Htaccess là một file sống còn của website nói chung và wordpress nói chung. Cho nên việc bảo mật website wordpress bằng file .htaccess cũng cần phải được quan tâm đúng cách để chống hacker tấn công website của mình
Rất nhiều người dùng WordPress tìm đến tệp tin .htaccess khi cần sửa lỗi đường dẫn cố định (permalink) của mình. Tuy nhiên, bạn còn có thể làm nhiều việc hơn thế nữa. Tệp tin .htaccess là một tập tin có ảnh hưởng mạnh mẽ cho phép bạn có thể tăng cường an ninh cũng như khả năng hoạt động của trang web. Trong bài viết này, chúng tôi sẽ chỉ cho bạn 9 cách sử dụng tệp tin .htaccess hay ho nhất dành cho WordPress mà bạn có thể thử nghiệm trên trang web của mình ngay lập tức.
Mục lục bài viết
- 1 Bắt đầu nào!
- 2 1. Bảo vệ vùng quản trị trang WordPress của bạn
- 3 2. Mật khẩu bảo vệ thư mục quản trị WordPress
- 4 3. Tắt trình duyệt quản trị trên WordPress
- 5 4. Tắt chế độ thực thi PHP trong một vài thư mục của WordPress
- 6 5. Bảo vệ tệp tin wp-config.php trong WordPress của bạn
- 7 6. Thiết lập điều hướng 301 qua tệp tin .htaccess
- 8 7. Chặn những địa chỉ IP đáng nghi
- 9 8. Tắt những hotlinking của hình ảnh trên WordPress với tệp tin .htaccess
- 10 9. Bảo vệ tệp tin .htaccess khỏi những kết nối không xác thực
Bắt đầu nào!
Trước khi thưc hiện bất kì thay đổi nào, bạn cần phải sao lưu dự phòng các tệp tin .htaccess đang tồn tại. Kết nối tới trang web bằng FTP client và tải tệp tin .htaccess về máy tính của bạn. Như vật nếu có lỗi gì đó, bạn có thể tải lên tập tin dự phòng bất cứ khi nào.
Nếu bạn không tìm thấy tệp tin .htaccess, hãy thử xem FTP client của bạn đã được cài đặt cho phép hiển thị các tệp tin ẩn chưa. Hãy đọc thêm hướng dẫn của chúng tôi về vấn đề này nhé.
Nếu bạn không có tệp tin .htaccess trong thư mục gốc trên trang web của mình, bạn sẽ cần phải tự tạo nó. Chỉ cần tạo một file để trống và lưu lại dưới tên .htaccess, nhớ phải ghi chính xác là .htaccess chứ không phải là htaccess . Cuối cùng, bạn phải tải nó lên thư mục gốc trong trang web của bạn
1. Bảo vệ vùng quản trị trang WordPress của bạn
Bạn có thể dùng tệp tin .htaccess để bảo vệ quyền quản trị WordPress của mình bằng cách hạn chế số lượng kết nối, chỉ sử dụng cho những địa chỉ IP đã được chọn. Chỉ cần sao chép và dán đoạn mã này vào tệp tin .htaccess của bạn:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist Syed's IP address allow from xx.xx.xx.xxx # whitelist David's IP address allow from xx.xx.xx.xxx # whitelist Amanda's IP address allow from xx.xx.xx.xxx # whitelist Muhammad's IP address allow from xx.xx.xx.xxx # whitelist Work IP address allow from xx.xx.xx.xxx </LIMIT>
Thay thế xx.xx.xx.xxx bằng địa chỉ IP của bạn. Nếu bạn cần sử dụng nhiều địa chỉ IP hơn để kết nối mạng, hãy nhớ thêm cả chúng vào nữa. Hãy xem hướng dẫn của chúng tôi về cách bảo vệ thư mục quản lý trên WordPress với tệp tin .htaccess nhé.
2. Mật khẩu bảo vệ thư mục quản trị WordPress
Đầu tiên, bạn cần phải tạo một tệp tin .htpasswds. Bạn có thể thực hiện thao tác này dễ dàng với online generator.
Tải tệp tin này ra ngoài kết nối thư mục web hoặc thư mục /public_html/. Một đường dẫn có thể có là
- home/user/.htpasswds/public_html/wp-admin/passwd/
AuthName "Admins Only" AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd AuthGroupFile /dev/null AuthType basic require user putyourusernamehere <Files admin-ajax.php> Order allow,deny Allow from all Satisfy any </Files>
Quan trọng : Đừng quên thay thế đường dẫn AuthUserFile bằng đường dẫn tới tập tin .htpasswds của bạn và thêm cả tên đăng nhập của bạn nữa.
