Bạn có thể giới hạn người có thể truy cập vào trang quản trị (thường là /wp-admin) bằng cách chỉ cho phép những whitelist IP, những IP không nằm trong danh sách whitelist. Với cách làm này bạn có thể giảm thiểu các tấn công bruteforce.

Để làm được việc đó, bạn chỉ cần thêm vào Nginx config đoạn code sau:

set $noadmin 1;

# Khai báo danh sách whitelist IP addresses ở đây
if ($remote_addr = "xxx.xxx.xxx.xxx") { set $noadmin 0; }
if ($remote_addr = "yyy.yyy.yyy.yyy") { set $noadmin 0; }

if ($noadmin = 1) {
rewrite ^/wp-admin/(.*)$ /index.php?q=$1 last;
rewrite ^/wp-([^/]*?).php(.*)$ /index.php?q=$1 last;
}

Bạn hãy thay xxx.xxx.xxx.xxx, yyy.yyy.yyy.yyy … thành danh sách IP của VPN server của mình (chỉ cần khai báo 1 địa chỉ whitelist nếu bạn chỉ sử dụng 1 VPN server) để từ nay chỉ khi nào bạn truy cập web qua tunnel VPN thì mới truy cập được vào trang /wp-admin

Ngoài ra các bạn nên thêm vào đoạn code sau để tránh các tấn công DDOS, Brutefore nếu bạn chưa tắt xmlrpc nữa nhé

location = /xmlrpc.php {
  deny all;
  access_log off;
  log_not_found off;
}

Có rất nhiều bài viết về xmlrpc rồi, nên bạn có thể search để tìm hiểu thêm.

Mình sẽ tranh thủ note thêm nhiều hướng dẫn để nâng cao bảo mật an ninh mạng hơn trong thời gian sắp đến.

Minh Nguyen

Chào mừng bạn đã ghé haynotes.com, nơi mình lưu lại những gì mình học được cũng như những gì mình có thể sẽ quên, với tiêu chí chỉ đưa những thông tin cần thiết vào bài viết để các bạn đang gặp phải những vấn đề mình đã trãi qua sẽ nhanh chóng tìm được hướng giải quyết vấn đề đó.

Cảm ơn bạn đã ghé thăm ^_^!