Tại sao các website wordpress lại thường xuyên bị hack, chèn mã độc, mã hóa source code, tống tiền btc...
Website của các bạn không đảm bảo các nguyên tắc an toàn sau đây
- Không dùng web share miễn phí chưa được kiểm thử bởi admin, các source code này thường đc đính kèm backdoor cách để tấn công rất phổ biến
- Chỉ dùng các source code đã được kiểm tra, đảm bảo không chứa backdoor, source code chính thống
- Update wordpress last version và plugin mới nhất, theme lên phiên bản mới nhất. Wordpress luôn update các tính năng bảo mật ở bản cuối cùng.
- Các website cùng hosting có thể bị lây nhiễm nếu một trong các tên miền bị lây nhiễm mã độc. Nên sử dụng hosting uy tín và có backup thường xuyên
- User và mật khẩu đăng nhập quản trị phải thay đổi, không nên để là admin, password nên có ký tự số, ký tự đặc biệt hơn 8 ký tự
- Phân quyền tài khoản quản trị, tài khoản viết bài, không cho phép tùy chỉnh, cài plugin mới
- Cấu hình file wp-config.php thêm 2 dòng sau vào không cho phép người dùng chỉnh sửa file và thay đổi plugin
define( 'DISALLOW_FILE_EDIT', true );
define( 'DISALLOW_FILE_MODS', true );
- Nên cài recapchar để tránh hacker dò mật khẩu. https://wordpress.org/plugins/captcha/
- Cài thêm plugin firewall như wordfence https://wordpress.org/plugins/wordfence/
- Phân quyền thư mục thành 755 và file là 644, riêng file wp-config.php phân quyền là 400
Với các cách bên trên có thể đảm bảo 99% website của các bạn khó có thể bị tấn công