Tùy chỉnh file wp-config.php giúp bảo mật website WordPress của bạn tốt hơn.
Bảo mật luôn là một vấn đề quan trọng và cấp bách hàng đầu đối với website. Trong WordPress, bạn có thể bảo mật bằng các phương pháp khác nhau, chẳng hạn như sử dụng file .htaccess, plugin… Tuy nhiên, bằng cách chỉnh sửa các thiết lập và bổ sung code vào file wp-config.php, khả năng bảo mật website của bạn sẽ trở nên mạnh mẽ hơn bao giờ hết. Ngay sau đây, tôi sẽ hướng dẫn chi tiết cho các bạn cách để làm điều đó.
Tham khảo:
Một số lưu ý trước khi tiến hành
Để thực hiện việc tùy chỉnh file wp-config.php, đầu tiên, các bạn cần phải truy cập vào thư mục gốc (nơi chứa mã nguồn WordPress) thông qua FTP hoặc Files Manager của cPanel/ DirectAdmin, tìm và mở nó ra.
Lưu ý:
- Backup file trước để tránh các sự cố đáng tiếc có thể xảy ra trong quá trình làm việc nhé.
- Mọi code chèn vào đều phải nằm bên trên dòng sau:
/* That's all, stop editing! Happy blogging. */Bảo mật WordPress bằng cách tùy chỉnh file wp-config.php
Lưu ý: bạn không nhất thiết phải áp dụng toàn bộ các code ở bên dưới. Tùy vào từng hoàn cảnh để lựa chọn code mà bạn cảm thấy phù hợp.
Thay đổi Security Keys
Truy cập vào WordPress Security Key Generator, copy toàn bộ nội dung có trong giao diện, sau đó ghi đè vào phần tương ứng có trong file wp-config.php. Nó sẽ có dạng như sau:
define('AUTH_KEY', ')PO9{4D&1;id(&IgI*(NQoM/[vNWP~ drZ|f@vn|3):$YEk+z04$}D(INBPuz$Ht');
define('SECURE_AUTH_KEY', 'A_c~(j}Z`DBGEa,E!7H5*B4-7^I(oL^2?y#HDxSf nwRB.]x$Va8Fp2*Ia!1Ix=8');
define('LOGGED_IN_KEY', '}H>iXyw>hL+jReb]9KK;$zhCw#b~P=$!lE}S57K/Z9sIo-Zmx0}` 1Df>igR-y~R');
define('NONCE_KEY', '{Bh{n9lL0!#MC7b*@eA?YXr_9E0gDDCx-loa~?Q4S3Jo/or ev41Hbcorx>{ab/p');
define('AUTH_SALT', 'e}-2f2?A=X$96vK-ieK!oO3|p}EE|FcZl.9RO0 X%cIW~-]^ihs;B2*%5;~4^3PD');
define('SECURE_AUTH_SALT', '5hg)#t{5_yr>odol.-%|V@v9v2/|<h*spGNX}u1v-9?z&tf~H&<;uMa?M%^1ytp[');
define('LOGGED_IN_SALT', 'ntP!r_?uN(Sfd]](|k]D+)-5D{r(Fl&|.dX7G@oq)t`nj*r089@`r;O|PR0.?~]T');
define('NONCE_SALT', '$~QjDikXFuk6`vPpO=6G;{<qX],-,KhzsLy91H&5-/~9+u:6RR.H@/yy;gvGpDo2');Bắt buộc sử dụng SSL cho trang đăng nhập và WP Admin
Lưu ý: chỉ thực hiện thao tác này nếu host hoặc VPS của bạn đã được cài đặt SSL. Nếu không, bạn sẽ gặp lỗi trong quá trình đăng nhập vào WordPress Admin.
Sử dụng SSL (giao thức HTTPS) cho trang đăng nhập:
define('FORCE_SSL_LOGIN', true);Sử dụng SSL cho WordPress Admin:
define('FORCE_SSL_ADMIN', true);Thay đổi database prefix
Tìm dòng code sau trong file wp-config.php và thay đổi wp_ thành bất cứ ký tự nào mà bạn muốn:
$table_prefix = 'wp_';Sau đó, truy cập vào phpMyAdmin và thay đổi prefix của các table trong database. Các bạn cũng có thể sử dụng một số plugin bảo mật chẳng hạn như Sucuri Security để thay đổi prefix một cách đơn giản mà không gây ra lỗi.
Vô hiệu hóa việc chỉnh sửa file theme và plugin trong WordPress Admin
Việc này sẽ giúp bạn không bị chèn mã độc vào plugin hoặc theme trong trường hợp ai đó truy cập được vào WordPress Admin:
define('DISALLOW_FILE_EDIT', true);Thay đổi vị trí lưu trữ file wp-config.php
Nếu bạn muốn thay đổi vị trí lưu trữ wp-config.php để tránh người khác tấn công nó, bạn có thể di chuyển nó sang một vị trí khác, sau đó thêm code sau vào:
define'ABSPATH', dirname__FILE__ ;
require_onceABSPATH '../path/to/wp-config.php';Lưu ý: thay đổi /path/to/wp-config.php bằng đường dẫn đến vị trí lưu file wp-config.php.
Bắt buộc sử dụng FTPS
Nếu host hoặc VPS của bạn hỗ trợ FTPS, bạn có thể chèn code sau vào file wp-config.php để bắt buộc truy cập thông qua FTPS:
define('FTP_SSL', true);Bắt buộc sử dụng SFTP
Thêm code sau đây vào file wp-config.php nếu bạn muốn bắt buộc sử dụng SFTP (SSH) để truy cập vào thư mục cài đặt WordPress:
define('FS_METHOD', 'ssh2');Tắt chế độ debug và hiển thị debug
Vô hiệu hóa debug sẽ giúp các lỗi cũng như cảnh báo không bị hiển thị ra front-end và back-end, gây mất thẩm mĩ và khó chịu cho người dùng. Hacker cũng có thể lợi dụng các thông báo đó để tìm cách tấn công website của bạn.
