Thứ Tư, 23 tháng 7, 2014

Chống tấn công wp-admin trong Wordpress

Login Lockdown (LL) ghi nhận lại những địa chỉ IP và thời gian mỗi khi có một sự đăng nhập thất bại xảy ra. Sau một số lần do bạn qui định, LL sẽ tạm khoá dải IP tương ứng trong một thời gian (cũng do bạn qui định trong Admin Dashboard) và chức năng đăng nhập sẽ tạm thời bị vô hiệu hoá với những truy cập từ những IP thuộc dải IP tương ứng mà LL nhận định được.
Bảo vệ wp-admin với plugin Login Lockdown

Một trong những tính năng hay trong plugin này là “mask login errors“. Khi bạn bật (enable) tính năng này thì nó sẽ ẩn đi các thông báo khi người nào đó đăng nhập thất bại như “wrong username” hoặc “wrong password” , điều này sẽ ít nhiều làm nản lòng các hacker khi không biết chính xác username hay password không đúng.
Ngoài ra plugin này cũng cung cấp tính năng cảnh bảo bằng email nếu ai đó đang cố gắng login vào website của bạn, sẽ giúp bạn nhanh chóng phát hiện và triển khai các biện pháp bảo vệ website của mình. Với một tập tin ghi lại toàn bộ thông tin đăng nhập cũng là một tham khảo có ích cho bạn.

Mẹo nhỏ,

1, Sau khi bạn cài đặt thì trong hộp thoại đăng nhập tại trang wp-admin sẽ có chuỗi “Login form protected by Login LockDown“, tôi nghĩ không nên để lại dòng chữ này vì chẳng khác gì bạn “vạch áo” cho hacker “xem lưng” cả.
Cách khắc phục như sau, bạn mở file function.php trong thư mục theme và chèn dòng code sau :

// Remove Login LockDown advertisement from Login Dialog
remove_action(‘login_form’, ‘ll_credit_link’);
2, Như đã nói ở trên, nếu ai đó đăng nhập thất bại quá nhiều lần, Login LockDown sẽ khóa IP của người đó và hiện thông báo “ERROR: We’re sorry, but this IP range has been blocked due to too many recent“. Điều này sẽ làm cho hacker phán đoán bạn đã dùng LL plugin, thay vào đó bạn nên đổi thông báo này thành thông báo quen thuộc khi đăng nhập sai “ERROR: Invalid username or password“. Bạn không thể chống lại hoàn toàn các cuộc tấn công của hacker nhưng cũng sẽ giảm bớt thiệt hại nếu hacker chỉ biết ít thông tin về website của bạn.
Cách khắc phục như sau, bạn mở file function.php trong thư mục theme và chèn dòng code sau :

function login_error_mess() {
return ‘ERROR: Invalid username or password.’;
}
//Remove LoginLockDown’s message about IP blocking
add_filter(‘login_errors’, ‘login_error_mess’);

Ngoài ra nếu bạn không thích cài đặt plugin thì bạn có thể thêm dòng sau vào file .htaccess:

<Files wp-login.php>
Order deny,allow
Deny from all
Allow from 192.168.1.1
</Files>

Tác dụng của dòng này sẽ chỉ cho phép máy có đía chỉ IP 192.168.1.1 được truy cập vào wp-admin.

Không có nhận xét nào:

Đăng nhận xét