Bảo mật trang web WordPress của bạn là một trong những nhiệm vụ quản lý quan trọng nhất của bạn. Rất nhiều trang web thấy mình là mục tiêu của các cuộc tấn công ngẫu nhiên và nếu trang web của bạn lọt vào danh sách đó, trang web của bạn và dữ liệu của nó có thể gặp rủi ro. Để giúp tránh sự cố này, một mẹo bảo mật là tìm hiểu cách đưa địa chỉ IP vào danh sách trắng trong WordPress.
Tính năng này giúp chỉ những người bạn tin tưởng mới có quyền truy cập vào trang tổng quan của bạn. Nó hoạt động ở cấp độ máy chủ, vì vậy bất kỳ ai cố gắng đăng nhập trái phép thậm chí sẽ không thể xem trang đăng nhập WordPress của bạn. Ngoài ra, nó đủ đơn giản để triển khai, miễn là bạn không ngại sao chép và dán một vài dòng mã.
Trong bài viết này, chúng ta sẽ nói về danh sách trắng là gì và nó hoạt động như thế nào. Sau đó, chúng tôi sẽ hướng dẫn bạn cách đưa địa chỉ IP vào danh sách trắng trong WordPress bằng hai bước đơn giản. Cùng bắt tay vào làm!
Danh sách trắng là gì (và tại sao nó hiệu quả)
Hạn chế quyền truy cập vào trang tổng quan của bạn là một trong những biện pháp bảo mật tốt nhất mà bạn có thể thực hiện.
địa chỉ IP là thông thường các chuỗi số được phân tách bằng dấu chấm xác định các mạng internet cụ thể. Ví dụ: kết nối internet tại nhà của bạn có địa chỉ IP riêng mà nó sử dụng để tương tác với phần còn lại của web.
‘Danh sách đen’ một địa chỉ IP có nghĩa là chặn một bộ địa chỉ IP cụ thểtrong khi ‘danh sách trắng’ cho phép truy cập chỉ một bộ địa chỉ IP cụ thể.
Đó là – khi bạn đưa một địa chỉ IP vào danh sách trắng trên một trang web, bạn cấp quyền truy cập chỉ có đến một mạng cụ thể. Người dùng có thể chuyển đổi thiết bị trên mạng đó, nhưng họ cần được kết nối với mạng có quyền truy cập trong danh sách cho phép để truy cập phần phụ trợ của trang web của bạn.
Như bạn có thể tưởng tượng, tính năng bảo mật này mang lại rất nhiều lợi thế, bởi vì nó:
- Cho phép bạn kiểm soát những người truy cập trang web của bạn. Chỉ giới hạn quyền truy cập vào các địa chỉ IP cụ thể có thể giúp bạn ngăn chặn các cuộc tấn công vào trang web của mình.
- Hiệu quả hơn so với việc thực hiện các biện pháp bảo mật đăng nhập. Hãy nghĩ về màn hình đăng nhập của bạn như một cánh cửa mà nhiều người có chìa khóa. Khi bạn triển khai tính năng danh sách trắng IP, về cơ bản, bạn chỉ định một nhân viên bảo vệ toàn thời gian để đảm bảo chỉ những người bạn đã phê duyệt mới có thể vào cửa đó.
- Dễ thực hiện. Nếu bạn là người dùng WordPress, bạn có thể kích hoạt tính năng này bằng cách thêm một vài dòng mã vào một trong các tệp cốt lõi của mình. Nó rất đơn giản, ngay cả khi bạn không phải là nhà phát triển.
Điều quan trọng cần lưu ý là trong hầu hết các trường hợp, bạn sẽ không muốn giới hạn quyền truy cập vào toàn bộ trang web của mình trừ khi đó hoàn toàn là trang dàn dựng. Thay vào đó, bạn sẽ chỉ muốn bảo vệ phần cuối của mình và trang đăng nhập của nó.
Nhược điểm tiềm năng của việc sử dụng phương pháp này
Tất nhiên, các địa chỉ IP trong danh sách trắng trong WordPress có thể trở nên phức tạp nếu bạn là thành viên của một nhóm lớn. Bạn sẽ cần thuyết phục mọi người chia sẻ IP của họ với bạn, và tìm ra những việc cần làm đối với người dùng có địa chỉ động (IP thay đổi thường xuyên).
Ngoài ra, nếu bạn sử dụng phương pháp này, bạn sẽ không thể truy cập bảng điều khiển phụ trợ của trang web nếu bạn đang ở quán cà phê hoặc đang đi nghỉ mà không cập nhật danh sách các địa chỉ IP có trong danh sách cho phép (bởi vì bạn sẽ có một địa chỉ IP khác).
Theo kinh nghiệm của chúng tôi, cách tốt nhất để giải quyết những vấn đề này là sử dụng dịch vụ VPN cung cấp địa chỉ IP chuyên dụng cho các thành viên trong nhóm của bạn. Sau đó, miễn là họ nhớ đăng nhập vào dịch vụ trước khi thử truy cập vào phần phụ trợ của bạn, họ sẽ không gặp phải bất kỳ sự cố nào.
Cách đưa địa chỉ IP vào danh sách trắng trong WordPress (theo hai bước)
Bây giờ bạn đã hiểu lý do đưa địa chỉ IP vào danh sách trắng trong WordPress, đã đến lúc tìm hiểu cách biến nó thành hiện thực. Như chúng tôi đã đề cập trước đó, bạn sẽ cần chỉnh sửa thủ công một trong các tệp WordPress của mình để triển khai tính năng này. Đừng lo lắng – quá trình này rất đơn giản và chúng tôi sẽ hướng dẫn bạn qua từng bước.
