Các tệp và thư mục WordPress đóng một vai trò quan trọng trong việc giữ an toàn cho trang web của bạn. Đặt chúng đúng cách nên là một trong những ưu tiên lớn nhất của bạn sau khi cài đặt WordPress. Đặt quyền phù hợp cho người có thể xem tệp nào và hành động nào mà người dùng có thể thực hiện sẽ cải thiện đáng kể tình trạng bảo mật trang web của bạn. Trong bài đăng này, chúng tôi sẽ thảo luận về cách tắt cả thực thi PHP và duyệt thư mục có thể cải thiện bảo mật trang web của bạn.
Tắt thực thi PHP:Tại sao &Làm thế nào?
Các thư mục WordPress nhất định như Tải lên hoặc Chủ đề hoặc Plugin có thể ghi theo mặc định. Loại quyền này cho phép người dùng tải lên hình ảnh và video trên trang web. Hoặc cài đặt các chủ đề và plugin trên một trang web. Mỗi khi chúng tôi cài đặt một plugin hoặc một chủ đề, các tệp mới sẽ được lưu trữ trong các thư mục tương ứng của chúng. Điều này sẽ không thể thực hiện được nếu các thư mục Chủ đề và Plugin không thể ghi được.
Một trong những lý do tại sao nhiều người thích sử dụng WordPress để xây dựng trang web của họ là khả năng dễ dàng tùy chỉnh trang web với sự trợ giúp của các chủ đề và plugin. Bất kỳ ai cũng có thể cài đặt bất kỳ chủ đề hoặc plugin nào trên trang web của họ, điều này có thể thực hiện được vì các thư mục Chủ đề và Plugin có thể ghi theo mặc định. Nhưng thật không may, loại quyền này cũng mở ra cơ hội tấn công hack như tấn công lừa đảo, spam SEO, tấn công brute force, v.v. Tin tặc có thể lợi dụng và tải lên một tập lệnh độc hại có thể được thực thi từ xa. Điều này sẽ giúp họ có toàn quyền truy cập vào trang web của bạn hoặc thậm chí phá hủy trang web của bạn.
Người ta có thể nhớ lại Mailpoet Hack đã cho phép tin tặc tải lên một mã PHP độc hại vào thư mục Tải lên mà chúng đã thực thi để giành quyền kiểm soát trang web.
Sẽ không thuận tiện khi xóa quyền viết vì khi đó, bạn không thể tải hình ảnh lên hoặc thậm chí cài đặt các plugin và chủ đề vào trang web của mình. Nhưng những gì bạn có thể làm là giảm phạm vi của một cuộc tấn công thành công bằng cách tắt thực thi PHP. Nó sẽ xóa quyền thực thi trong các thư mục cụ thể.
Một cách đơn giản để tắt thực thi PHP là đặt một mã đặc biệt trong tệp .htacess của thư mục cụ thể mà bạn muốn tắt thực thi PHP.
Lưu ý: Sao lưu trang web của bạn trước khi sửa đổi tệp. Một sai sót trong bước chúng tôi sẽ làm theo có thể làm hỏng trang web của bạn hoặc gây ra các vấn đề khác. Bản sao lưu có thể đảm bảo rằng bạn có thể nhanh chóng hoàn nguyên về bản sao đang hoạt động của trang web của mình khi sự cố xảy ra.
Bước 1: Để tắt thực thi PHP trong thư mục Tải lên, chỉ cần tạo tệp .htaccess trong thư mục Tải lên. Bạn có thể tìm thấy thư mục trong wp-content dưới public_html.
Bước 2: Bây giờ hãy mở notepad (dành cho Windows) hoặc TextEdit (dành cho Mac) để tạo tệp. Bao gồm mã sau và lưu tệp này dưới dạng .htaccess (không phải .htaccess.txt):
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L] </IfModule>
# END WordPress Bước 3: Lưu mã và tải tệp lên trong thư mục Tải lên.
Bước 4: Bây giờ bạn có một tệp .htaccess mới trong thư mục Tải lên. Nhấp chuột phải và chọn Chỉnh sửa. Đặt đoạn mã sau vào tệp .htaccess hoàn toàn mới của bạn.
