5 mẹo để bảo vệ trang web WordPress của bạn khỏi tin tặc

01.06.2020
Bài viết và nhiều hơn nữa '5 mẹo để bảo vệ trang web WordPress của bạn khỏi tin tặc
0 14 мин.

Làm thế nào để bảo vệ trang web wordpress của bạn chống lại tin tặc


Có một số mẹo và thủ thuật để bảo vệ trang web WordPress của bạn khỏi tin tặc, nhưng 5 mẹo quan trọng và được sử dụng nhiều nhất là những mẹo sau:

Thay đổi mọi thứ từ mặc định

Các tin tặc, thông thường, lúc đầu, tấn công một trang web nghĩ rằng các tùy chọn mặc định được bật nên bạn cần thay đổi mọi thứ như

  • Tên người dùng mặc định là quản trị viên và tên tốt hơn phải là biệt danh riêng tư và cá nhân.
  • Thư mục cài đặt thường nằm trong thư mục gốc phải là một thư mục ngẫu nhiên và bạn có thể sử dụng một mã php nhỏ làm cho trang web của bạn được truy cập như thường lệ ngay cả khi thư mục cài đặt không phải là thư mục thông thường. Bạn có thể sửa đổi mã php từ index.php từ thư mục gốc của bạn nơi bạn đặt chỉ mục WordPress, nhưng bạn thay đổi thư mục cài đặt từ dòng bắt đầu bằng:

yêu cầu (dirname (__FILE__). ‘/ wp-blog-header.php.);

đến

yêu cầu (dirname (__FILE__). ‘/ Random_folder_name / wp-blog-header.php’);

  • Các khóa WordPress từ tệp cấu hình wp-config.php được sử dụng để mã hóa dữ liệu người dùng tốt hơn, chẳng hạn như:

định nghĩa (‘AUTH_KEY,‘ đặt cụm từ duy nhất của bạn vào đây);
định nghĩa (‘SECURE_AUTH_KEY,‘ đặt cụm từ duy nhất của bạn vào đây);
định nghĩa (LOGGED_IN_KEY, ‘đặt cụm từ duy nhất của bạn vào đây);
định nghĩa (NONCE_KEY, ‘đặt cụm từ duy nhất của bạn vào đây);

  • Tiền tố bảng từ mặc định có tên _wp khi bạn tạo cơ sở dữ liệu cho WordPress.
  • Bạn cần xóa biểu mẫu điền tự động để các biểu mẫu won được tự động và hoàn thành ngay lập tức với dữ liệu riêng tư.
  • Vô hiệu hóa nhấp chuột phải để tin tặc không thể thấy mã nguồn của bạn dễ dàng và không thể tìm kiếm sau thông tin cá nhân như tên mẫu, phiên bản WordPress và plugin.
  • Chặn các công cụ tìm kiếm khỏi các phần quản trị lập chỉ mục như wp-admin, wp-gộp, wp-content / plugins /, wp-content / cache /, wp-content / Themes và không cho phép truy cập tại các trang nguồn cấp dữ liệu, trackback và thể loại bằng robot Tệp .txt được đặt trong thư mục gốc của bạn như trong ví dụ dưới đây:

#
Đại lý người dùng: *
Không cho phép: / cgi-bin
Không cho phép: / wp-admin
Không cho phép: / wp-bao gồm
Không cho phép: / wp-content / plugin /
Không cho phép: / wp-content / cache /
Không cho phép: / wp-content / Themes /
Không cho phép: * / trackback /
Không cho phép: * / thức ăn /
Không cho phép: / * / feed / rss / $
Không cho phép: / danh mục / *

  • Sửa đổi và bảo vệ tệp .htaccess để ngăn chặn hack WordPress bằng cách điều chỉnh nó bằng cách sử dụng một mã đẹp trong tệp .htaccess gốc của bạn như:

# BẢO VỆ HTACCESS MẠNH

cho phép, từ chối
tư chôi tât cả
thỏa mãn tất cả

  • Bảo mật wp-config.php bằng mã bổ sung được viết trong .htaccess:

# bảo vệ wp-config.php

Lệnh từ chối, cho phép
Tư chôi tât cả

  • Giới hạn quyền truy cập vào thư mục wp-content bằng cách thêm mã .htaccess:

Lệnh từ chối, cho phép
Tư chôi tât cả

Cho phép từ tất cả

  • Vô hiệu hóa duyệt thư mục bằng cách sử dụng mã được viết bằng .htaccess:

Tùy chọn Tất cả các Index Index

  • Ngăn chặn việc tiêm script với mã .htaccess khác:

# bảo vệ khỏi tiêm sql
Tùy chọn + FollowSymLinks
RewriteEngine On
RewriteCond% {QUERY_STRING} (\<|% 3C). * Kịch bản. * (\>|% 3E) [NC, HOẶC]
RewriteCond% {QUERY_STRING} TOÀN CẦU (= | \ [| \% [0-9A-Z] {0,2}) [OR]
RewriteCond% {QUERY_STRING} _REQUEST (= | \ [| \% [0-9A-Z] {0,2})
RewriteRule ^ (. *) $ Index.php [F, L]

Cập nhật mọi thứ

Một cách khác để bảo vệ trang web WordPress của bạn là sử dụng plugin Trình cập nhật WP thông báo cho bạn về các bản cập nhật mới và sau đó bạn có thể nghiên cứu từng plugin, chủ đề hoặc thậm chí lõi WordPress để xem có an toàn để cập nhật không.

