NỘI DUNG
WordPress là một nền tảng quản lý nội dung được sử dụng rộng rãi trên toàn thế giới. Với giao diện đơn giản và tính năng linh hoạt, nó cho phép người dùng tạo ra các trang web chuyên nghiệp một cách dễ dàng. Tuy nhiên, vì tính năng quản trị cao, nó có thể trở thành mục tiêu của những kẻ tấn công. Để bảo vệ trang web WordPress của bạn khỏi những cuộc tấn công bất ngờ, việc đặt mật khẩu bảo vệ wp-admin là rất quan trọng. Trong bài viết này, chúng ta sẽ hướng dẫn các bước cơ bản để đặt mật khẩu cho wp-admin và bảo vệ trang web của bạn khỏi các cuộc tấn công trực tuyến.
1. Đối với hosting sử dụng cPanel
Ở tab Files bạn chọn vào Directory Privacy (Bảo mật thư mục)
Sau đó bạn click vào thư mục cần được bảo vệ bằng mật khẩu. Như ở đây tôi bảo vệ wp-admin
cho web blog.dotrungquan.info
tôi sẽ vào thư mục của web này. Đối với bạn thì bạn click vào thư mục tương ứng mà bạn cần đặt.
Sau đó bạn click vào EDIT tương ứng với thư mục wp-admin
Tại trang Cài đặt bảo mật hãy điền các thông tin cần thiết để bắt đầu cài đặt. Mục đầu tiên các bạn có thể điền như ảnh dưới đây.
Phần tiếp theo các bạn điền thông tin để mỗi khi vào wp-admin
sẽ yêu cầu nhập user/passwd
Thông báo đã tạo thành công.
Và bây giờ hãy cùng tôi kiểm tra kết quả. Và kết quả đã như ý muốn, truy cập vào wp-admin
đã yêu cầu nhập username/password.
2. Đối với DirectAdmin
Đầu tiên bạn đăng nhập vào DirectAdmin và truy cập Files => public_html. Sau đó click chuột phải vào thư mục wp-admin
và chọn Protect
Sau đó xuất hiện bảng PROTECT DIRECTORY. Bạn nhập tương ứng như sau
- Name: Đặt tên bất kỳ bạn muốn
- User: Đặt username khi đăng nhập
- Password: Đặt mật khẩu khi đăng nhập
Cuối cùng bạn vào PROTECT để hoàn tất
Và bên dưới là kết quả khi cấu hình bảo vệ thư mục.
3. Sử dụng .htaccess
Áp dụng cho tất cả máy chủ có hỗ trợ .htaccess (Apache, LiteSpeed, OpenLiteSpeed)
Bước 1: Tạo file .htaccess
Trong thư mục wp-admin, tạo một file mới có tên .htaccess nếu chưa có.
Bước 2: Cấu hình file .htaccess
Sau đó mở file .htaccess và thêm các dòng mã sau vào đó:
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /đường/dẫn/đến/file/.htpasswd
Require valid-user
Trong đó
- AuthType Basic: Định nghĩa loại xác thực là cơ bản (basic).
- AuthName: Hiển thị thông điệp yêu cầu xác thực khi truy cập.
- AuthUserFile: Đường dẫn đến file .htpasswd, nơi chứa thông tin tên người dùng và mật khẩu được mã hóa.
- Require valid-user: Yêu cầu xác thực hợp lệ từ người dùng.
Bước 3: Tạo file .htpasswd
Tạo một file .htpasswd (hoặc sử dụng một file đã tồn tại) ở vị trí được chỉ định trong AuthUserFile ở trên. File .htpasswd chứa thông tin tên người dùng và mật khẩu đã được mã hóa. Sử dụng công cụ mã hóa hỗ trợ như htpasswd generator để mã hóa tên người dùng và mật khẩu của bạn. Sau đó, thêm thông tin mã hóa vào file .htpasswd dưới dạng cặp tên người dùng:mật khẩu mã hóa.
Bây giờ bạn truy cập vào my-domain/wp-admin
sẽ yêu cầu nhập thông tin.
4. Đối với NGINX
Để đặt mật khẩu cho thư mục wp-admin trên máy chủ NGINX, bạn có thể sử dụng cơ chế xác thực HTTP Basic. Dưới đây là các bước cần thực hiện:
Bước 1: Tạo file .htpasswd
Tạo tệp tin chứa thông tin đăng nhập. Sử dụng công cụ htpasswd
để tạo tệp tin này. Chạy lệnh sau trên dòng lệnh để tạo tệp tin và nhập mật khẩu mới cho người dùng:
sudo htpasswd -c /etc/nginx/.htpasswd <username>
Trong đó:
/etc/nginx/.htpasswd
là đường dẫn tới tệp tin chứa thông tin đăng nhập. Bạn có thể chọn đường dẫn khác nếu muốn.<username>
là tên người dùng mà bạn muốn sử dụng để đăng nhập vào thư mục wp-admin.
Khi bạn chạy lệnh trên, bạn sẽ được yêu cầu nhập mật khẩu cho người dùng. Hãy nhập mật khẩu mới và nhớ nó.
Bước 2: Cấu hình NGINX để áp dụng xác thực HTTP Basic cho thư mục wp-admin
Mở tệp tin cấu hình của trang web lên, tuỳ vào loại kịch bản script hoặc Panel bạn sử dụng mà đường dẫn sẽ khác nhau. Nhưng thường là /etc/nginx/sites-available/default
Tìm đoạn mã cho phần cấu hình location /wp-admin/
. Thêm các dòng sau vào phần cấu hình này: Nếu block này chưa có bạn hãy thêm mới.
location /wp-admin/ {
auth_basic "Restricted Area";
auth_basic_user_file /etc/nginx/.htpasswd;
}
Bây giờ khởi động lại dịch vụ nginx và kiểm tra. Kết quả đã thành công.
Sửa lỗi Admin Ajax nếu có
Nếu bạn đặt mật khẩu hai lớp cho wp-admin theo cách trên , thì có thể nó sẽ phá vỡ chức năng Ajax trong giao diện người dùng. Nếu bạn gặp lỗi với admin-ajax thì bạn có thể làm theo hướng dẫn sau để sửa lỗi.
Tạo một file .htaccess
bên trong thư mục wp-admin
với nội dung như sau.
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Tổng kết
Trong bài viết này, chúng ta đã hướng dẫn cách đặt mật khẩu bảo vệ wp-admin trên nền tảng WordPress để bảo vệ trang web của bạn khỏi những cuộc tấn công trực tuyến. Việc đặt mật khẩu mạnh và khó đoán sẽ giúp ngăn chặn việc truy cập trái phép vào wp-admin và bảo vệ dữ liệu quan trọng của bạn. Ngoài ra, việc sử dụng plugin bảo mật cũng là một phương pháp tốt để bảo vệ trang web của bạn. Bằng cách thực hiện các bước hướng dẫn đơn giản trong bài viết này, bạn có thể đặt mật khẩu bảo vệ wp-admin và giữ cho trang web của mình an toàn và bảo mật hơn.