[Tips WordPress] Các chỉnh sửa file .htaccess bảo vệ website của bạn

12 Likes Comment

File .htaccess là gì? và nó có tác dụng file .htaccess như thế nào? nhiều người dùng wordpress ít ngó ngàn tới bởi nó không nằm trên wordpress mà nằm trên chính hosting mà bạn đang dùng. Mình muốn chia sẻ những gì mình cảm thấy tốt nhất, áp dụng trên blog của mình và có thể bạn cũng quan tâm.

Chia sẻ thêm về khái niệm cơ bản nhất của nó File .htaccess đây là một tệp tin ở trong thư mục gốc của các hosting và sử dụng để cấu hình cho các trang web, nó chỉ vậy thôi, nhưng có tác dụng cực kỳ lớn trong việc bảo blog/website của bạn nếu bạn biết cầu hình/thêm các tùy chỉnh trên file này.

File .htacces nằm ở đâu ? đối với những bạn chưa biết file .htaccess nằm ở đâu thì xem như dưới hình sau:

Cách hiển thị file .htaccess trên hosting: Đa số những file được liệt kê là hệ thống thường được ẩn trên hosting, nên một số bạn sẽ không thấy được, bạn không cần phải tạo file .htaccess ở ngoài đưa vào hosting. Để áp dụng hiển thị trên hosting nhất là đối với hosting sử dụng cPanel như mình thì làm theo hướng dẫn sau:

Một số các chỉnh sửa trong file 

Sau đây là một số các tùy chỉnh/ chỉnh sửa thêm trong file .htaccess bảo vệ blog/website của bạn.

1. Disable Directory Browsing

Một số bạn không thể hình dung tùy chỉnh như thế nào, nhưng chung quy lại nó sẽ không cho phép bạn truy cập các thư mục host từ trình duyệt, bạn xem qua hình sau, với lỗi này mình thấy đa số bạn không chú ý đến, nhưng để thử bạn bị lỗi không thì gõ vào trinh duyệt mình đường dẫn url/wp-content/plugins xem có hiển thị không nhé.

Để sửa lỗi bạn điền đoạn sau: 

Options -Indexes

 

2. Disable PHP Excecution trong một số thư mục

Để tăng cường bảo mật hơn hãy disable thực thi PHP trong một số thư mục của WordPress

<Files *.php>
deny from all
</Files>

 

3. Bảo vệ file wp-config.php

Để bảo vệ tệp tin wp-config.php bạn chèn đoạn sau

<files wp-config.php>
order allow,deny
deny from all
</files>

 

4. Chặn những địa chỉ IP đáng ngờ

Bạn có nghi ngờ những ip nào đang cố tình thâm nhập vào website bạn, để loại bỏ chúng bạn dùng đoạn sau:

<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>

Thay xxx.xxx.xx.x bằng ip bạn muốn chặn

5. Disable hotlinking hình ảnh

Chống ăn trộm ảnh trên website/blog của bạn, bằng đoạn sau:

#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?ngcloudy.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]

 

6. Vô hiệu hóa truy cập file XML-RPC

xmlrpc.php file này cho phép ứng dụng của bên thứ 3 truy cập vào site WordPress, mà khi cài đặt thành công nó sẽ tự động tạo ra, để vô hiệu hóa thì..

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

 

7. Chặn quét Author trên WordPress

Để chặn quét được Author trên wordpress ta dùng đoạn sau

# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans

 

8. Bảo vệ khu vực Admin trên WordPress

Bạn có thể dùng tệp tin .htaccess để bảo vệ khu vực quản trị WordPress.Bằng cách chỉ có những địa chỉ IP được chọn mới được phép đăng nhập vào Admin. Sao chép đoạn code sau dán vào file htaccess.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist User1 IP address
allow from xx.xx.xx.xxx
# whitelist User2 IP address
allow from xx.xx.xx.xxx
# whitelist User3 address
allow from xx.xx.xx.xxx
# whitelist User4 IP address
allow from xx.xx.xx.xxx
# whitelist User5 address
allow from xx.xx.xx.xxx
</LIMIT>

Thay thế xx.xx.xx.xxx bằng địa chỉ IP của bạn. Nếu bạn thường xuyên truy cập ở những địa chỉ IP khác nhau, hãy thêm tất cả

9. Mật khẩu bảo vệ thư mục quản trị WordPress

Đó là tạo mật khẩu cho folder /wp-admin/
Trước tiên bạn hãy tạo 1 file .htpasswd (Thông thường các hosting mới thì đã có rồi, bạn chỉ cần mở ẩn là được, mở ẩn thì như đã hướng dân trên). Truy cập vào đường dẫn này để tạo nhé. Sau đó upload nó ở ngoài thư mục /public_html

/home/user/.htpasswds/

Tiếp theo sử dụng đoạn sau vào file .htaccess

AuthName "Admins Only"
AuthUserFile /home/ngcloudy/.htpasswds/
AuthGroupFile /dev/null
AuthType basic
require valid-user

Lưu ý: Thay thế đường dẫn AuthUserFile bằng đường dẫn tới file .htpasswds của bạn và ngcloudy là username tài khoản hosting của bạn.

Bạn có thể thích