Mỗi ngày có vô số Website được tạo ra, và không ít trong số đó đến từ những người không quan tâm hoặc không biết về vấn đề bảo mật WordPress với những vấn đề như code chứa lỗ hổng bảo mật, máy chủ bị tấn công hoặc lộ mật khẩu quản trị viên.
Brute Force Attack là kiểu tấn công dò mật khẩu quen thuộc, nhắm vào lỗi dùng user mặc định của WordPress (Admin) và password yếu. Việc này xuất phát từ tâm lý chủ quan của người quản trị, dẫn tới website lộ ra một lổ hổng chết người, trong bài viết ngày hôm nay tôi sẽ hướng dẫn các bạn bảo mật Wp-admin một cách cực kì đơn giản.
1/ Cấp phép cho Ipv4 được phép truy cập Wp-admin
Các bạn có thể thêm dòng sau vào file .htaccess:
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from 192.168.1.1 // Địa chỉ ipv4 đc phép truy cập admin
</Files>
Với đoạn code trên thì chỉ ipv4 được Allow thì mới truy cập được vào wp-admin, tuy nhiên nếu bạn cảm thấy việc này bất tiện khi mà website của bạn có nhiều quản trị viên thì đừng lo lắng, chúng ta vẫn còn vài cách bảo mật khác.
2/ Giới hạn số lần đăng nhập sai password
Có rất nhiều cách để giới hạn số lần đăng nhập sai, tuy nhiên để phù hợp với người dùng mới thì tôi sẽ hướng dẫn các bạn sử dụng plugin Login Lockdown để giới hạn số lần nhập password sai việc này sẽ làm cho hacker hoặc admin sẽ bị khóa IP trong một khoản thời gian nhất định.
Login Lockdown sẽ ghi lại địa chỉ IP và dấu thời gian của mọi lần đăng nhập không thành công. Nếu nhiều hơn một số lần thử được phát hiện trong một khoảng thời gian ngắn từ cùng một dải IP, thì chức năng đăng nhập sẽ bị vô hiệu hóa đối với tất cả các yêu cầu từ dải đó. Điều này giúp ngăn chặn việc khám phá mật khẩu từ hacker.
Hiện tại, plugin mặc định khóa IP 1 giờ sau 3 lần đăng nhập thất bại trong vòng 5 phút. Điều này có thể được sửa đổi thông qua bảng Tùy chọn. Quản trị viên có thể giải phóng các dải IP bị khóa theo cách thủ công từ bảng điều khiển.
Đăng hình lên không được Admin ơi !!!! update sau khi admin fix lỗi