Trong trường hợp, mọi thứ đều ổn, bạn nên cập nhật càng nhanh càng tốt ở phiên bản trước, nếu không trang web của bạn có thể bị lỗi thời và khai thác có thể xuất hiện. Nếu nó an toàn, bạn nên cập nhật don don và bạn nên hủy kích hoạt và xóa plugin hoặc chủ đề và ở vị trí của chúng, hãy sử dụng một bản mới hơn và tốt hơn.

Sử dụng các kỹ thuật bảo mật được cải thiện

Nếu bạn sử dụng các kỹ thuật bảo mật được cải tiến như Chứng chỉ SSL được mã hóa để ngăn thông tin cá nhân như số thẻ tín dụng được chuyển đến một tin tặc hoặc một công ty lưu trữ web tốt cung cấp cho bạn một IP chuyên dụng, nhưng bảo vệ DDoS và Spam sẽ bảo vệ trang web của bạn an toàn hơn.

Sử dụng phần mềm bảo mật nâng cao

Bạn cũng có thể cài đặt các plugin bảo mật khác nhau như WP Security Scan, hoạt động như quét chống vi-rút sau các lỗ hổng và thông báo cho bạn nếu phát hiện mã xấu. Plugin này rất tốt cho các lỗ hổng XSS, xâm nhập, khóa và đăng nhập các lần đăng nhập không chính xác, nhưng bạn có thể sử dụng một chương trình chống vi-rút thông thường như BitDefender Antivirus hoặc ESET Nod32 Antivirus để quét các tệp bạn tải lên trên FTP hoặc qua Thư viện phương tiện WordPress.

Ngoài ra, bạn có thể cài đặt tường lửa ứng dụng web (WAF) là dịch vụ cắm và chạy trên nền tảng đám mây đóng vai trò là cổng cho tất cả lưu lượng truy cập đến hoặc các ứng dụng bảo mật khác như Acunetlx WP Security ẩn danh tính CMS trang web của bạn.

Sao lưu trang web của bạn thường xuyên

Bạn cũng cần sao lưu thường xuyên mỗi ngày hoặc, ít nhất, mỗi tuần một cách thủ công hoặc nếu bạn có thể, tự động, sử dụng một Plugin WordPress hoặc một phần mềm như R1-Soft mà công ty lưu trữ của bạn cung cấp cho bạn.

Bạn thực sự cần sao lưu email, tệp ftp, nhưng cả cơ sở dữ liệu của bạn, đặc biệt là khi WordPress sử dụng cơ sở dữ liệu cho các khía cạnh chức năng, nội dung và thiết kế.

Để chắc chắn, bạn có thể tải lên mọi bản sao lưu trong Dropbox, OneDrive hoặc MediaFire tùy thuộc vào dung lượng bạn có.

Cuối cùng, ngay cả khi bạn thực hiện tất cả các biện pháp phòng ngừa cần thiết, bạn có thể dễ dàng bị hack hoặc bị lừa nếu bạn không giữ gìn cẩn thận và tuân theo một số quy tắc thông thường như:

  • Không bao giờ đăng nhập vào bảng điều khiển WordPress của bạn hoặc các bảng điều khiển khác liên quan đến trang web của bạn từ máy tính hoặc trường học / công sở nước ngoài vì có thể bạn quên rằng bạn đã đăng nhập và ai đó có thể truy cập trang web của bạn sau.
  • Không bao giờ cung cấp thông tin xác thực cPanel, FTP, cơ sở dữ liệu, WordPress hoặc lưu trữ của bạn vì đôi khi do nhầm lẫn hoặc không, mọi người thực sự có thể làm điều xấu.
  • Luôn sử dụng liên kết trang web của bạn để đăng nhập và không sử dụng một trang web khác ngay cả khi chúng giống nhau, bạn có thể bị lừa dễ dàng và sau đó thông tin đăng nhập có thể được lưu trữ trên một máy chủ riêng hoặc gửi qua email cho một người.
  • Luôn sử dụng các vai trò và quyền người dùng được xác định rõ nếu bạn cần thêm người dùng vào trang web của mình vì những lý do nhất định.
  • Luôn sử dụng địa chỉ email riêng, tên người dùng và mật khẩu cho thông tin đăng nhập trang web của bạn chứ không phải địa chỉ chung.
  • Nếu bạn đã đưa cho ai đó như nhà thiết kế web hoặc lập trình viên FTP của bạn hoặc thông tin đăng nhập khác, bạn cần thay đổi họ sau khi anh ta hoàn thành công việc và bạn nên kiểm tra xem liệu anh ta có sử dụng bất kỳ tập lệnh khai thác nào không. đặc quyền trên trang web WordPress của bạn chỉ với 1 cú click chuột.

Trang web của bạn có được bảo vệ không? Bạn đang thực hiện những biện pháp nào để bảo mật trang web WordPress của mình và bảo vệ nó trước tin tặc? Hãy cho tôi biết ở phần bình luận!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Оцените статью
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector