1. Loại bỏ Thông tin về phiên bản WordPress
Một số Theme hay đưa ra thông tin về phiên bản WordPress bạn đang sử dụng, Việc này giúp cho WordPress thống kê được số người dùng nhưng lại có thể gây nguy hiểm, nếu bạn đang sử dụng những phiên bản WordPress cũ hơn. Khi biết được phiên bản bạn đang dùng, Hacker sẽ xác định được các lỗi tồn tại và cách thức khai thác lỗi của phiên bản cũ vốn đã được cung cấp đầy rẫy.
Mở file Header của Theme đang dùng, Tìm và gỡ bỏ đoạn code:
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please –>
2. Chặn việc truy cập trực tiếp vào thư mục Plugins
Mặc định WordPress không giúp bạn bảo vệ thư mục vốn rất quan trọng này nên bạn cần phải tạo một file Index.html hoặc Index.PHP rỗng và đặt vào thư mục WP-CONTENT/PLUGINS/.

Vì sao phải bảo vệ nó, đơn giản vì Hacker nếu biết bạn đang sử dụng những Plugins nào thì sẽ tận dụng những lỗi trong các Plugin đấy để tấn công chính bạn. (BlogSecurity có đưa ra một số Plugin bị dính những lỗi nguy hiểm như WP-Forum 1.7.4, WP-File Manager <=1.2, Democracy 2.0.1, WP TextLinkAds, Audio Captcha System … – Tham khảo thêm tại http://blogsecurity.net/category/wordpress/advisories/ )
3. Hạn chế truy cập WP-ADMIN

Một trong những cách hacker đoạt quyền điều khiển là thông qua công cụ quản trị. Thay vì cho bất kể ai cũng có thể đăng nhập với tên và mật mã admin và phần quản trị thì bạn có thể hạn chế với một số IP nhất định. Để làm việc này, bạn cần tạo một file htaccess dạng như sau trong thư mục gốc của blog WordPress :
AuthUserFile /dev/nullAuthGroupFile /dev/null AuthName “Access Control” AuthType Basic order deny,allow deny from all allow from 1.1.1.2 allow from 1.1.1.3 Trong phần trên bạn chỉ cho phép IP đến từ các địa chỉ 1.1.1.2 và 1.1.1.3 kết nối đến thư mục /wp-admin/ bạn hãy thay thế nó bằng IP tương ứng của mình.
Bạn cũng có thể kết hợp với plugin của Michael’s Login Lockdown plugin cho phép hạn chế khả năng hack mật khẩu người dùng bằng cách thử lặp hay từ điển. Nếu nhập sai mật khẩu một số lần nhất định, nó sẽ khóa IP đó trong vòng một thời gian 1 tiếng theo cấu hình ngầm định.
Mẹo vặt : Bạn có thể chỉ định cho các công cụ tìm kiếm không đánh chỉ mục nội dung thư mục /wp-admin/ bằng cách thêm vào dòng lệnh sau vào trong file robots.txt của blog tại thư mục gốc.

Disallow: /wp-admin/

Theo Trang VIETSEO.NET

(Thủ thuật này khó áp dụng tại VN do chúng ta sử dụng IP động, để giải quyết có thể giới hạn cho phép cả một vùng IP)
Hoặc dùng .htpasswd để khóa thư mục WP-ADMiN: (Tham khảo Căn bản về .htaccess và .htpasswd)
AuthUserFile /etc/httpd/htpasswd AuthType Basic AuthName “restricted” Order Deny,Allow Deny from all Require valid-user Satisfy any Nhưng với cách dùng .htpasswd sẽ gặp chút rắc rối khi khách gửi comment mà quên ghi địa chỉ Email thì hộp thoại đòi nhập mật khẩu sẽ bật lên. Vì một số file CSS và ảnh nằm trong thư mục WP-ADMIN. Để tránh tình trạng này, ta nên cấu hình cho nó chỉ khóa các tập tin .php mà thôi:
<Files ~ “.(php)$”>AuthUserFile /etc/httpd/htpasswdAuthType BasicAuthName “restricted”Order Deny,AllowDeny from all

