WordPress Lockdown là gì? Cách sử dụng tính năng WordPress Lockdown

Những điểm chính

 

• Khái niệm: Hiểu rõ WordPress Lockdown là gì

• Tính năng bảo vệ: Nắm các lớp bảo mật chính

• Cách sử dụng: Biết cách Lock/Unlock đúng cách

• Lưu ý quan trọng: Tránh lỗi khi cập nhật website

 

WordPress Lockdown là gì?

 

WordPress Lockdown là tính năng bảo mật giúp khóa các thành phần quan trọng của website WordPress như:

 

• File core

• Plugin / Theme

• File cấu hình

 

Khi kích hoạt:

 

• Không thể sửa / xóa / upload đè file

• Ngăn chặn chèn mã độc

• Hạn chế truy cập trái phép

 

Website vẫn hoạt động bình thường với người dùng (đăng bài, truy cập frontend…)

 

 

Các tính năng bảo vệ chính của WordPress Lockdown

 

Khóa file core WordPress

 

Lockdown sẽ khóa các thư mục và file quan trọng như:

 

• wp-admin

• wp-includes

• wp-config.php

• .htaccess, .user.ini

 

Ngăn chỉnh sửa trái phép từ hacker hoặc script

 

Khóa plugin và theme

 

• Không thể chỉnh sửa hoặc upload file mới

• Ngăn plugin/theme bị chèn mã độc

 

Có thể cấu hình bỏ qua plugin cache để tránh lỗi

 

Chống thực thi mã độc bằng .htaccess

 

Tự động thêm rule vào .htaccess để:

 

• Chặn chạy file .php trong /uploads

• Ngăn upload shell

 

Đây là lớp bảo vệ rất quan trọng

 

Hạn chế truy cập khu vực nhạy cảm

 

• Chặn truy cập trực tiếp vào wp-admin, wp-includes

• Tắt directory listing

• Bảo vệ file cấu hình

 

Chặn upload file nguy hiểm & XML-RPC

 

• Chặn file có đuôi nguy hiểm (.php, .exe, …)

• Hạn chế tấn công qua XML-RPC

 

Giảm brute force và exploit

 

Hướng dẫn kích hoạt WordPress Lockdown trên cPanel

 

Bước 1: Đăng nhập cPanel

 

• Truy cập link cPanel từ nhà cung cấp hosting

• Đăng nhập bằng tài khoản hosting

 

Bước 2: Mở WordPress Lockdown

 

• Kéo xuống mục Security

• Chọn WordPress Lockdown

 

Bước 3: Lock / Unlock website

 

• Chọn domain cần bảo vệ

• Nhấn:

 

• Lock → bật bảo mật

 

• Unlock → mở khóa để chỉnh sửa

 

Đây là thao tác quan trọng nhất

 

Bước 4: Theo dõi và cấu hình

 

• Kiểm tra trạng thái Lock / Unlock

• Cấu hình ngoại lệ (plugin cache nếu có)

 

Lưu ý khi sử dụng WordPress Lockdown

 

Chỉ dùng cho WordPress

 

Tính năng này chỉ phù hợp với website chạy WordPress

 

Luôn Unlock trước khi cập nhật

 

Nếu không:

 

• Không cài được plugin

• Không update theme

• Không sửa code

 

Quy trình chuẩn:

 

Unlock → Update → Lock lại

 

Cấu hình plugin cache

 

Một số plugin cache cần ghi file liên tục → nếu bị lock sẽ lỗi

 

Nên whitelist plugin cache

 

Kết hợp thêm bảo mật khác

 

Lockdown chỉ bảo vệ ở mức file, bạn vẫn nên:

 

• Backup định kỳ

• Dùng plugin bảo mật

• Cấu hình firewall

 

Kiểm tra trạng thái trước khi thao tác

 

Nhiều lỗi phát sinh chỉ vì:

 

Website đang Lock mà bạn không để ý