằm tránh khỏi sự nhòm ngó của hacker.


    9. Đặt mật khẩu thư mục trang quản trị

    Bạn sử dụng chức năng Password Protect Directories có trong cPanelX của các hosting thông dụng hiện nay.






    Sau khi nhấp vào, các bạn chọn thư mục wp-admin và tạo tên đăng nhập và mật khẩu cho lớp đăng nhập.



    Ấn nút Add/modify authorized user.

    Tiếp tục, nhìn lên trên và gõ tên folder cần bảo vệ vào, ở đây folder cần bảo vệ là wp-admin. Sau đó tích dấu vào ô Password Protect this directory và ấn nút Save để hoàn tất.

    Bắt đầu từ đây, mỗi khi chúng ta đăng nhập vào wp-admin đều sẽ trải qua một lớp bảo vệ. Cần điền tên đăng nhập và mật khẩu bảo vệ vào, sau đó mới tiến hành đăng nhập vào WordPress theo cách thông thường.


    10. Phân quyền cho file/thư mục trên host bằng lệnh CHMOD


    CHMOD là cách thực hiện giới hạn và phân quyền trên hệ thống host, giúp website của bạn được an toàn hơn.

    • CHMOD can thiệp thay đổi những quyền sau:

    - Read (đọc): Viết tắt là “r” và được biểu diễn bằng số 4
    - Write (chỉnh sửa): Viết tắt là “w” và được biểu diễn bằng số 2
    - Execute (thực thi): Viết tắt là “x” và được biểu diễn bằng số 1

    • CHMOD thay đổi quyền hạn cho các đối tượng sau

    - “Owner”: Chủ sở hữu của file/thư mục
    - “Group”: Nhóm mà Owner là thành viên
    - “Public / Others/ Everybody”: Những người còn lại


    Để CHMOD bạn có 2 cách.

    • Cách 1
    Mở trình upload FTP lên, ấn chuột phải vào thư mục/tập tin cần CHMOD và chọn CHMOD.

    • Cách 2

    Vào phần File Manager trong trang quản trị hosting và chọn Change Permission.

    Tối ưu CHMOD cho WordPress

    File đầu tiên chúng ta cần bảo vệ đó là wp-config.php vì file này lưu giữ những thông tin đăng nhập vào cơ sở dữ liệu của mình.

    Nếu như các bạn ít khi chỉnh sửa file này thì hãy CHMOD444 cho wp-config. Điều này có nghĩa tất cả các nhóm người dùng chỉ có thể đọc chứ không chỉnh sửa hay thực thi được, kể cả chủ sỡ hữu. Và sau khi đưa về 444, chúng ta không thể chỉnh sửa nội dung file này, nếu muốn chỉnh sửa thì hãy đưa nó về 644.

    Các file còn lại thì bạn có thể CHMOD644755 cho các folder.

    Nếu bạn muốn tối ưu hơn nữa, hãy CHMOD folder wp-admin, wp-includes thành 101. Tuy nhiên để CHMOD thành 101 thì bạn không thể CHMOD trên FTP được mà phải vào File Manager để làm việc này.
    Sau khi CHMOD thành 101, bạn đăng nhập vào FTP sẽ không thể nhìn thấy các folder đã được CHMOD, điều này đồng nghĩa bạn không thể làm gì được ngoại trừ truy cập bằng trình duyệt.

    Tiếp đến là CHMOD cho tất cả các file thành 400 (ngoại trừ các file trong thư mục theme).
    Nếu trong một số trường hợp máy chủ không cho phép CHMOD 400 thì bạn có thể đổi thành 404.

    Nếu như bạn thấy khó khăn trong việc CHMOD thì plugin File Permissions & Size Check sẽ giúp bạn CHMOD và theo dõi các tập tin/thư mục dễ dàng trong trang quản trị WordPress.

    Còn đây là gợi ý CHMOD tối ưu hóa cho WordPress của BulletProof Security.


    11. Sao lưu (backup) cơ sở dữ liệu thường xuyên


    Việc sao lưu dự phòng dữ liệu thường xuyên, giúp chúng ta bảo vệ an toàn dữ liệu an toàn, sẵn sàng phục hồi khi bị tấn công hoặc hacker xóa dữ liệu, website.

