Vô hiệu hóa theme và plugin editor trong WordPress admin

4 tháng ago, Hướng dẫn WordPress, Views
Vô hiệu hóa theme và plugin editor trong WordPress admin

Giới thiệu về trình soạn thảo theme và plugin trong WordPress

WordPress cung cấp một trình soạn thảo theme và plugin tích hợp sẵn trong khu vực quản trị (admin). Tính năng này cho phép người dùng chỉnh sửa trực tiếp các tệp tin của theme và plugin từ trình duyệt web. Mặc dù tiện lợi, trình soạn thảo này cũng tiềm ẩn nhiều rủi ro bảo mật nếu không được quản lý đúng cách. Việc một kẻ tấn công có quyền truy cập vào khu vực quản trị có thể lợi dụng trình soạn thảo này để chèn mã độc vào website của bạn, gây ra các vấn đề nghiêm trọng như:

  • Chiếm quyền kiểm soát website.
  • Đánh cắp thông tin người dùng.
  • Phát tán phần mềm độc hại.
  • Phá hủy dữ liệu.

Do đó, việc vô hiệu hóa trình soạn thảo theme và plugin là một biện pháp bảo mật quan trọng, đặc biệt đối với các website có nhiều người dùng hoặc những người dùng có ít kinh nghiệm về bảo mật WordPress.

Tại sao nên vô hiệu hóa trình soạn thảo theme và plugin?

Có nhiều lý do chính đáng để vô hiệu hóa trình soạn thảo theme và plugin trong WordPress. Dưới đây là một vài lý do quan trọng nhất:

  • Tăng cường bảo mật: Ngăn chặn kẻ tấn công chèn mã độc thông qua trình soạn thảo.
  • Giảm thiểu rủi ro do lỗi chỉnh sửa: Hạn chế người dùng vô tình gây ra lỗi khi chỉnh sửa trực tiếp các tệp tin.
  • Bắt buộc sử dụng phương pháp chỉnh sửa an toàn hơn: Khuyến khích sử dụng SFTP và môi trường staging để chỉnh sửa theme và plugin.
  • Đơn giản hóa quản lý người dùng: Giảm số lượng người dùng cần được cấp quyền quản trị cao cấp.

Việc vô hiệu hóa trình soạn thảo không ảnh hưởng đến chức năng của theme và plugin, mà chỉ giới hạn khả năng chỉnh sửa trực tiếp chúng thông qua giao diện admin.

Các phương pháp vô hiệu hóa trình soạn thảo theme và plugin

Có nhiều cách khác nhau để vô hiệu hóa trình soạn thảo theme và plugin trong WordPress. Dưới đây là ba phương pháp phổ biến nhất:

1. Vô hiệu hóa bằng cách thêm code vào file wp-config.php

Đây là phương pháp đơn giản và hiệu quả nhất. Bạn chỉ cần thêm một dòng code vào file `wp-config.php` của WordPress.

  1. Truy cập vào server của bạn thông qua SFTP hoặc FTP.
  2. Tìm file `wp-config.php` trong thư mục gốc của WordPress (thường nằm cùng thư mục với `wp-admin`, `wp-content` và `wp-includes`).
  3. Tải file `wp-config.php` về máy tính của bạn.
  4. Mở file `wp-config.php` bằng một trình soạn thảo văn bản (ví dụ: Notepad++, Sublime Text, VS Code).
  5. Thêm dòng code sau vào file, ngay trước dòng `/* That’s all, stop editing! Happy publishing. */` hoặc `/* Thats all, stop editing! Happy blogging. */`: 
    define( 'DISALLOW_FILE_EDIT', true );
  6. Lưu file `wp-config.php`.
  7. Tải file `wp-config.php` đã chỉnh sửa lên server, ghi đè file cũ.
  8. Kiểm tra lại khu vực quản trị WordPress. Trình soạn thảo theme và plugin sẽ biến mất.

Lưu ý: Luôn sao lưu file `wp-config.php` trước khi thực hiện bất kỳ thay đổi nào.

2. Vô hiệu hóa bằng plugin

Một số plugin bảo mật WordPress cũng cung cấp tính năng vô hiệu hóa trình soạn thảo theme và plugin. Ưu điểm của phương pháp này là bạn không cần phải chỉnh sửa trực tiếp các tệp tin code.

Ví dụ về một số plugin có tính năng này:

  • Wordfence Security: Plugin bảo mật toàn diện với nhiều tính năng, bao gồm cả khả năng vô hiệu hóa trình soạn thảo.
  • All In One WP Security & Firewall: Plugin bảo mật dễ sử dụng với nhiều tùy chọn cấu hình.
  • Disable Theme & Plugin Editor: Plugin đơn giản chỉ tập trung vào việc vô hiệu hóa trình soạn thảo.

