Bảo mật WordPress đơn giản và hiệu quả bằng file .htaccess.
Hôm trước tôi có cài thử plugin Sucuri Security để kiểm tra khả năng bảo mật của blog WP Căn bản. Trong đó, tôi phát hiện ra một tính năng khá thú vị của plugin này đó là tạo file .htaccess cho các thư mục “nhạy cảm” của WordPress để ngăn chặn các tập tin *.php (thường được hacker sử dụng) truy cập trái phép vào đây và ăn cắp dữ liệu. Tuy nhiên, các bạn cũng có thể tự tạo các file .htaccess này mà không cần sử dụng đến plugin Sucuri Security và bài viết này được sinh ra là nhằm mục đích giúp các bạn làm điều đó.
Tham khảo thêm:
- Tổng hợp thủ thuật với file .htaccess trong WordPress
- Tăng tốc blog WordPress của bạn bằng cách sử dụng .htaccess
Bảo mật WordPress hiệu quả bằng file .htaccess
Những thư mục được Sucuri Security khuyến cáo nên tạo file .htaccess để ngăn các tập tin *.php truy cập trái phép bao gồm wp-includes, wp-content và wp-content/uploads. Các bạn có thể tạo file .htaccess ngay trên host bằng cách sử dụng chức năng tạo file mới của cPanel, DirectAdmin hoặc tạo bằng NotePad trên máy tính rồi upload lên host, vào đúng thư mục tương ứng.
Với thư mục wp-includes, các bạn tạo file .htaccess với nội dung như sau:
Còn đây là nội dung của file .htaccess dành cho thư mục wp-content và thư mục wp-content/uploads:
Xong, chỉ vài thao tác đơn giản như vậy thôi, nhưng đổi lại, blog/ website của bạn đã trở nên an toàn hơn rất nhiều so với trước. Chúc các bạn thành công!
Nếu bạn thích bài viết này, hãy subscribe blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất qua email nhé. Cảm ơn rất nhiều. :)
:D tớ lại ko dùng apache nên ko xài đc
Không xài Apache thì nghỉ đi cho khỏe nhé. :D :D :P
Hiếu cho hỏi phát.Mình tạo blog bằng wordpress và forum mã nguồn khác.ví dụ abc là wordpress và abc/f là forum.Có cách nào mà bài biết trên forum hiện lên trang chủ như wordpress không?Giống trang thegioiseo đó
Trang Thế giới SEO làm hoàn toàn bằng mã nguồn XenForomà, kiểu giống như Tinh tế, làm gì có WordPress đâu ba. :P Còn nếu thím muốn show bài viết từ MyBB lên trang chủ WordPress (trong điều kiện thím đang sử dụng theme của tôi) thì thím có thể thử 1 trong 2 plugin sau: https://wordpress.org/plugins/mybb-last-topics/ hoặc https://wordpress.org/plugins/mybb-latest-posts/ :P Nhớ là phải chèn các widget đó vào Home – Top, Home – Middle hoặc Home – Bottom nhé. :D
Ok,thank Thím.Theme tui đang xài dc không magazine đó.Tính làm cho trang chaomaohot.net
Vô tư đi nhé. :P
Bổ sung thêm
Add thêm dòng này vào file .htaccess ở thư mục chính của website
Order allow,deny
Deny from all
Order allow,deny
Deny from all
Order allow,deny
Deny from all
Order allow,deny
Deny from all
Order allow,deny
Deny from all
Cần gì phải lặp lại nhiều lần thế bạn? :P
không hiểu sao nội dung mình gõ trong lại bị mất !
Chắc do cấu hình của WP
Thanks Hiếu
bài viết rất đầy đủ để bảo mật thư mục
Nếu thấy hay thì vote 5 sao hộ mình nhé. Hehe. :P
Có cách nào chặn truy cập hình ảnh gốc ko. mình muốn nó xuất hiện trên web nhưng ko cho người ta truy cập vào ảnh gốc và tải về, tất nhiên mình khóa chuột phải r :)
Dùng thử chức năng chặn hotlinks của cPanel hoặc CloudFlare đi bạn trẻ. :D
Cậu Seo kiểu gì kinh thế. Mới post hôm 4/12 mà lên top 1 google rồi. Chắc xèng tiêu ko hết nhỉ :D
Code dùm mình chặn truy cập 1 file hình ảnh nào đó với bro. Chặn được 1 foder thì chắc chắn sẽ chặn dc 1 file chứ ??? :) Chặn hotlinks thì mình biết r
Vào tới foder up loand bỏ htaccess vô chặn truy cập file png và jpg thì đúng là nó không cho truy cập vô, tưởng thành công rồi ai ngờ ra trang chủ hình không hiện lên :(
Tiền không có đồng nào mà tiêu nè bạn. Đói choẹt cả mắt ra rồi. :D Ca này khó đấy :( Bạn nên kết hợp giữa việc chống click chuột phải và chặn hotlinks thì sẽ đơn giản hơn. :P
Minh khong thay file htaccess trong thu muc goc cua host,lam sao de hien thi no len nhi ban?
