| congdongshop | Bảo Mật | 12 Lượt xem |
- Vô hiệu hóa thực thi PHP trong thư mục /wp-content/uploads
Để làm điều này bạn chỉ cần thêm rules sau vào trong file .htaccess của bạn
| 1 | RewriteRule ^wp-content/uploads/.*.(?:php[1-7]?|pht|phtml?|phps|js)$ – [NC,F] |
- Bảo vệ tệp tin wp-config.php
Để bảo vệ tệp wp-config.php của bạn khỏi sự truy cập trái phép, chỉ cần rule sau vào tệp .htaccess của bạn.
| 1
2 3 4 |
<files wp-config.php>
order allow,deny deny from all </files> |
- Bảo vệ .htaccess khỏi truy cập trái phép
Để bảo vệ .htaccess khỏi sự truy cập trái phép của tin tặc, bạn có thể ngăn chúng truy cập tệp thông qua rule này.
| 1
2 3 4 5 |
<files ~ “^.*.([Hh][Tt][Aa])”>
order allow,deny deny from all satisfy all </files> |
- Chặn Cross-Site Scripting (XSS)
Đoạn mã sau đây bảo vệ trang web của bạn khỏi một số cuộc tấn công XSS cơ bản, cụ thể là tiêm một đoạn mã để cố gắng sửa đổi các biến toàn cục và yêu cầu.
| 1
2 3 4 5 6 7 |
# Blocks some XSS attacks
<IfModule mod_rewrite.c> RewriteCond %{QUERY_STRING} (|%3E) [NC,OR] RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) RewriteRule .* index.php [F,L] </IfModule> |
- Hạn chế quyền truy cập vào wp-includes
Thư mục /wp-includes/ chứa các tệp WordPress cốt lõi. Không có lý do nào để cho phép bất cứ ai có quyền truy cập vào nó, bao gồm cả chủ sở hữu và quản trị viên. Vì vậy, để tăng cường bảo mật, tốt nhất là nên hạn chế tất cả quyền truy cập vào nó.
| 1
2 3 4 5 6 7 8 9 10 |
# Blocks all wp-includes folders and files
<IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ – [F,L] RewriteRule !^wp-includes/ – [S=3] RewriteRule ^wp-includes/[^/]+.php$ – [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+.php – [F,L] RewriteRule ^wp-includes/theme-compat/ – [F,L] </IfModule> |
- Hạn chế quyền truy cập trực tiếp vào các file PHP của Plugins & Themes
Như đã đề cập trước đó, không có lý do nào để bất kỳ ai có quyền truy cập vào các file php trong plugins và themes, vô hiệu hóa việc truy cập trực tiếp vào nó là một biện pháp bảo mật tốt.
| 1
2 |
RewriteRule ^wp-content/plugins/.*.(?:php[1-7]?|pht|phtml?|phps)$ – [NC,F]
RewriteRule ^wp-content/themes/.*.(?:php[1-7]?|pht|phtml?|phps)$ – [NC,F] |
- Vô hiệu hóa xmlrpc.php
XML-RPC là sử dụng giao thức WebService (SOAP) dùng XML để mã hóa và trao đổi dữ liệu (Remote Procedure Call XML) và có thể hỗ trợ các API của các CMS như WordPress API, Blogger API, ..Tính năng XML-RPC đã được bật mặc định trên WordPress kể từ phiên bản WordPress 3.5, và lý do chính cho việc này là cho phép ứng dụng di động WordPress giao tiếp với Website WordPress của bạn.
Nhìn chung, XML-RPC có nhiều nhược điểm hơn là ưu điểm, việc bật XML-RPC có thể dẫn đến tiếp xúc các lỗ hổng bên trong Website WordPress của bạn, và từ đó có thể trở thành mục tiêu tấn công của Hacker thông qua một số kiểu tấn công cơ bản như DDoS sử dụng pingback XML-RPC, Brute force sử dụng XML-RPC. Do đó các bạn nên tắt XML-RPC để tăng tính bảo mật cho Website của mình
| 1
2 3 4 |
<files xmlrpc.php>
order allow,deny deny from all </files> |
- Giới hạn truy cập wp-admin
Nếu bạn đang sử dụng IP tĩnh bạn có thể muốn giới hạn quyền truy cập chỉ vào wp-admin và chỉ cho phép địa chỉ IP của bạn được quyền truy cập. Để làm điều này, bạn cần tạo một file .htaccess bên trong thư mục wp-admin với nội dung sau:
| 1
2 3 |
order deny,allow
allow from địa-chỉ-ip-của-bạn deny from all |