Trước khi bắt đầu, bạn nên sao lưu trang web của mình để đề phòng. Sau đó, hãy đảm bảo rằng bạn đã có sẵn danh sách địa chỉ IP của tất cả các thành viên trong nhóm của mình. Để biết IP của họ (và của bạn) là gì, họ có thể sử dụng một công cụ đơn giản như Trình tìm vị trí IP. Tất cả những gì họ phải làm là truy cập trang web, ghi lại địa chỉ IP của họ và chia sẻ chúng với bạn.
Bước #1: Xác định vị trí của bạn .htaccess tập tin
Tệp chúng tôi cần sửa đổi để tính năng này hoạt động bình thường được gọi là .htaccess. Đó là tệp cốt lõi của WordPress giao tiếp trực tiếp với máy chủ của bạn và cho phép bạn thiết lập ‘quy tắc’. Trong trường hợp này, chúng tôi sẽ yêu cầu nó chặn quyền truy cập vào trang đăng nhập bảng điều khiển của bạn đối với các IP không có trong danh sách được phê duyệt.
Để làm điều đó, trước tiên bạn cần truy cập vào phần cuối trang web của mình bằng ứng dụng khách FTP, chẳng hạn như FileZilla. Bạn sẽ cần thông tin đăng nhập FTP của mình, bạn có thể tìm thấy thông tin này trong bảng điều khiển của máy chủ lưu trữ web hoặc trong email họ gửi cho bạn khi bạn đăng ký gói của mình:
Khi bạn có thông tin đăng nhập của mình, hãy truy cập trang web của bạn qua FTP và truy cập WordPress’ nguồn gốc thư mục. Thư mục này thường được gọi là public_html hoặc www, hoặc được đặt tên theo trang web của bạn. Mở nó ra và tìm .htaccess tập tin trong:
Bây giờ, nhấp chuột phải vào tệp và chọn tùy chọn đọc Sửa xem. Thao tác này sẽ mở tệp cục bộ bằng trình soạn thảo văn bản mặc định của bạn. Giữ tệp mở ngay bây giờ và hãy chuyển sang bước tiếp theo.
Bước #2: Đưa địa chỉ IP vào danh sách trắng bằng cách chỉnh sửa địa chỉ IP của bạn .htaccess tập tin
Để đưa một tập hợp địa chỉ IP vào danh sách trắng, bạn cần sao chép và dán đoạn mã sau vào .htaccess tập tin (với một vài thay đổi):
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^IP_ADDRESS_ONE$
RewriteCond %{REMOTE_ADDR} !^IP_ADDRESS_TWO$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>Đoạn mã này hạn chế quyền truy cập vào cả trang tổng quan và trang đăng nhập của trang tổng quan. Bất cứ khi nào ai đó cố gắng truy cập một trong hai, WordPress sẽ kiểm tra IP của họ với các địa chỉ trong danh sách của bạn. Nếu một trong số họ phù hợp, họ sẽ được thông qua.
Trong ví dụ trên, bạn có thể thấy có hai trình giữ chỗ cho các địa chỉ IP riêng lẻ (IP_ADDRESS_ONE và IP_ADDRESS_TWO). Bạn có thể thêm bao nhiêu dòng tùy thích theo cùng một định dạng, dòng này ngay bên dưới dòng kia, thay thế văn bản giữ chỗ bằng IP thực. Tuy nhiên, hãy đảm bảo để lại các ký hiệu “^” và “$” trước và sau địa chỉ IP.
Đây là mã sẽ trông như thế nào đối với một trang web có ba địa chỉ trong danh sách cho phép:
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^190.36.268.21$
RewriteCond %{REMOTE_ADDR} !^190.43.281.27$
RewriteCond %{REMOTE_ADDR} !^190.67.302.44$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>Để tránh nhầm lẫn, bạn nên thêm đoạn mã này vào cuối .htaccess tệp, bên dưới các quy tắc mặc định của nó. Khi bạn đã sẵn sàng, hãy lưu các thay đổi của mình và kiểm tra xem tính năng bảo mật mới của bạn có hoạt động hay không bằng cách yêu cầu từng người dùng trong danh sách trắng thử và đăng nhập. Bất cứ khi nào bạn thêm hoặc mất thành viên trong nhóm, bạn chỉ cần quay lại tệp và thêm hoặc xóa địa chỉ IP như cần thiết.
Giờ đây, bất kỳ ai không được kết nối với một trong các địa chỉ IP trong danh sách trắng sẽ thấy nội dung như thế này nếu họ cố truy cập trang tổng quan của bạn:
Phần kết luận
Học cách lập danh sách trắng các địa chỉ IP trong WordPress rất đơn giản và đó là cách hiệu quả cao để bảo vệ trang web của bạn khỏi những kẻ xâm nhập. Xin lưu ý rằng nếu bạn muốn triển khai biện pháp bảo mật này, bạn sẽ phải hỏi tất cả các đồng tác giả của mình về IP của họ, và tìm ra cách để những người có địa chỉ động có thể thực hiện công việc của họ.
Ngoài ra, bạn nên nhớ rằng phương pháp này không phải lúc nào cũng lý tưởng nếu bạn thấy mình thường xuyên làm việc từ các địa điểm khác nhau (trừ khi bạn trả tiền cho một địa chỉ IP chuyên dụng từ VPN).
Khi bạn đã xử lý các tác vụ đó, đây là cách đưa địa chỉ IP vào danh sách trắng trong WordPress theo hai bước ngắn:
- xác định vị trí của bạn
.htaccesstập tin. - Đưa tất cả địa chỉ IP bạn cần vào danh sách trắng bằng cách thêm đoạn mã được cung cấp vào tệp.
Bạn có câu hỏi nào về cách đưa địa chỉ IP vào danh sách trắng trong WordPress không? Hãy làm rõ chúng trong phần bình luận bên dưới!
