Chào các bạn,
Khi sử dụng mã nguồn WordPress ngoài các vấn đề bảo mật hosting, folder, file các bạn cần phải bảo mật tấn công “Brute Force Attack Wordpress Login”.
Để khắc phục các bạn có thể làm theo hướng dẫn dưới đây:
* Mô tả:
Tấn công Brute Force Attack sẽ dò các mật khẩu admin dễ nhớ sau đó sẽ chiếm quyền hoặc sử dụng làm mục đích khác. Và chủ yếu tấn công và dò qua file “wp-login.php”. Vì vậy ta cần đặt mật khẩu cho file trên để tăng tính bảo mật hơn.
* Khắc phục:
* Bước 1: Gen mật khẩu password file.
http://www.htaccesstools.com/htpasswd-generator/
Tiếp theo >>
* Bước 2: Tạo file .wpadmin(hoặc file bất kỳ lưu ý cần có dấu . ở trước – file dạng ẩn) trên hosting trong thư mục nào tùy ý với nội dung vừa gen ở bước 1.
Ví dụ ở đây là: tenten.vn:$apr1$O0nXPMeC$4qGW/J3uW9yYEHby5BC0C1
* Bước 3: Truy cập vào file .htaccess của hosting và chèn đoạn code sau vào:
ErrorDocument 401 “Unauthorized Access”
ErrorDocument 403 “Forbidden”
<FilesMatch “wp-login.php”>
AuthName “Authorized Only”
AuthType Basic
AuthUserFile /đường_dẫn_tới_file/.wpadmin
require valid-user
</FilesMatch>
Như vậy khi truy cập vào domain/wp-login, hoặc login admin sẽ cần phải nhập user và mật khẩu vừa tạo ở trên. Cách trên vừa bảo mật admin vừa bảo mật tấn công Brute Force Attack. Đồng thời cũng an toàn hơn cách sử dụng protected trên thư mục admin bởi sẽ ảnh hưởng tới ajax.
Chúc các bạn thành công!