Hướng dẫn bảo mật Wordpress

Discussion in 'Hacking & Security Tutorials' started by quylevhb, Jan 9, 2018.

  1. quylevhb

    quylevhb New Member

    I. Bảo mật wordpress với file wp-config

    Thêm vào file wp-config.php

    1. Cấm sửa file theme, plugins từ wp-admin

    PHP:
    define (‘DISALLOW_FILE_EDIT’true);
    2. Cấm cài thêm plugins, themes từ wp-admin
    PHP:
    define('DISALLOW_FILE_MODS',true);
    3. Chmod wp-config.php về 400

    II. Bảo mật wordpress với file function.php

    Thêm vào file function.php của theme bạn đang sử dụng: wp-content/theme-của-bạn/function.php

    1. Tắt hiển thị phiên bản wordpress

    PHP:
    /** Xóa phiên bản WordPress */
    function fjarrett_remove_wp_version_strings$src ) {
         global 
    $wp_version;
         
    parse_str(parse_url($srcPHP_URL_QUERY), $query);
         if ( !empty(
    $query['ver']) && $query['ver'] === $wp_version ) {
              
    $src remove_query_arg('ver'$src);
         }
         return 
    $src;
    }
    add_filter'script_loader_src''fjarrett_remove_wp_version_strings' );
    add_filter'style_loader_src''fjarrett_remove_wp_version_strings' );

    /** Hide WP version strings from generator meta tag */
    function wpmudev_remove_version() {
    return 
    '';
    }


    2. Ẩn thông báo lỗi khi đăng nhập

    PHP:
    /** Ẩn thông báo lỗi khi login */
    add_filter('login_errors',create_function('$a'"return null;"));
    3. Remove xpingback header

    PHP:
    function remove_x_pingback($headers) {
    unset(
    $headers['X-Pingback']);
    return 
    $headers;
    }
    add_filter('wp_headers''remove_x_pingback');

    III. Bảo mật với .htaccess

    Thêm vào file .htaccess

    1. Chặn truy cập .wp-config.php

    PHP:
    # Protect wp-config
    <Files wp-config.php>;
        
    order allow,deny
        deny from all
    </Files>
    2. Chặn truy cập file .htaccess

    PHP:
    # Protect htaccess
    <files "^.*\.([Hh][Tt][Aa])">
    order allow,deny
    deny from all
    satisfy all
    </files>
    3. Bảo vệ file xmlrc.php
    PHP:
    # Protect xmlrpc
    <Files xmlrpc.php>;
        
    order allow,deny
        deny from all
    </Files>
    4. Block scan author
    PHP:
    <IfModule mod_rewrite.c>
    RewriteCond %{QUERY_STRINGauthor=([0-9]*) [OR]
    RewriteCond %{QUERY_STRINGattachment_id=([0-9]*)
    RewriteRule ^(.*)$ /index.php [F,L]
    </
    IfModule>
    5. Bảo vệ thư mục wp-includes
    PHP:
    # Protect wp-includes
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase 
    /
    RewriteRule ^wp-admin/includes/ - [F,L]
    RewriteRule !^wp-includes/ - [S=3]
    RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
    RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
    RewriteRule ^wp-includes/theme-compat/ - [F,L]
    </
    IfModule>
    6. Bảo vệ file timthumb.php nếu có
    PHP:
    #blocking timthumb.php
    <files timthumb.php>
    order allow,deny
    deny from all
    </files>
    7. Bảo vệ thư mục uploads

    Tạo file .htaccess trong thư mục wp-content với nội dung sau
    PHP:
    Order deny,allow
    Deny from all
    <Files ".(xml|css|jpe?g|png|gif|ico|js|html|eot|otf|ttf|svg|woff|mo|po)$">
    Allow from all
    </Files>
    IV. Thay đổi đường dẫn đăng nhâp
    - Sử dụng plugins để thay đổi đường dẫn đăng nhập mặc định của wordpress

    V. Sử dụng plugins bảo mật

    Sử dụng thêm các plugins bảo mật nếu cần thiết

    - WordFence
    - BulletProof Security
    - iThemes Security
    - Jetpack
    - Sucuri Security
    - All In One WP Security & Firewall
    - And more

    VI. Chmod file và thư mục
    1. File


    Với 2 file wp-config.php, .htaccess thì nên CHMOD thành 400 hoặc 600.
    Tuy nhiên khi CHMOD thành 400, mỗi khi cài plugin mà cần add thêm code vào file .htaccess, wp-config.php thì bạn sẽ phải sửa thủ công. Nên nếu muốn không bị như vậy thì có thể CHMOD là 600.

    2. Thư mục
    Bạn có thể CHMOD lại thư mục wp-admin và wp-include là 700. Nhưng say này mỗi khi cập nhật phiên bản wordpress bạn phải cập nhật thủ công hoặc chmod trở lại về mặc định để tự động cập nhât.


    Done.

    p/s: Sau khi làm hết các biện pháp trên mà vẫn bị check thì nên kiểm tra lại hosting của bạn =="


    Thím nào lech nhớ ghi nguồn xhydra.com
     
    Mickey likes this.
  2. Boo Đẹp Trai

    Boo Đẹp Trai New Member

    Rườm rà quá bác
     
  3. quylevhb

    quylevhb New Member


    Thì dành cho newbie mà =]]
     

Share This Page