Hướng dẫn bảo mật WordPress đơn giản và hiệu quả bằng file .htaccess.
Tôi thường sử dụng Defender Security để tăng cường khả năng bảo mật cho các website của khách hàng. Trong đó, tôi phát hiện ra một tính năng khá thú vị của plugin này đó là tạo file .htaccess cho các thư mục nhạy cảm của WordPress để ngăn chặn các tập tin .php (thường được hacker sử dụng) truy cập trái phép vào đây và ăn cắp dữ liệu. Tuy nhiên, các bạn cũng có thể tự tạo các file .htaccess này mà không cần sử dụng đến plugin Defender Security và bài viết này được sinh ra là nhằm mục đích hướng dẫn các bạn làm điều đó.
Tham khảo thêm:
- Tổng hợp thủ thuật với file .htaccess trong WordPress
- Tăng tốc WordPress bằng cách sử dụng file .htaccess
Bảo mật WordPress hiệu quả bằng file .htaccess
Những thư mục được Defender Security khuyến cáo nên tạo file .htaccess để ngăn các tập tin .php truy cập trái phép bao gồm /wp-includes/, /wp-content/ và /wp-content/uploads/. Các bạn có thể tạo file .htaccess ngay trên host bằng cách sử dụng chức năng tạo file mới của cPanel/ DirectAdmin hoặc tạo bằng NotePad trên máy tính rồi upload lên host, vào đúng thư mục tương ứng.
Với thư mục /wp-includes/, các bạn tạo file .htaccess với nội dung như sau:
<Files *.php>
Order allow,deny
Deny from all
</Files>
<Files wp-tinymce.php>
Allow from all
</Files>
<Files ms-files.php>
Allow from all
</Files>
Options All -IndexesCòn đây là nội dung của file .htaccess dành cho thư mục /wp-content/ và thư mục /wp-content/uploads/:
<Files *.php>
Order allow,deny
Deny from all
</Files>
Options All -IndexesChặn truy cập file nhạy cảm
Thêm đoạn code sau đây vào cuối file .htaccess trong thư mục cài đặt WordPress (nằm ngang hàng với file wp-config.php):
<FilesMatch "\.(txt|md|exe|sh|bak|inc|pot|po|mo|log|sql)$">
Order allow,deny
Deny from all
</FilesMatch>
<Files robots.txt>
Allow from all
</Files>
<Files ads.txt>
Allow from all
</Files>Việc này sẽ giúp ngăn chặn truy cập các file có đuôi txt, exe, sql… trong thư mục cài đặt WordPress, ngoại trừ các file robots.txt và ads.txt (sử dụng bởi Google AdSense).
Xong, chỉ vài thao tác đơn giản như vậy thôi, nhưng đổi lại, website của bạn đã trở nên an toàn hơn rất nhiều so với trước. Chúc các bạn thành công!
Nếu bạn thích bài viết này, hãy theo dõi blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất nhé. Cảm ơn rất nhiều. :)
Cho mình hỏi là nếu sử dụng cách này rồi thì có cần dùng Plugin Defender Security nữa không nhỉ?
Có nhé. Vì plugin Defender Security còn được trang bị nhiều tính năng khác nữa, ví dụ: quét mã nguồn WordPress và các plugin, chống brute force attack, bảo mật headers, đăng nhập 2 bước…
Cách làm này đến giờ vẫn ok bác nhỉ, em thấy website bên em dùng file của bác từ năm 2017 đến giờ vẫn để vậy @@
Vẫn áp dụng hoàn toàn bình thường bạn nhé.
Cách này đến giờ còn hiệu quả không bạn.
Vẫn dùng được bạn nhé.
Cám ơn bạn. để mình thử.
Nếu cài đặt Sucuri Security rồi thì như này không cần đúng ko bạn.
Với điều kiện bạn phải thiết lập phần “Hardening” của nó đúng cách.
Cái này có ảnh hưởng seo không bạn
Tất nhiên là có rồi bạn. Nếu site bị nhiễm mã độc (bị redirect sang website khác, bị trình duyệt web chặn truy cập, bị Google Search Console cảnh báo…) thì theo bạn có ảnh hưởng đến SEO không?
Mình hiểu rồi . xin lỗi không đọc kĩ
Thời điểm hiện tại còn cần làm các thủ thuật này nữa không bạn
Tại mình thấy Sucuri Security Khác nhiều rồi
Mình mới xài wordpess với lại dốt tiếng anh
Thời điểm nào cũng cần hết bạn nhé. :D
Mến chào bạn wpcanban.com!
Bạn cho mình hỏi là:
Ví dụ mình gõ 1 đường dẫn tới 1 file hay 1 folder bất kì mà ko tồn tại trên host của ng khác thì nó sẽ báo lỗi 404 và có dòng link trỏ về trang chủ, vậy
Làm thế nào để tất cả các folder bất kỳ trên host của mình, khi người ta nhấp vào thì nó sẽ báo lỗi 404 rồi có dòng link trỏ về trang chủ hết. Cảm ơn bạn!
Bạn chụp mình xem ảnh màn hình của nội dung bạn đang nói đến với.