Chặn chỉnh sửa tệp trong WordPress Dashboard là một cách làm hữu hiệu để bảo vệ trang web khỏi các rủi ro tiềm ẩn? Trong bài viết này, chúng ta sẽ tìm hiểu về tầm quan trọng và cách thức để chặn chỉnh sửa tệp trong WordPress Dashboard.
Tại sao trình chỉnh sửa tệp lại là vấn đề?
Như bạn đã biết, WordPress cho phép người dùng có thể chỉnh sửa code Themes, Plugin ngay trong WordPress Dashboard.
Điều này giúp bạn tiết kiệm một chút công sức khi không phải vào thằng hosting hoặc dùng FTP để sửa file.
Sự tiện lợi của trình chỉnh sửa tệp đôi khi cũng đi kèm một số rủi ro, bởi các website WordPress là con mồi béo bở cho các cuộc tấn công dò mật khẩu (Bruteforce).
Khi đã chiếm được tài khoản quản trị, các hacker có thể chèn thêm mã độc vào thẳng source code thông qua tính năng chỉnh sửa tệp trong WordPress Dashboard.
Bạn có thể quan tâm:
- Thay đổi URL đăng nhập wp-admin trong WordPress
- Chặn XML-RPC: Bảo vệ trang web của bạn khỏi các mối đe dọa tiềm ẩn
Cách chặn chỉnh sửa tệp trong WordPress Dashboard
Sử dụng plugin để chặn chỉnh sửa tệp
Tính năng chặn chỉnh sửa tệp được trang bị trong rất nhiều plugin bảo mật, có thể kể đến như Defender Security, Solid Security,…
- Bắt đầu bằng việc cài đặt và kích hoạt plugin Defender Security trên trang web của bạn.
- Sau đó, vào Defender > Dashboad > Recommendations
- Tại đây, bạn sẽ thấy một tùy chọn để “Disable File Editor“. Hãy kích hoạt nó bằng cách đánh dấu ô tương ứng.
- Lưu lại các thay đổi của bạn và plugin sẽ tự động ngăn chặn chỉnh sửa tệp trên trang web của bạn.
Solid Security (trước đây là iThemes Security):
- Đầu tiên, cài đặt và kích hoạt plugin Solid Security trên trang web của bạn.
- Sau đó, vào Security > Setting > Advanced > WordPress Tweaks Settings.
- Ở đây bạn hãy tích chọn vào mục Disable File Editor
- Lưu lại cài đặt và plugin sẽ tự động chặn chỉnh sửa tệp trong WordPress Dashboard.
Sử dụng hàm để chặn trong file wp-config.php
Nếu bạn muốn chặn thủ công, bạn có thể chèn 2 hàm sau vào file wp-config.php
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);
Kết quả sẽ trông giống như ảnh dưới đây
Trong đó, hàm define(‘DISALLOW_FILE_EDIT’, true); sẽ có tác dụng chặn các quyền chỉnh sửa tệp tin của các Themes, Plugins trong WordPress Dashboard.
Còn hàm define(‘DISALLOW_FILE_MODS’, true); sẽ chặn tác vụ cài đặt mới Themes, Plugins và ẩn các cảnh báo, thông báo cập nhật.
Bạn nên dùng thêm hàm DISALLOW_FILE_MODS này bởi vì phần lớn các website bị tấn công thường được cài đặt thêm plugin WP File Manager để can thiệp thẳng vào code. Sẽ chẳng có ý nghĩa gì nếu bạn chặn quyền chỉnh sửa nhưng plugin WP File Manager vẫn cho phép chỉnh sửa.
Tổng kết
Chặn chỉnh sửa tệp trong WordPress Dashboard là một phương pháp quan trọng để bảo vệ trang web của bạn khỏi các rủi ro tiềm ẩn và duy trì tính ổn định của web. Hy vọng các hướng dẫn trên đây sẽ giúp bạn bảo vệ Website tốt hơn, chúc bạn thành công.
Câu hỏi thường gặp
Q. Tôi không hề chặn chỉnh sửa tệp nhưng phần chỉnh sửa tệp không hiển thị?
A. Trên một số giao diện mới như Twenty Twenty-One, Twenty Twenty-Two,… thì WordPress đã ẩn đi tính năng này. Bạn có thể yên tâm nếu giao diện của bạn đã thực hiện điều đó.
Q. Tôi đã chèn hàm trong file wp-config.php để chặn chỉnh sửa, nhưng giờ tôi muốn mở lại thì làm như thế nào?
A. Rất đơn giản, hãy đổi giá trị true thành false trong hai hàm DISALLOW_FILE_EDIT và DISALLOW_FILE_MODS