Hãy thử suy nghĩ từ tư duy của một hacker. Bạn có muốn thâm nhập vào một nền tảng được hàng nghìn trang web sử dụng hay thử ép buộc nền tảng này với nhiều trang web không? Với các công cụ như WP-Scanner mã nguồn mở có sẵn, ngay cả một đứa trẻ viết kịch bản nghiệp dư giờ đây cũng có thể đột nhập vào trang web WordPress chuyên nghiệp của bạn và gây ra trải nghiệm ác mộng cho bạn. Ngoài ra, wp-config.php là một tập tin duy nhất có thể tạo ra hoặc phá vỡ trang web của bạn. Bạn có để cho nó thỏa hiệp không? Tìm hiểu các bước để bảo mật tệp cấu hình wp trong bài viết này.
WordPress có nhiều cách để tự bảo vệ khỏi nhiều vi phạm bảo mật mà nó phải đối mặt. Trong bài viết này, chúng tôi sẽ chủ yếu tập trung vào việc bảo mật wp-config.php tệp là một trong những tệp cốt lõi có thể gây ra sai lầm nếu bị tấn công.
Bài viết liên quan - Cách sửa lỗi hack backdoor phần mềm độc hại wp-vcd trong WordPress functions.php
Giới thiệu về tệp wp-config.php
Khi một trang web WordPress được tạo, nó chứa một tệp có tên là ‘ wp-config.php '. Tệp cấu hình WordPress đặc biệt này là một trong những tệp WordPress quan trọng nhất. Tệp chứa nhiều thông số cấu hình phải được sửa đổi để bảo mật tốt hơn cho trang web WordPress của bạn. Khi bạn mở tệp này, bạn sẽ tìm thấy tất cả thông tin mà bạn nhập trong khi thiết lập cơ sở dữ liệu cho trang web WordPress của mình.
Nó chứa các thông tin như tên người dùng, mật khẩu - tất cả các thông tin cần thiết được yêu cầu để truy cập cơ sở dữ liệu. Xa hơn nữa, có một bộ khóa bí mật có sẵn giúp bảo mật trang web WordPress của bạn theo nhiều cách. Bên dưới đó, bạn nhận được một biến có tên là 'table_prefix', biến này rất quan trọng liên quan đến bảo mật thông tin. Với tất cả dữ liệu quan trọng như vậy được ghi vào tệp này, hãy bảo mật tệp wp-config.php là rất quan trọng. Nếu ai đó có thể nắm được thông tin được viết trong tệp này, thì hãy tưởng tượng thảm họa sẽ xảy ra trên trang web của bạn.
Cách Bảo mật Tệp wp-config.php
Bây giờ chúng ta hãy thảo luận về các bước khả thi có thể được sử dụng để bảo mật wp-config.php tệp của trang web WordPress của bạn:
1. Bảo vệ thông qua tệp .htaccess
- Kết nối trang web WordPress của bạn bằng Ứng dụng khách FTP (sử dụng SFTP của FTPES để mã hóa giao tiếp giữa máy tính và máy chủ) và tải xuống tệp .htaccess có trong thư mục gốc của trang web WordPress của bạn.
- Mở tệp .htaccess bằng bất kỳ ứng dụng soạn thảo văn bản nào.
- Đưa các dòng mã sau vào cuối tệp .htaccess:
#secure wp-config.php
<files wp-config.php>
order allow, deny
deny from all
</files>
Các dòng này về cơ bản chặn quyền truy cập vào wp-config.php của bạn khỏi bị hack nội bộ và sửa đổi mã, do đó bảo mật tệp wp-config.php .
Sau khi bạn chỉnh sửa xong, hãy lưu tệp bằng cách sử dụng "Lưu dưới dạng" và chọn "Tất cả tệp" để trình chỉnh sửa văn bản không thay đổi loại tệp thành thứ khác. Sau khi lưu, hãy tải nó trở lại thông qua quy trình kết nối tương tự vào thư mục gốc của trang web WordPress của bạn và ghi đè lên cái cũ.
2. Di chuyển wp-config.php
Thông thường, tệp wp-config.php nằm trong thư mục gốc. Bây giờ để hacker xâm nhập vào thư mục gốc là điều mà bạn không bao giờ mong muốn. Do đó, cách tốt nhất là di chuyển tệp wp-config.php đến một vị trí không thể đoán trước để bảo mật dữ liệu nhạy cảm được lưu trữ bên trong tệp. Mặc dù đó là một công việc khó khăn và tốn thời gian nhưng cuối cùng, nó là một phần quan trọng trong việc quyết định số phận bảo mật trang web WordPress của bạn. Ngoài ra, với mỗi lần nâng cấp, bạn sẽ được yêu cầu thực hiện các thay đổi đối với mã nguồn WordPress và duy trì nó.