Tải tệp tin .htaccess này tới thư mục quản trị wp của bạn. Thế là xong. thư mục quản trị wp của bạn của bạn giờ đã được bảo vệ bằng mật khẩu, tức là chỉ có bạn, hoặc những người mà bạn cho phép có thể kết nối đến. Để xem hướng dẫn chi tiết hơn, hãy xem cách đặt mật khẩu bảo vệ quyền quản trị WordPress nhé
3. Tắt trình duyệt quản trị trên WordPress
Nhiều chuyên gia an ninh của WordPress khuyên người dùng nên tắt chức năng duyệt thư mục (directory browsing). Bởi thông qua chức năng này, hacker có thể xem cấu hình tệp tin và danh mục trên trang web của bạn để tìm ra tệp tin dễ bị xâm nhập nhất. Hãy tìm hiểu thêm về cách tắt và tại sao phải tắt nó trên WordPress nhé.
Bảo mật website wordpress bằng file .htaccess
Để tắt trình duyệt quản trị trên WordPress, tất cả những gì bạn cần làm là thêm dòng đơn này vào tệp tin .htaccess nhé.
Options -Indexes
4. Tắt chế độ thực thi PHP trong một vài thư mục của WordPress
Có đôi lúc những hacker tấn công trang web WordPress thông qua các tập tin chứa backdoor. Những tệp tin này thường được giả dạng như tập tin chính và đặt trong thư mục /wp-includes/ hoặc /wp-content/uploads/. Một cách đơn giản hơn để bảo vệ an ninh trang WordPress của bạn bằng cách tắt chế độ thực thi PHP trong một số thư mục của WordPress. Tạo một tập tin .htaccess trống và dán mã này vào trong đó :
<Files *.php> deny from all </Files>
Giờ thì hãy tải tệp tin này đến thư mục /wp-includes/ hoặc /wp-content/uploads/. Để hiểu rõ hơn, hãy xem bài hướng dẫn này nhé.
5. Bảo vệ tệp tin wp-config.php trong WordPress của bạn
Chắc chắn tệp tin quan trọng nhất trong thư mục gốc của WordPress là tệp tin wp-config.php. Nó bao gồm các thông tin về cơ sở dữ liệu của WordPress và cách để kết nối đến trang web. Để bảo vệ tệp tin wp-config.php khỏi các kết nối không xác thực, hãy thêm mã này vào tệp tin .htaccess của bạn :
<files wp-config.php> order allow,deny deny from all </files>
6. Thiết lập điều hướng 301 qua tệp tin .htaccess
Sử dụng điều hướng 301 là cách SEO thân thiện nhất để cho người dùng của bạn biết khi có một nội dung được di chuyển sang vị trí mới. Nếu bạn muốn biết cách quản lý đúng đắn điều hướng 301 với mỗi bài viết trên cơ sở bài viết, hãy xem cách thực hiện điều hướng 301 trên WordPress với Quick Page/Post Redirect.
Ngoài ra, nếu bạn chỉ muốn điều hướng người dùng từ đường dẫn này sang đường dẫn khác một cách nhanh chóng, tất cả những gì bạn cần làm đó là dán mã này vào tập tin .htaccess của mình.
Redirect 301 /oldurl/ http://www.example.com/newurl Redirect 301 /category/television/ http://www.example.com/category/tv/
7. Chặn những địa chỉ IP đáng nghi
Bạn thấy những yêu cầu bất hường từ một địa chỉ IP nào đó? Bạn muốn chặn không cho địa chỉ IP đó kết nối trang web của mình? Hãy thêm mã dưới đây vào tệp tin .htaccess
<Limit GET POST> order allow,deny deny from xxx.xxx.xx.x allow from all </Limit>
Thay xxx bằng địa chỉ IP mà bạn muốn chặn
8. Tắt những hotlinking của hình ảnh trên WordPress với tệp tin .htaccess
Những người khác có thể làm chậm tốc độ trang web của bạn và trộm băng thông rộng của bạn thông qua những hotlinking của hình ảnh trên trang web của mình. Thông thường, việc này không làm phần lớn người dùng bận tâm. Tuy nhiên, nếu bạn sở hữu một trang web với nhiều hình ảnh thì hotlinking có thể trở thành một vấn đề nghiêm trọng. Tuy vậy, bạn có thể ngăn chặn vấn đề này bằng cách thêm mã vào tệp tin .htaccess:
#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?motnoi.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?google.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?feeds2.feedburner.com/wpbeginner [NC]
RewriteRule .(jpg|jpeg|png|gif)$ – [NC,F,L]</pre>
<pre>
Đừng quên thay motnoi.com bằng tên miền của bạn.
9. Bảo vệ tệp tin .htaccess khỏi những kết nối không xác thực
Như bạn đã thấy, bạn có thể làm rất nhiều thứ với tệp tin .htaccess. Do quyền hạn và khả năng điều hành mà nó có trên máy chủ trang web, nên bạn cần phải bảo vệ nó khỏi những kết nối đáng ngờ của hacker.
Hãy thêm mã này đến tệp tin .htaccess của bạn:
<files ~ "^.*.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </files>
Chúng tôi hi vọng bài viết này có thể giúp bạn biết thêm một vài mẹo hữu ích để sử dụng tệp tin .htaccess cho WordPress.
