» » Bảo mật cho Wordpress

17 thg 2, 2011

Bảo mật cho Wordpress

vào lúc 07:08 Đăng bởi: Trường Phát 0 nhận xét
Bảo mật là một vấn đề nan giản và nhức nhối đối với một webmaster . Làm thế nào để bảo vệ tốt nhất cho Blog của mình ?  Một chút kiến thức và kinh nghiệm nhỏ của kingover về bảo mật wordpress hi vọng sẽ giúp ích cho các bạn .   clock
1. Vấn đề Chmod :
a) Chmod thư mục public_html thành 710 và các thư mục còn lại thành 701, một số thư mục không quan trọng hoặc bắt buộc thì chmod 755 (một số bắt 777), việc này sẽ giúp bạn bảo vệ được cấu trúc Website của mình.
b) Chmod tập tin wp-config.php và các file liên quan wp-load.php và wp-settings.php thành 400, điều này chống hacker local và view source của tập tin này
2. Vấn đề giấu file wp-config.php và các file liên quan.
a) Giấu file wp-config.php
File config là file chứa tất cả những gì quan trọng nhất, vì vậy việc làm cho hacker không view đc source của file này rất quan trọng.
Sau khi đổi tên và đổi đường dẫn file config, các bạn tìm file wp-load.php và edit.
Các bạn tìm trong file wp-load.php dòng này
PHP Code:
/* Code */

if ( file_exists( ABSPATH . 'wp-config.php') ) { /** The config file resides in ABSPATH */ require_once( ABSPATH . 'wp-config.php' );} elseif ( file_exists( dirname(ABSPATH) . '/wp-config.php' ) && ! file_exists( dirname(ABSPATH) . '/wp-settings.php' ) ) {/** The config file resides one level above ABSPATH but is not part of another install*/ require_once( dirname(ABSPATH) . '/wp-config.php' );
Edit cho phù hợp.
b. Giấu file wp-load.php
Tìm trong file wp-login.php dòng này
PHP Code:
/*  Code */

/** Make sure that the WordPress bootstrap has run before continuing. */ require( dirname(__FILE__) . '/wp-load.php' );
Edit lại cho phù hợp với path và tên file wp-load.php
Đang tìm cách để giấu link admin. Cách tốt nhất hiện tại là đặt pass cho folder wp-admin, cách khác để tìm hiểu rồi update sau.
3. Vấn đề mã hoá
Các cách mã hoá tốt nhất hiện nay là mã hoá sang IonCube và ZendGuard 5
Mã hoá file wp-config.php bằng ZendGuard 5 sẽ khó mà giải mã được (khó không có nghĩa là không thể  )
4. Thông tin Admin
Thường thì wp mặc địch user của quản trị viên là admin và không thay đổi được, điều này làm cho các hacker chỉ cần đoán pass, việc cần làm là thay đổi tên admin.
Các bạn vào phpmyadmin và edit lại, có thể edit, muốn nhanh thì dùng lệnh SQL
Code:
update wp_users set user_login="tên bạn muốn đổi đê login", user_nicename="tên bạn thích", display_name="tên bạn muốn đổi để hiển thị" where ID=1;
Khuyến cáo không nên để user_login, user_nicename và display_name trùng nhau vì như thế hacker vẫn có thể biết user của bạn.
Hi vọng những kinh nghiệm trên sẽ giúp ích cho các bạn . Và nên nhớ rằng không có phương pháp bảo mật nào là hoàn hảo.
Từ Khóa:

0 nhận xét:

Đăng nhận xét

Đăng ký: Đăng Nhận xét (Atom)