Bảo vệ WordPress Login khỏi Brute Force Attack

08-December-2016

Hãy tưởng tượng hacker nắm trong tay một danh sách rất lớn các username và mật khẩu phổ biến hay được sử dụng. Sau đó họ gửi liên tục các truy vấn đăng nhập vào file wp-login.php của bạn và nếu tài khoản nào sai, nó sẽ bỏ qua và thử tiếp tài khoản khác. Cứ lần lượt như vậy, sau đó lại “trộn” mật khẩu đến khi nào đăng nhập được thì thôi. Đó là một hình thức brute force attack.

Bạn sẽ dễ bị tấn công trong các trường hợp:
  • Đặt username là admin, cũng như administrator.
  • Không bảo mật đường dẫn đăng nhập.
  • Không thay đổi mật khẩu thường xuyên.
  • Mật khẩu không an toàn, và phổ biến.

Để bảo vệ WordPress Login khỏi Brute Force Attack, bạn cần thực hiện các bước sau:

1. Tạo file password
B1: Truy cập đường dẫn: http://www.htaccesstools.com/htpasswd-generator/

B2: Thực hiện tạo nội dung file .htpasswd, điền thông tin username password để tạo nội dung file .htpasswd, sau khi điền đầy đủ thông tin bạn chọ Create .htpasswd file.

B3: Thực hiện đăng nhập vào cPanel hoặc các chương trình quản lý hosting thông dụng khác, chọn Site Management -> File Manager.

B4: Truy cập đường dẫn chứa source code website, nếu là domain chính tại thư mục public_html tạo file .htpasswd.

B5: Điền file name là .htpasswd sau đó nhấn Create New File.

B6: Click phải file .htpasswd vừa tạo chọn Edit.

B7: Nhập thông tin username và mật khẩu đã mã hóa từ B1 vào file .htpasswd sau đó lưu file này lại.

2. Cấu hình file .htaccess
Thêm đoạn cấu hình sau vào file .htaccess

ErrorDocument 401 "Unauthorized Access"
ErrorDocument 403 "Forbidden"
<FilesMatch "wp-login.php">
AuthName "Authorized Only"
AuthType Basic
AuthUserFile /home/username/public_html/.htpasswd
require valid-user
</FilesMatch>

Lưu ý: AuthUserFile /home/username/public_html/.htpasswd thay đổi username cho phù hợp với tên user hosting của bạn.

3. Kiểm tra
Thực hiện truy cập vào đường dẫn quản trị website WordPress của bạn sẽ xuất hiện trang thông tin nhập UserPassword mà bạn đã đặt ở B1 sau đó sẽ được truy cập vào trang Login quản trị website.

Bạn có thể xem video hướng dẫn sau:
Chúc các bạn thành công!