WordPress Lockdown là gì? Hướng dẫn sử dụng WordPress Lockdown trên cPanel

Những điểm chính

 

• Khái niệm: Hiểu WordPress Lockdown là gì và vai trò của nó trong việc bảo vệ các tệp quan trọng của WordPress.

 

• Tính năng bảo mật: Tìm hiểu những lớp bảo vệ quan trọng như khóa file hệ thống, hạn chế truy cập và ngăn thực thi mã độc.

 

• Hướng dẫn sử dụng: Biết cách bật và tắt WordPress Lockdown trên cPanel khi cần quản trị hoặc cập nhật website.

 

• Lưu ý quan trọng: Nắm được những điểm cần chú ý để tránh lỗi khi sử dụng tính năng này.

 

WordPress Lockdown là gì?

 

WordPress Lockdown là công cụ bảo mật được cung cấp trên một số hosting dùng cPanel, được xây dựng dành riêng cho các website WordPress. Tính năng này hoạt động bằng cách khóa những tệp và thư mục quan trọng trong hệ thống, ngăn chặn việc chỉnh sửa mã nguồn trái phép, hạn chế nguy cơ nhiễm mã độc và tăng cường khả năng bảo vệ website. Trong khi đó, website vẫn có thể hoạt động bình thường đối với các tác vụ quản trị và đăng nội dung thông thường.

 

WordPress, WordPress Lockdown, cPanel

 

Các tính năng bảo vệ nổi bật của WordPress Lockdown

 

Khóa các tệp hệ thống và thư mục quan trọng của WordPress

 

WordPress Lockdown sẽ khóa các thư mục và tệp cốt lõi như:

 

  • wp-admin

 

  • wp-includes

 

  • wp-config.php

 

  • .htaccess

 

  • .user.ini

 

  • readme.html

 

Khi website ở trạng thái Lock, các tệp này sẽ không thể bị chỉnh sửa, ghi đè hoặc xóa trực tiếp. Điều này giúp hạn chế nguy cơ mã độc hoặc hacker thay đổi mã nguồn hệ thống.

 

Khóa plugin và theme

 

Ngoài mã nguồn WordPress, tính năng này còn bảo vệ toàn bộ plugin và theme đang được cài đặt. Trong trạng thái khóa, các tệp thuộc plugin và theme sẽ không thể bị thay đổi hoặc ghi thêm dữ liệu trái phép.

 

Đối với các plugin cache cần ghi dữ liệu thường xuyên, bạn có thể thiết lập ngoại lệ để chúng vẫn hoạt động bình thường.

 

Ngăn chặn thực thi mã độc bằng .htaccess

 

WordPress Lockdown tự động tạo các quy tắc bảo mật trong file .htaccess tại những thư mục nhạy cảm như uploads hoặc cache.

 

Nhờ đó, hệ thống có thể:

 

  • Chặn thực thi file PHP trong thư mục uploads.

 

  • Ngăn hacker chạy shell hoặc mã độc sau khi tải lên.

 

  • Hạn chế các hình thức khai thác phổ biến từ file tải lên.

 

Hạn chế truy cập vào các khu vực nhạy cảm

 

Tính năng này giúp kiểm soát truy cập đến:

 

  • wp-admin

 

  • wp-includes

 

  • wp-config.php

 

  • .htaccess

 

  • .user.ini

 

Đồng thời ngăn chặn việc liệt kê thư mục (Directory Listing), giúp bảo vệ thông tin hệ thống khỏi bị truy cập trái phép.

 

Chặn các định dạng tệp nguy hiểm và XML-RPC

 

WordPress Lockdown có khả năng kiểm soát các loại tệp được tải lên website, từ đó ngăn chặn nhiều định dạng thường được sử dụng để phát tán mã độc.

 

Bên cạnh đó, công cụ còn có thể chặn hoặc giới hạn XML-RPC nhằm giảm nguy cơ:

 

  • Brute Force Attack.

 

  • Tấn công khai thác XML-RPC.

 

  • Các hình thức dò quét tài khoản WordPress.

 

Hướng dẫn kích hoạt WordPress Lockdown trên cPanel

 

Để sử dụng WordPress Lockdown, bạn thực hiện theo các bước dưới đây:

 

Bước 1: Đăng nhập vào cPanel

 

Truy cập địa chỉ cPanel do nhà cung cấp hosting cung cấp và đăng nhập bằng tài khoản quản trị hosting.

 

Bước 2: Mở tính năng WordPress Lockdown

 

Trong giao diện cPanel, tìm đến nhóm Security rồi chọn WordPress Lockdown để mở công cụ quản lý.

 

Bước 3: Chọn website và bật/tắt bảo vệ

 

Danh sách website WordPress trên hosting sẽ được hiển thị.

 

Bạn chỉ cần chọn website cần quản lý và sử dụng:

 

  • Lock: Kích hoạt chế độ bảo vệ.

 

  • Unlock: Mở khóa để chỉnh sửa hoặc cập nhật mã nguồn.

 

Bước 4: Theo dõi trạng thái và thiết lập ngoại lệ

 

Hệ thống sẽ hiển thị trạng thái hiện tại của từng website:

 

  • Lock: Đang được bảo vệ.

 

  • Unlock: Đang mở khóa.

 

Nếu hosting hỗ trợ, bạn có thể cấu hình ngoại lệ cho các plugin cache cần ghi dữ liệu thường xuyên để tránh ảnh hưởng đến hiệu suất hoạt động của website.

 

Những lưu ý khi sử dụng WordPress Lockdown

 

Để khai thác tính năng này hiệu quả, bạn nên lưu ý các vấn đề sau:

 

Chỉ dùng cho WordPress

 

WordPress Lockdown được thiết kế riêng cho WordPress nên không phù hợp với các mã nguồn website khác.

 

Mở khóa trước khi cập nhật

 

Khi website đang ở trạng thái Lock, bạn sẽ không thể:

 

  • Cập nhật WordPress.

 

  • Cài đặt plugin mới.

 

  • Nâng cấp theme.

 

  • Chỉnh sửa mã nguồn.

 

Vì vậy hãy Unlock trước khi thực hiện các thay đổi, sau đó Lock lại khi hoàn tất.

 

Thiết lập ngoại lệ cho plugin cache

 

Một số plugin cache cần tạo hoặc ghi file liên tục. Nếu bị khóa hoàn toàn, website có thể phát sinh lỗi hoặc giảm hiệu quả cache.

 

Do đó, hãy thêm các plugin này vào danh sách ngoại lệ nếu hệ thống hỗ trợ.

 

Kết hợp thêm các giải pháp bảo mật khác

 

WordPress Lockdown chỉ bảo vệ ở cấp độ file và thư mục. Bạn vẫn nên kết hợp thêm:

 

  • Backup định kỳ.

 

  • Plugin bảo mật WordPress.

 

  • SSL/HTTPS.

 

  • Các chính sách phân quyền phù hợp.

 

  • Các cấu hình bảo mật hosting khác.

 

Kiểm tra trạng thái trước khi thao tác

 

Trước khi chỉnh sửa hoặc cập nhật website, hãy kiểm tra xem website đang ở chế độ Lock hay Unlock để tránh mất thời gian xử lý các lỗi phát sinh do hệ thống đang khóa tệp.

 HỖ TRỢ TRỰC TUYẾN