File wp-config.php
là một trong những file quan trọng nhất trong hệ thống WordPress. Nó chứa thông tin cấu hình cơ bản cho trang web của bạn, bao gồm kết nối cơ sở dữ liệu, các thiết lập bảo mật, và các thông số khác. Bởi vì tầm quan trọng của file này, việc tùy chỉnh và bảo vệ nó là điều cần thiết để đảm bảo an toàn cho trang web WordPress của bạn. Trong bài viết này, chúng ta sẽ tìm hiểu cách tùy chỉnh file wp-config.php
để tăng cường bảo mật cho WordPress.
1. Di Chuyển File wp-config.php
Ra Khỏi Thư Mục Gốc
Theo mặc định, file wp-config.php
nằm trong thư mục gốc của WordPress, điều này khiến nó dễ bị tấn công. Bạn có thể di chuyển file này ra khỏi thư mục gốc và đặt nó vào một thư mục cấp cao hơn để tránh các cuộc tấn công từ bên ngoài.
Cách thực hiện:
Di chuyển file wp-config.php
lên một cấp thư mục. Ví dụ, nếu file của bạn đang ở /public_html/wp-config.php
, hãy di chuyển nó đến /wp-config.php
.
WordPress sẽ tự động tìm kiếm file này trong thư mục gốc và một cấp cao hơn. Do đó, việc di chuyển này sẽ không ảnh hưởng đến hoạt động của trang web.
2. Đặt Quyền Truy Cập Cho File wp-config.php
Việc đặt quyền truy cập đúng cho file wp-config.php
là rất quan trọng để ngăn chặn truy cập trái phép. Quyền truy cập thông thường cho file này nên là 440
hoặc 400
.
Cách thực hiện:
Bạn có thể thay đổi quyền truy cập thông qua cPanel hoặc sử dụng lệnh chmod
qua SSH:
chmod 440 wp-config.php
hoặc
chmod 400 wp-config.php
3. Ẩn File wp-config.php
Từ Trình Duyệt Web
Để đảm bảo rằng file wp-config.php
không thể truy cập trực tiếp từ trình duyệt, bạn có thể sử dụng tập tin .htaccess
để từ chối truy cập.
Cách thực hiện:
Mở file .htaccess
và thêm đoạn mã sau:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
Điều này sẽ ngăn bất kỳ ai cố gắng truy cập file wp-config.php
qua trình duyệt.
4. Thiết Lập Khóa Bảo Mật (Security Keys)
Các khóa bảo mật trong wp-config.php
giúp mã hóa thông tin đăng nhập và cookies, tăng cường bảo mật cho trang web của bạn. Bạn có thể tạo các khóa bảo mật mới bằng cách truy cập WordPress Secret Key Generator.
Cách thực hiện:
Sau khi lấy các khóa bảo mật mới từ WordPress, bạn chỉ cần thay thế chúng vào file wp-config.php
như sau:
define('AUTH_KEY', 'your-new-key');
define('SECURE_AUTH_KEY', 'your-new-key');
define('LOGGED_IN_KEY', 'your-new-key');
define('NONCE_KEY', 'your-new-key');
define('AUTH_SALT', 'your-new-key');
define('SECURE_AUTH_SALT', 'your-new-key');
define('LOGGED_IN_SALT', 'your-new-key');
define('NONCE_SALT', 'your-new-key');
5. Vô Hiệu Hóa Chỉnh Sửa Tập Tin Từ Bảng Điều Khiển WordPress
Một tính năng có thể gây nguy hiểm cho trang web của bạn là khả năng chỉnh sửa file trực tiếp từ bảng điều khiển WordPress. Bạn có thể vô hiệu hóa tính năng này bằng cách thêm đoạn mã sau vào file wp-config.php
:
define('DISALLOW_FILE_EDIT', true);
6. Bảo Mật Cơ Sở Dữ Liệu
Tên cơ sở dữ liệu mặc định trong WordPress là wp_
, đây là một thông tin có thể dễ dàng bị kẻ tấn công dự đoán. Bạn nên thay đổi nó thành một cái gì đó khó đoán hơn.
Cách thực hiện:
Khi cài đặt mới WordPress, bạn có thể thay đổi tiền tố này trong quá trình cài đặt.
Nếu bạn đã cài đặt WordPress, bạn cần chỉnh sửa thủ công bằng cách sửa file wp-config.php
và sau đó cập nhật trong cơ sở dữ liệu.
7. Chặn Yêu Cầu Đến File wp-config.php qua HTTP
Trong một số trường hợp, bạn có thể muốn chặn hoàn toàn yêu cầu đến file wp-config.php
từ bất kỳ giao thức HTTP nào. Điều này giúp ngăn chặn truy cập trái phép nếu có cấu hình máy chủ không đúng.
Cách thực hiện:
Sử dụng lệnh sau để chặn:
if ( isset($_SERVER['HTTP_X_FORWARDED_FOR']) ) {
die('Forbidden');
}
Kết Luận
Tùy chỉnh và bảo vệ file wp-config.php
là một bước quan trọng để tăng cường bảo mật cho trang web WordPress của bạn. Bằng cách thực hiện các biện pháp trên, bạn có thể giảm thiểu rủi ro bị tấn công và bảo vệ thông tin nhạy cảm của trang web. Đừng quên thường xuyên kiểm tra và cập nhật các biện pháp bảo mật để đảm bảo rằng trang web của bạn luôn được bảo vệ tốt nhất.
Kết nối với web designer Lê Thành Nam