Hướng dẫn bảo mật Wordpress

Discussion in 'Hacking & Security Tutorials' started by admin, Feb 21, 2018.

 1. admin

  admin Administrator Staff Member

  I. Bảo mật wordpress với file wp-config

  Thêm vào file wp-config.php

  1. Cấm sửa file theme, plugins từ wp-admin


  PHP:
  define (‘DISALLOW_FILE_EDIT’, true);
  2. Cấm cài thêm plugins, themes từ wp-admin
  PHP:
  define('DISALLOW_FILE_MODS',true);
  3. Chmod wp-config.php về 400

  II. Bảo mật wordpress với file function.php


  Thêm vào file function.php của theme bạn đang sử dụng: wp-content/theme-của-bạn/function.php

  1. Tắt hiển thị phiên bản wordpress

  PHP:
  /** Xóa phiên bản WordPress */
  function fjarrett_remove_wp_version_strings( $src ) {
  global $wp_version;
  parse_str(parse_url($src, PHP_URL_QUERY), $query);
  if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
  $src = remove_query_arg('ver', $src);
  }
  return $src;
  }
  add_filter( 'script_loader_src', 'fjarrett_remove_wp_version_strings' );
  add_filter( 'style_loader_src', 'fjarrett_remove_wp_version_strings' );

  /** Hide WP version strings from generator meta tag */
  function wpmudev_remove_version() {
  return '';
  }


  2. Ẩn thông báo lỗi khi đăng nhập

  PHP:
  /** Ẩn thông báo lỗi khi login */
  add_filter('login_errors',create_function('$a', "return null;"));
  3. Remove xpingback header

  PHP:
  function remove_x_pingback($headers) {
  unset($headers['X-Pingback']);
  return $headers;
  }
  add_filter('wp_headers', 'remove_x_pingback');

  III. Bảo mật với .htaccess

  Thêm vào file .htaccess

  1. Chặn truy cập .wp-config.php

  PHP:
  # Protect wp-config
  <Files wp-config.php>;
  order allow,deny
  deny from all
  </Files>
  2. Chặn truy cập file .htaccess

  PHP:
  # Protect htaccess
  <files ~ "^.*\.([Hh][Tt][Aa])">
  order allow,deny
  deny from all
  satisfy all
  </files>
  3. Bảo vệ file xmlrc.php
  PHP:
  # Protect xmlrpc
  <Files xmlrpc.php>;
  order allow,deny
  deny from all
  </Files>
  4. Block scan author
  PHP:
  <IfModule mod_rewrite.c>
  RewriteCond %{QUERY_STRING} author=([0-9]*) [OR]
  RewriteCond %{QUERY_STRING} attachment_id=([0-9]*)
  RewriteRule ^(.*)$ /index.php [F,L]
  </IfModule>
  5. Bảo vệ thư mục wp-includes
  PHP:
  # Protect wp-includes
  <IfModule mod_rewrite.c>
  RewriteEngine On
  RewriteBase /
  RewriteRule ^wp-admin/includes/ - [F,L]
  RewriteRule !^wp-includes/ - [S=3]
  RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
  RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
  RewriteRule ^wp-includes/theme-compat/ - [F,L]
  </IfModule>
  6. Bảo vệ file timthumb.php nếu có
  PHP:
  #blocking timthumb.php
  <files timthumb.php>
  order allow,deny
  deny from all
  </files>
  7. Bảo vệ thư mục uploads

  Tạo file .htaccess trong thư mục wp-content với nội dung sau
  PHP:
  Order deny,allow
  Deny from all
  <Files ~ ".(xml|css|jpe?g|png|gif|ico|js|html|eot|otf|ttf|svg|woff|mo|po)$">
  Allow from all
  </Files>
  IV. Thay đổi đường dẫn đăng nhâp
  - Sử dụng plugins để thay đổi đường dẫn đăng nhập mặc định của wordpress

  V. Sử dụng plugins bảo mật

  Sử dụng thêm các plugins bảo mật nếu cần thiết

  - WordFence
  - BulletProof Security
  - iThemes Security
  - Jetpack
  - Sucuri Security
  - All In One WP Security & Firewall
  - And more

  VI. Chmod file và thư mục
  1. File


  Với 2 file wp-config.php, .htaccess thì nên CHMOD thành 400 hoặc 600.
  Tuy nhiên khi CHMOD thành 400, mỗi khi cài plugin mà cần add thêm code vào file .htaccess, wp-config.php thì bạn sẽ phải sửa thủ công. Nên nếu muốn không bị như vậy thì có thể CHMOD là 600.

  2. Thư mục
  Bạn có thể CHMOD lại thư mục wp-admin và wp-include là 700. Nhưng say này mỗi khi cập nhật phiên bản wordpress bạn phải cập nhật thủ công hoặc chmod trở lại về mặc định để tự động cập nhât.


  Done.

  p/s: Sau khi làm hết các biện pháp trên mà vẫn bị check thì nên kiểm tra lại hosting của bạn =="


  Thím nào lech nhớ ghi nguồn xhydra.com

  Quỷ Lệ - VHB
   

Share This Page