• ten mien .com 280.000
  • ten mien .net 400.000
  • ten mien .org 830.000
  • ten mien .vn 700.000

Phòng chống tấn công wp-admin

Tấn công web bằng cách cố gắng đăng nhập wp-admin (giao diện admin hay còn gọi là giao diện CMS, giao diện quản trị...) là một trong những cách phổ thông và thông dụng nhất hiện nay mà các Hacker hay sử dụng. Đối phó với trường hợp này, AZ Host xin chia sẻ các bạn cách để hạn chế tối đa sự xâm nhập trái phép và bảo vệ cho website của mình.

Hiện tại với Wordpress là mã nguồn được sử dụng làm website phổ biến nhất hiện nay, vì sự tiện dụng, dể xây dựng 1 website cho người không biết nhiều về Code. Tuy nhiên Wordpress cũng dể bị tấn công hơn so với các loại website khác viết bằng PHP, ASP, C#... Để bảo mật cho Web Wordpress, ngoài sử dụng 1 hosting giá rẻ chất lượng cao, bảo mật thì việc cài đặt và cấu hình Plugins cũng là điều quan trọng.

Bài viết đọc thêm:

Một trong những Plugins để bảo mật Wp-admin có tên là Login Lockdown (viết tắt LL) , plugins này ghi nhận lại những địa chỉ IP và thời gian mỗi khi có một sự đăng nhập thất bại xảy ra. Sau một số lần do bạn qui định, LL sẽ tạm khoá dải IP tương ứng trong một thời gian (cũng do bạn qui định trong Admin Dashboard) và chức năng đăng nhập sẽ tạm thời bị vô hiệu hoá với những truy cập từ những IP thuộc dải IP tương ứng mà LL nhận định được.

Download plugins đó tại link sau: http://downloads.wordpress.org/plugin/login-lockdown.zip

bao mat wp-admin

Một trong những tính năng hay trong plugin này là “mask login errors“. Khi bạn bật (enable) tính năng này thì nó sẽ ẩn đi các thông báo khi người nào đó đăng nhập thất bại như “wrong username” hoặc “wrong password” , điều này sẽ ít nhiều làm nản lòng các hacker khi không biết chính xác username hay password không đúng.

Ngoài ra plugin này cũng cung cấp tính năng cảnh bảo bằng email nếu ai đó đang cố gắng login vào website của bạn, sẽ giúp bạn nhanh chóng phát hiện và triển khai các biện pháp bảo vệ website của mình. Với một tập tin ghi lại toàn bộ thông tin đăng nhập cũng là một tham khảo có ích cho bạn.

Một số lưu ý khi sử dụng plugins này:

1, Sau khi bạn cài đặt thì trong hộp thoại đăng nhập tại trang wp-admin sẽ có chuỗi “Login form protected by Login LockDown“, tôi nghĩ không nên để lại dòng chữ này vì chẳng khác gì bạn “vạch áo” cho hacker “xem lưng” cả.

Cách khắc phục như sau, bạn mở file function.php trong thư mục theme và chèn dòng code sau :

// Remove Login LockDown advertisement from Login Dialog
remove_action(‘login_form’, ‘ll_credit_link’);
 

2, Như đã nói ở trên, nếu ai đó đăng nhập thất bại quá nhiều lần, Login LockDown sẽ khóa IP của người đó và hiện thông báo “ERROR: We’re sorry, but this IP range has been blocked due to too many recent“. Điều này sẽ làm cho hacker phán đoán bạn đã dùng LL plugin, thay vào đó bạn nên đổi thông báo này thành thông báo quen thuộc khi đăng nhập sai “ERROR: Invalid username or password“. Bạn không thể chống lại hoàn toàn các cuộc tấn công của hacker nhưng cũng sẽ giảm bớt thiệt hại nếu hacker chỉ biết ít thông tin về website của bạn.

Cách khắc phục như sau, bạn mở file function.php trong thư mục theme và chèn dòng code sau :

function login_error_mess() {

return ‘ERROR: Invalid username or password.’;
}
//Remove LoginLockDown’s message about IP blocking
add_filter(‘login_errors’, ‘login_error_mess’);

Ngoài ra nếu bạn không thích cài đặt plugin thì bạn có thể thêm dòng sau vào file .htaccess:


Order deny,allow
Deny from all
Allow from 192.168.1.1

 

Tác dụng của dòng này sẽ chỉ cho phép máy có đía chỉ IP 192.168.1.1 được truy cập vào wp-admin.

Tham khảo: bảng giá Seo Hosting để lựa chọn cho mình một gói Hosting tốc độ cao và bảo mật cho website của bạn.

Trên đây là phương pháp sử dụng plugins Login Lockdown để bảo mật wp-admin nhằm ngăn chặn sự tấn công trực tiếp qua giao thức này, AZ Host chúc bạn thành công.

1 sao2 sao3 sao4 sao5 sao6 sao7 sao8 sao9 sao10 sao (0 bình chọn, trung bình: 0 trên 10)

Bình luận về bài viết này