RSSwordpress

Cách đơn giản để hạn chế tấn công WordPress Login – Brute Force Attack

uần trước 1 blog cá nhân của mình bị dính trường hợp này, khiến cho mình không thể đăng nhập được hay truy cập được vào file wp-login.php bằng cách thông thường để quản lý blog. Cơ chế của phương thức này là dùng 1 ip truy cập vào file wp-login và dùng các tên đăng nhập và mật khẩu khác nhau để cố đăng nhập một cách hoàn toàn tự động gây tê liệt hệ thống login của website.

Có rất nhiều cách để hạn chế điều này:

-Cài thêm plugin (cả plugin đổi đường dẫn đăng nhập wp-admin và plugin hạn chế user đăng nhập vào wp-admin)
-Tạo file htaccess kết hợp với password để hạn chế login với bot
-Đổi tài khoản admin hoặc nếu tài khoản hiện tại là admin thì đổi role xuống thành member bình thường.
-Dùng hệ thống CloudFlare.com
-Liên hệ bộ phận kỹ thuật của hosting để được block ngay trên hệ thống server

OK trong bài này mục đích của mình là sử dụng cách thứ 2 đơn giản và hiệu quả. Sử dụng chính cpanel của hosting để thực hiện việc bảo vệ thư mục wp-admin và file wp-login.php

Lưu ý: Một số bạn sử dụng cách này có thể rơi vào trường hợp chuyển tiếp không bao giờ dừng ở trình duyệt thì các bạn có thể thêm 2 dòng bên dưới vào htaccess nhé.

1
2
ErrorDocument 401 "Denied"
ErrorDocument 403 "Denied"

- Đầu tiên bạn hãy login vào Cpanel hosting của bạn và tìm đến mụcPassword Protect Directories trong phần Security
click-on-password-protect-directories

- Chọn tên miền cần thực hiện việc bảo vệ và nhấn Go
select-document-root-click-go

- Tiếp theo hãy chọn thư mục wp-admin của bạn
click-on-wp-admin

- Tích vào hộp Password protect this directory và đặt tên cho việc này trong khung Name the protected directory
check-password-protect-name-directory-click-save

- Thực hiện xong hãy nhấn vào nút Go Back
click-go-back

- Ở cửa sổ hiện tại bạn nhấn vào nút Password Generator để tạo mật khẩu và có thể nhấn nhiều lần vào nút Generate Password để tạo ra mật khẩu ngẫu nhiên phù hợp nếu muốn. Sau khi chọn được mật khẩu bạn hãy tích vào I have copied this password in a safe place và cuối cùng nhấn Use password
click-on-password-generator-and-use-password

- Tiếp theo hãy nhập một tên người dùng nào đó mà bạn cho phép người này truy cập vào file và thư mục quản trị của chúng ta ở phần Username và nhấn vào Add/modify authorized user
click-on-add-authorized-user

- Đến đây coi như là công việc đã hoàn thành, bây giờ bạn hãy thử truy cập thư mục wp-admin bằng trình duyệt để kiểm tra kết quả. Khi bạn gõ vào và enter thì trình duyệt sẽ hiện ra một bảng yêu cầu bạn nhập user và password. Hãy nhập tên user và password mà bạn vừa tạo ở bước trên để có thể truy cập wp-adminauthentication-required-click-on-log-in

- Và sau khi bạn đã nhập user và password nếu các bước trên của bạn thực hiện chính xác thì bạn có thể thấy cửa sổ đăng nhập của wordpress thân thương :)
wordpress-admin-click-on-log-in

- Bây giờ bạn quay lại Cpanel của hosting và nhấn vào File manager trong phần Files chọn domain mà bạn đang thực hiện ở bước trên rồi nhớ check vào Show Hidden Files (dotfiles) sau đó nhấn Go
click-on-file-manager-and-go

- Tiếp theo hãy chọn thư mục public_html ở khung bên trái, và chọn tiếp thư mục wp-admin sau đó nhấn chuột phải vào file .htaccess và chọn Edit. Bạn sẽ thấy một hộp thoại thông báo chọn lựa việc encoding cho edit thì bạn cứ nhấn tiếp Edit nhé
click-on-wp-admin-and-edit-htaccess-file

- Tiến hành copy toàn bộ nội dung của file .htaccess này
copy-htaccess-text

- Tiếp tục quay về thư mục public_html bằng cách nhấn vào nó ở khung bên trái và chọn file .htaccess ở khung bên phải, nhấn chuột phải vào và chọn Editclick-on-public_html-and-edit-htaccess-file

- Bây giờ paste nội dung chúng ta đã copy ở bước trên vào khung edit của.htaccess ta đang mở sau khi xong ta nhấn vào Save changes. Ví dụ kết quả đoạn ta copy và paste sẽ có như sau (lưu ý là kô đụng chạm gì đến nội dung hiện tại trong file mà wordpress đang có nhé):

1
2
3
4
5
<FilesMatch "wp-login.php">
AuthType Basic
AuthName "Secure Area"
AuthUserFile "/home/example/.htpasswds/public_html/wp-admin/passwd"
require valid-user

save-public_html-htaccess-file

- Và từ bây giờ khi một người nào đó muốn truy cập file wp-login.php họ sẽ bắt buộc phải đăng nhập bằng user mà chúng ta đã tạo ở bước trên
wp-login-bad-password-attempt

- Kết quả mà một người nào đó đăng nhập không đúng hoặc cố gắng đăng nhập sẽ nhận được một thông báo Authorization Required
wp-login-bad-password-attempt-blocked

Chúc các bạn thành công nhé ! :)

Tags:

Nếu bạn thấy bài viết hữu ích, hãy nhấn +1 và các liên kết chia sẻ để website ngày càng phát triển hơn. Xin cám ơn bạn!

Nếu là khách, bạn phải đăng ký tài khoản và kích hoạt tài khoản để bình luận được hiển thị ở đây.
Thông tin kích hoạt gửi đến mail của bạn.

Tin mới hơn

Tin cũ hơn

Lên trên đầu