Sử dụng .htaccess để bảo mật WordPress tốt hơn

Đây là bài 6 trong 7 bài của series Bảo Mật WordPress

Sử dụng .htaccess chúng ta có nhiều lý do để sử dụng file này. .htaccess là một file giúp điều hướng các liên kết trong WordPress tránh khỏi các lỗi 404 huyền thoại. Bên cạnh đó, .htaccess còn được sử dụng để giúp website của chúng ta an toàn hơn.

Sử dụng .htaccess để bảo mật WordPress tốt hơn

Sử dụng .htaccess để bảo mật WordPress tốt hơn

Có rất nhiều thủ thuật WordPress hướng dẫn chúng ta cách sử dụng file .htaccess. Riêng trong bài viết này, Lại Văn Đức Blog sẽ chia sẻ một vài kinh nghiệm giúp website của bạn được bảo mật hơn với file .htaccess này.

Sử dụng .htaccess để bảo mật WordPress

Bảo Mật WordPress là điều cần làm và phải làm để giúp website luôn an toàn. Chúng ta có nhiều cách để thực hiện. Từ việc tùy biến trong website, hosting đến việc sử dụng các Plugin Bảo Mật hỗ trợ.

Cùng với đó, việc sử dụng .htaccess cũng sẽ nâng tầm an toàn cho website của chúng ta. Ngay bên dưới là 3 thủ thuật mà bạn có thể thực hiện cho website của mình ngay hôm nay.

Trước khi thực hiện, bạn nên backup website của mình. Xem hướng dẫn tại: Plugin Backup WordPress tự động tốt nhất hiện nay

FIle .htaccess ở chỗ nào ?

File .htaccess nằm trong thư mục gốc của website. Để tiếp cận và chỉnh sửa file này bạn có 2 cách. Một là truy cập vào hosting thông qua trình duyệt web hoặc sử dụng phần mềm FTP. Mình thường sử dụng filezilla để truy cập FTP Hosting.

Như hình bên dưới là thư mục gốc của website và file .htaccess nằm ở đây. Để chỉnh sửa và sử dụng .htaccess, bạn hãy nhấn chuột phải rồi chọn View/Edit như hình bên dưới.

FIle .htaccess ở chỗ nào ?

FIle .htaccess ở chỗ nào ?

1. Sử dụng .htaccess chặn truy cập Admin

Trong trường hợp website của bạn chỉ có bạn truy cập vào Admin. Bạn cũng chỉ truy cập vào Admin ở một nơi cố định như ở nhà hoặc ở văn phòng công ty. Địa chỉ IP bạn sử dụng không thường xuyên thay đổi, bạn có thể thiết lập theo thủ thuật này.

Phương pháp này sẽ chỉ cho phép những địa chỉ IPs cố định được truy cập vào Admin WordPress. Các bạn hãy sử dụng đoạn code bên dưới.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx
</LIMIT>

Lưu ý là bạn cần đổi XX.XX.XX.XXX thành địa chỉ IP của bạn. Để biết địa chỉ IP của mình, bạn có thể Google cụm từ “what is my ip“. Như hình bên dưới là địa chỉ IP của mình.

Sử dụng .htaccess chặn truy cập Admin

Sử dụng .htaccess chặn truy cập Admin

Bạn có thể thêm nhiều địa chỉ IP bằng cách thêm dòng “allow from xx.xx.xx.xxx“. Tuy nhiên, nếu bạn là người thường xuyên di chuyển, nơi bạn đăng nhập vào Admin WordPress là không cố định thì không nên sử dụng .htaccess để chặn truy cập Admin.

Xem thêm: Bảo Mật Website WordPress và những điều cơ bản

Bảo vệ WordPress file wp-config.php

wp-config.php là file quan trọng nhất, đây cũng chính là file mà các hacker thường nhắm đến. Để bảo mật cho website của bạn, bạn nên bảo vệ cho file này một cách an toàn nhất có thể.

wp-config.php chứa các cài đặt cốt lõi cho WordPress. Trong file này cũng có thông tin chi tiết của MySQL databases. Để sử dụng .htaccess bảo vệ file này, bạn hãy thêm đoạn code bên dưới vào file .htaccess

<files wp-config.php>
order allow,deny
deny from all
</files>

3. Sử dụng .htaccess tắt thực thi PHP tùy chọn

Hacker luôn có nhiều cách để tấn công website của chúng ta. Trong đó là hình thức upload các scripts độc hại lên thư mục WordPress. Mặc định, WordPress sẽ lưu các file đa phương tiện trong thư mục Upload. Tại đây sẽ không có bất kỳ file PHP nào cả. Vậy, khi hacker up file PHP chứa các scripts độc hại, nó cũng sẽ nằm trong thư mục upload của website.

Chúng ta sẽ vô hiệu hóa chức năng thực thi PHP trong thư mục này. Các bạn hãy truy cập vào thư mục uploads tại đường dẫn /wp-content/uploads/ và tạo một file .htaccess, trong đó hãy sử dụng đoạn code bên dưới.

<Files *.php>
deny from all
</Files>

Như vậy, chúng ta đã sử dụng .htaccess để tắt tất cả các file PHP hoạt động trong thư mục này.

Thế Thôi

Bảo mật là vấn đề nan giải cho tất cả các website. Cho dù bạn sử dụng Blog hay website bán hàng hoặc website công ty. Cẩn thận đề phòng trước tất cả các sự cố có thể sảy ra là điều quan trọng. Chúng ta đề phòng sẽ hay hơn là khắc phục.

Sử dụng .htaccess để tăng tính bảo mật cho website cũng là một cách rất hay. Bạn tham khảo và có thể áp dụng cho website của mình ngay hôm nay. Nếu có bất kỳ thắc mắc nào, hãy để lại bình luận tại Lại Văn Đức Blog và chúng ta cùng thảo luận nha.

Xem tiếp bài trong serie<< Bảo Mật Website WordPress và những điều cơ bản cần làm ngayChặn truy cập thư mục WP-Admin nhằm bảo mật WordPress >>

Leave a Reply