Hướng dẫn, Wordpress

Cách chống brute force attack WordPress, đặt mật khẩu cho wp-admin

Cách chống brute force attack WordPress, đặt mật khẩu cho wp-admin dành cho khách hàng sử dụng Dịch Vụ WordPress Hosting

WordPress hiện nay đang ngày càng bị tấn công và khai thác khá mạnh, và hacker nhắm đến website của bạn với nhiều  phương thức tấn công khác nhau, cũng như khai thác lỗi từ plugin wordpress hay theme wordpress, ngoài các cách trên thì kẻ sấu còn khai thác thêm lỗi người dùng chủ quan đó là tấn công admin wp, thông qua cách đăng nhập, nếu bạn sử dụng mật khẩu dễ hiểu hoặc quá đơn giản, để kẻ xấu khai thác và đăng nhập được vào wp admin website của bạn đồng nghĩa website của bạn cũng bị phá hoại liên miên.

Hàng ngày phòng kỹ thuật wordpress hosting luôn phải thông báo cho khách hàng đang sử dụng dịch vụ wordpress hosting biết website của khách hàng đang bị brute force attack như hình sau

Hướng dẫn đặt mật khẩu cho wp-admin để chống brute force attack

Bước 1: Cấu hình trong file .htaccess

Bạn thêm đoạn code sau vào trong file .htaccess của mình ( nội dung cũ trong file này vẫn giữ nguyên )

ErrorDocument 401 "Tu choi truy cap"
ErrorDocument 403 "Tu choi truy cap"
<FilesMatch "wp-login.php">
AuthName "Kiem tra dang nhap"
AuthType Basic
AuthUserFile /home/user-hosting/public_html/.htpasswd
Require valid-user
</FilesMatch>

Trong đó:

ErrorDocument 401 "Tu choi truy cap"
ErrorDocument 403 "Tu choi truy cap"

Hiển thị dòng chữ “Tu choi truy cap” nếu người dùng nhập không đúng tài khoản và mật khẩu mà bước 2 bạn sẽ đặt.

<FilesMatch "wp-login.php">

 

AuthUserFile /home/user-hosting/public_html/.htpasswd

Đường dẫn tới file chứa mật khẩu mà bạn sẽ đặt ở bước 2. Bạn thay user-hosting thành tên tài khoản của mình. Thường thì user-hosting sẽ có 8 ký tự, giả sử hosting của bạn có tên miền là wordpresshosting.vn thì tên user-hosting sẽ là wordpres. Như vậy lúc này đường dẫn đúng sẽ phải là:

AuthUserFile /home/wordpres/public_html/.htpasswd

Bước 2: Tạo file mật khẩu cho file .htpasswd

bạn truy cập vào đường dẫn sau để tạo file .htpassswd:

http://www.htaccesstools.com/htpasswd-generator/

hoặc

http://www.web2generators.com/apache-tools/htpasswd-generator

Tiếp theo bạn điền các thông tin về Username, Password sau đó nhấn Create .htpasswd file:
bạn lưu ý, các thông tin này cần dễ nhớ với bạn nhưng lại khó đoán với người khác để việc bảo mật có hiệu quả, giả sử ở đây tôi đặt Username wordpresshosting với 1 mật khẩu nào đó chỉ mình tôi biết:

 

Tiếp theo sẽ có 1 đoạn code được sinh ra sau khi đã mã hóa mật khẩu của bạn. Việc bây giờ chúng ta cần làm là tạo 1 file .htpasswd sau đó dán đoạn mã này vào:

Như vậy là chúng ta đã hoàn thành việc bảo vệ file đăng nhập. Bạn cũng có thể bảo vệ nhiều file khác nếu muốn bằng cách làm theo 2 bước ở trên. Nếu bạn đã tạo được file .htpasswd để bảo vệ 1 file đầu tiên, thì từ file thứ 2 trở đi, bạn chỉ cần thêm đoạn code được tạo ra ở bước 2 vào trong file .htpasswd đó. Bạn lưu ý, mỗi đoạn code được trình bày trên 1 dòng.
Chúc bạn thành công trong việc bảo vệ các file quan trọng trong mã nguồn của mình!

Previous Post

You Might Also Like