Tìm đoạn code sau trong file wp-config.php và chuyển nó thành false nếu đang ở trạng thái true. Nếu không tìm thấy, bạn có thể bổ sung vào:
define('WP_DEBUG', false);Tiếp theo, thêm đoạn code sau vào ngay bên dưới:
define('WP_DEBUG_DISPLAY', false);Kích hoạt tự động update
Giữ cho website luôn ở trang thái cập nhật là một trong những yếu tố quan trọng trong bảo mật WordPress. Để tự động cập nhật WordPress, themes và plugins ngay khi chúng có phiên bản mới, hãy thêm các đoạn code sau đây vào file wp.config.php.
Tự động cập nhật WordPress:
define('WP_AUTO_UPDATE_CORE', true);Tự động cập nhật plugins:
add_filter( 'auto_update_plugin', '__return_true' );Tự động cập nhật themes:
add_filter( 'auto_update_theme', '__return_true' );Sau khi hoàn tất, click vào nút Save Changes để lưu lại.
Trên đây là một số tùy chỉnh file wp-config.php giúp tăng cường khả năng bảo mật cho WordPress. Hy vọng, với những thủ thuật mà tôi vừa đề cập, website của bạn sẽ trở nên an toàn hơn trước các mối đe dọa bảo mật.
Bạn biết những tùy chỉnh file wp-config.php khác có thể giúp tối ưu WordPress hơn nữa? Hãy chia sẻ với chúng tôi bằng cách sử dụng khung bình luận bên dưới.
Nếu bạn thích bài viết này, hãy theo dõi blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất nhé. Cảm ơn rất nhiều. :)
site của mình ko biết nó hack kiểu gì mà chèn đầy ký tự lạ, nội dung nước ngoài vào giữa các bài tin tức, ôi điên luôn phải quét lại toàn bộ nội dung, đổi link admin mật khẩu, xem thêm bài này fix tiếp thôi, tks kiu
fix được chưa bạn? ghê vậy
Có nhiều cái chuyên sâu vào làm e đau đầu quá :))
Cho e hỏi làm website bán hàng xài shopify dc k bác?
Quen WordPress sao không xài WooCommerce luôn cho tiện? :P
Cám ơn bạn đã chia sẻ, mình sẽ học tập và làm theo bạn, web mình bị hack suốt. từ domain này sang domain kia, chắc tại dùng chung 1 hosting
Cảm ơn về bài viết của bạn. Mình sợ nhất là bị hách.
Cám ơn bác về bài viết đầu đủ nhất về bảo mật wp với gile wp-config.php.
Cho mình hỏi klq đến chủ đề 1 chút, cái code menu nó nằm ở file nào của theme nhỉ, VD mình muốn thay đổi ngoại hình cho cái menu hoặc thay thế menu của theme bằng 1 cái menu khác thì mình sẽ phải vào file nào?
Thường thì bạn sẽ phải chỉnh style.css. Và nếu nó là menu responsive thì sẽ có cả file js nữa. :P
Cảm ơn Hiếu nhé :) Đề nghị bạn nghiên cứu nút thanks hoặc like ở bình luận wordpress, lần sau chỉ cần ấn thôi :P
Cái đó WP có sẵn plugin mà. Mình đang phân vân có nên chèn vào hay không thôi. :)
Mình rất hay show thu nhập nên cần bảo mật wordpress thật tốt, cám ơn Hiếu về bài viết hữu ích. :D
Bác Ngọc dễ phải kiếm mấy nghìn $ một tháng ấy nhỉ. :P
2 nghìn cũng được coi là “mấy” mà 9 nghìn cũng được coi là “mấy” tuy nhiên cứ hơn 1 là ổn rồi. Biết bao nhiêu cho đủ Hiếu ơi!
Blog bác mới lập mấy tháng mà kiếm được hàng $ từ tiếp thị liên kết. Quả là siêu phàm thoát tục. Bái phục. :D
Có gì đâu mà siêu phàm thoát tục Hiếu? Có ngày chẳng xu nào, có ngày 1.17$, có ngày 27$ cũng có ngày 55$ nhưng cũng có ngày 105$: http://i.imgur.com/WgvglhY.jpg
30 ngày /tháng như thế kiếm hàng $ được mà. Nhiều người còn kiếm gấp mình trăm lần ấy chứ. Quan trọng có dám show ra để hướng dẫn anh em làm được như mình không thôi!
Hôm nào Hiếu cũng report để anh em học tập với!
:D Show để làm gì bác? Chỉ cần F12 là $1000 chứ $10.000 cũng có. :) Nhiều người show quá rồi. Nhưng người thực sự kiếm được hàng nghìn $ mỗi tháng thì đếm trên đầu ngón tay. :D Tính em không thích làm người khác… ảo tưởng. Để họ tự trải nghiệm xem kiếm tiền online dễ hay khó. :P
Bài này chi tiết về bảo mật bằng file Config quá. Thanks Hiếu nhé :)
Khi nào blog lớn như Hiếu thì tôi sẽ dùng cái này, bây giờ chẳn thằng khùng nào lại đi hack cái blog của tôi :D
Nó vẫn hack như thường. :D
Mấy thằng isarel hay hắck web mới lắm nha.
Sau khi viết bài này, có khi web thím bị hack :3
Hôm nay thứ 6 ngày 13 đấy. Cẩn thận. :D :P