Tăng bảo mật WordPress với file wp-config.php

  • Wednesday 26/08/2020

Tăng bảo mật WordPress với file wp-config.php

Lưu ý: Quý khách Backup trước để tránh các sự cố đáng tiếc có thể xảy ra trong quá trình chỉnh sửa:

Tắt show lỗi

Quý khách chỉ nên mở hiển thị thông báo lỗi trong khi đang tiến hành lập trình website. Sau đó thì hãy tắt nó đi, bởi vì hiển thị lỗi, lỗ hổng cho tất cả mọi người xem là điều hoàn toàn không nên, đặc biệt là khi Quý khách đang cần bảo mật cho WordPress.

Quý khách đơn giản chỉ cần thêm những dòng code sau vào file wp-config.php. Quý khách có thể sử dụng FPT Client hoặc Quản lý hosting trong control panel để sửa file wp-config.php. Sau đó, báo cáo lỗi đã được tắt.

error_reporting(0);
@ini_set(‘display_errors’, 0);

Tắt chức năng File Editing mặc định

WordPress mặc định đã cho phép chúng ta có thể chỉnh sửa file ở trong phần quản trị admin. Mặc dù rất tiện lợi, nhưng nó cũng là con dao 2 lưỡi gây hại nếu hacker đang tìm cách tấn công chúng ta.

Nếu hacker có quyền truy cập vào trong trang quản trị dashboard của Quý khách, điều đầu tiên hắn nghĩ tới sẽ là File Editors, nhiều người dùng WordPress đã tắt hoàn toàn chức năng này ngay từ khi cài đặt để tăng tính bảo mật WordPress files. Bằng cách là thêm vào trong file cấu hình wp-config.php đoạn code dưới đây:

define( 'DISALLOW_FILE_EDIT', true );

Thay đổi Security Keys

Truy cập vào WordPress Security Key Generator, copy toàn bộ nội dung có trong giao diện, sau đó ghi đè vào phần tương ứng có trong file wp-config.php. Nó sẽ có dạng như sau:

define('AUTH_KEY', 'sgBtZ,A|E{dKkKty~wuGR/7Z;@vM@/Z_Rsgt_<c#d{#,fB0UJ%[UZ%hi9@]@Ra&b');
define('SECURE_AUTH_KEY', ')ZBBv!%9F[u-9OusVQv0~k`i]dwS655Jdn`f~8,pk^f4bXr>&igM2M9P,!+djy0(');
define('LOGGED_IN_KEY', 'SsiW`N?kfaTT.cFS8tdZ|Xk:8-},-H{+R2o-&|%,a.E,n2Y,K9-W g|A3O+_-(uA');
define('NONCE_KEY', ')Ci|+SLEh]X+WtqPIe)V1)U1Ge@?{Tjp+rhM??VIy9ki&]09H^#rS-}{U$xo!pDX');
define('AUTH_SALT', 'ot92~8g<L$?hasVI3fr/F29d!T6e{+a;dc<<gc-13<Yakgk^L}cRiafs*o-m!v(+');
define('SECURE_AUTH_SALT', '5J2ib;.):t#W/#T]Y2a}Mq oe6I`.WBPu6AS|eKi!e|qQ~$v<XDs,)O?a$a5h>)4');
define('LOGGED_IN_SALT', '_-r|+-J:u~b(9Tm qPTL,;rY=sJa-(O:|%IarfBoe9 -|eId&*2a*;?z27?6%v,|');
define('NONCE_SALT', 'N+$~+*@nu_v7vB`%E,Rm!d+A % wnj.y@{TjC+v<uZp,]-p?l(HtHgwcPZ{vq[6B');

Thay đổi database prefix (tiền tố của cơ sở dữ liệu)

Tìm dòng code sau trong file wp-config.php và thay đổi “wp_” thành bất cứ ký tự nào mà Quý khách muốn:

$table_prefix = 'wp_';

Thay đổi vị trí lưu trữ file wp-config.php

Nếu Quý khách muốn thay đổi vị trí lưu trữ wp-config.php để tránh người khác “tấn công” nó, Quý khách có thể di chuyển nó sang một vị trí khác, sau đó thêm code sau vào:

define’ABSPATH’, dirname__FILE__ ;

require_onceABSPATH ‘../path/to/wp-config.php’;

Bắt buộc sử dụng FTPS

Nếu host hoặc VPS của Quý khách hỗ trợ FTPS, Quý khách có thể chèn code sau vào file wp-config.php để bắt buộc truy cập thông qua FTPS:

define('FTP_SSL', true);

Bắt buộc sử dụng SFTP

Thêm code sau đây vào file wp-config.php nếu Quý khách muốn bắt buộc sử dụng SFTP (SSH) để truy cập vào thư mục cài đặt WordPress:

define('FS_METHOD', 'ssh2');

Kích hoạt tự động update

Giữ cho blog/ website luôn ở trang thái cập nhật là một trong những yếu tố quan trọng trong bảo mật WordPress. Để tự động cập nhật WordPress, themes và plugins ngay khi chúng có phiên bản mới,Quý khách hãy thêm các đoạn code sau đây vào file wp.config.php.

Tự động cập nhật WordPress:

define('WP_AUTO_UPDATE_CORE', true);

Tự động cập nhật plugins:

add_filter( 'auto_update_plugin', '__return_true' );

Tự động cập nhật themes:

add_filter( 'auto_update_theme', '__return_true' );

Sau khi hoàn tất, click vào nút “Save Changes” để lưu lại.