Thanks
Bạn dùng hosting hay VPS? Có cPanel hay DirectAdmin không? :P Bạn phải bật chế độ hiển thị cả file ẩn lên thì mới thấy được. Vì thông thường file .htaccess sẽ bị ẩn vì lý do bảo mật. :P
Mình đã thử tạo file .htaccess như bạn rồi mà vẫn truy cập được đường dẫn đó bình thường :(
Có cách nào khi mình truy cập vào đường dẫn includes hay các thư mục plugin, theme trong thư mục mẹ wp-content là nó báo lỗi 403 không bạn nhỉ @@
Thêm đoạn code sau vào trong file .htaccess của các thư mục đó nhé:
Options All -IndexesCảm ơn bạn được rồi :D
Sao thấy hơi khó dùng quá bạn ơi
Thủ thuật này chỉ dành cho những người có kiến thức cơ bản về hosting và mã nguồn WordPress bạn nhé. :P
Thanks! Mình làm thử và thấy báo 403 Forbidden rồi.
Nhưng có ảnh hưởng gì đến việc truy cập, hiển thị,…. hay đăng bài, up ảnh, cài đặt …. của wordpress không vậy ạ?>
Nó có thể xung đột với một số plugin WordPress. :P
Mến chào bạn!
Ví dụ là: trên trang của bạn thử gõ: wpcanban.com/abc đều trỏ về trang index.php
– bạn gõ giúp mình thachpham.com/abc đi-> Nó trỏ đến trang lỗi 404
Hoặc bạn gõ bất kì đến 1 folder hay 1 page nào mà không có trên web của ngta thì nó đều báo lỗi như vậy chứ mình không thích tất cả đều trỏ về trang chủ.
Cái này là trang 404 của theme thôi mà bạn. Theme nào chả có. Chẳng qua site của mình thì mình thiết lập nó tự redirect về trang chủ luôn thôi. Nếu site của bạn không có trang 404 thì có thể dùng plugin để tạo. 404page – your smart custom 404 error page chẳng hạn.
Bạn hiểu sai ý mình rồi!
Ý của mình hỏi là: Mình phải cấu hình như thế nào? Ví dụ bây giờ mình tạo 1 folder bất kỳ tên abc, phải cấu hình như thế nào cho folder đó để khi ng khác gõ là: http://domain.com/abc thì nó sẽ tự động trỏ đến trang báo lỗi 404 như mặc định ấy. Chứ bình thường thì mình sẽ thả vào folder đó 1 file tên index.php và nó sẽ hiện 1 trang trắng.
Bạn mới là người không hiểu ý mình đấy. Mình có bảo bạn tạo file index.php và thả nó vào cái gì đó sao? Cứ cài plugin trên kia vào rồi tạo trang 404 theo ý muốn của bạn là được. Lúc truy cập link không tồn tại thì tự khắc nó sẽ hiển thị trang 404 thôi.
Mến chào bạn wpcanban.com!
Bạn cho mình hỏi là:
Ví dụ mình gõ 1 đường dẫn tới 1 file hay 1 folder bất kì mà ko tồn tại trên host của ng khác thì nó sẽ báo lỗi 404 và có dòng link trỏ về trang chủ, vậy
Làm thế nào để tất cả các folder bất kỳ trên host của mình, khi người ta nhấp vào thì nó sẽ báo lỗi 404 rồi có dòng link trỏ về trang chủ hết. Cảm ơn bạn!
Bạn chụp mình xem ảnh màn hình của nội dung bạn đang nói đến với.
Thời điểm hiện tại còn cần làm các thủ thuật này nữa không bạn
Tại mình thấy Sucuri Security Khác nhiều rồi
Mình mới xài wordpess với lại dốt tiếng anh
Thời điểm nào cũng cần hết bạn nhé. :D
Mình hiểu rồi . xin lỗi không đọc kĩ