    Backup có thể thực hiện bằng một trong hai cách:

    • Cách 1


    Sử dụng công cụ backup cơ sở dữ liệu của cpnanel của nhà cung cấp hosting.

    • Cách 2


    Sử WPComplete BackupPlugin công cụ này, giúp bạn cài đặt chế độ backup tự động cho tất cả các dữ liệu trên blog, website có sử dụng WordPress.
    Plugin tích hợp tính năng đồng bộ hóa tài khoản Google Drive hoặc Sky Drive tự động gửi những dữ liệu đã được backup lên đó, lợi ích giúp chúng ta phân tán dữ liệu backup mọi nơi, nguy cơ mất dữ liệu gần như không có


    12. Một số plugin bảo mật wordpress khuyến nghị sử dụng


    Hiện tại WordPress có rất nhiều các plugins bảo mật, sau đây là các plugins khuyên dùng:

    WP Security Scan


    Giúp bạn tìm trong thư mục cài đặt WordPress các điểm yếu có thể bị khai thác bởi tin tặc và đưa ra các đề nghị sửa lỗi. Bạn chỉ cần kích hoạt plugin này khi nào cảm thấy các tập tin của mình không an toàn và muốn kiểm tra lại mà thôi.

    WordPress Exploit Scanner


    Tìm kiếm các bằng chứng về sự có mặt của hacker trong website của bạn và đưa ra khuyến nghị đối với các vùng có vấn đề. Giống như Wp Security Scan, bạn chỉ cần kích hoạt plugin này khi cần thiết.

    WordPress File Monitor

    Plugin này sẽ theo dõi các hoạt động của tập tin trong thư mục cài đặt WordPress và đưa ra cảnh báo đối với tất cả những hành động chỉnh sửa đã được thực hiện. Bạn có thể dễ dàng biết được việc chỉnh sửa này do mình hay do hacker. Bật plugin này trong trạng thái kích hoạt.


    Login Lockdown


    Giới hạn số lần đăng nhập thất bại tốt đa cho phép để ngăn chặn nỗ lực đoán mật khẩu của các tin tặc, bạn có thể tùy chỉnh thời gian đăng nhập kế tiếp nếu bị khóa IP vì đăng nhập sai quá số lần cho phép.




    Bên trên là phương pháp giúp bạn bảo vệ website của mình. Hãy áp dụng nó để trang web của bạn nói không với hacker.



    Nguồn: iNET

    Bài viết khác cùng Box :


  • #2

    Tham gia ngày
    May 2015
    Yahoo : thietmoclan1211
    Bài gửi
    4
    Thanks
    0
    Thanked 0 Times in 0 Posts

    ui nhiều cái phải làm thế, mình ngu cái này lắm cơ


  • Chi tiết chủ đề

    Người dùng duyệt chủ đề

    Hiện tại có 1 người đang xem chủ đề này. (Gồm có 0 Thành viên và 1 Khách)

    Diễn đàn rao vặt Thái Nguyên,chợ thái, forum thái nguyên, rao vặt thái nguyên Quyền viết bài

    • Bạn không thể gửi chủ đề mới
    • Bạn không thể gửi trả lời
    • Bạn không thể gửi file đính kèm
    • Bạn không thể sửa bài viết của mình
    •  
    Lưu ý: chothai24h.com là diễn đàn sex viet mở miễn phí dành cho quảng cáo mua bán các sản phẩm được pháp luật Việt Nam cho phép kinh doanh. Website đang chạy phiên bản thử nghiệm chờ xin giấy phép của Bộ Thông Tin và Truyền Thông.
    Chúng tôi không chịu trách nhiệm trên các quảng cáo của người dùng đăng tải trên diễn đàn. Các trường hợp vi phạm, chúng tôi sẽ tiến hành xử lý xóa bỏ ngay lập tức.
    Nếu bạn nhận thấy quảng cáo vi phạm, xin vui lòng gởi thông báo cho chúng tôi xin cám ơn!.