<FilesMatch “\.(php|php\.)$”> Order Allow,Deny Deny from all </FilesMatch>
Trong hình ảnh bên dưới, chúng tôi đã đặt mã trong tệp .htaccess của mình.
Điều này đảm bảo rằng bất kỳ tệp nào có “PHP” sẽ bị bắt và ngăn không cho thực thi. Nếu một tin tặc quản lý để tải lên một tệp như “mailciousPHPFileDisguisedAsJPEFfile.php.jpg”, nó sẽ bị chặn thực thi.
Để bảo mật tối đa, bạn cũng có thể thêm mã vào tệp .htaccess của thư mục plugin và chủ đề.
Việc tắt thực thi PHP theo cách thủ công có một chút rủi ro. Người ta phải xem xét cẩn thận trong Trình quản lý tệp. Chỉ một bước sai lầm có thể gây ra thiệt hại nghiêm trọng cho trang web của bạn. Việc vô hiệu hóa thực thi PHP bằng plugin sẽ dễ dàng hơn và ít rủi ro hơn. MalCare Security Service đi kèm với tính năng Làm cứng trang web cho phép người dùng Chặn thực thi PHP.
Bạn sẽ cần chi tiết FTP của mình để kích hoạt tính năng này.
Việc vô hiệu hóa quá trình thực thi PHP sẽ làm khó bảo mật trang web của bạn nhưng chúng tôi có thể tiến thêm một bước nữa để tắt tính năng duyệt thư mục.
Dừng duyệt thư mục:Tại sao &Cách thức?
Đôi khi khách truy cập có thể dễ dàng xem thư mục liệt kê một trang web WordPress. Ví dụ:khách truy cập trang web Westworld Fansite của chúng tôi có thể xem các tệp được liệt kê trong thư mục wp-include bằng cách chỉ cần mở “https://westworldfansite.com/wp-includes/” trong trình duyệt.
Nó có vẻ vô hại nhưng danh sách thư mục có thể tiết lộ thông tin nhạy cảm mà tin tặc có thể khai thác để truy cập vào trang web của bạn. Do đó, chúng tôi cần phải ẩn danh sách. Mặc dù bảo mật bằng cách che giấu thường bị coi là khó chịu, nhưng tốt nhất là bạn nên giấu càng nhiều thông tin càng tốt. Tin tặc càng ít biết về bạn, thì khả năng chúng tấn công bạn càng ít.
Để tăng cường bảo mật trang web của chúng tôi, chúng tôi quyết định tắt tính năng duyệt thư mục bằng cách đặt mã sau vào tệp .htaccess.
Hãy nhớ sao lưu trang web của bạn trước khi sửa đổi tệp .htaccess. Một sai lầm có thể gây ra sự cố lớn trên trang web của bạn. Các bản sao lưu sẽ đảm bảo rằng bạn có thể nhanh chóng hoàn nguyên về bản sao đang hoạt động của trang web khi có sự cố xảy ra.
Như hãy nhớ chỉnh sửa tệp .htaccess của thư mục mà bạn muốn người dùng ngăn duyệt. Ví dụ:bạn muốn bảo vệ thư mục wp-include, hãy đặt dòng sau vào tệp .htaccess của thư mục wp-include:
Options All –Indexes
Sau khi lưu mã, chúng tôi đã cố gắng xem danh sách thư mục và trang lỗi 403 xuất hiện.
Dành cho bạn
Việc tắt thực thi PHP và duyệt thư mục chắc chắn có thể cải thiện bảo mật trang web của bạn nhưng đó chỉ là một trong nhiều cách để bảo vệ trang web WordPress khỏi các nỗ lực tấn công. Một số biện pháp bảo mật khác mà bạn có thể thực hiện bao gồm sử dụng plugin bảo mật, sử dụng chứng chỉ SSL, sử dụng tên người dùng và mật khẩu mạnh và duy nhất, triển khai xác thực HTTP và xác thực hai yếu tố trong số những thứ khác.