Khi bạn cài mới Wordpres thì tất cả đều mặc định từ đường dẫn đăng nhập admin. Và tên tác giả, tên đăng nhập sẽ trùng với nhau nếu lúc cài đặt bạn không sửa. Đây là lỗ hổng để những người muốn lấy mật khẩu admin của bạn có có hội thử nghiệm các mật khẩu. Vì thế bạn cần thay đổi những thứ này để hạn chế phần nào sự phá hoại.
Hàng ngày mình nhận được khoảng 5 cái mail báo cáo các IP lạ ở Nga, Mỹ, Trung Quốc…cố gắng đăng nhập vào admin của mình ( Thực ra toàn dân Việt Fake IP để vào ). Và họ thường đánh mặc định tên ” admin ” hoặc tên tác giả viết bài. Gặp những tình trạng thì phải nâng cao bảo mật ngay kẻo bị chèn link bẩn ngay. Mình xin chia sẻ 1 vài kinh nghiệm của mình để hạn chế mất quyền quản trị admin trong WordPress.
1. Đổi đường dẫn đăng nhập admin
Thông thường mặc định để vào admin của WordPress thì ta chỉ cần gõ : tenmien/wp-admin là có thể vào ô đăng nhập admin. Điều này ai sử dụng WordPress cũng biết, vì thế bạn cần thay đổi nó thành 1 tên khác, và nên định kỳ thay đổi giúp việc bảo mật tốt hơn. Để đổi bạn vào tham khảo bài : thay đổi đường dẫn admin mà mình đã đề cập.
2. Không để tên đăng nhập admin và tác giả trùng nhau
Khi bạn cài mới WordPress cũng thường cài đặt nhanh nên cứ bấm ” next ” và chỉ đặt 1 loại tên. Ví dụ bạn đặt là : admin, hay Gu gồ. Thì những tên này vừa là tên tác giả viết bài, vừa là tên để bạn đăng nhập vào. Rất dễ cho những người muốn mò mật khẩu của bạn. Vì thế bạn cần vào thay đổi tên tác giả của bạn, không để trùng với tên đăng nhập vào admin.
Ví dụ như hình trên để vào admin của mình là chaocacban và tên tác giả là Gu gồ, nếu lỡ trùng rồi thì anh em chỉ cần đổi tên tác giả là được.
3. Thay đổi tên đăng nhập vào admin WordPress định kỳ
Như hình trên tên đăng nhập admin người ta ghi là không thể đổi được. Nhưng mình có thể vào host để đổi rất đơn giản. Để đổi tên admin của WordPress các bạn làm như sau :
Vào host của bạn -> vào phpmyAdmin -> bấm vào wp_users ( khi bạn cài mặc định là wp, còn mình đã đổi thành wp3 ) -> Nhấp đúp chuột vào user_login rồi tiến hành đổi theo ý bạn -> đổi xong bấm chuột ra ngoài để lưu lại.
Các bạn cũng có thể bấm vào edit và vào thay đổi cũng được, cái này có thể vào thay đổi cả admin và tên hiển thị tác giả.
4. Cài Plugin chặn IP đăng nhập
Bạn vào cài plugin -> gõ vào ô tìm kiếm từ Limit Login Attempts -> tiến hành cài đặt và kích hoạt bình thường. Plugin này giúp chặn các IP đăng nhập sai admin quá số lần, ban ip, đánh sai phải đợi bao nhiêu lâu mới được đánh lại…
Trong đó gồm các mục như sau :
- Allowed retries : Nó cho phép bạn đánh lại mật khẩu bao nhiêu lần. Nếu đánh sai số đó sẽ bị khóa đăng nhập. Ví dụ ở trên là số 2, thì bạn đánh sai 2 lần sẽ bị khóa. Nên chọn 1 hoặc 2 cho chắc, mặc định là 4.
- Minutes lockout : Chọn số phút để khóa, tức là khi đăng nhập sai 2 lần sẽ khóa không cho đăng nhập đến 60 phút mới đăng nhập lại được, nên chỉnh cao lên, mặc định là 20 phút.
- 2 lockouts increase lockout time on 48 hours : có nghĩa là sau 60 phút đánh sai lần đầu nếu đánh 2 lần nữa vẫn sai thì khóa 48 giờ.
- Ngoài ra còn các chức năng gửi mail cho admin khi đánh sai, thông tin của IP đăng nhập…
Đó là các chức năng của plugin Limit Login Attempts, anh em nên sử dụng, nó rất nhẹ, dễ xài và tốt.
5. Các vấn đề bảo mật khác
Thường xuyên thay đổi mật khẩu admin, mật khẩu host và nên sử dụng tự tạo mật khẩu và mật khẩu có độ mạnh nhất, để giúp website được an toàn . Thường xuyên nâng cấp wordpress, plugin khi có bản mới, những bản mới này giúp vá lỗi theme, plugin hay bảo mật..
Đó là 1 số cách để hạn chế mất quyền quản trị admin trong WordPress mà bạn nên xem qua và thực hiện để giảm bớt phần nào. Chúc thành công.
Trả lời