Nếu như một “ai đó” muốn tấn công website của bạn, thì công việc trước tiên đó là sẽ tìm hiểu xem bạn đang chạy mã nguồn nào. Cơ mà xài CMS WordPress thì cứ như là “Lại ông con ở bụi này” vào mà ABC-XYZ con đi. Nếu ai mà chuyên về WordPress thì có thể nhìn cách rewrite url hoặc Ctr+U thì sẽ biết đó là CMS WordPress. Chỉ cần xem trong source code, xem các link của resource như images, js, css, nếu nó có xuất hiện chữ wp-content thì chắc 100% rằng: website đó đang chạy CMS WordPress.
Trong bài viết này, tôi sẽ hướng dẫn các bạn thuật ẩn thân để tự vệ trước sự tấn công của “ai đó”.
#Xóa meta hiển thị version
Khi cách bạn sử dụng funtion wp_head() để WordPress tự phun ra các meta, script, css, js mặc định. Thì trong đám đó sẽ có một dòng như thế này:
<meta name="generator" content="WordPress 3.9.1" />
Nếu mà có dòng này thì cũng giống như là tự mình hô “Bóp em đi, bóp em đi anh. Bóp đi anh !!!?” . Do đó, bạn cần phải giấu nó đi. Nếu như bạn là người thường xuyên cập nhật WP Core thì không sao, nếu như bạn lười, tu trên núi 5 năm mới update một lần thì con số đó đồng nghĩa với việc “Bóp em đi, bóp em đi anh !!!?”. Cách thực hiện:
remove_action('wp_head', 'wp_generator');
Bạn thêm dòng code đó vào file functions.php trong theme của mình. Trong trường hợp bạn chỉ muốn bỏ cái version phía sau thôi, và vẫn giữ chữ WordPress thì có thể áp dụng đoạn code sau vào functions.php
function remove_version() {
return '';
}
add_filter('the_generator', 'remove_version');
#Thay đổi thư mục wp-content
Như phần giới thiệu tôi có nói là đặc điểm để nhận ra WP đó là wp-content. Đo đó, trong phần sau này tôi sẽ hướng dẫn các bạn cách để đổi tên cho thư mục “wp-content” thành thư mục “resource”. Trước tiên, chúng ta cần phải đăng nhập vào ftp và đổi tên thư mục wp-content của WP thành thư mục mới có tên là “resource”.
Sau khi đổi tên, các bạn vào trong back-end thì các plugin đều sẽ báo không tìm thấy và bị deactivated. Chúng ta sẽ tiến hành bước tiếp theo đó là khai báo trong file wp-config.php với nội dung như sau:
define ('WP_CONTENT_FOLDERNAME', 'resource');
define ('WP_CONTENT_DIR', ABSPATH . WP_CONTENT_FOLDERNAME) ;
define('WP_SITEURL', 'http://' . $_SERVER['HTTP_HOST'] . '/');
define('WP_CONTENT_URL', WP_SITEURL . WP_CONTENT_FOLDERNAME);
Sau khi khai báo như trên thì các bạn đã có thể sử dụng website bình thường rồi đó.
#Lưu ý SIÊU TO
Thay đổi thì quá dễ phải không các bạn, nhưng mà, các bạn cũng cần phải cẩn thận với cái thay đổi đó của mình. Nguyên nhân chính là rất có thể sẽ xảy ra lỗi khi
– WP nâng cấp lên phiên bản mới.
– Các plugin mà dev phát triển với đường dẫn link js, css hoặc ajax cứng. Tức khi phát triển thì họ code cứng là thư mục wp-content luôn. Nên rủi ro website dính lỗi rất cao.
Cả 2 cách mà tôi giới thiệu ở trên thì chỉ làm cho chúng ta bớt đi chất WP trong người thôi, chứ không thể nào chối bỏ hoàn toàn được. Đặc biệt, nếu nghi ngờ thì bạn chỉ cần gõ wp-admin hoặc wp-login.php hoặc wp-rss.php thì “điều kỳ diệu sẽ xảy ra” ngay trên màng hình.
#Tuyệt chiêu cuối “Hide My WP”
Thực chất đó là một plugin dành riêng cho WP và chức năng của nó là sẽ giúp bạn ẩn thân đến mức không nhận ra. Tất nhiên, tốt như vậy thì nó cũng có giá của nó cũng tương đối: 20$ ~ 450.000 đ. Bạn sẽ nhận được các lợi ích như sau:
- Khi đăng nhập với url là wp-login.php hoặc wp-admin sẽ trả về Not found
- Thay đổi url của resource một cách thoải mái và rút gọn một cách tuyệt đối thành dạng tương tự izwebz.com/template/main.css (trước đó phải là wp-content /themes/my-theme/style.css)
- Thay đổi thư mục plugin và đổi tên của plugin thành mã hash, tương tự izwebz.com/modules/0f6a208e/shortcodes.css (trước đó phải là wp-content /plugins/ plugin-name/ shortcodes.css )
- Thay đổi cả thư mục wp-include và các đường dẫn ajax, tương tự izwebz.com/ajax.php (trước đó là wp-admin/admin-ajax.php)
- Ẩn luôn các file mặc định của wordpress như là readme.html và license.txt
Ngoài ra, theo như giới thiệu của nó thì còn rất nhiều các tính năng khác nữa để website WordPress của bạn hoàn toàn ẩn thân. Bạn không cần phải tự tay mò code hay phải đăng nhập ftp thay đổi tên folder.
Ngoài ra, nó còn giúp bạn chống được SQL Injection và XSS attacks khi sử dụng các plugin không an toàn. Thấy quãng cáo khả năng thành công lên đến 90%. Nguồn: wpwave.com
Nếu bạn nào muốn mua thì có thể vào và đăng ký tài khoản để mua. Nếu mua bằng CC thì giá là 20$ còn dùng Paypal thì 22$.