Require valid-user

Satisfy any

</Files> Để an toàn hơn, bạn có thể khóa luôn thư mục WP-Inclues và WP-Content, tham khảo chi tiết tại đây.
4. Theo dõi và cập nhật thường xuyên
Bạn hãy bỏ chút thời gian theo dỗi các thông báo mới nhất từ nhóm phát triển WordPress hoặc đăng ký luồng tin RSS của nhóm tại đây .Bởi vì Họ không vô cớ đưa ra thông báo, Họ chỉ thông báo khi đưa ra các phiên bản mới hoặc các miếng vá bảo mật, bạn nên áp dụng ngay cho Blog của bạn nếu không muốn Blog trở nên hớ hênh và dễ bị tổn thương.
5. Một số Plugin, công cụ tăng cường bảo mật

  1. WordPress Scanner – Một công cụ trực tuyến có khả năng quét, thu thập thông tin và tìm ra những lỗi bảo mật mà Blog WordPress của bạn mắc phải. Để đảm bảo an toàn thì thông tin này chỉ bản thân bạn và Team Blog Security là có thể xem được thôi. Vì vậy, bạn phải xác nhận Blog là của bạn bằng cách tải Plugin WP Scanner về, Kích hoạt nó rồi truy cập trang http://blogsecurity.net/cgi-bin/wp-scanner.cgi để tiến hành quét và kiểm tra. Ngay sau khi kiểm tra xong, bạn phải vô hiệu Plugin WP Scanner để tránh người khác dùng chúng để kiểm tra Blog của bạn.
  2. AskApache Password Protect– Plugin giúp bạn bảo vệ thư mục Admin của WordPress bằng mật khẩu. Như vậy là Blog của bạn sẽ có 2 lớp tường bảo vệ, tránh người khác truy cập vào trang quản trị. một là lớp bảo vệ bằng tài khoản Admin và thứ 2 là bảo vệ bằng mật khẩu bạn định trong AskApache Password Protect. Plugin này khá đơn giản, bạn chỉ cần chọn tên user và mật khẩu là xong. Với AskApache Password Protect, bạn không cần dùng đến thủ thuật khóa wp-admin bằng .htpasswd đã đề cập ở phần trên của bài viết Vì Plugin này đã làm giúp bạn điều đó.
  3. Force SSL: Ép dùng kết nối HTTPS (bảo mật hơn HTTP) cho Blog WordPress, dĩ nhiên là Host bạn phải hỗ trợ https thì mới dùng được Plugin này.
  4. Login LockDown: Ghi lại Đỉa Chỉ IP và thời gian mỗi lần ai đó đăng nhập sai. Nếu quá số lần quy định đăng nhập thất bại liên tiếp từ một(vùng) địa chỉ IP thì Plugin sẽ tự khóa chức năng đăng nhập với (vùng) địa chỉ IP đó.
  5. Secure Files: Plugin này cho phép bạn Upload/Download tập tin đặt ở ngoài thư mục gốc của Website (Như với Host linux thì thư mục gốc của Website thường là public_html), việc này sẽ tăng tính bảo mật cho Blog của bạn.
  6. Secure Form Mailer Plugin For WordPress: Một Plugin Form Mailer khá hay và an toàn với nhiều chức năng cao cấp.

6. Những Nguyên Tắc bảo mật bạn cần nhớ

  • Sao lưu dữ liệu thường xuyên – có thể tham khảo bài viết trên Blog của bác Phamen.
  • Thường xuyên cập nhật các phiên bản mới và các miếng vá cho WordPress.
  • Không nên Sử dụng quá nhiều Plugins, chỉ dùng những Plugin thực sự cần thiết và không quên cập nhật khi chúng có phiên bản mới.

Tải về Quyển “ModSecurity and WordPress: Defense in Depth” tại đây
Viettut – http://viettut.info/tang-cuong-bao-mat-blog-wordpress