Mọi trang web WordPress đều chứa một tệp có tên là ‘wp-config.php’. Tệp cấu hình WordPress cụ thể này là một trong những tệp WordPress quan trọng nhất. Tệp chứa nhiều thông số cấu hình có thể được sửa đổi để bảo mật trang web tốt hơn. Trong bài đăng này, chúng tôi sẽ hướng dẫn bạn cách bảo mật trang web WordPress của bạn bằng cách sử dụng tệp cấu hình WordPress.
Cách bảo mật trang web WordPress của bạn bằng tệp wp-config?
1. Thay đổi tiền tố cơ sở dữ liệu
Bạn đã bao giờ thấy các bảng cơ sở dữ liệu WordPress của mình chưa? (Bạn có thể truy cập nó thông qua tài khoản máy chủ lưu trữ web của mình) Theo mặc định, cơ sở dữ liệu có 11 bảng. Mỗi bảng có một chức năng cụ thể. Ví dụ:wp_posts lưu trữ thông tin từ các bài đăng, trang và menu điều hướng. Vì các chức năng của mỗi bảng được xác định trước, nên tin tặc biết thông tin chi tiết về trang web của bạn được lưu trữ ở đâu. Ví dụ:nếu họ muốn khai thác người dùng trang web của bạn, họ có thể nhắm đến bảng ‘wp_users’.
WordPress sử dụng tiền tố ‘wp_’ cho tất cả các bảng theo mặc định. Thay đổi tiền tố này thành một tiền tố duy nhất có thể hữu ích trong việc ẩn tên bảng và nó sẽ giúp bảo mật trang web WordPress của bạn. Để thực hiện việc này, hãy mở tệp ‘wp-config’ của bạn.
Bước 1: Để truy cập wp-config.php, hãy mở tài khoản máy chủ lưu trữ web của bạn và truy cập cPanel . Chọn Trình quản lý tệp và nó sẽ đưa bạn đến một trang trông giống như sau:
Bước 2: Ở phía bên trái, có một thư mục public_html . Trong thư mục này, bạn sẽ tìm thấy wp-config tệp.
Trong tệp ‘wp-config’, hãy đặt các dòng sau:
[code]$table_prefix = ‘wp_’;[/code] You need to change it to something random like: [code]$table_prefix = ‘agora_’;[/code]
Thao tác này sẽ thay đổi tên của các bảng trong cơ sở dữ liệu từ ‘wp_users’ thành ‘wp_agora’, ‘wp_posts’ thành ‘wp_agora’, v.v.
2. Tắt chỉnh sửa tệp chủ đề / plugin
Trong bảng điều khiển WordPress, có một tùy chọn để chỉnh sửa tệp plugin / chủ đề. Điều này có nghĩa là với quyền truy cập vào trang tổng quan và có đủ quyền, bất kỳ ai cũng có thể chỉnh sửa các chủ đề hoặc plugin của bạn.
Mặc dù là một công cụ hữu ích nếu bạn muốn định cấu hình lại bất kỳ plugin nào, nhưng nó sẽ trở nên nguy hiểm trong tay tin tặc. Ví dụ:giả sử một tin tặc xâm nhập vào trang web của bạn với sự trợ giúp của một kẻ khai thác. Họ có thể dễ dàng thêm phần mềm độc hại vào một plugin hoặc chủ đề hiện có. Họ có thể đang ẩn cửa hậu mà sau này họ sẽ khai thác để truy cập vào trang web của bạn bất cứ khi nào họ muốn. Bạn có thể ngăn điều này xảy ra và bảo mật trang web WordPress của mình bằng cách tắt tùy chọn chỉnh sửa các tệp này. Chỉ cần đặt mã sau vào tệp cấu hình WordPress của bạn:
[code]define(‘DISALLOW_FILE_EDIT’,true);[/code]
3. Ngăn người dùng cài đặt hoặc cập nhật plugin &chủ đề
Việc vô hiệu hóa người dùng chỉnh sửa các tệp này chỉ cung cấp một cấp độ bảo mật. Nó không ngăn được tin tặc cài đặt một plugin độc hại mà chúng có thể sử dụng để khai thác trang web của bạn. Khi họ có quyền truy cập vào bảng quản trị cùng với quyền của người dùng phù hợp, họ có thể cài đặt một chủ đề hoặc plugin giả mạo. Nếu bạn không cài đặt plugin thường xuyên, thì bạn có thể tắt tùy chọn này bằng cách thêm mã sau vào tệp cấu hình WordPress:
[code]define(‘DISALLOW_FILE_MODS’,true);[/code]
4. Thực thi việc sử dụng ‘FTP’
Việc ngăn người dùng cài đặt và cập nhật các plugin và chủ đề có thể hạn chế và thậm chí không thực tế đối với các trang web cài đặt plugin khá thường xuyên. Hơn nữa, cập nhật các chủ đề và plugin là rất quan trọng đối với bảo mật của một trang web. Một phương pháp thay thế để đảm bảo rằng các plugin đang được cài đặt bởi người dùng hợp lệ là buộc người dùng cung cấp chi tiết ‘FTP’. Ngay cả khi Bảng điều khiển quản trị của bạn bị xâm phạm, tin tặc không thể cài đặt một plugin giả mạo trừ khi họ có bằng chứng xác thực FTP của bạn.
