Bảo vệ wp-admin với plugin Login Lockdown

Hiện nay bảo mật là một trong những yếu tố vô cùng quan trọng mà bất kì một webmaster nào cũng không thể xem thường. Cử tưởng tượng một ngày đẹp trời bạn vào blog/website của mình và phát hiện ra dữ liệu trang web đã mất sạch với một thông báo đen ngòm chiễm chễ giữa màn hình (mà tôi nghĩ sẽ không ai muốn nhận thông báo này) “This website is hacked by….” . Chẳng phải thế mà người ta đã đổ hàng đống tiền để bảo vệ website của mình. Tôi nghĩ một website bị hack sẽ thiệt hại ở nhiều mức, nặng nhất là chiếm hoàn toàn domain và hosting còn nhẹ thì chỉ bị thay đổi file index.php bằng local attack (đây chỉ là cảm nhận mang tính cá nhân vì tôi không học chuyên ngành Mạng).

Nếu bạn đang sở hữu một blog/website mà cụ thể là là sử dụng WordPress thì bạn nên đọc các bài viết dưới đây để bảo vệ và giảm bớt những thiệt hại nếu chẳng may website của bạn bị các hacker “dòm ngó” như:

Và trong bài viết này tôi sẽ giới thiệu các bạn một plugin khá hữu hiệu trong việc bảo vệ trang wp-admin (vì sao phải bảo vệ thì tôi nghĩ các bạn thừa biết nguyên nhân ^^)

Login Lockdown (LL) ghi nhận lại những địa chỉ IP và thời gian mỗi khi có một sự đăng nhập thất bại xảy ra. Sau một số lần do bạn qui định, LL sẽ tạm khoá dải IP tương ứng trong một thời gian (cũng do bạn qui định trong Admin Dashboard) và chức năng đăng nhập sẽ tạm thời bị vô hiệu hoá với những truy cập từ những IP thuộc dải IP tương ứng mà LL nhận định được.

Bảo vệ wp-admin với plugin Login Lockdown

Một trong những tính năng mà tôi rất thích trong plugin này là “mask login errors“. Khi bạn bật (enable) tính năng này thì nó sẽ ẩn đi các thông báo khi người nào đó đăng nhập thất bại như “wrong username” hoặc “wrong password” , điều này sẽ ít nhiều làm nản lòng các hacker khi không biết chính xác username hay password không đúng.

Ngoài ra plugin này cũng cung cấp tính năng cảnh bảo bằng email nếu ai đó đang cố gắng login vào website của bạn, sẽ giúp bạn nhanh chóng phát hiện và triển khai các biện pháp bảo vệ website của mình. Với một tập tin ghi lại toàn bộ thông tin đăng nhập cũng là một tham khảo có ích cho bạn.

Mẹo nhỏ,

1, Sau khi bạn cài đặt thì trong hộp thoại đăng nhập tại trang wp-admin sẽ có chuỗi “Login form protected by Login LockDown“, tôi nghĩ không nên để lại dòng chữ này vì chẳng khác gì bạn “vạch áo” cho hacker “xem lưng” cả.

Cách khắc phục như sau, bạn mở file function.php trong thư mục theme và chèn dòng code sau :

// Remove Login LockDown advertisement from Login Dialog
remove_action('login_form', 'll_credit_link');

2, Như đã nói ở trên, nếu ai đó đăng nhập thất bại quá nhiều lần, Login LockDown sẽ khóa IP của người đó và hiện thông báo “ERROR: We’re sorry, but this IP range has been blocked due to too many recent“. Điều này sẽ làm cho hacker phán đoán bạn đã dùng LL plugin, thay vào đó bạn nên đổi thông báo này thành thông báo quen thuộc khi đăng nhập sai “ERROR: Invalid username or password“. Bạn không thể chống lại hoàn toàn các cuộc tấn công của hacker nhưng cũng sẽ giảm bớt thiệt hại nếu hacker chỉ biết ít thông tin về website của bạn.

Cách khắc phục như sau, bạn mở file function.php trong thư mục theme và chèn dòng code sau :

function login_error_mess() {
return 'ERROR: Invalid username or password.';
}
//Remove LoginLockDown’s message about IP blocking
add_filter('login_errors', 'login_error_mess');

Bài viết này chỉ giới thiệu tổng quan về plugin Login Lockdown, bạn hãy download và cài đặt để bảo vệ website mà cụ thể là trang wp-admin nhé. Chúc vui ! 🙂

Tấn Việt

Tôi lập trang web này để thỏa mãn sở thích viết cái gì đó vui vui khi rãnh rỗi và đồng thời cũng chia sẻ những gì tôi biết hoặc đọc đâu đó trên mạng về Lập trình web. Tôi hi vọng những bài viết này sẽ giúp ích cho các bạn. Thân ái!

You may also like…

9 Responses

  1. nuida says:

    Cái plugin này có ích đấy chứ nhỉ.

    • Tấn Việt says:

      Cũng có nhiều plugin bảo vệ WordPress tốt lắm nhưng plugin này được nhiều bloger khuyên dùng. 🙂

  2. nanggio_mt says:

    he he, bài mi len top rồi đó, ghê thiệt :d
    Bài viết hay, tiếp tục phát huy, chia sẽ kinh nghiệm VIệt nhé.
    Tau cũng ưng có cái blog mà ko biết wordpress là cái gì cả 🙁

    • Tấn Việt says:

      Hê hê, thanks chú nhá. WordPress là 1 CMS thông dụng nhất hiện nay đó, người ta dùng WP vào nhiều mục đích lắm. Mi cứ download vài ebook về đọc là biết cách sử dụng liền, có gì thì PM tau nhé. 🙂

  3. Tùng says:

    Xin cho hỏi cách log in vào trang của mình (vd tungcan.co.cc). Nó không hiện ra ô nào để đăng nhập admin.
    Hic. giúp tớ

    • Tấn Việt says:

      Bạn chỉ cần theo đường dẫn sau để đăng nhập vào trang Admin của bạn : http://tungcan.co.cc/wp-login.php

      Chúc vui ! 🙂

  4. Tùng says:

    rất cảm ơn bác chủ. làm ra để đó lâu quá quên mất. Sẽ học bác nhiều thừ nữa he he

  5. Luan Dai Ca says:

    cho mình hỏi trang của bạn tự designer đó hả, hày dùng theme miễn phí.

    • Tấn Việt says:

      Mình không đủ trình độ và thẩm mĩ để design đâu bạn. Theme mà mình sử dụng là JournalCrunch của Site5. Link em nó đây: http://demo.s5themes.com/?theme=journalcrunch. Đó là một theme miễn phí, bố cục và màu sắc khá đẹp, giao diện tương thích khá tốt với mobile nữa.