Thông thường, tệp wp-config.php được bảo mật bằng cách di chuyển nó lên một cấp, do đó đặt nó bên ngoài thư mục công khai trên trang web của bạn. Vì vậy, lựa chọn tốt nhất là di chuyển lên và ở một vị trí không được tiết lộ trong danh mục trang web của bạn. Trong khi làm việc ngoại tuyến, bạn có thể thực hiện việc này thông qua tính năng kéo và thả đơn giản. Tuy nhiên, khi làm việc trực tuyến, bạn cần thực hiện các bước sau:
- Sử dụng công cụ Move trong Trình quản lý tệp
- Chọn tệp wp-config.php
- Công cụ Hit Move.
- Thay đổi thư mục mà bạn muốn đưa tệp vào đó
Quá trình này có thể không đạt được dễ dàng và người ta có thể phải nói chuyện với máy chủ lưu trữ WordPress để đảm bảo rằng máy chủ trang web của bạn được thiết lập theo cách cho phép điều này. Nhưng việc di dời wp-config.php không đảm bảo tính bảo mật đầy đủ của nó. Làm thế nào về việc thay đổi nội dung để bảo mật wp-config.php tệp?
3. Sửa đổi tệp wp-config.php
Bạn cũng có thể tạo một tệp cấu hình mới. Tệp này phải được tạo trong một thư mục có thể truy cập không phải WWW để nó được bảo vệ khỏi truy cập nước ngoài hoặc những kẻ tấn công bên ngoài. Nó không được xuất hiện trong tệp public_html của trang web của bạn, do đó, tránh xa tầm với của những người truy cập trang web WordPress của bạn.
Bây giờ, hãy mở tệp wp-config.php hiện tại và di chuyển các dòng chứa chi tiết kết nối cơ sở dữ liệu, tiền tố cơ sở dữ liệu và cả khóa bảo mật WordPress. Nối Php khi bắt đầu tệp cấu hình mới và ?> ở cuối tệp.
Sau khi di chuyển tất cả dữ liệu nhạy cảm khỏi tệp wp-config.php, hãy thêm dòng sau giống như Php thuật ngữ trong tệp wp-config.php:
<?php
include(‘/home/yourusername/config.php’);
Vì vậy, bây giờ khi wp-config.php được mở, dữ liệu nhạy cảm được bao gồm từ một tệp riêng biệt được lưu trữ ở một vị trí khác trên máy chủ web của bạn. Không có thông tin nhạy cảm nào trên tệp wp-config.php chính của bạn để đảm bảo an toàn. Tuy nhiên, đường dẫn bao gồm (tức là / home / yourusername /) khác với máy chủ web với máy chủ web. Do đó, bạn được yêu cầu phải có kiến thức phong phú về đường dẫn tuyệt đối của trang web của bạn. Chỉ khi đó, bước này mới hoạt động bình thường.
4. Thiết lập quyền tệp chính xác cho wp-config.php
Wp-config là một trong những tệp nhạy cảm nhất trong toàn bộ thư mục vì nó chứa tất cả thông tin về cấu hình cơ sở và cả thông tin kết nối cơ sở dữ liệu. Quyền đối với tệp thích hợp đối với tệp này sẽ là 400. Điều này có nghĩa là người dùng và các nhóm có quyền chỉ đọc và những người khác sẽ không thể truy cập tệp.
Kết luận - Tệp cấu hình WP bảo mật
Do đó, đây là một số phương pháp để bảo mật wp-config.php đến lượt nó sẽ bảo mật trang web WordPress của bạn. Với tư cách là quản trị viên WordPress, bạn phải đảm bảo rằng wp-config.php của bạn được định cấu hình theo các bước nêu trên và cho phép người dùng của bạn cũng biết về các phương pháp bảo mật tốt nhất cho trang web của tổ chức họ.
Một plugin mới phải được kiểm tra kỹ lưỡng để đảm bảo rằng các lỗ hổng đã biết đã được sửa đúng cách. Là một quản trị viên, bạn cũng cần cân bằng giữa bảo mật với chủ nghĩa vị lợi - hầu như không chắc rằng tất cả mã của bạn được bảo mật phần trăm. Và bạn sử dụng plugin càng phổ biến thì càng thu hút được nhiều sự chú ý của hacker vì nhiều người cố gắng tìm ra lỗ hổng từ đó. Do đó, với một số phương pháp bảo mật có tâm và nhờ sự trợ giúp từ các công ty đáng tin cậy như Astra, bạn có thể bảo mật các tệp wp-config.php và bảo mật toàn bộ trang web WordPress của mình.