Giới thiệu
WordPress là một hệ quản trị nội dung (CMS) phổ biến, được sử dụng bởi hàng triệu website trên toàn thế giới nhờ sự linh hoạt và khả năng mở rộng. Tuy nhiên, chính vì tính mở rộng cao mà WordPress cũng có thể trở nên dễ bị tấn công nếu người quản trị không kiểm soát chặt chẽ các chức năng nhạy cảm. Một trong những biện pháp phổ biến để tăng cường bảo mật WordPress là vô hiệu hóa khả năng chỉnh sửa file và cài đặt Plugin/Theme trực tiếp từ giao diện quản trị. Điều này bạn có thể thực hiện đơn giản bằng cách thêm một vài dòng lệnh vào tệp wp-config.php.
Cụ thể ta có đoạn code sau:
define( 'DISALLOW_FILE_EDIT', true );
define( 'DISALLOW_FILE_MODS', true );Cấu hình vào file wp-config.php
Tại thư mục gốc của website, các bạn tìm và chỉnh sửa file wp-config.php
Tiếp đó bạn tìm đến dòng /* That’s all, stop editing! Happy blogging. */ và thêm đoạn code vào ngay bên dưới như hình và Save lại.
Ý nghĩa đoạn code trên
1. define( ‘DISALLOW_FILE_EDIT’, true );
Đoạn code này được thêm vào file wp-config.php của WordPress nhằm vô hiệu hóa tính năng chỉnh sửa trực tiếp các file Theme và Plugin trong giao diện quản trị WordPress (Admin > Giao diện > Trình chỉnh sửa theme hoặc Plugin > Trình chỉnh sửa plugin).
Tại sao nên sử dụng?
- Bảo mật: Cho phép chỉnh sửa mã PHP trực tiếp từ Admin là một lỗ hổng bảo mật lớn. Nếu tài khoản admin bị xâm nhập, hacker có thể dễ dàng chèn mã độc vào website chỉ trong vài cú click.
- Tránh lỗi không mong muốn: Việc chỉnh sửa nhầm hoặc sai cú pháp PHP có thể khiến website bị lỗi ngay lập tức.
- Thực hành tốt trong quản trị: Đối với các hệ thống chuyên nghiệp, mọi thay đổi mã nguồn nên được thực hiện thông qua Git hoặc FTP/SFTP, không nên thao tác trực tiếp qua trình duyệt.
Và bên dưới là kết quả trước và sau khi chặn, như các bạn thấy sau khi chặn thì Trình chỉnh sửa Theme/Plugin đã không còn.
2. define( ‘DISALLOW_FILE_MODS’, true );
Đoạn code này không chỉ chặn chỉnh sửa file, mà còn vô hiệu hóa toàn bộ các chức năng liên quan đến cập nhật, cài đặt, hoặc xóa Theme/Plugin/Core WordPress từ trong Dashboard.
Tại sao nên sử dụng?
- Kiểm soát thay đổi: Ngăn người khác (kể cả Admin) cài thêm hoặc gỡ plugin/theme mà không có quy trình kiểm duyệt.
- Tránh cập nhật ngoài ý muốn: Đôi khi việc cập nhật một plugin có thể gây xung đột hoặc lỗi website nếu không được kiểm tra trước trên môi trường staging.
- Tăng độ ổn định: Khi website đã vận hành ổn định, việc giới hạn các hành động có thể làm thay đổi cấu trúc hoặc chức năng là điều nên làm.
Và bên dưới là kết quả trước và sau khi chặn, như các bạn thấy sau khi chặn cập nhật, cài đặt, hoặc xóa Theme/Plugin/Core WordPress thì phần cài mới đã bị ẩn đi.
Kết luận
Việc bổ sung 2 câu lệnh DISALLOW_FILE_EDIT và DISALLOW_FILE_MODS vào wp-config.php là một bước nhỏ nhưng có tác động lớn đến tính bảo mật và ổn định của website WordPress. Đặc biệt đối với các website sản xuất hoặc các hệ thống đòi hỏi tính toàn vẹn cao, việc giới hạn quyền chỉnh sửa và cập nhật trực tiếp sẽ giúp bạn kiểm soát tốt hơn và tránh được nhiều rủi ro không đáng có. Đây là một trong những kỹ thuật mà mọi quản trị viên WordPress nên áp dụng để giữ cho hệ thống của mình an toàn và chuyên nghiệp hơn.
Chúc các bạn thực hiện thành công.!
