Chặn truy cập thư mục WP-Admin nhằm bảo mật WordPress

Đây là bài 7 trong 7 bài của series Bảo Mật WordPress

Chặn truy cập thư mục WP-Admin nhằm phòng tránh các trường hợp tấn công vào thư mục này. Theo mặc định, thư mục wp-admin sẽ không hiển thị ra bên ngoài. Các tập tin trong thư mục này để vận hành khu vực quản trị website WordPress.

Chặn truy cập thư mục WP-Admin nhằm bảo mật WordPress

Chặn truy cập thư mục WP-Admin nhằm bảo mật WordPress

Như vậy, thư mục wp-admin chỉ hoạt động khi Admin truy cập vào khu vực quản trị Website. Tuy nhiên, các đợt tấn công vào thư mục này cũng không ít. Chính vì vậy, bài viết này sẽ hướng dẫn bạn cách để bảo vệ thư mục wp-admin. Từng bước, chúng ta sẽ Bảo Mật WordPress lên một tầm cao mới.

Chặn truy cập thư mục WP-Admin bằng .htaccess

Thông thường, một website WordPress sẽ bao gồm các Thư Mục và các tập tin để vận hành. Như hình ảnh bên dưới là một bộ cài đặt WordPress mặc định được download từ website wordpress.org.

Chặn truy cập thư mục WP-Admin bằng .htaccess

Chặn truy cập thư mục WP-Admin bằng .htaccess

Trong đó, thư mục wp-admin sẽ được chúng ta bảo vệ trong bài viết này. Hình thức bảo vệ là chỉ những địa chỉ IP được chọn mới có thể đăng nhập vào khu vực quản trị website. Các địa chỉ IP không có trong danh sách chọn sẽ không thể truy cập được.

Lưu Ý: Nếu bạn thường xuyên đăng nhập vào Admin website WordPress của bạn thì bạn không nên chặn truy cập thư mục WP-Admin. Hoặc nếu bạn muốn chặn thì phải truy cập vào Hosting thay đổi IP thường xuyên.

Nếu bạn có nhiều địa điểm cần truy cập như: Tại nhà, văn phòng, trường học .. Bạn hãy thêm những IP của các khu vực đó vào whitelist. Bạn có thể thêm nhiều địa chỉ IP trong thủ thuật bảo mật này.

Thực hiện bảo vệ thư mục WP-Admin bằng .htaccess

Bạn hãy truy cập vào thư mục wp-admin và tạo một file .htaccess sau đó Copy đoạn Code bên dưới vào file .htaccess là xong.

Lưu Ý: Bạn không được chèn đoạn Code này trong file .htaccess trong thư mục gốc của website. Đoạn code bên dưới phải chèn vào thư mục .htaccess, đường dẫn phải là /wp-admin/.htaccess

Thực hiện bảo vệ thư mục WP-Admin bằng .htaccess

Thực hiện bảo vệ thư mục WP-Admin bằng .htaccess

Đoạn Code chèn vào file .htaccess trong thư mục wp-admin.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
# whitelist Amanda's IP address
allow from xx.xx.xx.xxx
# whitelist Muhammad's IP address
allow from xx.xx.xx.xxx
# whitelist Work IP address
allow from xx.xx.xx.xxx
</LIMIT>

Thay thế xx.xx.xx.xxx bằng địa chỉ IP của bạn. Nếu bạn có nhiều địa chỉ IP cần thêm, hãy thêm dòng để tiếp tục chèn vào là được.

Có plugin nào chặn truy cập thư mục WP-Admin không ?

Có, vô số nhiều các Plugin Bảo Mật giúp bạn đảm bảo an toàn cho khu vực Admin. Nếu bạn không muốn sờ vào Code thì hãy tham khảo một số Plugin cho chức năng này. Tuy nhiên, Lại Văn Đức Blog khuyên bạn nên sử dụng cách bên trên vì nó khá đơn giản.

Bên dưới là danh sách các Plugin hỗ trợ Bảo Mật WordPress vô cùng tốt. Không chỉ bảo vệ chặn truy cập thư mục WP-Admin. Các Plugin này còn hỗ trợ bảo mật an toàn với nhiều chức năng khác nhau cho website của bạn.

Wordfence Security: Wordfence Security là plugin bảo mật miễn phí cho wordpress. Với giao diện đẹp và khá dễ dàng trong sử dụng.

Ithemes Security: Một trong những Plugin bảo mật lâu đời cho WordPress. Trước kia có tên gọi là Better WP Security.

Sucuri Security: Sucuri Security được biết đến với tên Sucuri Inc. là một trong những cơ quan có tiếng chuyên về bảo mật website wordpress trên toàn cầu.

All In One WP Security & Firewall: Gần 1 triệu lượt cài đặt và sử dụng để đảm bảo an toàn cho website WordPress.

Bên trên là 4 Plugin Top đầu trong việc hỗ trợ Bảo Mật WordPress. Lại Văn Đức Blog sẽ có các bài hướng dẫn cách sử dụng cho từng Plugin này để giúp bạn dễ dàng trong cấu hình.

Thế Thôi

Mục đích chính trong bài viết này là hướng dẫn bạn cách chặn truy cập thư mục WP-Admin nhằm bảo vệ khu vực quản trị WordPress. Với một vài thao tác nhỏ, bạn đã có thể chặn truy cập vào thư mục này và khu vực Admin website của bạn.

Cùng với đó, bạn cũng biết được một số Plugin hỗ trợ Bảo Mật WordPress. Việc bảo vệ website là điều nên làm và làm thường xuyên dù website của bạn là Blog cá nhân hay một website lớn. Hãy luôn cảnh giác và thiết lập cho website của mình được an toàn nhất có thể.

Cuối cùng, chúc bạn luôn thành công và có một website khỏe mạnh.

Xem tiếp bài trong serie<< Sử dụng .htaccess để bảo mật WordPress tốt hơn

Leave a Reply