Cách sử dụng:

  1. Cài đặt và kích hoạt một plugin bảo mật có tính năng vô hiệu hóa trình soạn thảo.
  2. Tìm đến cài đặt của plugin đó.
  3. Tìm tùy chọn để vô hiệu hóa trình soạn thảo theme và plugin.
  4. Bật tùy chọn đó.
  5. Lưu các thay đổi.
  6. Kiểm tra lại khu vực quản trị WordPress. Trình soạn thảo theme và plugin sẽ biến mất.

3. Vô hiệu hóa bằng file .htaccess

Phương pháp này ít phổ biến hơn, nhưng cũng có thể được sử dụng để vô hiệu hóa trình soạn thảo. Nó hoạt động bằng cách chặn truy cập trực tiếp vào các tệp tin chỉnh sửa theme và plugin.

  1. Truy cập vào server của bạn thông qua SFTP hoặc FTP.
  2. Tìm file `.htaccess` trong thư mục gốc của WordPress (thường nằm cùng thư mục với `wp-admin`, `wp-content` và `wp-includes`).
  3. Lưu ý: File `.htaccess` có thể bị ẩn. Bạn cần bật tùy chọn hiển thị các file ẩn trong trình FTP của bạn.
  4. Tải file `.htaccess` về máy tính của bạn.
  5. Mở file `.htaccess` bằng một trình soạn thảo văn bản.
  6. Thêm đoạn code sau vào file: 
    <Files ~ "^(wp-config.php|author-bio.php|functions.php)">
 order allow,deny
 deny from all
 </Files>

    Lưu ý: Đoạn code trên chỉ là một ví dụ. Bạn có thể cần điều chỉnh nó tùy thuộc vào cấu hình server của bạn. Nó chặn truy cập trực tiếp vào `wp-config.php`, `author-bio.php`, và `functions.php`. Bạn có thể thêm các tệp tin khác nếu cần.

  7. Lưu file `.htaccess`.
  8. Tải file `.htaccess` đã chỉnh sửa lên server, ghi đè file cũ.
  9. Kiểm tra lại khu vực quản trị WordPress.

Cảnh báo: Việc chỉnh sửa file `.htaccess` có thể gây ra lỗi nghiêm trọng cho website của bạn nếu không được thực hiện cẩn thận. Sao lưu file `.htaccess` trước khi chỉnh sửa và kiểm tra kỹ website sau khi thay đổi.

Lời khuyên và lưu ý

Dưới đây là một số lời khuyên và lưu ý quan trọng khi vô hiệu hóa trình soạn thảo theme và plugin:

  • Chọn phương pháp phù hợp: Phương pháp thêm code vào `wp-config.php` là đơn giản và hiệu quả nhất cho hầu hết các trường hợp.
  • Sao lưu trước khi chỉnh sửa: Luôn sao lưu các tệp tin `wp-config.php` và `.htaccess` trước khi thực hiện bất kỳ thay đổi nào.
  • Kiểm tra sau khi thực hiện: Kiểm tra kỹ website của bạn sau khi vô hiệu hóa trình soạn thảo để đảm bảo mọi thứ hoạt động bình thường.
  • Sử dụng SFTP và môi trường staging: Thay vì chỉnh sửa trực tiếp trên server, hãy sử dụng SFTP để tải các tệp tin về máy tính, chỉnh sửa chúng trong môi trường staging (bản sao của website), và sau đó tải lên server chính thức.
  • Cập nhật thường xuyên: Luôn cập nhật WordPress, theme và plugin lên phiên bản mới nhất để vá các lỗ hổng bảo mật.
  • Sử dụng mật khẩu mạnh: Sử dụng mật khẩu mạnh và duy nhất cho tài khoản quản trị WordPress.
  • Hạn chế quyền truy cập: Chỉ cấp quyền quản trị cho những người dùng thực sự cần thiết.

Kết luận

Việc vô hiệu hóa trình soạn thảo theme và plugin trong WordPress là một biện pháp bảo mật quan trọng giúp bảo vệ website của bạn khỏi các cuộc tấn công. Bằng cách làm theo các hướng dẫn trong bài viết này, bạn có thể dễ dàng vô hiệu hóa trình soạn thảo và tăng cường bảo mật cho website WordPress của mình. Hãy nhớ rằng, bảo mật là một quá trình liên tục, và bạn nên thường xuyên xem xét và cập nhật các biện pháp bảo mật của mình.

Related Topics by Tag
, , , ,

..