Hướng dẫn xác thực Checksum WordPress bằng WP-CLI để bảo mật website
Việc xác thực checksum WordPress là một bước quan trọng để đảm bảo tính toàn vẹn cho mã nguồn website của bạn. Quá trình này giúp bạn phát hiện ngay lập tức các tệp tin cốt lõi (core files) bị chỉnh sửa, thiếu sót hoặc bị chèn mã độc bởi hacker hoặc xung đột từ plugin.
Với kinh nghiệm nhiều năm trong việc tối ưu và bảo mật hệ thống từ CODE TOT – Web Development Agency, chúng tôi khuyên bạn nên sử dụng WP-CLI để thực hiện việc này một cách nhanh chóng và chính xác nhất.
Lưu ý: Máy chủ hosting hoặc VPS của bạn cần hỗ trợ cài đặt WP-CLI.
Dưới đây là hướng dẫn chi tiết từng bước:
Bước 1: Truy cập máy chủ qua SSH
- Đăng nhập vào Server:Sử dụng các phần mềm SSH như Terminal (macOS/Linux) hoặc PuTTY (Windows). Nhập thông tin xác thực (username, password hoặc SSH key).
- Di chuyển đến thư mục cài đặt WordPress:Sử dụng lệnh
cdđể đi đến thư mục chứa website (thường làpublic_htmlhoặcwww):Bashcd /path/to/your/wordpress
Bước 2: Chạy lệnh xác thực Checksum
- Thực thi lệnh WP-CLI:Sử dụng câu lệnh sau để đối chiếu các tệp tin hiện tại với mã nguồn chuẩn từ WordPress.org:Bash
wp core verify-checksums - Phân tích kết quả:
- Thành công: Nếu mọi thứ ổn định, hệ thống sẽ báo:
Success: WordPress install verifies against checksums. - Tệp bị chỉnh sửa: WP-CLI sẽ liệt kê các tệp không khớp với bản gốc:
Warning: File doesn't verify against checksum: wp-includes/version.php - Tệp bị thiếu: Hệ thống sẽ chỉ rõ tệp nào đang bị mất trong bộ nguồn.
- Thành công: Nếu mọi thứ ổn định, hệ thống sẽ báo:
- Tùy chọn: Bạn có thể kiểm tra cho một phiên bản hoặc ngôn ngữ cụ thể:Bash
wp core verify-checksums --version=6.2 --locale=en_US
Bước 3: Xử lý dựa trên kết quả
- Nếu tệp tin sạch: Bạn không cần làm gì thêm.
- Nếu tệp bị chỉnh sửa trái phép:
- Kiểm tra thay đổi: Xem xét lý do tại sao tệp bị đổi. Đôi khi các nhà phát triển hoặc plugin can thiệp trực tiếp (dù điều này không được khuyến khích).
- Khôi phục tệp gốc: Nếu nghi ngờ có mã độc, hãy ghi đè lại bộ core sạch bằng lệnh:Bash
wp core download --force - Quét mã độc: Sử dụng các plugin bảo mật chuyên dụng để rà soát toàn bộ hệ thống.
- Nếu thiếu tệp:Chạy lệnh
wp core download --forceđể tải lại các tệp thiếu mà không làm ảnh hưởng đến tệp cấu hìnhwp-config.phphay thư mụcwp-contentcủa bạn.
Lời khuyên từ Code Tốt: Bảo mật website không chỉ là cài đặt plugin, mà là kiểm soát chặt chẽ tính toàn vẹn của mã nguồn. Trong dịch vụ Khôi phục website bị tấn công, chúng tôi luôn áp dụng quy trình kiểm tra checksum định kỳ cho mọi dự án quản trị để đảm bảo website khách hàng luôn trong trạng thái an toàn nhất.
Bước 4: Kiểm tra quyền truy cập và bảo mật (Tùy chọn)
Để tối ưu hóa bảo mật sau khi sửa lỗi tệp tin, hãy đảm bảo phân quyền (permissions) chính xác:
# Phân quyền thư mục là 755
sudo find /path/to/your/wordpress/ -type d -exec chmod 755 {} \;
# Phân quyền tệp tin là 644
sudo find /path/to/your/wordpress/ -type f -exec chmod 644 {} \;Đừng quên cập nhật WordPress lên phiên bản mới nhất: wp core update.
Bước 5: Thiết lập lịch kiểm tra định kỳ
- Cron Job: Bạn có thể thiết lập lệnh tự động chạy hàng tuần để kiểm tra checksum và gửi báo cáo về email.
- Plugin bảo mật: Các công cụ như Wordfence hoặc Sucuri có tính năng giám sát tệp tin (File Integrity Monitoring) sẽ cảnh báo ngay khi có sự thay đổi.
Bước 6: Lưu trữ nhật ký (Documentation)
Hãy ghi lại các tệp tin bị lỗi và các hành động khắc phục bạn đã thực hiện. Điều này cực kỳ quan trọng đối với các đơn vị vận hành chuyên nghiệp như CODE TOT để theo dõi lịch sử bảo mật và báo cáo cho các bên liên quan.
Việc làm chủ WP-CLI không chỉ giúp bạn xử lý sự cố nhanh hơn mà còn thể hiện sự chuyên nghiệp trong quản trị hệ thống. Chúc bạn quản lý website an toàn và hiệu quả!
Tham khảo thêm: Dịch vụ Khôi phục website bị tấn công từ Chuyên gia về Web tại Code Tốt.