Chỉ cần thêm các dòng sau vào ‘wp-config.php’ của bạn:
[code]define(‘FS_METHOD’, ‘ftpext’);[/code]
Nếu máy chủ hoặc máy chủ lưu trữ web của bạn hỗ trợ ‘FTPS’ thì hãy thêm các dòng sau vào tệp cấu hình:
[code]define(‘FTP_SSL’, true);[/code]
Nếu máy chủ hoặc máy chủ web của bạn hỗ trợ ‘SFTP’ thì hãy thêm các dòng sau:
[code]define(‘FS_METHOD’, ‘ssh2’);[/code]
5. Thay đổi khóa bảo mật
Bạn không phải nhập thông tin đăng nhập của mình mỗi khi bạn cần đăng nhập vào trang web của mình. Bạn đã bao giờ tự hỏi làm thế nào trình duyệt của bạn lưu trữ những thông tin đăng nhập này? Sau khi đăng nhập vào tài khoản của bạn, thông tin đăng nhập của bạn được lưu trữ theo cách mã hóa trong cookie của trình duyệt. Khóa bảo mật là các biến ngẫu nhiên giúp cải thiện mã hóa này. Nếu trang web của bạn bị tấn công, việc thay đổi khóa bí mật sẽ làm mất hiệu lực cookie và buộc mọi người dùng đang hoạt động tự động đăng xuất. Sau khi ném ra ngoài, tin tặc sẽ mất quyền truy cập vào quản trị viên WordPress của bạn.
Bạn có thể tạo một bộ khóa bảo mật mới và đặt chúng vào tệp ‘wp-config’. Nó sẽ giúp bảo mật trang web WordPress của bạn.
6. Ẩn ‘wp-config.php’
Trong bất kỳ trang web WordPress nào, tệp wp-config có vị trí mặc định. Do đó, việc thay đổi vị trí tập tin có thể ngăn không cho nó rơi vào tay tin tặc. May mắn thay, WordPress cho phép thư mục ‘wp-config’ nằm bên ngoài cài đặt WordPress của bạn. Ví dụ:nếu WordPress của bạn được cài đặt trong thư mục public_html, thì tệp cấu hình sẽ hiển thị trong thư mục public_html theo mặc định. Nhưng bạn có thể di chuyển wp-config ra ngoài thư mục public_html và nó sẽ vẫn hoạt động.
7. Bảo mật Tệp wp-config.php
Cấu hình dễ bị tấn công khiến nó bắt buộc phải bảo mật. Một cách thực hiện là thay đổi vị trí của nó để tin tặc không thể tìm thấy nó ở vị trí mặc định của nó. Mặc dù một số nhà phát triển có thể phản đối điều này, nhưng vẫn có nhiều người cho rằng đó là một ý tưởng hay. Hãy xem cuộc thảo luận này.
Một biện pháp bảo mật khác mà bạn có thể thực hiện là hạn chế quyền đối với tệp. Đặt quyền đối với tệp thành 600 để chỉ chủ sở hữu thực sự mới có thể chỉnh sửa tệp wp-config. Để thay đổi quyền đối với tệp của wp-config, hãy chọn tệp rồi chọn tùy chọn ‘Quyền’.
Và sau đó, bạn cần đưa các dòng sau vào tệp .htaccess để ngăn tin tặc tải tệp wp-config trực tiếp từ trình duyệt.
# protect wpconfig.php <files wp-config.php> order allow,deny deny from all </files>
Dành cho bạn
Cùng với đó, chúng tôi đã đề cập đến cách bảo mật trang web WordPress của bạn bằng tệp wp-config nhưng đây chỉ là một trong nhiều cách để cải thiện bảo mật trang web của bạn. Một số biện pháp bảo mật khác mà bạn có thể thực hiện bao gồm sử dụng plugin bảo mật, sử dụng chứng chỉ SSL, sử dụng tên người dùng và mật khẩu mạnh và duy nhất, triển khai xác thực HTTP và xác thực hai yếu tố trong số những thứ khác. Nhưng trước khi thực hiện bất kỳ phương pháp nào trong số này, bạn phải sao lưu trang web của mình. Nếu xảy ra sự cố, bạn có thể chỉ cần khôi phục bản sao lưu và đưa trang web của chúng tôi hoạt động nhanh chóng.