Xây nhà bằng WordPress – Phần 5

Loạt bài “Xây nhà” bằng WordPress
Phần 1 – Chọn host
Phần 2 – Cài đặt
Phần 3 – Cấu hình và cài giao diện
Phần 4 – Cài đặt các plugin cần thiết
Phần 4 – Cài đặt các plugin cần thiết (tiếp theo)
Phần 5 – Một số biện pháp bảo mật cơ bản cho Blog

Hôm nay tôi sẽ hướng dẫn một số biện pháp bảo mật cơ bản cho Blog, đây là những gì tôi tìm hiểu được trên mạng hay trên báo :

1.Đổi username đăng nhập :
Mặc định tất cả các blog wordpress đều có username là admin và bạn không thể thay đổi được trong trang quản trị (wordpress.com thì cho phép thay đổi). “Người ta cứ nói” là phải đổi lại để tăng độ an toàn – Ừ thì đổi.
Để làm được việc này không còn cách nào khác là bạn phải tự làm bằng tay bằng cách truy cập vào Cpanel của host > chọn mục phpMyAdmin > Ở trang hiện ra bạn nhìn xuống dòng cuối cùng _users và bấm vào biểu tượng Browse như hình bên dưới :
PhpAdmin1

Ở bảng hiện ra bạn tìm dòng có “User login” là admin > bấm vào biểu tượng hình cây viết (Edit) để chỉnh sửa tài khoản này. PhpAdmin2
Trang chỉnh sửa hiện ra bạn đổi lại tên đăng nhập ở dòng “user_login”. Nếu bạn muốn khi post bài, tên bạn sẽ hiển thị cho người khác xem (thay vì chữ “admin”) thì tìm đến dòng “display_name” và sửa lại tên mong muốn. Các thông tin khác có thể chỉnh sửa theo ý nhưng tuyệt đối đừng “vọc” cái ô “user_pass”, nếu không bạn khỏi đăng nhập luôn. Bạn chỉ đụng đến ô này khi quên mật khẩu đăng nhập wordpress mà thôi, tôi sẽ hướng dẫn cách đổi password trong một bài khác. Sau khi chỉnh sửa xong bạn bấm nút Go ở cuối trang là xong.

2.Giới hạn truy cập thư mục wp-admin :

Thư mục wp-admin là “đầu não” của blog nên cần phải được bảo vệ nghiêm nhặt 24/24, hehe. Các tài liệu trên mạng khuyên bạn nên tạo một trong 2 tập tin là .htaccess và .htpasswd. Để biết cách tạo các tập tin dạng này bạn có thể xem Phần 3 của loạt bài này.
Bạn tạo nội dung của .htaccess như sau:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
allow from 1.1.1.2
allow from 1.1.1.3

Trong đó “allow from xxxx” là chỉ cho phép IP xxxx truy cập mà thôi, ngoài ra tất cả đều bị từ chối (deny from all).
Tuy nhiên cách này không hiệu quả cho lắm vì chúng ta không có địa chỉ IP cố định, đâu phải lúc nào bạn cũng truy cập ở cùng một máy hay ở cùng một nơi đâu ?! Do đó bạn có thể sử dụng cách thứ hai là tạo một file .htpasswd có nội dung như sau :


AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName “restricted”
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any

Bạn có thể tham khảo về cách sử dụng 2 file này tại địa chỉ http://www.5giay.me/showthread.php?t=421

3.Bảo vệ thư mục wp-config:

Đúng như tên gọi của nó, đây là thư mục gồm những file cấu hình của wordpress và…cũng phải bảo vệ nó. Bạn cũng tạo ra một file .htaccess ngay tại thư mục gốc cài đặt wordpress hay nói cách khác nó nằm chung thư mục với tập tin wp-config.php. File .htaccess này có nội dung như sau :


Order deny,allow
deny from all

Ngoài ra để tránh sự “dòm ngó” của các công cụ tìm kiếm vô các thư mục nhạy cảm, bạn cũng nên thêm đoạn code sau đây ngay sau hay trước đoạn code bên trên :


RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

Thế là xong !
Đó là những biện pháp cơ bản để bảo vệ blog của bạn, tôi không biết nó có hiệu quả không nhưng “phòng cháy hơn chữa cháy”, thà tin có còn hơn không, hehe.
Cuối cùng, nguy cơ Blog của bạn bị “die” vẫn có thể xảy ra nên cách tốt nhất là bạn nên thường xuyên backup database và toàn bộ blog trên host.

3 Comments
  1. còn vấn đề tên miền anh chỉ giúp nên chọn loại nào

  2. Thanks anhhangxom nhiều nhé. Em đã khám phá rất nhiều điều từ những bài viết của anh. ^^

  3. Khi thêm đoạn mã này của ông thì bị lỗi 404 (không truy cập được):
    Order deny,allow
    deny from all

    1 câu hỏi khác: Khi tui thêm www vào tên miền thì trình duyệt báo lỗi Server not found.

    Làm sao để khắc phục những lỗi trên? 😐

Gửi phản hồi