Có phải bạn đang tìm kiếm một số thủ thuật .htaccess hữu ích cho trang WordPress của mình. .htaccess là tệp cấu hình rất mạnh cho phép bạn thực hiện rất nhiều thứ dễ dàng trên trang web của mình. Trong bài viết này, TechXanh sẽ cho bạn thấy một số thủ thuật hữu ích nhất .htaccess để tăng cường bảo mật website WordPress mà bạn có thể dễ dàng thực hiện.
File .htaccess là gì? Làm sao để sửa file đó?
Tệp .htaccess là tệp cấu hình trong máy chủ Apache. Nó cho phép bạn cấu hình các rule truy cập, chuyển hướng, bảo vệ… trong trang web của mình.
Mặc định WordPress sử dụng tệp .htaccess để tạo cấu trúc URL để tốt cho SEO, thân thiện với máy tím kiếm. Ngoài ra, tập tin này có thể làm nhiều hơn thế như: bảo mật website WordPress, cấu hình redirect, hạn chế truy cập, đặt cache expire…
Tệp .htaccess nằm trong thư mục gốc của trang web WordPress. Bạn muốn sửa thì phải sử dụng FTP như Filezilla hoặc trình quản lý file trên web hosting của mình để sửa.
Tiệp tin này khá nhạy cảm, nó có thể làm website của bạn không thể truy cập được. Đừng lo, trước khi thay đổi file này nhớ download về máy tính và backup lại trong trường hợp web site của bạn có vấn đề.
Các thủ thuật với .htaccess để bảo mật website WordPress
Techxanh hôm nay xin giới thiệu với bạn một số cấu hình cho file .htaccess để bảo mật cho website wordpress. Hy vọng sẽ giúp ích cho các bạn trong việc nâng cao bảo mật website WordPress của mình
Bảo mật khu vực quản trị chỉ cho phép một số IP được vào
Nhớ bảo mật khu vực quản trị wp-admin đề phòng trường hợp xấu xảy ra với website của bạn nhé. Nhất là khi bạn sử dụng IP tĩnh để truy cập. Lúc đó chỉ cần điền IP tĩnh của mình vào phần dưới dây.
#Tạo file .htaccess trong thư mục wp-admin
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Khu vuc quan tri"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# ip tĩnh của bạn 1
allow from xx.xx.xx.xx1
# ip tĩnh của bạn 2
allow from xx.xx.xx.xx2
</LIMIT>
Đặt password trang login
Trang login luôn luôn là mục tiêu tấn công của các hacker. Nếu bạn không ẩn được các trang này thì hãy sử dụng cách dưới đây. Nó sẽ yêu cầu bạn nhập user và mật khẩu trước khi truy cập vào trang login. Đây là một hình thức bảo mật 2 lớp khá an toàn và hữu ích.
AuthName "Khu vuc quan tri"
AuthUserFile /đường/dẫn/tuyệt/đối/đến/file/.passwd
AuthGroupFile /dev/null
AuthType basic
require user ten-dang-nhap
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Khoá dò thư mục
Cách tiếp cận đầu tiên là vào thư mục xem có file nào trong đó không. Techxanh khuyên bạn nên sử dụng tính năng này của htaccess đề phòng các truy cập không tốt cho website mình.
Options -Indexes
Khoá chạy file .php trong các thư mục
<Files *.php>
deny from all
</Files>
Bảo vệ file cấu hình
File cấu hình wp-config.php là file rất quan trọng. Nó chứa các thông tin của website của bạn. Hãy bảo vệ nó trước khi bị tấn công nhé.
<files wp-config.php>
order allow,deny
deny from all
</files>
Chặn IP xấu vào trang web
Khi bạn phát hiện IP nào đó đang cố gắng tấn công website của mình, bạn hãy sử dụng code dưới để khoá truy cập của IP đó.
<Limit GET POST>
order allow,deny
deny from xxx.xxx.xxx.xxx
allow from all
</Limit>
Khoá truy cập image hotlinking với .htaccess
Chống các website khác sử dụng hình ảnh của website của mình gây tốn tài nguyên.
#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?techxanh.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?google.com [NC]
RewriteRule .(jpg|jpeg|png|gif)$ – [NC,F,L]
Bảo vệ file .htaccess
Bảo vệ các file khác nhưng bản thân .htaccess cũng cần được bảo vệ các bạn nhé.
<files ~ "^.*.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
Khoá truy cập XML-RPC sử dụng .htaccess
Tập tin này luôn là mục tiêu tấn công phổ biến của các bọ dò password theo hình thức brute force. Nếu không thực sự cần thiết thì chúng ta hãy khoá truy cập file này. Trong trường hợp sử dụng thì nên giới hạn IP truy cập file.
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Khoá quét author trong WordPress
Không sử dụng user admin, tạo nhiều user quản trị nhớ thêm số vd: quantri168, không sử dụng user này để đăng bài. Ngoài ra bạn có thể khoá quét author bài viết để tránh dò user trang web nhé.
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=d+) [NC]
RewriteRule .* - [F]
# END block author scans
Trên đây tôi đã giới thiệu một số thủ thuật bảo mật website WordPress cơ bản sử dụng file .htaccess để cấu hình. Nếu có gì thắc mắc cần giải đáp vui lòng comment bên dưới bài viết này nhé. Để tăng cường bảo mật thêm cho website wp bạn nên cài thêm plugin Itheme để bảo mật toàn diện hơn.
Cám ơn các bạn!
Yes! Cuối cùng cũng có cách bảo mật cho web rồi